Plan Contingencia 15022013 Ok

PLAN DE CONTINGENCIA Y
RECUPERACIN INFORMTICA DEL

PROGRAMA DE PROVISIN DE
ALIMENTOS
Pgina 1 de 39
Informacin del Documento

Resumen:
Este documento describe las polticas y procedimientos que son parte del
Plan de Contingencia y Recuperacin de la plataforma informtica del
Audiencia:
Programa de Provisin de Alimentos.

Gestin Tecnologa Informtica
Revisiones al Documento
Elaborado por:
Revisado por:
Aprobado por:
Cargo / rea
Direccin de Desarrollo
Institucional
Direccin
de
Desarrollo
Institucional
Nombre
Firma
Rommel Insuasti
William Guerrero
Gestin Tecnolgica PPA
Pgina 2 de 39
Tabla de Contenidos
OBJETIVO GENERAL..................................................................................................................................5
OBJETIVOS ESPECFICOS............................................................................................................................5
ALCANCE..................................................................................................................................................6
METODOLOGIAS UTILIZADAS....................................................................................................................6
1.1 DESCRIPCIN DEL ENTORNO INFORMTICO.........................................................................................7
1.1.1 INFRAESTRUCTURA FSICA Y ELCTRICA.............................................................................................7
1.1.2 HARDWARE......................................................................................................................................8
1.1.3 SOFTWARE........................................................................................................................................9
SOFTWARE APLICACIN...........................................................................................................................9
SOFTWARE DE DESARROLLO...................................................................................................................10
1.1.4 TELECOMUNICACIONES...................................................................................................................10
INTERNET...............................................................................................................................................10
TELEFONA..............................................................................................................................................10
1.1.5 SERVICIO CLOUD COMPUTING / VIRTUAL DATA CENTER..................................................................10
1.1.6 PERSONAL GESTIN TECNOLOGA PPA.........................................................................................11
1.2 IDENTIFICACIN Y ANLISIS DE RIESGOS...........................................................................................11
1.2.1 ANLISIS DE RIESGO........................................................................................................................11
1.2.2 ANLISIS DE IMPACTO....................................................................................................................12
1.2.3 DETERMINACIN DE RECURSOS CRTICOS.......................................................................................12
1.2.4 ANLISIS AMENAZAS Y VULNERABILIDADES....................................................................................13
1.3 PLAN DE MITIGACIN........................................................................................................................14
1.3.1 DOCUMENTACIN..........................................................................................................................14
1.3.2 PROCESOS DE RESPALDO.................................................................................................................15
1.3.2.1 TIPO DE INFORMACIN A RESPALDAR..........................................................................................15
1.3.2.2 ESTRATEGIAS DE RESPALDO.........................................................................................................17
1.3.2.3 BITCORAS DE RESPALDO............................................................................................................18
1.3.2.4 PROCESO DE RESPALDO EXTERNO................................................................................................20
1.3.3 CENTRO DE CMPUTO ALTERNO.....................................................................................................20
1.3.3.1 TIPOS DE CENTRO DE CMPUTO ALTERNO...................................................................................20
1.3.3.2 ANLISIS CENTRO DE CMPUTO ALTERNO...................................................................................21
1.3.4 MEDIDAS PREVENTIVAS..................................................................................................................23
1.3 PLAN DE CONTENCIN.......................................................................................................................27
Pgina 3 de 39
1.3.1 PROCEDIMIENTO DE EMERGENCIA EN LA SALA DE COMPUTO.........................................................27

1.3.2 GRUPO DE ADMINISTRACIN DE EMERGENCIA GTI - PPA................................................................27
1.3.3 RBOL TELEFNICO DE EMERGENCIA..............................................................................................28
1.3.4 LDERES DE GRUPO RECUPERACIN DE DESASTRES.........................................................................28
1.3 PLAN DE RECUPERACIN....................................................................................................................28
1.3.1 PROCEDIMIENTOS PARA EL PROCESO DE RESTAURACIN...............................................................29
1.5.1.1 PROCEDIMIENTOS PARA EL PROCESO DE RESTAURACIN.............................................................29
1.3.2 PROCESAMIENTO EN EL CENTRO DE CMPUTO ALTERNO................................................................31
1.4 IMPLEMENTACIN DEL PLAN.............................................................................................................35
1.5 PLAN EXPERIMENTAL DE PRUEBAS.....................................................................................................35
1.5.1 PASOS PARA CONDUCIR LA PRUEBA................................................................................................37
1.5.2 REAS O PARTES A PROBAR............................................................................................................37
1.5.3 PROCESO GENERAL PARA PRUEBA ANUNCIADA..............................................................................38
1.5.4 PROCESO GENERAL PARA SIMULACRO............................................................................................39
Pgina 4 de 39
INTRODUCCION
La informacin es el principal patrimonio de toda Institucin, por lo que se deben aplicar medidas
de seguridad para protegerla y estar preparados para afrontar contingencias y desastres de
diversos tipos.
El Plan de Contingencias Informtico que se detalla en el presente documento, es un conjunto de
procesos, procedimientos y recursos fsicos, tcnicos y humanos que interactan ante la presencia
de un siniestro, teniendo como finalidad garantizar la continuidad de las operaciones
automatizadas para reducir su nivel de impacto en la organizacin y en el desempeo normal de
sus funciones.
El Plan de Contingencias Informtico esta desarrollado acorde con la realidad del Programa
considerando los activos y servicios informticos actualmente implementados y en produccin. El
Plan de Contingencias Informtico es un documento que se debe actualizar peridicamente o
cuando la ocurrencia de algn evento institucional as lo demande; en el caso del Programa de
Provisin de Alimentos en el futuro inmediato se pueden presentar los siguientes eventos, que
obligarn a actualizar / modificar el presente documento:
o El sistema SIGPA entre totalmente a produccin,

o Se concrete la transformacin del Programa en un Instituto y por ende, el traspaso del
mismo, del Ministerio de Inclusin Econmica y Social al Ministerio de Agricultura,
Ganadera, Acuacultura y Pesca
OBJETIVO GENERAL
Desarrollar el PLAN DE CONTINGENCIA Y RECUPERACIN INFORMTICA PARA EL
PROGRAMA DE PROVISIN DE ALIMENTOS, con el propsito de afrontar la contingencia
relacionada con el eventual cese de actividades, inoperatividad de equipos causada por razones de
fuerza mayor y la posterior restauracin total o parcial del servicio.
Objetivos Especficos.
o Proveer una opcin para mantener operativa la plataforma informtica del Programa y la
infraestructura relacionada, que permita reducir el impacto en las operaciones normales
cuando son interrumpidas o paralizadas por la presencia de eventos que afectan parcial o
totalmente las instalaciones donde se procesan sistemas / aplicaciones automatizadas y
los servicios de procesamiento de datos de la Institucin.
o Efectuar anlisis de riesgos realizando una identificacin y evaluacin del hardware y

software crtico a ser protegido.
o Realizar anlisis de vulnerabilidades y riegos que afectan a la informacin.

Pgina 5 de 39
o Desarrollar una lista con las posibles medidas de seguridad la cual permita reducir los
riegos para el Programa de Provisin de Alimentos.
o
Definir acciones y procedimientos a ejecutar en caso de fallas originadas por desastres
ALCANCE
Un Plan de Contingencias Informtico es un instrumento de gestin para el buen gobierno de las
Tecnologas de la Informacin y las Comunicaciones; dicho plan contiene las medidas tcnicas,
humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones
de una compaa. Un plan de contingencia informtico es un caso particular de plan de continuidad
del negocio aplicado al departamento de informtica o tecnologas. Otros departamentos pueden
tener planes de continuidad que persiguen el mismo objetivo desde otro punto de vista. No
obstante, dada la importancia de las tecnologas en las organizaciones modernas, el Plan de
Contingencia Informtica es el ms relevante.
Por lo antes expuesto, en los procedimientos incluidos en el Plan de Contingencia Informtico, se
contemplan las acciones a ejecutar con relacin al Hardware, Software y Comunicaciones;
centrndose exclusivamente en las operaciones del rea de Gestin Tecnologa Informtica, por lo
tanto no se detalla las acciones especficas de los unidades del negocio o una estrategia de
recuperacin global corporativa, pues la misma se debe detallar en el PLAN DE CONTINUIDAD
DEL NEGOCIO.
METODOLOGIAS UTILIZADAS
Existen metodologas para realizar anlisis de riesgos, entre las que se puede mencionar: Magerit,
Octave, Mehari; metodologas para elaborar un plan de contingencia: General, William Toigo,
Octave as como estndares internacionales sobre seguridad informtica, tales como:
o Normas ISO/IEC 27000: son estndares de seguridad publicados por la Organizacin

Internacional para la Estandarizacin (ISO) y la Comisin Electrotcnica Internacional
(IEC). La serie contiene las mejores prcticas recomendadas en Seguridad de la
Informacin para desarrollar, implementar y mantener Especificaciones para los Sistemas
de Gestin de la Seguridad de la Informacin (SGSI). la mayora de estas normas se
encuentran en preparacin.
o COBIT: Objetivos de Control para Informacin y Tecnologas Relacionadas (COBIT, en

ingls: Control Objectives for Information and related Technology) es una gua de mejores
prcticas presentado como framework, dirigida a la gestin de Tecnologa de la
Informacin (TI). Mantenido por ISACA (en ingls: Information Systems Audit and Control
Pgina 6 de 39
Association) y el IT Governance Institute (ITGI, en ingls: IT Governance Institute), tiene

una serie de recursos que pueden servir de modelo de referencia para la gestin de TI,
incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditora,
herramientas para su implementacin y principalmente, una gua de tcnicas de gestin.
o ITIL: Corresponde a las siglas en ingles Information Technology Infrastructure Library; es

un conjunto de conceptos y prcticas para la gestin de servicios de tecnologas de la
informacin, el desarrollo de tecnologas de la informacin y las operaciones relacionadas
con la misma en general. ITIL proporciona descripciones detalladas de un extenso conjunto
de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y
eficiencia en las operaciones de TI. Estos procedimientos son independientes del
proveedor y han sido desarrollados para servir como gua que abarque toda
infraestructura, desarrollo y operaciones de TI.
El presente documento se ha desarrollado considerando las metodologas, normativas antes
expuestas, adaptndolas a la realidad del Programa de Provisin de Alimentos.
1.1Descripcin del entorno informtico

1.1.1
Infraestructura fsica y elctrica
Elemento
Infraestructura
fsica
ubicacin
de
Computo
del
la
Observaciones
y La Sala de Cmputo del Programa de Provisin de Alimentos se
Sala
de encuentra ubicada en el cuarto piso el edificio MIES-IEPS, su
Programa
de infraestructura es de tipo mixto ladrillo y bloque, columnas de
Provisin de Alimentos
hormign.
Aire Acondicionado Sala de El Programa de Provisin de Alimentos dispone de un sistema de
Computo
aire acondicionado en su Sala de Cmputo.
Accesos de seguridad Sala de La Sala de Cmputo del Programa, no dispone de un sistema de
Computo
seguridad de accesos.
Sensores de Movimiento Sala La Sala de Cmputo del PPA, no dispone de de sensores de
de Computo
movimiento.
Sensores de Incendio Sala de La Sala de Cmputo del Programa de Provisin de Alimentos, no
Computo
dispone de sensores de incendio
Extintores, Sala de Computo y El Programa de Provisin de Alimentos dispone de extintores en
Oficinas
la Sala de Computo y Oficinas

Las tomas elctricas instaladas en el Programa de Provisin de
Alimentos, cumplen con los estndares de seguridad. Adems
Energa
elctrica
regulada, las
instalaciones
elctricas
se
encuentran
debidamente
Sala de Computo y Oficinas

documentadas.
Cableado estructurado, Sala de El cableado estructurado instalado en el Programa de Provisin
Pgina 7 de 39
Elemento
Observaciones
de Alimentos, cumple con los estndares 6A y se encuentra de
Computo y Oficinas
1.1.2
debidamente certificado.
Hardware
Equipos informticos de oficina

o
Desktops
o HP / Pro 6300
o HP / COMPAQ 6000 SFF
o HP / 6200 Pro MT PC ALL
o
o
HP / 6200 Pro MicroTower PC ALL
Laptops
o HP / EliteBook 8440P
o HP / EliteBook 8460p
o HP / EliteBook 8470p
o HP / PROBOOK 4310s
o HP / PROBOOK 4320s
o
Scaners
o HP / N8460
o HP / SCANJET N6350
o
Impresora Matricial
o Epson / FX 2190
o Impresoras
o Impresora Laser
HP / LaserJet P2055dn
o Impresora Matricial
EPSON /FX-2190
o Impresora Multifuncin HP / LaserJEt Pro 400 color MFP M475dw

o Impresora Multifuncin RICOCH / ATIZIOMP1600
o
Telfonos IP
o
Denwa
Yealink
Equipos de conectividad, seguridad, telefona
Pgina 8 de 39
o Equipos de conectividad
o Switch de Core: Cisco C3560-X 24 T
o Switch de Acceso: Cisco WS-C2960S-48TS-L
o
Access point
o Equipos de seguridad
o
o
UTM: Cisco SA 540 Bundle
Equipos de Telefona
o
Central Telefnica DENWA COMUNICATION
Servidores
o Server - DELL Power Edge R410

UPS
o
1.1.3
UPS Tripp Lite 20KVA
Software
Software Base
o
Windows 7 SP1
Citrix XenCenter
CLEAR OS
Windows 2003
SQLServer 2005
Apache 5.0
Linux Centos 5.5
Kernel 2.6.18-274.12.1.el5xen
httpd-2.2.3-53.el5.centos.3
freetds-0.91-1.el5.
UnixODBC-2.2.11-7.1
unixODBC-devel-2.2.11-7.1
Samba
ESET NOD 32
Software Aplicacin
o
SICOPA - Sistemas Compras PPA
o SIGPA Sistema de Gestin Programa de Provisin de Alimentos

o
Sitio WEB
Pgina 9 de 39
Software de Desarrollo
o
1.1.4
PHP 5.1
Telecomunicaciones
Internet
o Enlace Principal: E1 contratado por el Programa de Provisin de Alimentos con la

CNT
o Enlace Secundario: E1 contratado por el MIES que permite acceder al correo

electrnico provisto por esa Institucin.
Telefona
o Troncal telefnica contratada por el Programa de Provisin de Alimentos, la cual

est conectada a la central telefnica del Programa.
1.1.5
Servicio Cloud Computing / Virtual Data Center
Respondiendo al cambio de modelo de negocio, con el objetivo de garantizar la fiabilidad,

seguridad, disponibilidad de la informacin y alineados a la visin del Gobierno Nacional de
implementar un Centro de Computo para todas las entidades estatales, el Programa de Provisin
de Alimentos contrat con la Corporacin Nacional de Telecomunicaciones -CNT- el servicio de
Cloud Computing / Virtual Data Center. El servicio contratado ofrece un pool de recursos de
memoria, procesamiento y almacenamiento para desplegar servidores virtuales donde se aloja los
aplicativos del Programa de forma dinmica y con total independencia de la administracin
garantizando la informacin crtica y no crtica del PPA.
El servicio de Cloud Computing / Virtual Data Center proporciona un Canal de Gestin para las
actividades que se consideran como Gestin del Virtual Data Center, y que son: Aprovisionamiento
de maquinas virtuales, creacin de redes, conexin/desconexin de la(s) Maquina(s) Virtual(es) a
la(s) red(es) creada(s), asignacin/re asignacin de almacenamiento y/o memoria a su(s)
Maquina(s) Virtual(es); subir imgenes de instaladores, instalacin del Sistema Operativo, Acceso
a la Consola de Gestin de las Maquinas Virtuales.
La disponibilidad del servicio Virtual Data Center garantizada por la CNT es de 99.98% es decir
1.57 horas de indisponibilidad al ao o 7.88 minutos de indisponibilidad al mes.
Como parte del Servicio de Cloud Computing / Virtual Data Center, la CNT es responsable de:
o Aprovisionamiento de capacidad de Memoria (incluye virtualizacin), Procesamiento y

Almacenamiento de acuerdo a lo solicitado por el Programa de Provisin de Alimentos.
o
Garantizar el acceso a la consola de Administracin y Monitoreo del Virtual Data Center

contratado a CNT EP.
Pgina 10 de 39
1.1.6
Personal Gestin Tecnologa PPA
Para la Unidad de Gestin Tecnologa Informtica del Programa de Provisin de Alimentos

actualmente se ha implementado la siguiente estructura organizacional:
o
Gerente de Proyectos IT
Unidad de Desarrollo y Aplicaciones
Unidad de Infraestructura
Unidad de Soporte Tcnico
Las funciones y responsabilidades de cada uno de los funcionarios del rea de GTI PPA se
encuentran detalladas en el estatuto del Programa y en los contratos de cada uno de los
profesionales.
1.2
1.2.1
Identificacin y Anlisis de Riesgos

Anlisis de riesgo
Se entiende por riesgo cualquier circunstancia u ocurrencia que pudiera producir algn tipo de
efecto negativo en las operaciones, cuya presencia acarreara un retraso temporal en la
planificacin o modificara el planteamiento de las mismas.
Es imposible para una Institucin conocer todos los riesgos, enemigos potenciales y sus
motivaciones, por lo que con esta premisa a continuacin se detallan los posibles riesgos que
se pueden presentar, los cuales seran los causantes de la interrupcin de la continuidad de las
operaciones:
o
Fallos de energa elctrica regulada
Fallos del aire acondicionado
Fallos de cableado estructurado
Fallos de equipos informticos
Fallos del software del sistema
Fallos del software aplicativo
Fallos comunicaciones de datos
Accin de virus
Fallas humanas
Desastres naturales
Accesos no autorizados
Incendios
Fallos extraccin de respaldos de informacin

Pgina 11 de 39
1.2.2
Anlisis de impacto
Permite establecer el impacto potencial para el negocio, respecto a los diversos incidentes que
se podran presentar y la probabilidad de su ocurrencia. El cuadro que se presenta a
continuacin detalla la definicin de niveles de impacto en trminos de riesgo.
Definicin de Niveles de Impacto
Nivel
Impacto
Descripcin
Catastrfica
Sus consecuencias afectan en forma total al funcionamiento del
Critica
Programa, sus prdidas son sumamente altas.

Las consecuencias afectan parcialmente al funcionamiento del
Marginal
Programa, en forma grave, existen prdidas considerables.

Las consecuencias afectan en forma superficial al funcionamiento del
Despreciable
Programa, es decir se cuenta con prdidas menores.

Las consecuencias no afectan al funcionamiento del Programa y no
existen prdidas.
De acuerdo con las posibles causas que interrumpiran el normal desempeo de las
actividades en el Programa de Provisin de Alimentos se presenta los niveles de impacto,
detallados en la siguiente tabla:
Definicin de niveles de impacto de acuerdo a su categora
Categora
Accin de virus
Fallas humanas
Desastres naturales
Incendios
Fallos extraccin de respaldos de informacin
Robo
1.2.3
Nivel 1 Nivel 2 Nivel 3 Nivel 4

X
X
X
X
X
X
X
X
X
X
X
X
X
X
Determinacin de recursos crticos
Para determinar la criticidad de los recursos es necesario determinar el nivel de riesgo y su

significado, lo cual es detallado en el siguiente cuadro:
Pgina 12 de 39
Definicin de Niveles de Criticidad

Nivel
(C) Criticas
(N) Necesarias
(O) Opcionales
Significado
No admiten interrupcin por un periodo de 24 horas
Admiten interrupcin de mediana magnitud y pueden aceptar reemplazos.
Admiten una interrupcin prolongada no siendo indispensables la
recuperacin de la informacin durante el tiempo de interrupcin
Una vez definidos los niveles de criticidad, la clasificacin de la criticidad de los recursos
informticos del Programa de Provisin de Alimentos en caso de fallas de seguridad y de la
probabilidad de ocurrencia es la siguiente:
Criticidad de Recursos
Tipo
Infraestructura
Hardware
Elemento
Cableado estructurado
Clasificacin
Critico
Energa elctrica regulada

Aire acondicionado
Critico
Necesarias
Equipos informticos de oficina

Servidores
Opcional
Critico
Equipos de conectividad y seguridad

Software Base
Software
Software Aplicacin
Software de Desarrollo
Internet
Telecomunicaciones
Telefnica
Seguridad de la informacin.
Critico
Critico
Critico
Necesarias
Critico
Critico
Critico
Informacin
Respaldo de la Informacin (Backup). Critico
1.2.4
Anlisis amenazas y vulnerabilidades
Los niveles de amenaza estarn dados por la probabilidad de ocurrencia esperada de cada uno de
los incidentes detallados en la tabla anterior. La siguiente tabla muestra los niveles de amenazas y
vulnerabilidad, en donde cada elemento es calificado ubicando una X en la columna que mejor
califica la vulnerabilidad a la amenaza. La escala es de 1 hasta 10, donde 1 indica un bajo riesgo
de exposicin, a partir del valor 5 indicara la necesidad de atencin, a fin de asegurar que se
establezcan medidas preventivas, en donde sea aplicable, y adems de que el respaldo de la
informacin sea seguro.
Pgina 13 de 39
Es importante mencionar que esta evaluacin es subjetiva y su intencin es ayudar a preservar las
instalaciones, activos informticos e informacin, vitales para el normal desempeo de la
Institucin.
Anlisis amenazas y vulnerabilidades
[En escala de 1-a-10, donde 1 indica baja vulnerabilidad]

Categora
Accin de virus
Fallas humanas
Desastres naturales
Incendios
Fallos extraccin de respaldos de
baja................................................................alta
1
2
3
4
5
6
7
8
9
10
X
X
X
X
X
X
X
X
X
X
X
X
informacin
Robo
X
X
1.3Plan de Mitigacin
Consiste en el establecimiento, desarrollo de estrategias y procedimientos previos a la posible
materializacin del riesgo u ocurrencia de la emergencia, tendientes a la mitigacin de los mismos,
hacindolos menos graves, reduciendo al mximo las consecuencias o posibles prdidas;
asegurando un proceso de recuperacin con el menor costo posible. Las estrategias planteadas
para el Programa de Provisin de Alimentos se resumen a continuacin:
1.3.1
Documentacin
La unidad de Gestin Tecnolgica del Programa de Provisin de Alimentos, para mitigar riesgos
ante la presencia de cualquier contingencia y facilitar el proceso de recuperacin, ha documentado
los procesos, procedimientos, manuales de administracin, planes de contingencia y recuperacin;
la
mencionada
documentacin
se
encuentra
almacenada
en
el
directorio
compartido
\\10.2.100.36\sistemas, y se detalla a continuacin:

Pgina 14 de 39
Unidad de Desarrollo y Aplicaciones

o
Manual Tcnico SIGPA: Administracin de servidores de aplicaciones, base de datos
Plan de contingencias Unidad de Desarrollo y Aplicaciones
Recovery Plan para Base de datos
Unidad de Infraestructura
o
Diagrama de Red del PPA
Diagrama de esquema Cloud Computing
Esquema de Configuracin Cloud Computing
Diagrama Servidores PPA - Servicios internos
Instructivo de administracin de servidor de virtualizacin
Manual de Clear OS
Instructivo de administracin UTM
Instructivo de administracin del servidor de digitalizacin
o Esquema de configuracin telefona IP

o
Tabla de identificacin de elementos de conectividad
Plan de contingencias Unidad de Infraestructura
o Recovery Plan para Infraestructura

1.3.2
Procesos de Respaldo
Un respaldo / backup es una copia de seguridad de la informacin en un segundo medio (cinta,

CD, DVD, disco externo) que garantiza recuperar la informacin contenida en la plataforma
informtica, en caso de que se presente alguna falla en el disco duro, un borrado accidental o un
accidente imprevisto.
Las polticas, procedimientos sobre la obtencin y administracin de backups de los diferentes
componentes de la plataforma informtica del Programa de Provisin de Alimentos se encuentran
debidamente documentada (numeral anterior), por lo que en el presente documento se propone
lineamientos que permitan tratar la plataforma informtica en forma global.
1.3.2.1
Tipo de informacin a respaldar
Los siguientes tipos de informacin tendrn que respaldar el Programa de Provisin de Alimentos
para mitigar el riesgo en el caso de presentarse cualquier contingencia;
Sistemas / Aplicaciones institucionales

Pgina 15 de 39
o SICOPPA (Base de datos, Sistema Operativo, Aplicacin)

o SIGPA (Base de datos, Sistema Operativo, Aplicacin)
o Sitio WEB (Base de datos, Sistema Operativo, Aplicacin)
o Directorios Compartidos (Sistema Operativo, Informacin)
Software Base
Windows 7 SP1
Citrix XenCenter
CLEAR OS
Windows 2003
SQLServer 2005
Apache 5.0
Linux Centos 5.5
Kernel 2.6.18-274.12.1.el5xen
httpd-2.2.3-53.el5.centos.3
freetds-0.91-1.el5.
UnixODBC-2.2.11-7.1
unixODBC-devel-2.2.11-7.1
Samba
ESET NOD 32
Datos PCs usuarios
Documentacin de los sistemas

Parmetros y configuraciones
o Control de acceso las aplicaciones
SIGPA
SICOPPA
Usuarios y contraseas
o Configuracin de hardware
Switches
UTM
Servidor de Dominio
Configuracin de software
Directorios Compartidos
Servidor de Dominio
Antivirus
Pgina 16 de 39
Procedimientos
o Procedimientos de recuperacin en caso de desastre

o
Procedimientos operacionales
Procedimientos administrativos
o Procedimientos de configuracin
o Procedimientos de respaldo y recuperacin de informacin
1.3.2.2
Estrategias de respaldo
Backup de todo el Sistema
o El cual permita la recuperacin ante un dao total de la informacin o para los casos en
que los otros tipos de Backup hayan fallado, se debe realizar mensualmente y ser
responsabilidad del administrador del sistema
o El backup de todo el sistema se realiza con una periodicidad mensual. De este tipo de
backups se genera dos copias, una de las cuales debe ser custodiada en forma externa.
Backup de Software Base
o Permite recuperar la informacin de los diferentes productos de software base, instalados

tales como: Sistema Operativo, Base de Datos, Aplicaciones etc. Para asegurar la eficacia
de ste tipo de Backup, se realizar un backup cada que se instale un nuevo producto o
cada que se actualice versin.
o Es responsabilidad del administrador del sistema programar un backups antes y otro

despus de cualquier nueva instalacin.
Backup de Aplicaciones
El Software de Aplicaciones se respalda de acuerdo a los siguientes criterios:
o En ambiente de desarrollo dado la continuidad con que se crean y modifican

programas, bases de datos, datos; los backups deben realizarse diariamente.
o En ambiente de produccin, se deben asegurar backups semanales de la ltima

versin en produccin.
o Ser responsabilidad del funcionario a cargo del desarrollo coordinar con los
funcionarios responsables de la plataforma informtica involucrada, los cambios
drsticos en versiones y configuraciones de las aplicaciones en produccin para
realizar los diferentes backups antes y despus del cambio.
Backup de Datos
El backup de Datos debe obedecer a los criterios descritos a continuacin:
Pgina 17 de 39
o De acuerdo a la operatividad de las aplicaciones y a la criticidad de los procesos e

informacin, se deben programar backups segn requerimientos puntuales.
o
Programar backups que permitan el respaldo de toda la base de datos ante el evento
de una falla en el sistema.
Programar backups que permitan respaldar tablas de referencias.
Backup de Configuraciones
o Se deben respaldar todo tipo de configuracin que normalmente se pierden cuando se

realizan reinstalaciones de software o recreaciones de Base de Datos, Sistema
Operativo
o Los backups deben incluir archivos de configuracin de: Usuarios, Impresoras,

Terminales, dispositivos, parmetros del sistema, configuracin a nivel de discos,
parmetros de Base de Datos, etc.
o
Los backups de configuraciones deben realizarse semanalmente.
Backup de usuarios con PC

o
Los usuarios son responsables de la informacin que resida en el PC asignado y el

ser el encargado de mantener copia de sus archivos ms sensibles.
1.3.2.3
Bitcoras de respaldo
Con el objetivo de controlar los procesos de respaldo y recuperacin de informacin critica del
Programa de Provisin de Alimentos, se utilizan los siguientes formatos, para gestionar los
mencionados procesos:
Nro.
1
2
3
4
5
6
FORMATO RESPALDO INFORMACION SERVIDOR

Aspecto
Detalle
Fecha
Hora de inicio
Hora de terminacin
Responsable del respaldo
Nombre del servidor
Ubicacin de la cinta
a. Bveda
Pgina 18 de 39
10
11
12
b. Archivo
c. Otro
Identificacin de la cinta
Archivos y/o procesos a respaldar
a. Sistema operativo
b. Software de aplicacin
c. Datos
Tipo de respaldo
a. Total
b. Diferencial
c. Incremental
Tamao en GB de respaldo
Utilera o comando utilizado
Mensaje(s) de terminacin
13
14
Observaciones
Firma
7
8
Nro.
1
2
3
4
5
6
7
8
9
10
11
12
FORMATO RECUPERACION INFORMACION SERVIDOR

Aspecto
Detalle
Fecha
Hora de inicio
Hora de terminacin
Responsable del procedimiento
Solicitante del procedimiento
Autoriz el procedimiento
Motivos para realizar el procedimiento
a. Simulacro
b. Recuperacin de histrico
c. Recuperacin por dao o desastre
Nombre del servidor
Ubicacin de la cinta
a. Bveda
b. Archivo
c. Otro
Id de la cinta
Archivos y/o procesos a bajar
a. Sistema operativo
b. Software de aplicacin
c. Datos
Tipo de respaldo
a. Total
b. Diferencial
Pgina 19 de 39
13
14
15
16
17
18
19
20
21
c. Incremental
Verificacin del procedimiento y disponibilidad de la informacin
Registrar secuencia de restauracin
Tamao en GB restaurados
Utileras o comandos utilizados
Mensaje(s) de terminacin
Personal involucrado
Observaciones
Visto Bueno del usuario solicitante y final
Firma
1.3.2.4
Proceso de Respaldo Externo
Como sitio de respaldo externo se entiende una instalacin diferente a la sede principal de la
entidad donde se almacena una copia de los archivos de backups de la entidad, para que ante
cualquier eventualidad que se presente en la sede principal se pueda reiniciar labores con los
archivos almacenados en el sitio de respaldo externo.
En el Programa de Provisin de Alimentos se est gestionando la adquisicin de casillero en una
entidad bancaria para cumplir con este requisito.
1.3.3
1.3.3.1
Centro de cmputo alterno

Tipos de Centro de Cmputo Alterno
El disponer de un centro cmputo alterno, tiene como objeto enfrentar contingencias graves
(desaparicin del edificio, avera de una plataforma, etc.), que precisan el desplazamiento a
ubicaciones diferentes a la habitual. Estas soluciones se aplican cuando la gravedad de la
contingencia es tal que las soluciones de respaldo interno no se pueden aplicar, bien porque no
cubran la contingencias, bien porque las instalaciones han quedado inoperantes para su uso.
Existen varios tipos de centro de cmputo alternos:
Cold Sites
Normalmente consisten en una instalacin con espacio e infraestructura adecuada (energa

elctrica regulada, telecomunicaciones, aire acondicionado) para facilitar instalacin de la
plataforma tecnolgica. Este sitio por lo general no contiene equipos de informticos, tales como:
PCs, Laptops, telfonos, fax mquinas, o copiadoras. La organizacin que utilice el Cold Site se
encarga del suministro e instalacin de los equipos informticos necesarios y telecomunicaciones.
Pgina 20 de 39
Warm Sites
Estos sitios estn parcialmente equipados con espacios de oficina que contienen algunas o todas
las instalaciones relacionadas a hardware, software, telecomunicaciones y energa elctrica
regulada. Los Warm Sites se mantienen en funcionamiento listos para recibir el sistema a
recuperarse. En este tipo se sitios, puede ser necesario prepararlos antes de recibir el sistema
recuperado y su personal. En muchos casos, un Warm Sites puede servir como una instalacin
normal de operacin para otro sistema o funcin, y en caso de activacin de un plan de
contingencia, las actividades normales son desplazadas temporalmente al Warm Site.
Hot Sites
Son espacios de oficinas de tamao adecuado para soportar los requerimientos del sistema y
equipado con el hardware del sistema recuperado necesario, infraestructura y personal de apoyo.
Los Hot Sites por lo general se encuentran abiertos las 24 horas del da, 7 das a la semana.
Personal tcnico de Hot Sites, se prepara para la llegada del sistema tan pronto como se les
notifica que el Plan de Contingencia Informtico ha sido activado
Mirrored Sites
Las instalaciones estn completamente redundantes con un espejo completo de informacin en

tiempo real. Los Sitios Mirrored Sites son idnticos al sitio primario en todos los aspectos tcnicos.
Estos sitios proporcionan el mayor grado de disponibilidad, ya que los datos se procesan y
almacenan en el sitio primario y alterno simultneamente. Estos sitios generalmente son
diseados, construidos, operados y mantenidos por la organizacin.
1.3.3.2
Anlisis Centro de Cmputo Alterno
Con los antecedentes antes expuestos, se detalla a continuacin las opciones de Centro de
Computo Alterno para el Programa de Provisin de Alimentos:
Warm Site: El Programa de Provisin de Alimentos durante la contingencia trasladara al Ministerio
al cual el Programa de Provisin de Alimentos sea adscrito, personal del Programa para continuar
las operaciones accediendo a los sistemas informticos instalados en el Cloud Computing
contratado con la CNT.
Pgina 21 de 39
Cold Site: En este esquema el Programa de Provisin de Alimentos contratara un lugar que provea
la infraestructura necesaria para que funcionarios del Programa de Provisin de Alimentos puedan
desempear sus actividades accediendo a los sistemas informticos instalados en el Cloud
Computing contratado con la CNT.
.
Pgina 22 de 39
1.3.4
Medidas Preventivas
CATEGORIA
RIESGO
DESCRIPCION DEL RIESGO
ACCIONES PREVENTIVAS
INFRAESTRUCTURA
El Programa de Provisin de Alimentos no cuenta con
sensores de incendio en la sala de computo
Adquirir sensores de incendio para instalarlos por lo menos en

la Sala de Cmputo del Programa.
Procurar no almacenar productos inflamables.
Cuidar que los cables de los aparatos elctricos se encuentren
en perfectas condiciones.
Contar con una alarma de incendios.
Realizar simulacros de manera peridica.
Incendio
Prdida de la Sala de
Cmputo por causa de
incendio.
Prdida de informacin o generacin de datos
inconsistentes por fallas elctricas.
Mantenimiento de UPS, plantas elctricas, para evitar prdida

de informacin por apagones
Respetar las instalaciones con tomas reguladas y tomas
normales, para no saturar el UPS en casos de emergencia
Realizar simulacros de manera peridica.
Falla energa elctrica
Perdida de informacin
Deben ubicarse en un lugar de fcil acceso y visible los
nmeros telefnicos de emergencia y un botiqun, de ser
posible un radio porttil y una linterna con pilas
Sismos
Realizar simulacros de manera peridica
Prdida de la Sala de
Computo por sismo
Control de acceso mediante sistema que registre bitcora de

eventos.
Cmaras de seguridad interrelacionadas a control de acceso.
Control de acceso
Perdida de informacin
Prdida de informacin por ingreso no autorizado de

personal.
Pgina 23 de 39
HARDWARE
Un dao total impedira la recuperacin total o al menos
parcial de la informacin.
Adquirir licenciamiento del software de virtualizacin, para tener

acceso a extraer respaldos totales de las maquinas virtuales y
el software instalado y configurado en cada una de ellas.
Se debe gestionar ante el Ministerio adscrito la provisin de un
sitio alterno o en su defecto contratar el servicio con la CNT. En
el sitio alterno se debe realizar pruebas de restauracin de los
backups para verificar si los mismos permiten recuperar
adecuadamente la informacin.
Fallos equipo informtico
Dao de servidores (bases

de datos, imgenes, web,
dominio, antivirus)
Dao en equipo
informtico de oficinas:
Scanner
Mantenimiento preventivo.
Impedimento de que determinado usuario desempee

sus funciones con normalidad
Realizar pruebas de tolerancia a fallas del servidor.

Cumplir estrictamente polticas de respaldo establecidas.
Mantenimiento preventivo.
Capacitar a los usuarios acerca de un buen uso del computador
Impresora Matricial
Impresora Laser
Falla del equipo
Telfonos IP
Asignar un servidor de archivos, donde cada usuario respalde
su informacin en forma organizada y clasificada, a excepcin
de documentos considerados personales, los cuales deben ser
conservados en los discos duros locales.
Prdida de la informacin
Dao PC's, Laptops
Prdida de informacin de los usuarios
SOFTWARE
Falla software base
Falla software aplicativo
Base de Datos y Sistemas

Operativos sin soporte
externo
Falta control de claves de
acceso
Falta de soporte tcnico en lo referente a base de datos

y sistema operativo.
Se debe implementar esquema de control y solicitud de

cambios de clave de forma peridica
Una vez concluido la implementacin del sistema SIGPA, es

recomendable contratar horas de soporte tcnico en software
de base de datos y sistema operativo.
Establecer perfiles y roles adecuados de cada usuario.

Registrar pistas de auditora.
Pgina 24 de 39
Falla software aplicativo
Ausencia de pistas de
auditora en los registros
del Sistema SIGPA.
La arquitectura de diseo de la base de datos no permite

mantener informacin histrica.
Estructurar un esquema de informacin histrica ya sea en la

misma base o en otra suplementaria.
Se paralizara actividades importantes para la operacin

del negocio.
Mantenimiento preventivo y monitoreo diario de los equipos de

comunicacin. Obtener respaldos de las configuraciones de
dichos equipos, guardarlos en un sitio seguro.
TELECOMUNICACIONES
Fallos equipos de
comunicaciones
Disponer de herramientas de monitoreo que permitan la

prevencin de inconvenientes futuros
Falla de equipos de
conectividad y seguridad
INFORMACION
El proceso solo contempla la obtencin de respaldos
pero no de un chequeo de integridad de la informacin.
(Generacin de Backups a cintas)
Asignar un responsable de cada rea (Desarrollo y

Aplicaciones, Infraestructura) para verificar integridad de la
informacin.
Destinar un sitio seguro para almacenar los respaldos a nivel
interno
Proveer un plan de pruebas el cual permita realizar pruebas de
restauracin total para verificar si la informacin generada por
los backups es correcta. Apoyarse de un esquema ms seguro
para el envo de respaldo, cumpliendo polticas estrictas de
seguridad para su envo.
Adquirir sistema de respaldos a cinta

Fallos extraccin de
respaldos de informacin
Obtencin de respaldos de
los servidores (Backup.)
Contratar el almacenamiento de respaldos fuera de las oficinas

del Programa de Provisin de Alimentos
OTRAS CONTINGENCIAS
Pgina 25 de 39
Fallas humanas
Falta de capacitacin
tcnica
Daos en hardware y software debido a una inadecuada

administracin debido a desconocimiento tcnico
Realizar un estudio de todas las reas y de acuerdo el nivel de

expertise del personal y segn este reciba la capacitacin
adecuada sobre plataforma tecnolgica.
Fallas humanas
Falta de capacitacin de
Daos en hardware y software debido a una inadecuada
usuarios finales para la
operacin.
utilizacin adecuada de los
recursos informticos
Los usuarios deben recibir formacin en el uso correcto de los

recursos informticos, en el tratamiento de la informacin y
sobre procedimientos de seguridad de los mismos.
Fallas humanas
Proporcionar a los usuarios una mayor formacin en

procedimientos de seguridad actualizados, instruirlos en el uso
correcto de los recursos, del tratamiento de informacin,
minimizando los posibles riesgos que faltaren a la seguridad.
Falta de capacitacin al
personal en cuanto al uso
de las normas de
seguridad
Daos en hardware, software; perdida de informacin
Polticas y procedimientos
de respaldos
Falta de control en
seguridad de extintores,
alarmas, escaleras contra
incendios).
Si no se genera correctamente los respaldos bajo

polticas estrictas, puede ocasionar informacin
inconsistente en un momento que se requiera de stos.
No se cuenta con un equipo contra incendios, alarmas;
falta control de estos equipos para mantenerlos en buen
estado. Adems falta una escalera para evacuacin en
caso de incendio.
Perdida de equipamiento
informtico e informacin
Se cuenta con sistema de cmaras de seguridad,

alarmas
Establecer claramente documentacin de polticas de

seguridad
Fallas humanas
Fallas humanas
Robo informacin o
hardware
Llevar un manual claro y especfico acerca de las polticas y

procedimientos de respaldos.
Coordinar con el rea de Desarrollo Institucional para tomar
medidas correctivas sobre este riesgo.
Instalar sistema de cmaras de seguridad, alarmas

Contratar o actualizar plizas de seguros
Actualizar y difundir las polticas de seguridad en el PPA.
Pgina 26 de 39
1.3
Plan de Contencin
En el Plan de Contencin se tomar en cuenta las acciones que deben ser ejecutadas
inmediatamente cuando se presenta el siniestro o desastre, para minimizar los daos que se
provoquen cuando la plataforma informtica del Programa de Provisin de Alimentos deje de
operar.
Los siguientes deben ser los procedimientos a ser implantados en el momento del desastre,
procedimientos que deben continuar hasta que se restauren los servicios de procesamiento de
datos en el sitio original u otro permanente.
1.3.1 Procedimiento de Emergencia en la Sala de Computo
Si la naturaleza del desastre no da tiempo para apagar y evacuar, la prioridad ms alta es la
seguridad de las personas. Ellos deben salir inmediatamente de la Sala de Cmputo o rea
afectada. En un caso de stos, el siguiente paso es notificar inmediatamente al Comit de
Emergencia Institucional
Si hay tiempo para apagar los equipos, se deben realizar las siguientes actividades, en el orden
especificado:
a) Inicializar procedimientos de emergencia organizacional establecidos

b) Ejecutar procedimientos de apagado para los servidores y dems dispositivos del
centro de cmputo.
c) Apagar aire acondicionado
d) Apagar luces y bajar breackers en las cajas de distribucin

e) Notificar al Comit de Emergencia
1.3.2 Grupo de Administracin de Emergencia GTI - PPA
o Responsable de Gestin Tecnologa Informtica

o Responsable Unidad de Desarrollo y Aplicaciones
o Responsable Unidad de Infraestructura
o
Responsable Soporte Tcnico
Pgina 27 de 39
1.3.3
rbol Telefnico de Emergencia
El Comit de Emergencia Institucional, o su designado, se comunicar con los lderes del Grupo de
Recuperacin de Desastre informndoles la situacin del desastre, localizacin y hora de reunin a
mantener con el Comit de Emergencia Institucional.
1.3.4
Lderes de Grupo Recuperacin de Desastres
Coordinador del Plan de Contingencias
Grupo de Administracin de Emergencia GTI - PPA
o Responsable Unidad de Infraestructura GTI - PPA

El Responsable de la Unidad de Infraestructura GTI - PPA asumir la responsabilidad total del
grupo de administracin de emergencia. El Comit de Emergencia Institucional har una
apreciacin inicial de la extensin del desastre tan rpido como sea posible.
Ser decisin del Comit de Emergencia Institucional, si se inicializa el resto del Plan o no (Si se
activa el Centro Alterno o no). Se espera que esto ocurra en un lapso de 4 horas despus del
desastre.
1.3
Plan de Recuperacin
Si la interrupcin del servicio va a ser por largo tiempo luego del desastre, se debe poner en
ejecucin la fase de recuperacin del siniestro en el Centro de Cmputo alterno externo.
La estimacin del tiempo en que va a durar la interrupcin del servicio, se obtiene una luego de
ejecutar el Plan de Contencin y una vez se haya evaluado el alcance de las fallas que se
presentaron.
El Plan de Recuperacin presupone que debe utilizarse un Centro de Cmputo Alterno externo
debido a que la emergencia afect en forma general (en un 60% o ms) las instalaciones fsicas y
plataforma informtica instalada en el Centro de Computo que encontraba en produccin.
Al siguiente da del desastre, se debern preparar las copias de respaldo de sistemas, software
base, aplicaciones y procedimientos en busca que las capacidades del servicio inicial del
procesamiento de datos sean restauradas en el sitio alternativo.
Pgina 28 de 39
1.3.1 Procedimientos para el proceso de restauracin.

Tan pronto como se haya declarado un desastre, los lderes de Grupo de Recuperacin de
Desastres sern llamados para ejecutar el Plan de Contingencias.
La Unidad de Gestin Tecnolgica establecer un centro de control y empezar la coordinacin
para la restauracin de los sistemas que hayan sido afectados.
1.5.1.1 Procedimientos para el proceso de restauracin.
Dentro de las 6 horas siguientes al desastre se debe:
o
Notificar a los usuarios la interrupcin del servicio.
o Notificar al Centro de Cmputo Alterno, Administrador, Servicios de Soporte, Coordinador y

otros.
o Efectuar una evaluacin de daos e identificar el equipo reusable para transferirlo al Centro
de Computo Alterno.
o Notificar al Proveedor las configuraciones de Hardware y Software..

o Notificar a todos los funcionarios de la Unidad de Gestin Tecnolgica, que estn
involucrados en el Plan.
o Inicializar las preparaciones ambientales en el Centro de Computo Alterno.

o Contratar los circuitos para comunicacin de datos entre el Centro de Computo Alterno y el
Centro de Operaciones Alterno, si es necesario.
Dentro de las 24 horas siguientes al desastre debe:
o Contactar con los proveedores y ordenar el soporte necesario tanto de hardware como de
software.
o Iniciar y coordinar los procedimientos de preparacin del lugar para el Centro de Computo
Alterno.
o
Iniciar el ensamblaje de la documentacin y medios magnticos en el lugar de

almacenamiento externo.
Confirmar el soporte dado por el proveedor.
o Complementar el procesamiento de los reportes seleccionados en el Centro de Computo

Alterno.
Dentro de los 2 das siguientes al desastre debe:
Pgina 29 de 39
Catalogar el despacho de suministros
o Trasladar el personal necesario y/o requerimientos al Centro de Computo Alterno

o Completar el ensamblaje de la documentacin y los medios magnticos en el Centro de
Computo Alterno, coordinando la prestacin de los servicios desde el Centro de Computo
Alterno.
Dentro de los 3 das siguientes al desastre:
o El Centro Computo Alterno debe estar totalmente preparado para operar

o Llevar el inventario de los medios magnticos, los listados y otra documentacin en el
Centro de Computo Alterno.
o Recibir en el Centro de Computo Alterno suficientes suministros, muebles y equipo

relacionado.
o
Determinar el punto inicial de aplicaciones crticas.
Establecer un catlogo de procesamiento de las aplicaciones crticas.
Evaluar las lneas de comunicacin de datos catalogados para una restauracin inicial.
Dentro de los 4 das siguientes al desastre debe:
o Completar la preparacin ambiental del Centro de Computo Alterno

o Recibir la documentacin y el medio magntico de los lugares de almacenamiento en el
Centro de Computo Alterno.
o Asegurar el ambiente fsico en el Centro de Computo Alterno y establecer la seguridad de

los datos.
o
Restablecer los backups de datos de produccin de las cintas de backups.
Evaluar los sistemas en lnea, para verificar la operacin y validez de los datos
restaurados.
Evaluar los sistemas operacionales
Notificar a los usuarios el estado de la recuperacin
Dentro de los cinco das siguientes al desastre:

o
Asegurar la operacin total de los sistemas crticos.
Continuar la implantacin por fases de la red de comunicacin de datos
Dentro de los 28 das siguientes al desastre:
Pgina 30 de 39
Restauracin completa de la red de comunicacin de datos y de las operaciones.
1.3.2 Procesamiento en el Centro de Cmputo Alterno

Las siguientes actividades paralelas caracterizan las acciones a tomar durante esta fase:
o
Asegurar un medio ambiente fsico y restablecer la seguridad en los datos
Comenzar el procesamiento de transacciones crticas
Tener todos los recursos en su lugar en el Centro Alterno
Localizar los procedimientos de backup y almacenamiento
Obtener una recuperacin total
Las actividades antes mencionadas anteriormente, inician cuando los sistemas crticos y las redes
de computacin son operativos y se ha podido completar la restauracin de los datos del sistema.
Esta fase contina hasta que los servicios de procesamiento de datos son restaurados en el lugar u
otro sitio permanente
Pgina 31 de 39
Procedimiento restauracin Centro de Computo

INICIO
Desastre
Destruccin sala de
computo
NO
NO
Modalidad
Housing?
Implementar Centro
de Computo Alterno
Propio
SI
Identificar espacio o
lugar para GTI- PPA
SI
El PPA es dueo del El PPA solo alquila el
software propio de su
espacio fsico,los
operatividad,
equipos de computo
proveedor proporciona
son del PPA
equipos de computo
Identificar los recursos

a rescatar(Hardware/
Software)
Presupuestar en
recursos Hardware
,
Software, Personal,
Materiales, Transporte
Centro de Computo
Alterno Contratado
Adquirir recursos de
recursos Hardware
,
Software, Personal,
Materiales, Transporte
Reconstruccin Centro
de Computo
FIN
Instalacin de GTI
PPA, Institucin y
Configuracin
Restablecer los
backups realizados de
los sistemas
Pgina 32 de 39
Procedimiento recuperacin fluido elctrico
IN
IC
IO
In
te
rru
p
ci
nd
e
lF
lu
id
o
E
l
ctrico
A
p
a
g
a
d
oM
a
n
u
a
ld
elo
s
S
e
rv
id
o
re
s
A
p
a
g
a
d
oM
a
n
u
a
ld
e
lU
P
S
N
O
R
e
sta
b
le
cid
a
e
n
e
rg
ae
l
ctrica
S
I
E
n
ce
n
d
id
oM
a
n
u
a
l
S
e
rv
id
o
re
s
V
e
rifica
re
lfu
n
cio
n
a
m
ie
n
to
d
ese
rv
id
o
re
s
F
IN
Pgina 33 de 39
Procedimiento de recuperacin Internet

IN IC IO
C a m b io d e
c o m p o n e n te
d e fe c tu o s o
C o r te s e r v ic io In te r n e t
NO
R e s in s ta la c i n d e
s is te m a o p e r a tiv o
E l p r o b le m a e s ta
e n la L ?A N
SI
F a la d e H W
S e r v id o r d e
d o m in/io
s e g u r id a?d e s
SI
In s ta la r a p lic a c io n e s
NO
F a la d e S W
R e s ta u r a r b a c k u p s
SI
C o n fig u r a r lo s
p e r m is o s d e a c c e s o a
lo s u s u a r io s
NO
C o m u n ic a r s e c o n la
e m p re sa p ro v e e d o ra
NO
P ru e b as d e
c o n e c tiv id a d L A N
s a tis fa c to r ia s
SI
R e g is tr a la a v e r a y
c o o r d in a r p a r a
r e s ta b le c e r e l s e r v ic io
d e In te r n e t
NO
Prue bas de
o p e r a tiv id a d d e l
s e r v ic io d e In te r n e t
S a tis fa c to r ia
SI
F IN
Pgina 34 de 39
1.4 Implementacin del Plan

En primera instancia, el presente plan debe ser puesto a consideracin, revisin y aprobacin por
parte de las autoridades del Programa. Seguido, debe ser probado y simulado.
En segunda instancia, desarrollar un programa de entrenamiento a las personas y unidades
administrativas directamente involucradas, aquellas que asumen responsabilidades y funciones
dentro del plan.
Finalmente, debe adoptarse a nivel institucional mediante Acto Administrativo, es decir,
reglamentado por Resolucin emanada por la mxima autoridad del Programa.
VA
E
R
EJECUCION DEL
PLAN
PRUEBAS DEL
PLAN
MEDIDAS PREVE NTIVAS
LU
IO
AC
/R
B
HA
CI
A
L IT
MEJORAS Y AJUSTES
ON
ACCIONES
DISEO DEL PLAN
EVALUACION DE
RESULTADOS
1.5 Plan experimental de Pruebas

El Plan de Contingencias Informticas comprende, finalmente, el desarrollo de un plan
experimental de pruebas en el cual se incluye la simulacin de los diferentes siniestros para
comprobar que el plan diseado es eficaz o, en caso contrario, se le deben efectuar ajustes para
su funcionalidad.
El mayor nfasis ser ejercido sobre las pruebas o simulacros, y sobre los eventos posteriores a la
emergencia relacionados con el reinicio de las operaciones normales en el Programa de Provisin
de Alimentos.
Pgina 35 de 39
Los siguientes son los objetivos de control y auditora de las pruebas del plan:
Validar la habilidad de los funcionarios y la consistencia de los procedimientos en eventos

de recuperacin de siniestros.
Probar la factibilidad y compatibilidad de las instalaciones de respaldo y de los

procedimientos relacionados.
Identificar y corregir fallas en el plan.
Facilitar la divulgacin y el entrenamiento en los procedimientos y guas de recuperacin
Fomentar el respeto por el plan y la seguridad en su efectiva aplicacin en caso de

presentarse emergencias
Estar preparado para evaluar las necesidades de seguros y reducir al mximo los costos
en primas de aseguramiento
Motivar a los funcionarios involucrados en el diseo y desarrollo del plan a mantener

actualizados los procedimientos inherentes
El Comit de Emergencia Institucional deber evaluar que sean definidas las responsabilidades de
las pruebas del plan, tales como:
Personal de administracin: Grado de participacin y compromiso, niveles jerrquicos de

aprobacin y asignacin de recursos, capital y tiempo.
Personal de la Unidad de Gestin Tecnolgica: Desarrollo y Aplicaciones, Infraestructura y

Soporte Tcnico.
Grupo de usuarios por Unidad Administrativa.
Personal externo: Proveedores, grupos de apoyo internos o externos y centros de

recuperacin contratados o comprometidos.
El Comit de Emergencia Institucional y personal de GTI - PPA, identificarn y documentarn los

diferentes niveles de prueba del plan. Estos pueden ser por segmentos, por reas relacionadas o a
gran escala; ste ltimo, como prueba global del plan, segn los lineamientos que establezca la
mxima autoridad del Programa. Como mtodos de prueba, se sugieren: en papel, real o a gran
escala probado por segmento mediante simulacro a criterio de la mxima autoridad con apoyo del
comit de emergencia.
Pgina 36 de 39
1.5.1 Pasos para conducir la prueba

El responsable de la Unidad de Gestin Tecnologa Informtica indicar al funcionario que preside
el Comit de Emergencia Institucional el esquema ordenado de las pruebas, considerando lo
siguiente:
1) Seleccin del sujeto de la prueba para identificar los aspectos o captulos del plan que
estn siendo evaluados
2) Descripcin de los objetivos de la prueba y mecanismos de medicin del alcance exitoso
de los objetivos
3) Reunin con el Comit de Desarrollo Institucional para explicar la prueba y sus objetivos, y
obtener como resultado su acuerdo y soporte
4) Comunicacin formal de una prueba anunciada, los factores crticos a considerar y el
tiempo estimado de la prueba.
5) Consolidacin de los resultados de la prueba al final de sta.
6) Evaluacin de resultados: progresos, inconvenientes y logros.
7) Determinacin de las implicaciones de los resultados de la prueba. Se debe analizar si el
resultado de un caso simple (segmento) puede tomarse como referencia para la realizacin
satisfactoria de todos los captulos del Plan (a gran escala)
8) Generacin de recomendaciones para cambios o ajustes, definicin de la fecha lmite para
respuesta y gestin
9) Notificacin de los resultados de las pruebas al Comit de Desarrollo Institucional y por su

intermedio al nivel directivo del Programa de Provisin de Alimentos.
10) Cambios en documentacin o manuales, si es aplicable.
1.5.2
o
reas o partes a probar
Recuperacin del sistema aplicativo individual utilizando archivos y documentacin

almacenada en el sitio externo
Habilidad para procesar en modo degradado o limitado
En sitios de procesamiento alterno, solucin de diferencias en configuracin de equipos
Disponibilidad de equipos perifricos y de procesamiento
o Disponibilidad de equipos de soporte: aire acondicionado, unidades de potencia no

interrumpida de corriente elctrica
o
Disponibilidad de soporte logstico: provisiones, transporte y comunicaciones.
Pgina 37 de 39
Evacuacin del equipo desde el centro de cmputo de la Entidad, en respuesta a eventos

tales como inundacin o terrorismo.
o Habilidad de la administracin y del Comit de Desarrollo Institucional para determinar la

prioridad de sistemas cuando se procesa con recursos computacionales limitados.
o
Habilidad para recuperar y procesar en forma satisfactoria sin personal clave, asumiendo la
prdida del personal o turnos primarios.
Habilidad para adaptar el plan a desastres menores.
Efectividad de alternativas manuales para aquellos sistemas que confan en esa opcin.
Habilidad de entrada de datos para alimentar sistemas crticos utilizando las instalaciones
del rea de soporte externo.
Habilidad de los usuarios para continuar con las operaciones normales de la entidad para
los sistemas clasificados como no crticos.
Habilidad para establecer contacto en un perodo definido por emergencia y de manera

organizada, con el personal clave o sus designados alternos.
Nivel de cumplimiento de los estndares normativos aprobados por la entidad.
Identificacin de los recursos utilizados durante la emergencia que son cubiertos por la
pliza de seguros.
Distribucin correcta y oportuna de listados, transmisin de datos va telefnica conmutada,

servicios de correo.
Disponibilidad de formas y cantidad mnima de papelera. Control de formas numeradas o

asimilables a ttulos valores.
Adherencia nula, parcial o total a medidas de seguridad durante el perodo de emergencia.
Habilidad para ejecutar tareas de evacuacin y tratamiento de primeros auxilios.
Mecanismos para recuperacin de informacin perdida en caso de sistemas en lnea.
Anlisis de tiempos y movimientos durante las pruebas.
1.5.3 Proceso general para prueba anunciada
1. Presentacin a consideracin al Comit de Desarrollo Institucional

Pgina 38 de 39
2. Procedimiento de comunicacin formal

3. Desarrollo de la prueba
1.5.4 Proceso general para simulacro
1. Presentacin a consideracin del Comit de Desarrollo Institucional

2. Desarrollo del simulacro
Pgina 39 de 39

Plan Contingencia 15022013 Ok

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Plan Contingencia 15022013 Ok

Caricato da

Copyright:

Formati disponibili

PLAN DE CONTINGENCIA Y

RECUPERACIN INFORMTICA DEL

Informacin del Documento

Programa de Provisin de Alimentos.

Gestin Tecnolgica PPA

1.3.1 PROCEDIMIENTO DE EMERGENCIA EN LA SALA DE COMPUTO.........................................................27

o El sistema SIGPA entre totalmente a produccin,

o Efectuar anlisis de riesgos realizando una identificacin y evaluacin del hardware y

o Realizar anlisis de vulnerabilidades y riegos que afectan a la informacin.

Definir acciones y procedimientos a ejecutar en caso de fallas originadas por desastres

o Normas ISO/IEC 27000: son estndares de seguridad publicados por la Organizacin

o COBIT: Objetivos de Control para Informacin y Tecnologas Relacionadas (COBIT, en

Association) y el IT Governance Institute (ITGI, en ingls: IT Governance Institute), tiene

o ITIL: Corresponde a las siglas en ingles Information Technology Infrastructure Library; es

1.1Descripcin del entorno informtico

Infraestructura fsica y elctrica

de encuentra ubicada en el cuarto piso el edificio MIES-IEPS, su

de infraestructura es de tipo mixto ladrillo y bloque, columnas de

la Sala de Computo y Oficinas

Sala de Computo y Oficinas

Equipos informticos de oficina

HP / 6200 Pro MicroTower PC ALL

o Impresora Multifuncin HP / LaserJEt Pro 400 color MFP M475dw

Equipos de conectividad, seguridad, telefona

UTM: Cisco SA 540 Bundle

Central Telefnica DENWA COMUNICATION

o Server - DELL Power Edge R410

UPS Tripp Lite 20KVA

Linux Centos 5.5

SICOPA - Sistemas Compras PPA

o SIGPA Sistema de Gestin Programa de Provisin de Alimentos

o Enlace Principal: E1 contratado por el Programa de Provisin de Alimentos con la

o Enlace Secundario: E1 contratado por el MIES que permite acceder al correo

o Troncal telefnica contratada por el Programa de Provisin de Alimentos, la cual

Servicio Cloud Computing / Virtual Data Center

Respondiendo al cambio de modelo de negocio, con el objetivo de garantizar la fiabilidad,

o Aprovisionamiento de capacidad de Memoria (incluye virtualizacin), Procesamiento y

Garantizar el acceso a la consola de Administracin y Monitoreo del Virtual Data Center

Personal Gestin Tecnologa PPA

Para la Unidad de Gestin Tecnologa Informtica del Programa de Provisin de Alimentos

Unidad de Desarrollo y Aplicaciones

Unidad de Soporte Tcnico

Identificacin y Anlisis de Riesgos

Fallos de energa elctrica regulada

Fallos del aire acondicionado

Fallos de cableado estructurado

Fallos de equipos informticos

Fallos del software del sistema

Fallos del software aplicativo

Fallos comunicaciones de datos

Fallos extraccin de respaldos de informacin

Sus consecuencias afectan en forma total al funcionamiento del

Programa, sus prdidas son sumamente altas.

Programa, en forma grave, existen prdidas considerables.

Programa, es decir se cuenta con prdidas menores.

Nivel 1 Nivel 2 Nivel 3 Nivel 4

Determinacin de recursos crticos

Para determinar la criticidad de los recursos es necesario determinar el nivel de riesgo y su

Definicin de Niveles de Criticidad

Energa elctrica regulada

Equipos informticos de oficina

Equipos de conectividad y seguridad

Anlisis amenazas y vulnerabilidades

[En escala de 1-a-10, donde 1 indica baja vulnerabilidad]