PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 1 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Aprobado por el Comité Interno de Sistemas mediante Acta No. 03 de 2015
Firma de Autorizaciones
Elaboró Revisó Aprobó
Profesional Especializado 222-04 Oficina Asesora de
Planeación
Jefe Oficina Asesora de Planeación
Representante para la Alta Dirección del Sistema Integrado de Gestión
Control de Cambios
Fecha Descripción
Mayo de 2010 Actualización del Documento
Diciembre de 2013 Actualización del Documento
Julio de 2015 Actualización del Documento
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 2 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
CONTENIDO
1. OBJETIVO ............................................................................................................. 4
1.1. Objetivo General ............................................................................................. 4
1.2. Objetivos Específicos ..................................................................................... 4
2. ALCANCE .............................................................................................................. 4
3. DEFINICIONES TÉCNICAS .................................................................................. 5
4. REFERENCIA NORMATIVAS ............................................................................... 7
ANÁLISIS DE LA SITUACIÓN ACTUAL DE LOS SISTEMAS DE INFORMACIÓN ...... 8
1.1 PRESENTACIÓN ................................................................................................ 8
1.2 PREMISAS DE PARTIDA ................................................................................... 8
1.3 FUNCIONES DE LA DIRECCIÓN ....................................................................... 9
1.3.1. Informe a Dirección.................................................................................. 9
ANÁLISIS DE IMPACTO ............................................................................................ 11
2.1. IMPACTO Y TIEMPOS DE RECUPERACIÓN ............................................. 11
2.1.1. Impactos más comunes y tiempos de recuperación ................................... 11
2.2. RESUMEN PARA LA DIRECCIÓN ............................................................... 13
2.2.1. Objetivos del análisis ............................................................................. 13
2.2.2. Alcance del Análisis ............................................................................... 13
ESTRATEGIA DE CONTINGENCIA ........................................................................... 17
3.1. EMPRESAS DE SERVICIO ........................................................................... 17
3.2. COMUNICACIONES ALTERNATIVAS ............................................................. 17
3.3. PROCEDIMIENTO DE BACKUP O COPIA DE SEGURIDAD .......................... 17
3.4. CENTRO DE ALMACENAMIENTO EXTERNO ................................................ 18
3.4.1. Solución propia .......................................................................................... 18
EQUIPOS DE RECUPERACIÓN ................................................................................ 20
4.1. COMPOSICIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS ...... 20
4.2. FUNCIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS ................. 21
PLAN DE ACCIÓN ..................................................................................................... 22
5.1. DEFINICIÓN DE DESASTRE ....................................................................... 22
5.2. ACTIVACIÓN DE PROCEDIMIENTOS DE EMERGENCIA .......................... 23
5.2.1. Notificación de primera alerta ................................................................ 23
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 3 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
5.2.2. Escalado de problemas ......................................................................... 24
INFORME DE EMERGENCIA ................................................................................. 27
5.2.3. Evaluación de daños ............................................................................. 28
5.3. PROCEDIMIETOS DE RESPUESTA ........................................................... 29
PRUEBAS Y ACTUALIZACIÓN .................................................................................. 32
6.1. PRUEBAS Y ENTRENAMIENTO DEL PLAN ................................................... 32
6.1.1. Revisiones periódicas ................................................................................ 32
6.1.2. Pruebas técnicas ...................................................................................... 32
6.2. MANTENIMIENTO DEL PLAN ......................................................................... 33
6.2.1. Actualizaciones .......................................................................................... 33
LISTA DE DISTRIBUCIÓN ......................................................................................... 35
BIBLIOGRAFÍA ........................................................................................................... 36
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 4 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
1. OBJETIVO
1.1. Objetivo General
Aumentar la probabilidad de recuperación en la continuidad de las operaciones en los
sistemas de información que el IDEP tiene en producción en el menor tiempo y
reduciendo el impacto en las operaciones del Instituto.
1.2. Objetivos Específicos
Proporcionar un enfoque organizado y consolidado para dirigir actividades de
respuesta y recuperación ante cualquier incidente o interrupción de trabajo
imprevista, evitando confusión y reduciendo la situación de tensión.
Proporcionar una respuesta rápida y apropiada a cualquier incidente imprevisto,
reduciendo así los impactos resultantes de interrupciones de trabajo a corto
plazo.
Aumentar la probabilidad de continuidad del servicio informático de la
organización en caso de que un incidente interrumpa sus operaciones
normales.
Reducir el tiempo de recuperación, y como consecuencia, las pérdidas
económicas, directas e inducidas, como resultado de un desastre.
Realizar la recuperación de las funciones críticas, mediante el desarrollo de los
procedimientos necesarios para:
o Reducir la duración de la recuperación.
o Minimizar el coste de la recuperación.
o Evitar la confusión y reducir el riesgo de errores.
o Evitar la duplicación de esfuerzos.
2. ALCANCE
El Plan de Contingencia de los Sistemas de Información del IDEP está diseñado para
crear una situación de preparación que proporcione una respuesta inmediata diseñada
en función de una serie de posibles escenarios previamente definidos.
Es necesario definir las áreas del IDEP que van a estar relacionadas y deben ser
incluidas en el plan. Adicionalmente se debe distinguir las amenazas más probables y
descartar aquellas que, aún siendo posibles, su probabilidad de ocurrencia es muy
bajo.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 5 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Se consideran los siguientes tipos de incidentes:
Cualquier incidente externo o interno que pudiera potencialmente causar una
interrupción de las operaciones del negocio, tales como la pérdida de los
servicios de suministro eléctrico o de telecomunicaciones.
Cualquier incidente que afecte al funcionamiento del hardware o del software y
que suponga una interrupción superior a las 24 horas.
Cualquier incidente interno que pudiera potencialmente causar o afectar la
interrupción de las operaciones de los sistemas de información, como son la
falla en los servidores o puntos de conexión.
Cualquier incidente que suponga la paralización de actividades de la
organización por motivos ajenos a la tecnología, tales como problemas
laborales propios o del sector o problemas laborales que afecten al área
geográfica donde se encuentra ubicada la organización.
Se descartan o son poco probables de suceder los siguientes tipos de incidentes:
Los que causen un daño físico en las instalaciones o equipos, como fuego,
humo o daños por agua.
Los que afecten de forma indirecta la posibilidad de acceso a las instalaciones,
como evacuación de emergencia por amenaza de bomba, o amenazas
externas tales como incendios en instalaciones cercanas, fuga de gases
tóxicos, etc.
Desastres regionales no previstos o inesperados, que puedan causar daños en
las instalaciones y equipos e impedir el acceso normal al personal encargado o
quien haga sus funciones de las operaciones informáticas, aunque las
instalaciones estén intactas, tales como inundaciones, huracanes etc.
3. DEFINICIONES TÉCNICAS
Copias de seguridad (Backup): una copia de seguridad o backup (su nombre en
Inglés) en tecnología de la información o informática es una copia de seguridad - o el
proceso de copia de seguridad - con el fin de que estas copias adicionales puedan
utilizarse para restaurar el original después de una eventual pérdida de datos.
Disco duro: en informática, un disco duro o disco rígido (en inglés Hard Disk Drive,
HDD) es un dispositivo de almacenamiento de datos no volátil que emplea un sistema
de grabación magnética para almacenar datos digitales. Se compone de uno o más
platos o discos rígidos, unidos por un mismo eje que gira a gran velocidad dentro de
una caja metálica sellada. Sobre cada plato se sitúa un cabezal de lectura/escritura
que flota sobre una delgada lámina de aire generada por la rotación de los discos.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 6 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Enrutador (router) : el enrutador (calco del inglés router), direccionador, ruteador o
encaminador es un dispositivo de hardware para interconexión de red de ordenadores
que opera en la capa tres (nivel de red). Un enrutador es un dispositivo para la
interconexión de redes informáticas que permite asegurar el enrutamiento de paquetes
entre redes o determinar la mejor ruta que debe tomar el paquete de datos.
Hardware: corresponde a todas las partes físicas y tangibles de una computadora: sus
componentes eléctricos, electrónicos, electromecánicos y mecánicos; sus cables,
gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento físico involucrado.
Hub: Concentrador. Dispositivo capaz de enlazar físicamente varios ordenadores de
forma pasiva, enviando los datos para todos los ordenadores que estén conectados,
siendo éstos los encargados de discriminar la información.
LAN: (Local Area Network - Red de Área Local). Interconexión de computadoras y
periféricos para formar una red dentro de una empresa u hogar, limitada generalmente
a un edificio.
Módem : Un módem es un dispositivo que sirve para enviar una señal llamada
moduladora mediante otra señal llamada portadora. Se han usado módems desde los
años 60, principalmente debido a que la transmisión directa de las señales
electrónicas inteligibles, a largas distancias, no es eficiente, por ejemplo, para
transmitir señales de audio por el aire, se requerirían antenas de gran tamaño (del
orden de cientos de metros) para su correcta recepción. Es habitual encontrar en
muchos módems de red conmutada la facilidad de respuesta y marcación automática,
que les permiten conectarse cuando reciben una llamada de la RTPC (Red Telefónica
Pública Conmutada) y proceder a la marcación de cualquier número previamente
grabado por el usuario. Gracias a estas funciones se pueden realizar automáticamente
todas las operaciones de establecimiento de la comunicación.
Plan de Contingencia: Conjunto de estrategias, acciones, procedimientos
planificados y responsabilidades definidas para minimizar el impacto de una
interrupción imprevista de las funciones críticas y conseguir la restauración de las
mismas, dentro de unos límites de tiempo establecidos. Sin que sea una regla general,
se suele aplicar al plan circunscrito a las actividades de los departamentos de
Sistemas de Información.
Red: Una red de computadoras, también llamada red de ordenadores o red
informática, es un conjunto de equipos informáticos conectados entre sí por medio de
dispositivos físicos que envían y reciben impulsos eléctricos, ondas electromagnéticas
o cualquier otro medio para el transporte de datos para compartir información y
recursos . Este término también engloba aquellos medios técnicos que permiten
compartir la información.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 7 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Software: se conoce como software al equipamiento lógico o soporte lógico de una
computadora digital; comprende el conjunto de los componentes lógicos necesarios
que hacen posible la realización de tareas específicas, en contraposición a los
componentes físicos del sistema, llamados hardware.
Servidores: una aplicación informática o programa que realiza algunas tareas en
beneficio de otras aplicaciones llamadas clientes. Algunos servicios habituales son los
servicios de archivos, que permiten a los usuarios almacenar y acceder a los archivos
de una computadora y los servicios de aplicaciones, que realizan tareas en beneficio
directo del usuario final. Este es el significado original del término. Es posible que un
ordenador cumpla simultáneamente las funciones de cliente y de servidor.
S.O. (Sistema Operativo): un Sistema operativo (SO) es un software que actúa de
interfaz entre los dispositivos de hardware y los programas de usuario o el usuario
mismo para utilizar un computador. Es responsable de gestionar, coordinar las
actividades y llevar a cabo el intercambio de los recursos y actúa como intermediario
para las aplicaciones que se ejecutan.
Servidor espejo: con ese nombre se conoce a un procedimiento de protección de
datos y de acceso a los mismos en los equipos informáticos. Este sistema se
implementa en la tecnología de RAID 1.
Consiste en la idea básica de tener dos discos duros conectados. Uno es el principal y
en el segundo se guarda la copia exacta del principal, almacenando cualquier cambio
que se haga en tiempo real en las particiones, directorios, etc., creando imágenes
exactas, etc.
Telecomunicaciones: es una técnica consistente en transmitir un mensaje desde un
punto a otro, normalmente con el atributo típico adicional de ser bidireccional. El
término telecomunicación cubre todas las formas de comunicación a distancia,
incluyendo radio, telegrafía, televisión, telefonía, transmisión de datos e interconexión
de computadoras a nivel de enlace.
4. REFERENCIA NORMATIVAS
Resolución 305 de 2008: Por la cual se expiden políticas públicas para las entidades,
organismos y órganos de control del Distrito Capital, en materia de Tecnologías de la
Información y Comunicaciones respecto a la planeación, seguridad, democratización,
calidad, racionalización del gasto, conectividad, infraestructura de Datos Espaciales
y Software Libre.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 8 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
CAPÌTULO 1
ANÁLISIS DE LA SITUACIÓN ACTUAL DE LOS SISTEMAS DE INFORMACIÓN
1.1 PRESENTACIÓN
El Plan de Contingencia de Sistemas de Información implica un análisis de los posibles
riesgos a cuales pueden estar expuestos nuestros equipos de cómputo y sistemas de
información en el IDEP. Corresponde a la Oficina Asesora de Planeación y al equipo
de operaciones tecnológicas aplicar medidas de seguridad para proteger y estar
preparados para afrontar contingencias y desastres de diversos tipos.
El Plan de Contingencia de los Sistemas de Información del IDEP está orientado a
establecer un adecuado sistema de seguridad lógica en previsión de desastres, para
establecer medidas destinadas a salvaguardar la información contra los daños
producidos por hechos naturales, técnicos, organizacionales, proveedores, soporte,
falla de hardware, errores humanos, entre otros.
La información como uno de los activos más importantes del Instituto, es el
fundamento más importante de este Plan.
1.2 PREMISAS DE PARTIDA
Es necesario precisar y delimitar una seria de supuestos sobre los cuales basar todas
las actualizaciones en las que se fundamenta el plan, dependiendo del
comportamiento de los factores se analizarán si son aplicables o no; también cabe
mencionar los supuestos para que la dirección determine si los resultados son
positivos o negativos y se requiera de corregir el plan.
El Plan se ha desarrollado sobre los siguientes supuestos:
Sólo el área habitual de trabajo ha sido afectada por el incidente; todos los
lugares alternativos predesignados están intactos.
Los almacenes externos de archivos críticos de Backup e información están
intactos y accesibles.
El personal cualificado en cantidad suficiente está disponible para realizar los
trabajos de recuperación.
Las copias de seguridad y su correspondiente rotación (incluyendo papel, fichas,
películas, y soportes electrónicos) se han realizado correctamente, y se ha
corregido cualquier riesgo identificado.
El Backup de las telecomunicaciones y las estrategias de recuperación
identificadas en otros capítulos del presente plan, están completamente
realizadas y comprobadas.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 9 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Las estrategias de recursos y soluciones de recuperación (por ejemplo:
soluciones de reposición de estaciones de trabajo) están disponibles, realizadas
y comprobadas satisfactoriamente.
Las organizaciones externas como proveedores y organismos públicos,
cooperarán razonablemente durante el periodo de los trabajos de recuperación.
Se han realizado adecuadamente los programas de pruebas del Plan y las
modificaciones pertinentes como consecuencia de su resultado.
La revisión del Plan, mantenimiento, y actualizaciones están realizadas con
periodicidad para asegurar que responde a las necesidades de cada momento.
1.3 FUNCIONES DE LA DIRECCIÓN
Las funciones de la Dirección del IDEP se limitan a la revisión y aprobación de
cualquier acción que exceda de las estrategias de respuesta y recuperación
planificadas y previamente aprobadas.
Solo en los casos en que el incidente haya sobrepasado las previsiones se precisa la
intervención directa de la Dirección.
En esos casos, el responsable de reportar los incidentes debe preparar informes para
la Dirección para ayudar a la gestión de cada día y a la toma de decisiones acerca de
cuestiones no previstas en el plan.
1.3.1. Informe a Dirección
En el supuesto de suceder cualquier incidente, la persona encargada de reportar, una
vez atendidas las decisiones más urgentes descritas en el Plan de Contingencia,
emitirá un informe a la Dirección con el siguiente contenido:
1. Estado de las actividades de respuesta a la emergencia:
Evaluación de los daños a los sistemas de información.
Respuesta de los organismos públicos.
2. Descripción del incidente:
¿Qué ocurrió?.
Localización del suceso.
Hora del suceso.
Supuesta causa.
3. Informe de daños a los servidores (si los hay):
Descripción del servidor.
Nombre y estado de los daños al sistema del servidor.
Daños potenciales adicionales.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 10 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
4. Áreas afectadas:
Áreas afectadas.
Estado actual.
Posibilidad de acceso a corto plazo a los sistemas de información.
Impacto en las operaciones del negocio.
5. Plan de Acción:
Localización del Centro de Control.
Situación de las comunicaciones con los sistemas de información.
¿Qué se ha hecho hasta ahora?.
Planes a corto plazo.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 11 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
CAPITULO 2
ANÁLISIS DE IMPACTO
2.1. IMPACTO Y TIEMPOS DE RECUPERACIÓN
Los impactos normalmente aumentan de forma acelerada dependiendo del tiempo que
lleve la restauración del servicio, los tiempos de respuesta se pueden organizar dentro
de los siguientes intervalos:
El mismo día (Día 0).
El día siguiente (Día 1).
Día 2.
Días 3 – 7.
Más de 7 días.
El gráfico siguiente ilustra un comportamiento típico de impacto en función del tiempo:
2.1.1. Impactos más comunes y tiempos de recuperación
Recuperación en el mismo día
Solamente unas pocas funciones de negocio requieren una respuesta o recuperación
en el mismo día. En el caso del IDEP no se considera que existan funciones críticas
que requieran una respuesta en un término inmediato, so pena de consecuencias
graves que afecten la estabilidad del Instituto.
Se debe tener en cuenta que pueden ocurrir fallos en la comunicación de la
información de un evento o desastre, trayendo como resultado reacciones negativas
graves, esto puede ser causado por situaciones tales como:
Falta de compresión por parte de los funcionarios, contratistas, practicantes y
docentes investigadores sobre los acontecimientos.
Sensación de incompetencia de la dirección percibida por usuarios externos,
funcionarios, contratistas y practicantes.
0123456789
Mismo día Día 1 Día 2 Días 3-7 > 7 Días
IMPACTO
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 12 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
1 – 2 días
Para el caso del IDEP el negocio puede sobrevivir durante un día de interrupción sin
que haya consecuencias amenazadoras para el Instituto, (por ejemplo, la interrupción
producida por un apagón). Sin embargo, después de uno o dos días, empiezan a
sentirse los impactos siguientes:
La comunicación con los diferentes usuarios (proveedores, profesores,
investigadores, representantes de diferentes entidades, entre otros), comienza
a deteriorarse sensiblemente.
Retraso de datos dentro de los sistemas de información que se encuentran en
producción del Instituto.
La comunicación y la información con las diferentes áreas que requieran de
retroalimentación de los datos, se deteriora progresivamente.
3 – 7 días
En el IDEP el impacto reportado en el marco de 3 – 7 días incluye:
Retraso de actividades financieras que se deben reportar a entidades
reguladoras Distritales.
Problemas contractuales graves (plazos incumplidos, cláusulas de
penalización, pleitos).
Información desarticulada de las áreas que requieran de continuidad (por
ejemplo, el área financiera tendrá información diferente a la de contabilidad)
Más de una semana
Es mucho menos común que exista información sobre impactos de interrupciones de
los servicios del servicio por plazos tan largos (por ejemplo, superior a una semana).
La mayor parte de las organizaciones no pueden predecir exactamente los impactos
de interrupciones gastarán todos los recursos que sean necesarios, para recuperar un
cierto nivel de servicio, dentro del plazo de una semana.
Incluso después de una recuperación con éxito de las funciones del negocio críticas,
los impactos negativos continuarán haciéndose notar las organizaciones que no
estaban preparadas:
La reconstrucción de la información, cuando es posible, es enormemente
costosa y demorada.
La pérdida permanente de información, impacta la competitividad a largo plazo
con entidades del mismo sector, (por ejemplo, pérdida de información histórica,
credibilidad de la entidad, entre otras).
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 13 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
La desmotivación y altas tasas de rotación del personal son frecuentes
después de que ocurra una interrupción demasiado prolongada.
2.2. RESUMEN PARA LA DIRECCIÓN
En el momento de realizar un análisis de impacto formal para el IDEP, si bien habrá de
ser realizado de forma exhaustiva, es favorable preparar un resumen para la dirección
general, anotando los elementos básicos del análisis, tanto desde el punto de vista del
planteamiento, como de sus resultados, conclusiones y propuestas a la dirección.
2.2.1. Objetivos del análisis
El objetivo del Análisis de Impacto es proporcionar a la dirección general del Instituto la
información necesaria para que pueda tomar decisiones en el desarrollo de su
estrategia de recuperación.
Para ello, el Análisis de Impacto debe establecer el grado de criticidad de dichas
funciones en la razón de ser del IDEP y el tiempo máximo a partir del cual la
interrupción de cada una de ellas es inaceptable.
Los objetivos básicos son:
Definir los tipos de impacto que se deberían considerar, (económico,
operacional, de cumplimiento, etc.).
Identificar las funciones críticas del IDEP.
Identificar el impacto causado al Instituto por la interrupción de cada una de
ellas.
Informar a la Dirección General de los resultados anteriores para que pueda
fijar prioridades, definiendo cuáles son las funciones consideradas prioritarias y
establecer los umbrales máximos de recuperación para cada una de dichas
funciones.
Posibilitar la identificación de los recursos mínimos necesarios para una
recuperación satisfactoria de las funciones definidas como críticas y justificar
su adquisición.
2.2.2. Alcance del Análisis
El análisis de Impacto realizado se refiere exclusivamente a los efectos, tanto tangibles
como intangibles, que podrían causar entorpecimiento de las siguientes funciones
consideradas críticas por la dirección y subdirecciones del Instituto:
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 14 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
DIRECCION GENERAL
Celebrar los contratos, acuerdos y convenios que se requieran para los
cumplimientos de las funciones del Instituto.
SUBDIRECCIÓN ADMINISTRATIVA FINANCIERA Y DE CONTROL DISCIPLINARIO
Programar, dirigir, controlar y evaluar todas las actividades financieras y
administrativas del Instituto
Asegurar la funcionalidad de las actividades para la ejecución eficaz del
presupuesto del Instituto.
Informes consolidados que se soliciten dentro o fuera de la Institución.
TESORERÍA
Administrar y manejar el portafolio de inversiones de la entidad y garantizar que
los procesos relacionados con los ingresos de capital y pagos a cargo de la
entidad, cumplan a cabalidad con la normatividad vigente.
Elaborar los comprobantes de egreso para los correspondientes pagos.
Registrar los ingresos propios y las transferencias en los libros auxiliares de
caja y bancos.
Realizar todos los procedimientos de causación órdenes de pago,
programación anual mensualizada de caja PAC, pagos generales con orígenes
presupuestal y sin orígenes presupuestales.
PRESUPUESTO
Formular, organizar, coordinar, ejecutar, evaluar y controlar el manejo integral
de los recursos administrativos y financieros y el desarrollo de las actividades
presupuestales requeridas para su funcionamiento, dentro de una política de
mejoramiento continuo y calidad total.
Elaborar y mantener procedimientos que faciliten la gestión presupuestal.
El manejo de la programación presupuestal con sus actividades necesarias,
continúa con la modificación, ejecución y por último el cierre que debe
realizarse al final de cada año.
CONTABILIDAD
Administrar, coordinar, ejecutar y controlar el manejo integral de los recursos
financieros para el desarrollo de las actividades contables y presupuestales
requeridas para el funcionamiento de la institución.
Colaborar con el contador en la causación de las órdenes de pago.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 15 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Los archivos físicos y electrónicos se mantienen actualizados y ordenados para
el soporte de informes y auditorías.
TALENTO HUMANO
Realiza la interventoría a los contratos que le asignan, de acuerdo con los
términos de referencia y las políticas impartidas por las Directivas.
Ejercer control sobre el sistemas integrado de información.
SERVICIOS GENERALES
Manejar la caja menor de acuerdo con las normas establecidas, cuando así lo
requiera la Dirección General.
Realiza la interventoría a los contratos que le asignan, de acuerdo con los
términos de referencia y las políticas impartidas por las Directivas.
Rendir la cuenta semestral correspondiente al movimiento del almacén, ante
las autoridades competentes.
Presentar informes periódicos sobre el control de consumos y rotación de
inventarios y presentar a Contabilidad el informe mensual de Almacén.
Administrar el Sistema Integrado del aplicativo SIAFI correspondiente al área
del Almacén.
El inventario y los libros reglamentarios se llevan en los módulos de almacén y
compras del sistema de información integrado SIAFI, de acuerdo con las
normas vigentes.
CONTROL INTERNO
Verificar los procesos relacionados con el manejo de los recursos, bienes y los
sistemas de información de la entidad y recomendar los correctivos que sean
necesarios.
Elaboración, ejecución y seguimiento del Plan de Acción de área.
OFICINA ASESORA JURÍDICA
Elaborar o revisar y aprobar los contratos con formalidades plenas,
contratación de mínima cuantía, convenio, resoluciones y demás actos
administrativos que deban suscribir la Dirección General u otras instancias del
Instituto autorizadas para ellos o dependencias de la Administración del Distrito
Capital, previa solicitud de la Dirección General o del área que así lo requiera.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 16 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
OFICINA ASESORA DE PLANEACIÓN
Coordinar con las áreas de la Subdirección Académica la elaboración del
anteproyecto de inversión.
Elaborar los reportes de seguimiento a la ejecución a la ejecución física y
financiera solicitados periódicamente por el Departamento Administrativo de
Planeación Distrital.
Coordinar con el área de Presupuesto las modificaciones presupuestales de
inversión que sean necesarias para el normal funcionamiento de la entidad.
Realizar estudios sobre aspectos financieros y de costos de los planes y
proyectos del Instituto.
SISTEMAS. Apoyar, administrar, controlar y evaluar el desarrollo de los
procesos y procedimientos que requiera la entidad en el área de sistemas de
información.
SUBDIRECCIÓN ACADÉMICA
SEGUIMIENTO Y EVALUACIÓN A LA POLÍTICA EDUCATIVA
Elaborar los proyectos de términos de referencia de las investigaciones que
deba realizar el Instituto en forma directa o mediante contratación.
Efectuar la interventoría a los contratos de investigación que realice el Instituto,
de acuerdo con los términos de referencia o mediante contratación.
Realiza la interventoría a los contratos que le asignan, de acuerdo con los
términos de referencia y las políticas impartidas por las Directivas
COMUNICACIÓN, DIVULGACIÓN Y SOCIALIZACIÓN
Efectuar la interventoría que se le solicite, sobre los contratos que tengan por
objeto la divulgación y comunicación de las actividades del IDEP.
Desarrolla medios institucionales de comunicación para la mejor interacción de
la organización internamente y con el entorno.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 17 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
CAPITULO 3
ESTRATEGIA DE CONTINGENCIA
Para que exista la continuidad del negocio en el IDEP, deben tener presente todas las
posibles alternativas reales, en costo y geográficamente.
Para el Instituto aplican:
3.1. EMPRESAS DE SERVICIO
Las empresas de servicios pueden ofrecer una copia de seguridad pasajera muy
ventajosa, es similar a usar el centro de cómputo del proveedor que está colaborando.
Para aplicar este tipo de alternativas se debe tener presente la capacidad suficiente de
hardware incluyendo la compatibilidad. Adicionalmente, no se puede dejar a un lado
todas las características lógicas, de espacio y hardware de la empresa que está
prestando el servicio.
Cualquiera que sea el caso, se debe tener en cuenta el tiempo contratado y en lo
posible el máximo estipulado en el contrato.
También deben tener presente las condiciones de uso de ocurrencia por otros clientes
que tenga la empresa prestadora del servicio, de la existencia de respaldo del centro
alternativo al centro principal en caso de presentarse una falla.
Por último la evaluación de los costos y la revisión de los servicios adquiridos, con el
fin de revisar que no sea otro tipo de contrato.
3.2. COMUNICACIONES ALTERNATIVAS
Determinado la magnitud del incidente, se puede optar por un centro alternativo
remoto. Al momento de los usuarios requieran acceder, lo pueden realizar en cualquier
punto interno o externo del Instituto. Para esto requiere de una red de comunicaciones
que tenga este servicio de conexión.
3.3. PROCEDIMIENTO DE BACKUP O COPIA DE SEGURIDAD
El área que se encarga del proceso de las copias de seguridad tanto de los
computadores y servidores que se encuentran en producción del IDEP, realiza esta
actividad con el único objetivo de respaldo en caso de presentarse una emergencia;
esto incluye las bases de datos de cada uno de los sistemas existentes y la
información que tiene cada funcionario del Instituto.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 18 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Para una protección más tangible, estas se deben almacenar en un lugar fuera del
centro de cómputo en condiciones ambientales que permita la seguridad de la
información. Para tener un registro del Backup, se tiene los formatos aprobados.
3.4. CENTRO DE ALMACENAMIENTO EXTERNO
Una medida que se debe tener en cuenta es un armario ignífugo en un sótano, cuarto
alejado o sitio en donde no es admisible todo el público. Como primera medida, este
armario solamente protege contra el incendio y aún así, durante un tiempo limitado
(aproximadamente unos 120 minutos). Pasado este tiempo ya se empieza a notar el
deterioro de componentes plásticos.
Aún teniendo presente este medio de seguridad para el almacenamiento de la
información de las copias de seguridad, es necesario acudir a otras alternativas.
3.4.1. Solución propia
Es la solución más accesible e inmediata, sin embargo, no suelen mantener las
condiciones de seguridad mínimas exigibles, sobre todo por la dejadez y costes. Es
una solución costosa, si se quiere realizar con un mínimo de garantía, debido a la
necesidad de ocupación de un espacio dedicado y acondicionado, por la logística de
traslado y sobre todo tener personal dedicado a la gestión del almacenamiento
externo. Si se sumasen estos costos internos, se vería que una solución cara.
A parte de todos estos inconvenientes, está el más grave, la dejadez. El realizarlo uno
mismo hace relajarse en los respaldos, en los envíos, y en sobre todo en el control de
la información almacenada, con lo que se crean archivos estáticos, y lo que es más
grave, muchas veces no se sabe si la información salvada y almacenada se encuentra
completa. Si se plantea realizar este servicio de una forma interna a continuación se
recomienda una serie de consejos para tener una cámara de almacenamiento en
condiciones.
Accesibilidad: Las 24 horas del día, 365 días del año.
Resistencia al fuego: La resistencia al fuego de los muros, paredes, o paneles
exteriores de la cámara de seguridad, debe ser de 120 minutos (RF-120) cómo
mínimo.
Temperatura contralada: Aunque la temperatura en la cual los soportes magnéticos
empezaría a sufrir consecuencias irreparables es de aproximadamente 55 grados, por
degradación y mantenimiento se hace necesario mantener la temperatura de 20
grados.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 19 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Ello obliga a sistemas de acondicionamiento de aire redundantes, con toma de aire
fresco externo, con energía eléctrica alternativa y dotados de sensores de alarma y de
activación de acciones de emergencia, por ejemplo llamadas telefónicas automáticas a
personas del servicio de mantenimiento.
Humedad controlada: Los soportes magnéticos se deterioran a partir de una
humedad relativa del aire superior al 85%, pero para un mantenimiento continuo se
recomienda una humedad relativa del 50%. Ello obliga a un control de humedad por el
sistema acondicionamiento de aire descrito anteriormente, dotado también de
sensores y activación de alarma.
Resistentica al aplastamiento: La cámara debe ser capaz de aguantar el derrumbe
de las estructuras superiores, con lo cual su construcción resulta cara y compleja.
Hermeticidad ante gases: Si la zona que la rodea, emite gases corrosivos en caso de
incendio, la cámara debe contar con estanqueidad ante la penetración de dichos
gases, es decir, sus ventanas y puertas deben ser CORTAFUEGOS y no
PARALLAMAS, que es lo que habitualmente se monta.
Una puerta cortafuegos se diferencia de una parallamas es que la primera impide el
paso de gases y la segunda no, aún siendo las dos resistentes al fuego. Esto se
consigue normalmente con el sellado de ventanas y cierres a base de siliconas
intumescentes, es decir, que se hinchan en caso de fuego, sellando todos los escapes.
Hermeticidad ante agua: En el caso de actuación de los bomberos en la zona
circundante, de rotura de cañerías, desagües, inundación externa, etc., la cámara
debe tener propios desagües y la puerta debe elevada con una rampa de acceso.
Medidas de seguridad adicionales
Sistema de detección
Deben existir detectores de humo iónicos, no son necesario detectores de calor
y humedad si ha sido instalado un sistema de control de temperatura y de
humedad.
Sistema de extinción
Debe existir un sistema de extinción no de agua, con detección y disparo
autónomo.
Cierre rápido: En el caso de que se produjera un desastre súbito mientras se
está en la cámara, es normal salir corriendo dejando la puerta abierta.
La puerta debe tener cierre automático inbloqueable y, eso sí, contar con
medidas de emergencia para que no se quede atrapada ninguna persona
dentro; por ejemplo, con una puerta pequeña de escape, telefónico interior e
iluminación de emergencia.
Protección contra el robo. La puerta, cerradura, etc., deben ser resistentes a la
agresión.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 20 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
CAPITULO 4.
EQUIPOS DE RECUPERACIÓN
Los equipos de recuperación son grupos de personas que se encargan de una serie
de actividades para conseguir un proceso de recuperación efectivo. Cada equipo
puede constar de una sola persona, y una persona puede pertenecer a más un
equipo, dependiendo de las circunstancias.
Como es de importancia, el Comité de Sistemas, Informática y de Seguridad de la
Información deberá coordinar la conformación de tales equipos y quedar registrado
mediante acta, para dejar evidencia de la aplicación del presente documento.
Esta elección será de libre nombramiento con el nivel de personal necesario para su
ejecución, teniendo presente la información necesaria que será ubicada en los cuadros
correspondiente a cada grupo.
Por último, se deberá entrenar constantemente a cada miembro de los equipos ya que
al momento de presentarse una emergencia de nivel grave, puedan entrar a liderar y
mantener la calma de los empleados públicos y continuar con las labores diarias.
4.1. COMPOSICIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS
Este equipo será responsable de la rápida y efectiva reimplementación de las
instalaciones informáticas después del desastre. Cuando se pide el servicio de
recuperación, el suministrador de los servicios de respaldo pondrá a disposición del
usuario un técnico auxiliar que será capaz de responder a la petición de servicio.
Las funciones básicas serán:
Instalación de la solución de recuperación.
Aviso a la empresa de respaldo o soluciones propias.
Petición de las copias de seguridad adecuadas de programas y datos.
Prueba de la máquina de respaldo o servidores en producción.
Restauración de las comunicaciones locales.
Restauración de las comunicaciones remotas.
Obtención de soportes magnéticos nuevos para Backup, material preimpreso y
suministros.
Recuperación de las copias de seguridad del sistema operativo, programas y
datos.
Restauración del sistema operativo, software de aplicaciones y datos.
Realizar las pruebas de comprobación de la calidad de las aplicaciones
restauradas.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 21 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
4.2. FUNCIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS
Cada actividad de este plan está identificada por un número de suceso. Durante una
crisis, el equipo recibirá una lista de acciones a realizar y reportar al coordinador del
proceso de respuesta y continuidad de las operaciones del Instituto.
Las funciones que se relacionan a continuación son las básicas que se deben cumplir
al momento de presentarse una emergencia:
FUNCIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS
Ref. Descripción de la función
4.2.1 Restaurar las comunicaciones locales
4.2.2 Obtener soportes digitales nuevos
4.2.3 Dar instrucciones, cuando proceda, a la empresa proveedora del servicio de
Backup para desencadenar los procedimientos correspondientes.
4.2.4
Si se trata de reposición de máquinas, decidir el lugar adecuado para su
instalación. Si es el traslado a un centro fijo, comunicarlo al suministrador del
servicio para realizar el traslado en el tiempo acordado
4.2.5 Probar máquinas de respaldo
4.2.6 Comprobar si hay energía disponible. De no ser así, poner en marcha el
sistema de alimentación alternativo
4.2.7 Recuperar las copias de seguridad si están custodiadas en un almacenamiento
externo a la sala de sistemas
4.2.8 Instalar y configurar el sistema operativo en la máquina de respaldo
4.2.9 Restaurar las aplicaciones y datos en la máquina de respaldo
4.2.10 Probar y verificar las aplicaciones
4.2.11 Determinar cuántas estaciones de trabajo es necesario sustituir
4.2.12 Implementar nuevos procedimientos de registro y procedimientos de Backup de
emergencia
4.2.13 Identificar las necesidades de soportes y suministros de Backup.
4.2.14 Si está dañada la línea telefónica, prever el uso de teléfonos móviles y la
sustitución de la línea telefónica
4.2.15 Restaurar las comunicaciones de la red de datos
4.2.16 Coordinar el arranque de los sistemas y mantener informados del progreso a
los usuarios
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 22 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
CAPITULO 5.
PLAN DE ACCIÓN
El aspecto más importante de la continuidad del negocio es la inmediata notificación al
responsable apropiado de cualquier suceso que pueda causar una interrupción en las
operaciones informáticas, con independencia de su dimensión. El enemigo más
grande de combatir es el tiempo, por ello, las acciones a realizar deben estar
perfectamente definidas así como los responsables de llevarlas a cabo y el momento
de realizarlas.
Cualquiera que sea el inconveniente presentado, se le debe dar aviso al coordinador
de las acciones de respuesta o contingencia o al que haga sus veces.
Al momento de recibir la notificación de un incidente, el coordinador del Plan tomará
acción según se especifica en la lista de actividades del la gestión del mismo,
poniendo en marcha los procedimientos correspondientes.
Para ser más claros en los conceptos que se manejarán, se definirán a continuación
tres grandes familias con denominación genérica.
Procedimientos de emergencia. Son actuaciones inmediatas al incidente que tratan
de proteger la integridad de la infraestructura y la información, atajar la progresión del
incidente y pararlo en la medida de lo posible, realizando la correspondiente
evaluación de daños.
Procedimientos de respuesta. Son actuaciones de cada área o servicio que tienden
a sustituir los procedimientos habituales de trabajo por otros alternativos que, aunque
no reproduzcan totalmente las funcionalidades de cada área o servicio, permiten
atender las necesidades más inmediatas y críticas de los mismos.
Procedimientos de recuperación. Normalmente referidos a actividades de los
sistemas de información, como son los procedimientos que permiten volver a utilizar
datos, aplicaciones, sistemas operativos, etc.
5.1. DEFINICIÓN DE DESASTRE Se deben observar las directrices siguientes teniendo en cuenta el nivel de gravedad
en función del periodo de la interrupción previsto. Esto se hará para establecer el nivel
de la activación del plan.
Las categorías son las siguientes:
Desastre menor.
Desastre mayor.
Desastre catastrófico.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 23 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Desastre menor
Se puede definir como desastre menor aquel que provoca una parada que no
sobrepase las cuatro horas.
Desastre mayor
Se puede definir como desastre mayor aquel que provoca una parada de más de
cuatro horas y que no sobrepase un día.
El daño aquí puede ser ligeramente mayor que en el caso anterior, por ejemplo, el
causado por inundación de la sala o apagón de los servidores por una descarga
eléctrica.
Desastre catastrófico
Cuando el sistema informático vaya a estar fuera de servicio más de un día y que no
sobrepase una semana, se puede calificar como desastre catastrófico.
La severidad del daño de un desastre catastrófico pude incluir la destrucción total del
centro informático, que puede suponer la sustitución completa de hardware, software y
una renovación significativa de la instalación.
5.2. ACTIVACIÓN DE PROCEDIMIENTOS DE EMERGENCIA
El Líder de grupo de emergencia evalúa la emergencia y determina si el plan de
contingencia debe ser activado. El plan de contingencia de los sistemas de
información debe ser activado si una o más de las siguientes condiciones son
verdaderas:
Interrupción total de las operaciones del Centro de Cómputo ubicado en la
oficina 402B del Centro Empresarial Arrecife por un periodo mayor a 4 horas.
No disponibilidad total de los Sistemas de Información soportados en el Centro
de Cómputo ubicado en la oficina 402B del Centro Empresarial Arrecife por un
periodo mayor a 4 horas, debido a daños en hardware y/o software de los
equipos servidores o pérdida de conectividad.
Otro criterio que se considere apropiado.
5.2.1. Notificación de primera alerta
Dependiendo de la naturaleza del incidente, el día, hora y ubicación, la notificación
será descrita en estos ambientes. La respuesta inicial se dará con los procedimientos
que tengan en el Instituto y las prácticas operativas estándar.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 24 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Los procedimientos siguientes muestran un flujo típico de las notificaciones y acciones
iniciales del aviso de emergencia.
Al momento de ser avisado o ser testigo del incidente, los pasos a seguir son los
siguientes:
Dar aviso de lo sucedido a la persona encargada de sistemas, por vía escrita.
Esto debe contener lo siguiente:
o Nombre completo;
o Descripción del incidente;
o Informe preliminar de los daños presentados;
o Información acerca de cualquier intento de notificación anterior;
o Número de teléfono, correo o cualquier medio en donde pueda ser
ubicado.
Al momento de realizar el paso anterior, la persona encargada de sistemas
deberá avisar al jefe del equipo de Gestión de Incidentes o quien haga las
veces.
El jefe del equipo de Gestión de Incidentes decidirá las acciones a tomar,
pudiendo convocar al resto de los miembros del equipo para poner en marcha
el Plan de Contingencia o permanecer en alerta hasta nueva orden.
5.2.2. Escalado de problemas
Un aspecto crítico en la recuperación de desastres es la inmediata notificación al
personal apropiado, para que las operaciones de detención de la emergencia, o el
activado del Plan de Acción, sean iniciadas lo antes posible.
Los objetivos de esta actividad son:
Determinar QUIÉN debe ejecutar la acción.
Determinar el TIEMPO MÁXIMO permitido para la ejecución de la acción.
En caso de no tener éxito en la acción, determinar QUIÉN debe ser avisado a
continuación para hacerse cargo del problema y de su resolución.
Si el tiempo pasa y las acciones de resolución del problema no tienen éxito,
determinar en qué nivel de gravedad se encuentra la organización, por medio
de un sistema de graduación de alertas.
Resumiendo, el procedimiento de Escalado del Problema pretende evitar que una
emergencia menor pueda llegar a convertirse en un desastre:
Tardando demasiado tiempo en solucionarla.
No informando a niveles superiores, para que aporten su experiencia,
autoridad, o medios extraordinarios, en la solución.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 25 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
RESPONSABILIDAD
Una emergencia debe ser tratada en su origen por:
Personal designado para ello en el Plan de Acción.
Personal no designado pero entrenado, o informado de los procedimientos de
notificación.
Si no hay nadie de los anteriores, cualquier persona que se encuentre con el
problema.
ACCIONES A EJECUTAR
Esta persona deberá:
Detenerlo y solucionarlo si es su responsabilidad.
Si no es su responsabilidad, intentar detenerlo si lo cree posible y no puede
causar daños mayores o correr riesgos innecesarios.
Informar A LA MAYOR BREVEDAD, al personal implicado en el Plan de
Acción, y si no lo conoce, a sus superiores o al departamento que le
corresponda.
TIEMPO
En la detección del problema y activación de medidas resolutorias son piezas
fundamentales:
El conocimiento y entrenamiento en las acciones a realizar.
El tiempo MÁXIMO a invertir en ellas.
En las guías de escalado que se acompañan, se ha asignado un tiempo
máximo de realización para cada tarea. Este tiempo, deberá ser objeto de
revisión continua a lo largo de la vida del Plan de Acción y se modificará como
consecuencia del entrenamiento, de las pruebas y de la inclusión / supresión /
modificación de acciones.
NOTIFICACIÓN
Uno de los aspectos peor resueltos de los planes de contingencia, está referido a la
notificación:
A QUÍEN notificar. (Superior, coordinador del Plan de Acción).
CUÁNDO notificar. (Al momento de presentarse la situación con denotación de
emergencia).
CÓMO notificar. (De manera escrita u oral).
DÓNDE y CÚANDO celebrar la primera reunión. (En la oficina de la Dirección
General).
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 26 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
En las guías de escalado del problema de esta sección, quedan especificados los dos
primeros puntos. En cuanto a la mecánica de notificación, se seguirá en principio la
forma general, esto es:
Se avisará al jefe del equipo de Recuperación. Si no es posible localizarle, se
avisará a su suplente.
El jefe del equipo avisará a los miembros de su equipo.
En ambos casos se utilizarán los teléfonos de localización en caso de
emergencia. Esta lista obrará en poder del jefe a cargo y del responsable del
plan.
En la notificación se indicará:
Tipo de desastre ocurrido.
Daños que se estiman de forma muy general.
Lugar previsto para la reunión de equipos afectados.
Hora límite de comienzo de la reunión.
A partir de aquí se pondrán en funcionamiento los procedimientos de respuesta y
recuperación de cada equipo.
Guía de escalado de problema
A las __.__ horas, del __.__.__ se ha producido una interrupción de las operaciones
Paso Acción a realizar Minutos
permitidos Resultado
Tiempo
acumulado
1
El responsable de la
operación, Dr.
______________ se
hace cargo del problema.
Si el problema está resuelto
ir al paso 'Final de
Emergencia'
Si no lo está, se avisará al
Jefe que siga en el conducto
regular
2
El Jefe, Dr. _________
se hace cargo del
problema
Si el problema queda
resuelto, ir al paso 'Final de
Emergencia'
Si no lo está, se avisará al
Jefe que continúe con el
conducto regular
3
El Jefe de Explotación,
Dr. _____ se hace cargo
del problema.
Si el problema queda
resuelto, ir al paso 'Final de
Emergencia'
Si no lo está, informará de
ello al Jefe del Equipo de
Gestión de Incidentes. La
organización se encuentra en
Alerta 1
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 27 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
4
El Jefe del Equipo de
Gestión de Incidentes
convocará a los
miembros del equipo
para celebrar la reunión
de activación del Plan
El Plan queda activado y los
equipos de recuperación
entran en acción
Este formato es una propuesta para el momento de presentarse una emergencia que
justifique su uso.
A partir de aquí, y dependiendo de las funciones de cada equipo, se establecerá
igualmente una lista de chequeo de actividades y tiempos previstos de forma que el
total de tiempos necesarios para el conjunto de actividades de todos los equipos,
hasta conseguir la continuidad de las operaciones, unido al tiempo acumulado
indicado en la tabla anterior. Se ajuste a las necesidades marcada por los umbrales de
recuperación indicados al inicio del documento.
INFORME DE EMERGENCIA
Una vez que el Plan de Contingencia haya sido puesto en práctica y se hayan
recuperado las funciones críticas, el jefe del equipo de Gestión de Incidentes elaborará
un informe con el siguiente formulario:
INFORME DE EMERGENCIA
EMERGENCIA NUMERO:
_____
DETECTADA
POR:_________
DPTO.
__________
ACCIONES REALIZADAS HORA FECHA
EMERGENCIA DETECTADA
ACCIÓN REALIZADA:
_______________________
PRIMERA ACCION TERMINADA SIN ÉXITO
JEFE DE TURNO AVISADO
JEFE DE TURNO EN EL CPD1
ACCIÓN REALIZADA:
_______________________
SEGUNDA ACCION TERMINADA SIN ÉXITO
1Referencia de internet: http://bit.ly/1OcfoB0 . Centro de proceso de datos, ubicación de los recursos necesarios
para el procesamiento de información de una organización.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 28 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
JEFE EXPLOTACION AVISADO
JEFE EXPLOTACION EN EL CPD
ACCIÓN REALIZADA:
_______________________
TERCERA ACCION TERMINADA SIN ÉXITO
RESPONSABLE DEL PLAN AVISADO
RESPONSABLE DEL PLAN EN EL CPD
ACCIÓN REALIZADA:
_______________________
CUARTA ACCION TERMINADA SIN ÉXITO
CENTRO EN ALERTA 1
ACCIÓN REALIZADA:
_______________________
LA EMERGENCIA FUE RESUELTA A LAS
5.2.3. Evaluación de daños
Se celebrará una reunión del equipo de Gestión de Incidentes para estudiar las
necesidades de evaluación, revisando:
Procedimientos de valoración.
Necesidades de información y formularios.
Revisiones de seguridad de personas e instalaciones.
Cualquier información especial relacionada con seguros.
NOTA: El acceso a las instalaciones después de un fuego, será probablemente
denegado durante un periodo de 24 horas o mayor.
Una vez sea permitido el acceso al edificio, se realizará una inspección in situ
de las áreas afectadas para evaluar el daño de:
.1. Equipos electrónicos (destrucción, recuperación a corto plazo, o
posibilidad de uso inmediato – no recuperación de contenidos).
.2. Archivos esenciales – copias impresas (archivos, manuales, discos
duros, instaladores, documentación, etc.) y datos en otros soportes
(datos en estaciones de trabajo, etc.) – para ayudar en las necesidades
más urgentes de recuperación y permitir el establecimiento de un plan
general de restauración/recuperación.
Obtener una evaluación de los daños de los siguientes elementos realizada por
los miembros del equipo de Gestión de Incidentes:
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 29 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
.1. Tiempo de reparación de los equipos electrónicos y de
telecomunicaciones (ordenadores personales, terminales, equipos de
comunicaciones);
.2. Instalaciones físicas (edificio, salas instalaciones de suministro de
energía, aire acondicionado, etc.)
Inmediatamente después de la inspección del lugar, los miembros del equipo
se ocuparán de recopilar la información siguiente:
.1. Documentación de los resultados de la evaluación de daños usando un
impreso similar al que se describe a continuación:
FORMULARIO DE EVALUACIÓN DE DAÑOS
Equipo de recuperación :
Área afectada:
Elemento Restaurable (SI/NO) Tiempo estimado de restauración
.2. Identificación de las prioridades de restauración de los elementos
dañados, informando qué registros vitales y equipos electrónicos
necesarios para las actividades de recuperación podrían ser
restaurados rápidamente, o los que tienen el mayor impacto negativo en
las operaciones de la organización.
5.3. PROCEDIMIETOS DE RESPUESTA
Los procedimientos de respuesta pueden ser activados muy rápidamente, pero
usualmente son solo medidas de emergencia y, por lo general, no son suficientes para
las operaciones del negocio a más largo plazo. Los procedimientos de respuesta están
basados típicamente en equipos y facilidades utilizadas específicamente para ese fin.
Son a menudo lo único que se requiere durante las interrupciones breves del negocio.
Los servicios informáticos y de comunicación serán responsables de la valoración de
hardware dañado, así como la reubicación de dichos equipos. Además, esta área
ayudará a las otras áreas afectadas en la recuperación de sus datos, estaciones de
trabajo y red de comunicaciones.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 30 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
1. Presentarse en la Dirección General según instrucciones recibidas durante la
alerta.
2. Participar en la reunión de activación dirigida por el equipo de Gestión de
Incidentes.
3. Conseguir todos los detalles posibles en relación a lo siguiente:
Detalles específicos relacionados con el suceso, como tipo de suceso,
lugar, duración, causa.
Espacio físico potencialmente afectado, acceso al edificio y acceso
potencial a corto plazo.
Cualquier instrucción especial.
4. Contactar inmediatamente con el equipo de proveedores para obtener apoyo
en la evaluación del daño y actividades de restauración.
5. Coordinar las siguientes actividades de evaluación del daño en las
instalaciones:
Recopilar los datos necesarios de los siguientes elementos:
Servidores.
Estaciones de trabajo.
Equipos de comunicaciones y líneas.
Impresoras
Computadores personales.
Otros equipos.
6. Coordinar con el equipo de Gestión de Incidentes, la estimación del tiempo
necesario para la reconstrucción del centro de proceso de datos.
7. Revisar posibles alternativas de trabajar en centros alternativos.
8. Coordinar los datos en el centro de almacenamiento externo, regularizando la
entrega de los datos de recuperación a las áreas afectadas.
9. Si se quiere un espacio físico alternativo para alojar un nuevo centro de
proceso de datos, asegurarse de que las necesidades particulares de la
instalación son conocidas por los responsables de su contratación. Tener en
cuenta los requisitos particulares siguientes:
Alimentación de energía eléctrica
Cableado
Aire acondicionado.
Otros.
10. Coordinar con el área Financiera, Servicios Generales, Planeación y Jurídica la
adquisición de computadores personales y servidores, además del software
adecuado, según se especifica en la lista de recursos mínimos necesarios de
cada área.
11. Pedir estimación de costos y disponibilidad de los principales proveedores
potenciales.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 31 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
12. Una vez se reciban los primeros ordenadores personales, asignar personas
que se ocupen de configurar los equipos de acuerdo con las necesidades
definidas en la lista de recursos críticos de cada equipo.
13. Coordinar el cableado de nuevo centro y los suministradores externos.
14. Ayudar a los departamentos afectados en la recuperación de sus datos
utilizando sus copias de seguridad.
15. Coordinar la retirada de los elementos recuperables con vendedores y
representantes de la compañía de seguros.
16. Restablecer el acceso a la red de datos.
17. Contactar inmediatamente con el proveedor de telecomunicaciones para
obtener soporte presencial en el sitio para la evaluación de los daños y
actividades de recuperación.
18. Coordinar las actividades de evaluación de daños con Servicios Generales
para evaluar la extensión del daño a telecomunicaciones de voz y datos:
Sistemas y periféricos de la sala de sistemas.
Instalaciones de entrada de cables.
Cableado del edificio y armarios de telefonía.
Posibilidades de re-direccionamiento.
Equipos y líneas de comunicación de datos.
Coordinación en estimación del marco de tiempo para la reconstrucción de
las comunicaciones normales.
19. Coordinar actividades de soporte para la recuperación de voz y datos.
20. Revisar el listado de recursos mínimos necesarios a las áreas afectadas para
obtener las necesidades inmediatas de telecomunicaciones de las unidades
operativas que inician actividades inmediatas de recuperación.
21. Coordinar con el área de Servicios Generales la adquisición de teléfonos.
22. Pedir al proveedor de telecomunicaciones que re-direccione las líneas
telefónicas y conexiones de internet de la organización al lugar donde estén
ubicados.
23. Recuperar los circuitos de datos.
24. Cableado necesario para la recuperación de las comunicaciones del IDEP.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 32 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
CAPITULO 6.
PRUEBAS Y ACTUALIZACIÓN
6.1. PRUEBAS Y ENTRENAMIENTO DEL PLAN
El programa de pruebas y entrenamiento debe constar, como mínimo, de tres
elementos:
Revisiones periódicas.
Ejercicios de entrenamiento.
Pruebas técnicas.
Es aconsejable establecer una programación anual de estos tres ejercicios para
asegurar su ejecución.
Después de cada revisión o ejercicio, los diversos componentes del plan deben ser
actualizados, si procede, con las experiencias obtenidas de los mismos.
6.1.1. Revisiones periódicas
Las revisiones deben comprobar los siguientes puntos:
¿Siguen siendo válidas las premisas de partida sobre las que se construyó el
plan?
¿Se han transformado en críticas, funciones de negocio que antes no lo eran?
¿Están todavía disponibles los recursos de recuperación, incluyendo las copias
de seguridad actualizadas en el almacenamiento externo?
¿Son todavía apropiados, en cantidades y umbrales de recuperación, los
recursos críticos que se han definido?
¿Ha habido algún cambio en la criticidad de alguna información, que ahora la
haga esencial para la recuperación?
¿Son todavía apropiados los umbrales de recuperación de las funciones de
negocio identificadas como críticas?
6.1.2. Pruebas técnicas
Una buena parte del funcionamiento del plan se basa en el buen funcionamiento de la
tecnología. Algunos elementos del plan requieren pruebas reales para asegurarse que
todo funcionará según lo previsto. Se recomienda una prueba anual de determinados
elementos tecnológicos y logísticos del plan. Estas recomendaciones están basadas
en la experiencia de muchos ejercicios de recuperación y en dificultades surgidas,
tanto en pruebas como en casos reales de recuperación.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 33 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Restaurar todos los servicios de copias de seguridad de computadores y red de
datos.
Comprobar la idoneidad de las copias de seguridad de bases de datos,
aplicaciones, instaladores de los aplicativos en producción, archivos en
general, existentes en el almacenamiento externo y su posibilidad de lectura.
Igualmente con toda la información almacenada en otros soportes.
Verificar la disponibilidad de los proveedores de recursos críticos.
Recuperar los elementos custodiados en el almacenamiento externo utilizando
la logística descrita en el plan.
Efectuar algunas transacciones y procesos reales utilizando los recursos y
registros identificados en el plan.
6.2. MANTENIMIENTO DEL PLAN
El Plan de Contingencia debe estar al día si queremos que sea útil en el momento de
la recuperación. El equipo de Gestión de Incidentes tiene como responsabilidad
primaria el mantener el plan actualizado. Además, deben ser consideradas algunas
cuestiones aparte de los planes de recuperación individuales. Revise estas cuestiones
para asegurar que se han establecido los procedimientos adecuados, tanto dentro
como fuera del plan.
Cuando sea necesario realizar cambios, se enviará copia de los cambios requeridos a
la persona a cargo del Plan de Contingencia para su revisión. La persona responsable
debe:
Revisar los cambios propuestos y verificar que se ha recibido la
correspondiente aprobación de la Dirección General para el cambio propuesto.
Si el cambio es de naturaleza técnica, refleja un cambio en la logística de
recuperación de negocio, o afecta a diferentes equipos de recuperación, el
responsable del plan debe enviar las revisiones propuestas a todos los equipos
afectados para su conocimiento y aprobación, si tal aprobación es necesaria.
Distribuir las copias necesarias del plan a los miembros del equipo de Gestión
de Incidentes.
6.2.1. Actualizaciones
El responsable del plan deberá:
Mantener una copia actualizada de su Plan de Contingencia en su casa y en la
oficina.
Asegurar que todos los miembros del equipo y el personal alternativo tienen
una copia actualizada de este Plan en su casa.
Asegurarse que todo el personal del equipo de recuperación considera las
actividades de recuperación como una parte de sus actividades diarias.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 34 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Asegurarse que las actividades de copias de seguridad y almacenado de los
registros vitales, incluyendo los correspondientes a PCs, están siendo
ejecutadas.
Mantener al día el Plan de Contingencia, incluyendo todos los procedimientos,
listado y registros del equipo actualizados. Actualizar este plan en cualquiera
de las siguientes circunstancias:
o Cambios en el personal del área incluido en el informe de composición
del equipo.
o Cambios significativos en las necesidades de la recuperación del
negocio, que supongan cambios en cualquier umbral de recuperación o
en los informes de recursos críticos.
o Cambios significativos en los procedimientos de la recuperación del
negocio, como la incorporación de nuevas características del negocio o
cambios en el instituto.
Participar en el Programa de Pruebas del Plan de Contingencia.
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 35 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
CAPITULO 7.
LISTA DE DISTRIBUCIÓN
El Plan de Contingencia debe ser distribuido al personal que deba participar en
cualquier fase del proceso de recuperación o deba estar informado del mismo. Nadie
ajeno a la organización debe poder leer, revisar, copiar o verificar el plan, sin previa
autorización escrita.
Del plan se harán, por tanto, tantas copias como sea necesario, pero éstas deben
estar numeradas y relacionadas en una lista que figurará como un capítulo más del
plan, siguiendo un modelo similar al siguiente:
EJEMPLAR No. Asignado a Cargo
PLAN DE CONTINGENCIA TECNOLÓGICA IDEP
Código: PL-GT-12-02
Versión: 4
Fecha Aprobación: 27/07/2015
Página 36 de 36
Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
BIBLIOGRAFÍA
Gaspar Martínez Juan, 2006. EL PLAN DE CONTINUIDAD DE NEGOCIO,
Guía práctica para su elaboración. Editorial Díaz de Santos.2
Internet
http://www.alegsa.com.ar
http://www.google.com
2 Nota aclaratoria: el presente documento fue desarrollado y en algunas secciones transcrito del libro original en
donde se aplicó y enfocó al IDEP. Resalto el trabajo y originalidad del documento utilizado para tal fin del autor Juan Gaspar Martínez.