código: pl-gt-12-02 plan de contingencia versión: 4

PLAN DE CONTINGENCIA TECNOLÓGICA IDEP

Código: PL-GT-12-02

Versión: 4

Fecha Aprobación: 27/07/2015

Página 1 de 44

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP

Firma de Autorizaciones

Elaboró Revisó Aprobó

Profesional Especializado 222-04 Oficina Asesora de

Planeación

Jefe Oficina Asesora de Planeación

Representante para la Alta Dirección del Sistema Integrado de Gestión

Control de Cambios

Fecha Descripción

Mayo de 2010 Actualización del Documento

Diciembre de 2013 Actualización del Documento

Julio de 2015 Actualización del Documento, de acuerdo a lo

aprobado por el Comité Interno de Sistemas mediante Acta No. 03

Noviembre de 2017

Se incluyen anexo Nro. 1. Plan de contingencia al

sistema de información administrativo y anexo Nro. 2

Plan de contingencia al sistema de información

NOMINA HUMANO, los cuales fueron aprobados en

comité Interno de Sistemas mediante Acta Nro. 5



Versión: 4


Página 2 de 44


CONTENIDO

1. OBJETIVO ............................................................................................................. 4

1.1. Objetivo General ............................................................................................. 4

1.2. Objetivos Específicos ..................................................................................... 4

2. ALCANCE .............................................................................................................. 4

3. DEFINICIONES TÉCNICAS .................................................................................. 5

4. REFERENCIA NORMATIVAS ............................................................................... 7

ANÁLISIS DE LA SITUACIÓN ACTUAL DE LOS SISTEMAS DE INFORMACIÓN ...... 8

1.1 PRESENTACIÓN ................................................................................................ 8

1.2 PREMISAS DE PARTIDA ................................................................................... 8

1.3 FUNCIONES DE LA DIRECCIÓN ....................................................................... 9

1.3.1. Informe a Dirección.................................................................................. 9

ANÁLISIS DE IMPACTO ............................................................................................ 11

2.1. IMPACTO Y TIEMPOS DE RECUPERACIÓN ............................................. 11

2.1.1. Impactos más comunes y tiempos de recuperación ................................... 11

2.2. RESUMEN PARA LA DIRECCIÓN ............................................................... 13

2.2.1. Objetivos del análisis ............................................................................. 13

2.2.2. Alcance del Análisis ............................................................................... 13

ESTRATEGIA DE CONTINGENCIA ........................................................................... 17

3.1. EMPRESAS DE SERVICIO ........................................................................... 17

3.2. COMUNICACIONES ALTERNATIVAS ............................................................. 17

3.3. PROCEDIMIENTO DE BACKUP O COPIA DE SEGURIDAD .......................... 17

3.4. CENTRO DE ALMACENAMIENTO EXTERNO ................................................ 18

3.4.1. Solución propia .......................................................................................... 18

EQUIPOS DE RECUPERACIÓN ................................................................................ 20

4.1. COMPOSICIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS ...... 20

4.2. FUNCIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS ................. 20

PLAN DE ACCIÓN ..................................................................................................... 22

5.1. DEFINICIÓN DE DESASTRE ....................................................................... 22

5.2. ACTIVACIÓN DE PROCEDIMIENTOS DE EMERGENCIA .......................... 23

5.2.1. Notificación de primera alerta ................................................................ 23



Versión: 4


Página 3 de 44


5.2.2. Escalado de problemas ......................................................................... 24

INFORME DE EMERGENCIA ................................................................................. 27

5.2.3. Evaluación de daños ............................................................................. 28

5.3. PROCEDIMIETOS DE RESPUESTA ........................................................... 29

PRUEBAS Y ACTUALIZACIÓN .................................................................................. 32

6.1. PRUEBAS Y ENTRENAMIENTO DEL PLAN ................................................... 32

6.1.1. Revisiones periódicas ................................................................................ 32

6.1.2. Pruebas técnicas ...................................................................................... 32

6.2. MANTENIMIENTO DEL PLAN ......................................................................... 33

6.2.1. Actualizaciones .......................................................................................... 33

LISTA DE DISTRIBUCIÓN ......................................................................................... 35

BIBLIOGRAFÍA ........................................................................................................... 36

ANEXO 1. PLAN DE CONTINGENCIA AL SISTEMA DE INFORMACION ADMINISTRATIVO

ANEXO 2. PLAN DE CONTINGENCIA AL SISTEMA DE INFORMACION NOMINA HUMANO



Versión: 4


Página 4 de 44


1. OBJETIVO

1.1. Objetivo General

Aumentar la probabilidad de recuperación en la continuidad de las operaciones en los

sistemas de información que el IDEP tiene en producción en el menor tiempo y

reduciendo el impacto en las operaciones del Instituto.

1.2. Objetivos Específicos

Proporcionar un enfoque organizado y consolidado para dirigir actividades de

respuesta y recuperación ante cualquier incidente o interrupción de trabajo

imprevista, evitando confusión y reduciendo la situación de tensión.

Proporcionar una respuesta rápida y apropiada a cualquier incidente imprevisto,

reduciendo así los impactos resultantes de interrupciones de trabajo a corto

plazo.

Aumentar la probabilidad de continuidad del servicio informático de la

organización en caso de que un incidente interrumpa sus operaciones normales.

Reducir el tiempo de recuperación, y como consecuencia, las pérdidas

económicas, directas e inducidas, como resultado de un desastre.

Realizar la recuperación de las funciones críticas, mediante el desarrollo de los

procedimientos necesarios para:

o Reducir la duración de la recuperación.

o Minimizar el coste de la recuperación.

o Evitar la confusión y reducir el riesgo de errores.

o Evitar la duplicación de esfuerzos.

2. ALCANCE

El Plan de Contingencia de los Sistemas de Información del IDEP está diseñado para

crear una situación de preparación que proporcione una respuesta inmediata diseñada

en función de una serie de posibles escenarios previamente definidos.

Es necesario definir las áreas del IDEP que van a estar relacionadas y deben ser

incluidas en el plan. Adicionalmente se debe distinguir las amenazas más probables y

descartar aquellas que, aún siendo posibles, su probabilidad de ocurrencia es muy bajo.

Se consideran los siguientes tipos de incidentes:



Versión: 4


Página 5 de 44


Cualquier incidente externo o interno que pudiera potencialmente causar una

interrupción de las operaciones del negocio, tales como la pérdida de los

servicios de suministro eléctrico o de telecomunicaciones.

Cualquier incidente que afecte al funcionamiento del hardware o del software y

que suponga una interrupción superior a las 24 horas.

Cualquier incidente interno que pudiera potencialmente causar o afectar la

interrupción de las operaciones de los sistemas de información, como son la falla

en los servidores o puntos de conexión.

Cualquier incidente que suponga la paralización de actividades de la

organización por motivos ajenos a la tecnología, tales como problemas laborales

propios o del sector o problemas laborales que afecten al área geográfica donde

se encuentra ubicada la organización.

Se descartan o son poco probables de suceder los siguientes tipos de incidentes:

Los que causen un daño físico en las instalaciones o equipos, como fuego, humo

o daños por agua.

Los que afecten de forma indirecta la posibilidad de acceso a las instalaciones,

como evacuación de emergencia por amenaza de bomba, o amenazas externas

tales como incendios en instalaciones cercanas, fuga de gases tóxicos, etc.

Desastres regionales no previstos o inesperados, que puedan causar daños en

las instalaciones y equipos e impedir el acceso normal al personal encargado o

quien haga sus funciones de las operaciones informáticas, aunque las

instalaciones estén intactas, tales como inundaciones, huracanes etc.

3. DEFINICIONES TÉCNICAS

Copias de seguridad (Backup): una copia de seguridad o backup (su nombre en

Inglés) en tecnología de la información o informática es una copia de seguridad - o el

proceso de copia de seguridad - con el fin de que estas copias adicionales puedan

utilizarse para restaurar el original después de una eventual pérdida de datos.

Disco duro: en informática, un disco duro o disco rígido (en inglés Hard Disk Drive,

HDD) es un dispositivo de almacenamiento de datos no volátil que emplea un sistema

de grabación magnética para almacenar datos digitales. Se compone de uno o más

platos o discos rígidos, unidos por un mismo eje que gira a gran velocidad dentro de una

caja metálica sellada. Sobre cada plato se sitúa un cabezal de lectura/escritura que flota

sobre una delgada lámina de aire generada por la rotación de los discos.

Enrutador (router) : el enrutador (calco del inglés router), direccionador, ruteador o

encaminador es un dispositivo de hardware para interconexión de red de ordenadores

que opera en la capa tres (nivel de red). Un enrutador es un dispositivo para la



Versión: 4


Página 6 de 44


interconexión de redes informáticas que permite asegurar el enrutamiento de paquetes

entre redes o determinar la mejor ruta que debe tomar el paquete de datos.

Hardware: corresponde a todas las partes físicas y tangibles de una computadora: sus

componentes eléctricos, electrónicos, electromecánicos y mecánicos; sus cables,

gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento físico involucrado.

Hub: Concentrador. Dispositivo capaz de enlazar físicamente varios ordenadores de

forma pasiva, enviando los datos para todos los ordenadores que estén conectados,

siendo éstos los encargados de discriminar la información.

LAN: (Local Area Network - Red de Área Local). Interconexión de computadoras y

periféricos para formar una red dentro de una empresa u hogar, limitada generalmente

a un edificio.

Módem : Un módem es un dispositivo que sirve para enviar una señal llamada

moduladora mediante otra señal llamada portadora. Se han usado módems desde los

años 60, principalmente debido a que la transmisión directa de las señales electrónicas

inteligibles, a largas distancias, no es eficiente, por ejemplo, para transmitir señales de

audio por el aire, se requerirían antenas de gran tamaño (del orden de cientos de metros)

para su correcta recepción. Es habitual encontrar en muchos módems de red conmutada

la facilidad de respuesta y marcación automática, que les permiten conectarse cuando

reciben una llamada de la RTPC (Red Telefónica Pública Conmutada) y proceder a la

marcación de cualquier número previamente grabado por el usuario. Gracias a estas

funciones se pueden realizar automáticamente todas las operaciones de

establecimiento de la comunicación.

Plan de Contingencia: Conjunto de estrategias, acciones, procedimientos planificados

y responsabilidades definidas para minimizar el impacto de una interrupción imprevista

de las funciones críticas y conseguir la restauración de las mismas, dentro de unos

límites de tiempo establecidos. Sin que sea una regla general, se suele aplicar al plan

circunscrito a las actividades de los departamentos de Sistemas de Información.

Red: Una red de computadoras, también llamada red de ordenadores o red

informática, es un conjunto de equipos informáticos conectados entre sí por medio de

dispositivos físicos que envían y reciben impulsos eléctricos, ondas electromagnéticas

o cualquier otro medio para el transporte de datos para compartir información y recursos

. Este término también engloba aquellos medios técnicos que permiten compartir la

información.

Software: se conoce como software al equipamiento lógico o soporte lógico de una

computadora digital; comprende el conjunto de los componentes lógicos necesarios que

hacen posible la realización de tareas específicas, en contraposición a los componentes

físicos del sistema, llamados hardware.



Versión: 4


Página 7 de 44


Servidores: una aplicación informática o programa que realiza algunas tareas en

beneficio de otras aplicaciones llamadas clientes. Algunos servicios habituales son los

servicios de archivos, que permiten a los usuarios almacenar y acceder a los archivos

de una computadora y los servicios de aplicaciones, que realizan tareas en beneficio

directo del usuario final. Este es el significado original del término. Es posible que un

ordenador cumpla simultáneamente las funciones de cliente y de servidor.

S.O. (Sistema Operativo): un Sistema operativo (SO) es un software que actúa de

interfaz entre los dispositivos de hardware y los programas de usuario o el usuario

mismo para utilizar un computador. Es responsable de gestionar, coordinar las

actividades y llevar a cabo el intercambio de los recursos y actúa como intermediario

para las aplicaciones que se ejecutan.

Servidor espejo: con ese nombre se conoce a un procedimiento de protección de datos

y de acceso a los mismos en los equipos informáticos. Este sistema se implementa en

la tecnología de RAID 1.

Consiste en la idea básica de tener dos discos duros conectados. Uno es el principal y

en el segundo se guarda la copia exacta del principal, almacenando cualquier cambio

que se haga en tiempo real en las particiones, directorios, etc., creando imágenes

exactas, etc.

Telecomunicaciones: es una técnica consistente en transmitir un mensaje desde un

punto a otro, normalmente con el atributo típico adicional de ser bidireccional. El término

telecomunicación cubre todas las formas de comunicación a distancia, incluyendo radio,

telegrafía, televisión, telefonía, transmisión de datos e interconexión de computadoras

a nivel de enlace.

4. REFERENCIA NORMATIVAS

Resolución 305 de 2008: Por la cual se expiden políticas públicas para las entidades,

organismos y órganos de control del Distrito Capital, en materia de Tecnologías de la

Información y Comunicaciones respecto a la planeación, seguridad, democratización,

calidad, racionalización del gasto, conectividad, infraestructura de Datos Espaciales

y Software Libre.



Versión: 4


Página 8 de 44


CAPÌTULO 1

ANÁLISIS DE LA SITUACIÓN ACTUAL DE LOS SISTEMAS DE INFORMACIÓN

1.1 PRESENTACIÓN

El Plan de Contingencia de Sistemas de Información implica un análisis de los posibles

riesgos a cuales pueden estar expuestos nuestros equipos de cómputo y sistemas de

información en el IDEP. Corresponde a la Oficina Asesora de Planeación y al equipo de

operaciones tecnológicas aplicar medidas de seguridad para proteger y estar

preparados para afrontar contingencias y desastres de diversos tipos.

El Plan de Contingencia de los Sistemas de Información del IDEP está orientado a

establecer un adecuado sistema de seguridad lógica en previsión de desastres, para

establecer medidas destinadas a salvaguardar la información contra los daños

producidos por hechos naturales, técnicos, organizacionales, proveedores, soporte, falla

de hardware, errores humanos, entre otros.

La información como uno de los activos más importantes del Instituto, es el fundamento

más importante de este Plan.

1.2 PREMISAS DE PARTIDA

Es necesario precisar y delimitar una seria de supuestos sobre los cuales basar todas

las actualizaciones en las que se fundamenta el plan, dependiendo del comportamiento

de los factores se analizarán si son aplicables o no; también cabe mencionar los

supuestos para que la dirección determine si los resultados son positivos o negativos y

se requiera de corregir el plan.

El Plan se ha desarrollado sobre los siguientes supuestos:

Sólo el área habitual de trabajo ha sido afectada por el incidente; todos los lugares

alternativos predesignados están intactos.

Los almacenes externos de archivos críticos de Backup e información están

intactos y accesibles.

El personal cualificado en cantidad suficiente está disponible para realizar los

trabajos de recuperación.

Las copias de seguridad y su correspondiente rotación (incluyendo papel, fichas,

películas, y soportes electrónicos) se han realizado correctamente, y se ha

corregido cualquier riesgo identificado.

El Backup de las telecomunicaciones y las estrategias de recuperación

identificadas en otros capítulos del presente plan, están completamente realizadas

y comprobadas.



Versión: 4


Página 9 de 44


Las estrategias de recursos y soluciones de recuperación (por ejemplo: soluciones

de reposición de estaciones de trabajo) están disponibles, realizadas y

comprobadas satisfactoriamente.

Las organizaciones externas como proveedores y organismos públicos,

cooperarán razonablemente durante el periodo de los trabajos de recuperación.

Se han realizado adecuadamente los programas de pruebas del Plan y las

modificaciones pertinentes como consecuencia de su resultado.

La revisión del Plan, mantenimiento, y actualizaciones están realizadas con

periodicidad para asegurar que responde a las necesidades de cada momento.

1.3 FUNCIONES DE LA DIRECCIÓN

Las funciones de la Dirección del IDEP se limitan a la revisión y aprobación de cualquier

acción que exceda de las estrategias de respuesta y recuperación planificadas y

previamente aprobadas.

Solo en los casos en que el incidente haya sobrepasado las previsiones se precisa la

intervención directa de la Dirección.

En esos casos, el responsable de reportar los incidentes debe preparar informes para

la Dirección para ayudar a la gestión de cada día y a la toma de decisiones acerca de

cuestiones no previstas en el plan.

1.3.1. Informe a Dirección

En el supuesto de suceder cualquier incidente, la persona encargada de reportar, una

vez atendidas las decisiones más urgentes descritas en el Plan de Contingencia, emitirá

un informe a la Dirección con el siguiente contenido:

1. Estado de las actividades de respuesta a la emergencia:

Evaluación de los daños a los sistemas de información.

Respuesta de los organismos públicos.

2. Descripción del incidente:

¿Qué ocurrió?.

Localización del suceso.

Hora del suceso.

Supuesta causa.

3. Informe de daños a los servidores (si los hay):

Descripción del servidor.

Nombre y estado de los daños al sistema del servidor.

Daños potenciales adicionales.



Versión: 4


Página 10 de 44


4. Áreas afectadas:

Áreas afectadas.

Estado actual.

Posibilidad de acceso a corto plazo a los sistemas de información.

Impacto en las operaciones del negocio.

5. Plan de Acción:

Localización del Centro de Control.

Situación de las comunicaciones con los sistemas de información.

¿Qué se ha hecho hasta ahora?.

Planes a corto plazo.



Versión: 4


Página 11 de 44


CAPITULO 2

ANÁLISIS DE IMPACTO

2.1. IMPACTO Y TIEMPOS DE RECUPERACIÓN

Los impactos normalmente aumentan de forma acelerada dependiendo del tiempo que

lleve la restauración del servicio, los tiempos de respuesta se pueden organizar dentro

de los siguientes intervalos:

El mismo día (Día 0).

El día siguiente (Día 1).

Día 2.

Días 3 – 7.

Más de 7 días.

El gráfico siguiente ilustra un comportamiento típico de impacto en función del tiempo:

2.1.1. Impactos más comunes y tiempos de recuperación

Recuperación en el mismo día

Solamente unas pocas funciones de negocio requieren una respuesta o recuperación

en el mismo día. En el caso del IDEP no se considera que existan funciones críticas que

requieran una respuesta en un término inmediato, so pena de consecuencias graves

que afecten la estabilidad del Instituto.

Se debe tener en cuenta que pueden ocurrir fallos en la comunicación de la información

de un evento o desastre, trayendo como resultado reacciones negativas graves, esto

puede ser causado por situaciones tales como:

Falta de compresión por parte de los funcionarios, contratistas, practicantes y

docentes investigadores sobre los acontecimientos.

Sensación de incompetencia de la dirección percibida por usuarios externos,

funcionarios, contratistas y practicantes.

0123456789

Mismo día Día 1 Día 2 Días 3-7 > 7 Días

IMPACTO



Versión: 4


Página 12 de 44


1 – 2 días

Para el caso del IDEP el negocio puede sobrevivir durante un día de interrupción sin

que haya consecuencias amenazadoras para el Instituto, (por ejemplo, la interrupción

producida por un apagón). Sin embargo, después de uno o dos días, empiezan a

sentirse los impactos siguientes:

La comunicación con los diferentes usuarios (proveedores, profesores,

investigadores, representantes de diferentes entidades, entre otros), comienza

a deteriorarse sensiblemente.

Retraso de datos dentro de los sistemas de información que se encuentran en

producción del Instituto.

La comunicación y la información con las diferentes áreas que requieran de

retroalimentación de los datos, se deteriora progresivamente.

3 – 7 días

En el IDEP el impacto reportado en el marco de 3 – 7 días incluye:

Retraso de actividades financieras que se deben reportar a entidades

reguladoras Distritales.

Problemas contractuales graves (plazos incumplidos, cláusulas de penalización,

pleitos).

Información desarticulada de las áreas que requieran de continuidad (por

ejemplo, el área financiera tendrá información diferente a la de contabilidad)

Más de una semana

Es mucho menos común que exista información sobre impactos de interrupciones de

los servicios del servicio por plazos tan largos (por ejemplo, superior a una semana).

La mayor parte de las organizaciones no pueden predecir exactamente los impactos de

interrupciones gastarán todos los recursos que sean necesarios, para recuperar un

cierto nivel de servicio, dentro del plazo de una semana.

Incluso después de una recuperación con éxito de las funciones del negocio críticas, los

impactos negativos continuarán haciéndose notar las organizaciones que no estaban

preparadas:

La reconstrucción de la información, cuando es posible, es enormemente

costosa y demorada.

La pérdida permanente de información, impacta la competitividad a largo plazo

con entidades del mismo sector, (por ejemplo, pérdida de información histórica,

credibilidad de la entidad, entre otras).



Versión: 4


Página 13 de 44


La desmotivación y altas tasas de rotación del personal son frecuentes después

de que ocurra una interrupción demasiado prolongada.

2.2. RESUMEN PARA LA DIRECCIÓN

En el momento de realizar un análisis de impacto formal para el IDEP, si bien habrá de

ser realizado de forma exhaustiva, es favorable preparar un resumen para la dirección

general, anotando los elementos básicos del análisis, tanto desde el punto de vista del

planteamiento, como de sus resultados, conclusiones y propuestas a la dirección.

2.2.1. Objetivos del análisis

El objetivo del Análisis de Impacto es proporcionar a la dirección general del Instituto la

información necesaria para que pueda tomar decisiones en el desarrollo de su estrategia

de recuperación.

Para ello, el Análisis de Impacto debe establecer el grado de criticidad de dichas

funciones en la razón de ser del IDEP y el tiempo máximo a partir del cual la interrupción

de cada una de ellas es inaceptable.

Los objetivos básicos son:

Definir los tipos de impacto que se deberían considerar, (económico,

operacional, de cumplimiento, etc.).

Identificar las funciones críticas del IDEP.

Identificar el impacto causado al Instituto por la interrupción de cada una de ellas.

Informar a la Dirección General de los resultados anteriores para que pueda fijar

prioridades, definiendo cuáles son las funciones consideradas prioritarias y

establecer los umbrales máximos de recuperación para cada una de dichas

funciones.

Posibilitar la identificación de los recursos mínimos necesarios para una

recuperación satisfactoria de las funciones definidas como críticas y justificar su

adquisición.

2.2.2. Alcance del Análisis

El análisis de Impacto realizado se refiere exclusivamente a los efectos, tanto tangibles

como intangibles, que podrían causar entorpecimiento de las siguientes funciones

consideradas críticas por la dirección y subdirecciones del Instituto:

DIRECCION GENERAL



Versión: 4


Página 14 de 44


Celebrar los contratos, acuerdos y convenios que se requieran para los

cumplimientos de las funciones del Instituto.

SUBDIRECCIÓN ADMINISTRATIVA FINANCIERA Y DE CONTROL DISCIPLINARIO

Programar, dirigir, controlar y evaluar todas las actividades financieras y

administrativas del Instituto

Asegurar la funcionalidad de las actividades para la ejecución eficaz del

presupuesto del Instituto.

Informes consolidados que se soliciten dentro o fuera de la Institución.

TESORERÍA

Administrar y manejar el portafolio de inversiones de la entidad y garantizar que

los procesos relacionados con los ingresos de capital y pagos a cargo de la

entidad, cumplan a cabalidad con la normatividad vigente.

Elaborar los comprobantes de egreso para los correspondientes pagos.

Registrar los ingresos propios y las transferencias en los libros auxiliares de caja

y bancos.

Realizar todos los procedimientos de causación órdenes de pago, programación

anual mensualizada de caja PAC, pagos generales con orígenes presupuestal y

sin orígenes presupuestales.

PRESUPUESTO

Formular, organizar, coordinar, ejecutar, evaluar y controlar el manejo integral

de los recursos administrativos y financieros y el desarrollo de las actividades

presupuestales requeridas para su funcionamiento, dentro de una política de

mejoramiento continuo y calidad total.

Elaborar y mantener procedimientos que faciliten la gestión presupuestal.

El manejo de la programación presupuestal con sus actividades necesarias,

continúa con la modificación, ejecución y por último el cierre que debe realizarse

al final de cada año.

CONTABILIDAD

Administrar, coordinar, ejecutar y controlar el manejo integral de los recursos

financieros para el desarrollo de las actividades contables y presupuestales

requeridas para el funcionamiento de la institución.

Colaborar con el contador en la causación de las órdenes de pago.

Los archivos físicos y electrónicos se mantienen actualizados y ordenados para

el soporte de informes y auditorías.



Versión: 4


Página 15 de 44


TALENTO HUMANO

Realiza la interventoría a los contratos que le asignan, de acuerdo con los

términos de referencia y las políticas impartidas por las Directivas.

Ejercer control sobre el sistemas integrado de información.

SERVICIOS GENERALES

Manejar la caja menor de acuerdo con las normas establecidas, cuando así lo

requiera la Dirección General.


términos de referencia y las políticas impartidas por las Directivas.

Rendir la cuenta semestral correspondiente al movimiento del almacén, ante las

autoridades competentes.

Presentar informes periódicos sobre el control de consumos y rotación de

inventarios y presentar a Contabilidad el informe mensual de Almacén.

Administrar el Sistema Integrado del aplicativo SIAFI correspondiente al área del

Almacén.

El inventario y los libros reglamentarios se llevan en los módulos de almacén y

compras del sistema de información integrado SIAFI, de acuerdo con las normas

vigentes.

CONTROL INTERNO

Verificar los procesos relacionados con el manejo de los recursos, bienes y los

sistemas de información de la entidad y recomendar los correctivos que sean

necesarios.

Elaboración, ejecución y seguimiento del Plan de Acción de área.

OFICINA ASESORA JURÍDICA

Elaborar o revisar y aprobar los contratos con formalidades plenas, contratación

de mínima cuantía, convenio, resoluciones y demás actos administrativos que

deban suscribir la Dirección General u otras instancias del Instituto autorizadas

para ellos o dependencias de la Administración del Distrito Capital, previa

solicitud de la Dirección General o del área que así lo requiera.

OFICINA ASESORA DE PLANEACIÓN



Versión: 4


Página 16 de 44


Coordinar con las áreas de la Subdirección Académica la elaboración del

anteproyecto de inversión.

Elaborar los reportes de seguimiento a la ejecución a la ejecución física y

financiera solicitados periódicamente por el Departamento Administrativo de

Planeación Distrital.

Coordinar con el área de Presupuesto las modificaciones presupuestales de

inversión que sean necesarias para el normal funcionamiento de la entidad.

Realizar estudios sobre aspectos financieros y de costos de los planes y

proyectos del Instituto.

SISTEMAS. Apoyar, administrar, controlar y evaluar el desarrollo de los procesos

y procedimientos que requiera la entidad en el área de sistemas de información.

SUBDIRECCIÓN ACADÉMICA

SEGUIMIENTO Y EVALUACIÓN A LA POLÍTICA EDUCATIVA

Elaborar los proyectos de términos de referencia de las investigaciones que

deba realizar el Instituto en forma directa o mediante contratación.

Efectuar la interventoría a los contratos de investigación que realice el Instituto,

de acuerdo con los términos de referencia o mediante contratación.


términos de referencia y las políticas impartidas por las Directivas

COMUNICACIÓN, DIVULGACIÓN Y SOCIALIZACIÓN

Efectuar la interventoría que se le solicite, sobre los contratos que tengan por

objeto la divulgación y comunicación de las actividades del IDEP.

Desarrolla medios institucionales de comunicación para la mejor interacción de

la organización internamente y con el entorno.



Versión: 4


Página 17 de 44


CAPITULO 3

ESTRATEGIA DE CONTINGENCIA

Para que exista la continuidad del negocio en el IDEP, deben tener presente todas las

posibles alternativas reales, en costo y geográficamente.

Para el Instituto aplican:

3.1. EMPRESAS DE SERVICIO

Las empresas de servicios pueden ofrecer una copia de seguridad pasajera muy

ventajosa, es similar a usar el centro de cómputo del proveedor que está colaborando.

Para aplicar este tipo de alternativas se debe tener presente la capacidad suficiente de

hardware incluyendo la compatibilidad. Adicionalmente, no se puede dejar a un lado

todas las características lógicas, de espacio y hardware de la empresa que está

prestando el servicio.

Cualquiera que sea el caso, se debe tener en cuenta el tiempo contratado y en lo posible

el máximo estipulado en el contrato.

También deben tener presente las condiciones de uso de ocurrencia por otros clientes

que tenga la empresa prestadora del servicio, de la existencia de respaldo del centro

alternativo al centro principal en caso de presentarse una falla.

Por último la evaluación de los costos y la revisión de los servicios adquiridos, con el fin

de revisar que no sea otro tipo de contrato.

3.2. COMUNICACIONES ALTERNATIVAS

Determinado la magnitud del incidente, se puede optar por un centro alternativo remoto.

Al momento de los usuarios requieran acceder, lo pueden realizar en cualquier punto

interno o externo del Instituto. Para esto requiere de una red de comunicaciones que

tenga este servicio de conexión.

3.3. PROCEDIMIENTO DE BACKUP O COPIA DE SEGURIDAD

El área que se encarga del proceso de las copias de seguridad tanto de los

computadores y servidores que se encuentran en producción del IDEP, realiza esta

actividad con el único objetivo de respaldo en caso de presentarse una emergencia; esto

incluye las bases de datos de cada uno de los sistemas existentes y la información que

tiene cada funcionario del Instituto.



Versión: 4


Página 18 de 44


Para una protección más tangible, estas se deben almacenar en un lugar fuera del

centro de cómputo en condiciones ambientales que permita la seguridad de la

información. Para tener un registro del Backup, se tiene los formatos aprobados.

3.4. CENTRO DE ALMACENAMIENTO EXTERNO

Una medida que se debe tener en cuenta es un armario ignífugo en un sótano, cuarto

alejado o sitio en donde no es admisible todo el público. Como primera medida, este

armario solamente protege contra el incendio y aún así, durante un tiempo limitado

(aproximadamente unos 120 minutos). Pasado este tiempo ya se empieza a notar el

deterioro de componentes plásticos.

Aún teniendo presente este medio de seguridad para el almacenamiento de la

información de las copias de seguridad, es necesario acudir a otras alternativas.

3.4.1. Solución propia

Es la solución más accesible e inmediata, sin embargo, no suelen mantener las

condiciones de seguridad mínimas exigibles, sobre todo por la dejadez y costes. Es una

solución costosa, si se quiere realizar con un mínimo de garantía, debido a la necesidad

de ocupación de un espacio dedicado y acondicionado, por la logística de traslado y

sobre todo tener personal dedicado a la gestión del almacenamiento externo. Si se

sumasen estos costos internos, se vería que una solución cara.

A parte de todos estos inconvenientes, está el más grave, la dejadez. El realizarlo uno

mismo hace relajarse en los respaldos, en los envíos, y en sobre todo en el control de

la información almacenada, con lo que se crean archivos estáticos, y lo que es más

grave, muchas veces no se sabe si la información salvada y almacenada se encuentra

completa. Si se plantea realizar este servicio de una forma interna a continuación se

recomienda una serie de consejos para tener una cámara de almacenamiento en

condiciones.

Accesibilidad: Las 24 horas del día, 365 días del año.

Resistencia al fuego: La resistencia al fuego de los muros, paredes, o paneles

exteriores de la cámara de seguridad, debe ser de 120 minutos (RF-120) cómo mínimo.

Temperatura contralada: Aunque la temperatura en la cual los soportes magnéticos

empezaría a sufrir consecuencias irreparables es de aproximadamente 55 grados, por

degradación y mantenimiento se hace necesario mantener la temperatura de 20 grados.

Ello obliga a sistemas de acondicionamiento de aire redundantes, con toma de aire

fresco externo, con energía eléctrica alternativa y dotados de sensores de alarma y de



Versión: 4


Página 19 de 44


activación de acciones de emergencia, por ejemplo llamadas telefónicas automáticas a

personas del servicio de mantenimiento.

Humedad controlada: Los soportes magnéticos se deterioran a partir de una humedad

relativa del aire superior al 85%, pero para un mantenimiento continuo se recomienda

una humedad relativa del 50%. Ello obliga a un control de humedad por el sistema

acondicionamiento de aire descrito anteriormente, dotado también de sensores y

activación de alarma.

Resistentica al aplastamiento: La cámara debe ser capaz de aguantar el derrumbe de

las estructuras superiores, con lo cual su construcción resulta cara y compleja.

Hermeticidad ante gases: Si la zona que la rodea, emite gases corrosivos en caso de

incendio, la cámara debe contar con estanqueidad ante la penetración de dichos gases,

es decir, sus ventanas y puertas deben ser CORTAFUEGOS y no PARALLAMAS, que

es lo que habitualmente se monta.

Una puerta cortafuegos se diferencia de una parallamas es que la primera impide el

paso de gases y la segunda no, aún siendo las dos resistentes al fuego. Esto se

consigue normalmente con el sellado de ventanas y cierres a base de siliconas

intumescentes, es decir, que se hinchan en caso de fuego, sellando todos los escapes.

Hermeticidad ante agua: En el caso de actuación de los bomberos en la zona

circundante, de rotura de cañerías, desagües, inundación externa, etc., la cámara debe

tener propios desagües y la puerta debe elevada con una rampa de acceso.

Medidas de seguridad adicionales

Sistema de detección

Deben existir detectores de humo iónicos, no son necesario detectores de calor

y humedad si ha sido instalado un sistema de control de temperatura y de

humedad.

Sistema de extinción

Debe existir un sistema de extinción no de agua, con detección y disparo

autónomo.

Cierre rápido: En el caso de que se produjera un desastre súbito mientras se

está en la cámara, es normal salir corriendo dejando la puerta abierta.

La puerta debe tener cierre automático inbloqueable y, eso sí, contar con

medidas de emergencia para que no se quede atrapada ninguna persona dentro;

por ejemplo, con una puerta pequeña de escape, telefónico interior e iluminación

de emergencia.

Protección contra el robo. La puerta, cerradura, etc., deben ser resistentes a la

agresión.

CAPITULO 4.



Versión: 4


Página 20 de 44


EQUIPOS DE RECUPERACIÓN

Los equipos de recuperación son grupos de personas que se encargan de una serie de

actividades para conseguir un proceso de recuperación efectivo. Cada equipo puede

constar de una sola persona, y una persona puede pertenecer a más un equipo,

dependiendo de las circunstancias.

Como es de importancia, el Comité de Sistemas, Informática y de Seguridad de la

Información deberá coordinar la conformación de tales equipos y quedar registrado

mediante acta, para dejar evidencia de la aplicación del presente documento.

Esta elección será de libre nombramiento con el nivel de personal necesario para su

ejecución, teniendo presente la información necesaria que será ubicada en los cuadros

correspondiente a cada grupo.

Por último, se deberá entrenar constantemente a cada miembro de los equipos ya que

al momento de presentarse una emergencia de nivel grave, puedan entrar a liderar y

mantener la calma de los empleados públicos y continuar con las labores diarias.

4.1. COMPOSICIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS

Este equipo será responsable de la rápida y efectiva reimplementación de las

instalaciones informáticas después del desastre. Cuando se pide el servicio de

recuperación, el suministrador de los servicios de respaldo pondrá a disposición del

usuario un técnico auxiliar que será capaz de responder a la petición de servicio.

Las funciones básicas serán:

Instalación de la solución de recuperación.

Aviso a la empresa de respaldo o soluciones propias.

Petición de las copias de seguridad adecuadas de programas y datos.

Prueba de la máquina de respaldo o servidores en producción.

Restauración de las comunicaciones locales.

Restauración de las comunicaciones remotas.

Obtención de soportes magnéticos nuevos para Backup, material preimpreso y

suministros.

Recuperación de las copias de seguridad del sistema operativo, programas y

datos.

Restauración del sistema operativo, software de aplicaciones y datos.

Realizar las pruebas de comprobación de la calidad de las aplicaciones

restauradas.

4.2. FUNCIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS



Versión: 4


Página 21 de 44


Cada actividad de este plan está identificada por un número de suceso. Durante una

crisis, el equipo recibirá una lista de acciones a realizar y reportar al coordinador del

proceso de respuesta y continuidad de las operaciones del Instituto.

Las funciones que se relacionan a continuación son las básicas que se deben cumplir

al momento de presentarse una emergencia:

FUNCIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS

Ref. Descripción de la función

4.2.1 Restaurar las comunicaciones locales

4.2.2 Obtener soportes digitales nuevos

4.2.3 Dar instrucciones, cuando proceda, a la empresa proveedora del servicio de

Backup para desencadenar los procedimientos correspondientes.

4.2.4

Si se trata de reposición de máquinas, decidir el lugar adecuado para su

instalación. Si es el traslado a un centro fijo, comunicarlo al suministrador del

servicio para realizar el traslado en el tiempo acordado

4.2.5 Probar máquinas de respaldo

4.2.6 Comprobar si hay energía disponible. De no ser así, poner en marcha el

sistema de alimentación alternativo

4.2.7 Recuperar las copias de seguridad si están custodiadas en un

almacenamiento externo a la sala de sistemas

4.2.8 Instalar y configurar el sistema operativo en la máquina de respaldo

4.2.9 Restaurar las aplicaciones y datos en la máquina de respaldo

4.2.10 Probar y verificar las aplicaciones

4.2.11 Determinar cuántas estaciones de trabajo es necesario sustituir

4.2.12 Implementar nuevos procedimientos de registro y procedimientos de Backup

de emergencia

4.2.13 Identificar las necesidades de soportes y suministros de Backup.

4.2.14 Si está dañada la línea telefónica, prever el uso de teléfonos móviles y la

sustitución de la línea telefónica

4.2.15 Restaurar las comunicaciones de la red de datos

4.2.16 Coordinar el arranque de los sistemas y mantener informados del progreso a

los usuarios



Versión: 4


Página 22 de 44


CAPITULO 5.

PLAN DE ACCIÓN

El aspecto más importante de la continuidad del negocio es la inmediata notificación al

responsable apropiado de cualquier suceso que pueda causar una interrupción en las

operaciones informáticas, con independencia de su dimensión. El enemigo más grande

de combatir es el tiempo, por ello, las acciones a realizar deben estar perfectamente

definidas así como los responsables de llevarlas a cabo y el momento de realizarlas.

Cualquiera que sea el inconveniente presentado, se le debe dar aviso al coordinador de

las acciones de respuesta o contingencia o al que haga sus veces.

Al momento de recibir la notificación de un incidente, el coordinador del Plan tomará

acción según se especifica en la lista de actividades del la gestión del mismo, poniendo

en marcha los procedimientos correspondientes.

Para ser más claros en los conceptos que se manejarán, se definirán a continuación

tres grandes familias con denominación genérica.

Procedimientos de emergencia. Son actuaciones inmediatas al incidente que tratan

de proteger la integridad de la infraestructura y la información, atajar la progresión del

incidente y pararlo en la medida de lo posible, realizando la correspondiente evaluación

de daños.

Procedimientos de respuesta. Son actuaciones de cada área o servicio que tienden a

sustituir los procedimientos habituales de trabajo por otros alternativos que, aunque no

reproduzcan totalmente las funcionalidades de cada área o servicio, permiten atender

las necesidades más inmediatas y críticas de los mismos.

Procedimientos de recuperación. Normalmente referidos a actividades de los

sistemas de información, como son los procedimientos que permiten volver a utilizar

datos, aplicaciones, sistemas operativos, etc.

5.1. DEFINICIÓN DE DESASTRE Se deben observar las directrices siguientes teniendo en cuenta el nivel de gravedad en

función del periodo de la interrupción previsto. Esto se hará para establecer el nivel de

la activación del plan.

Las categorías son las siguientes:

Desastre menor.

Desastre mayor.

Desastre catastrófico.

Desastre menor



Versión: 4


Página 23 de 44


Se puede definir como desastre menor aquel que provoca una parada que no sobrepase

las cuatro horas.

Desastre mayor

Se puede definir como desastre mayor aquel que provoca una parada de más de cuatro

horas y que no sobrepase un día.

El daño aquí puede ser ligeramente mayor que en el caso anterior, por ejemplo, el

causado por inundación de la sala o apagón de los servidores por una descarga

eléctrica.

Desastre catastrófico

Cuando el sistema informático vaya a estar fuera de servicio más de un día y que no

sobrepase una semana, se puede calificar como desastre catastrófico.

La severidad del daño de un desastre catastrófico pude incluir la destrucción total del

centro informático, que puede suponer la sustitución completa de hardware, software y

una renovación significativa de la instalación.

5.2. ACTIVACIÓN DE PROCEDIMIENTOS DE EMERGENCIA

El Líder de grupo de emergencia evalúa la emergencia y determina si el plan de

contingencia debe ser activado. El plan de contingencia de los sistemas de información

debe ser activado si una o más de las siguientes condiciones son verdaderas:

Interrupción total de las operaciones del Centro de Cómputo ubicado en la oficina

402B del Centro Empresarial Arrecife por un periodo mayor a 4 horas.

No disponibilidad total de los Sistemas de Información soportados en el Centro

de Cómputo ubicado en la oficina 402B del Centro Empresarial Arrecife por un

periodo mayor a 4 horas, debido a daños en hardware y/o software de los

equipos servidores o pérdida de conectividad.

Otro criterio que se considere apropiado.

5.2.1. Notificación de primera alerta

Dependiendo de la naturaleza del incidente, el día, hora y ubicación, la notificación será

descrita en estos ambientes. La respuesta inicial se dará con los procedimientos que

tengan en el Instituto y las prácticas operativas estándar.

Los procedimientos siguientes muestran un flujo típico de las notificaciones y acciones

iniciales del aviso de emergencia.



Versión: 4


Página 24 de 44


Al momento de ser avisado o ser testigo del incidente, los pasos a seguir son los

siguientes:

Dar aviso de lo sucedido a la persona encargada de sistemas, por vía escrita.

Esto debe contener lo siguiente:

o Nombre completo;

o Descripción del incidente;

o Informe preliminar de los daños presentados;

o Información acerca de cualquier intento de notificación anterior;

o Número de teléfono, correo o cualquier medio en donde pueda ser ubicado.

Al momento de realizar el paso anterior, la persona encargada de sistemas

deberá avisar al jefe del equipo de Gestión de Incidentes o quien haga las

veces.

El jefe del equipo de Gestión de Incidentes decidirá las acciones a tomar,

pudiendo convocar al resto de los miembros del equipo para poner en marcha

el Plan de Contingencia o permanecer en alerta hasta nueva orden.

5.2.2. Escalado de problemas

Un aspecto crítico en la recuperación de desastres es la inmediata notificación al

personal apropiado, para que las operaciones de detención de la emergencia, o el

activado del Plan de Acción, sean iniciadas lo antes posible.

Los objetivos de esta actividad son:

Determinar QUIÉN debe ejecutar la acción.

Determinar el TIEMPO MÁXIMO permitido para la ejecución de la acción.

En caso de no tener éxito en la acción, determinar QUIÉN debe ser avisado a

continuación para hacerse cargo del problema y de su resolución.

Si el tiempo pasa y las acciones de resolución del problema no tienen éxito,

determinar en qué nivel de gravedad se encuentra la organización, por medio de

un sistema de graduación de alertas.

Resumiendo, el procedimiento de Escalado del Problema pretende evitar que una

emergencia menor pueda llegar a convertirse en un desastre:

Tardando demasiado tiempo en solucionarla.

No informando a niveles superiores, para que aporten su experiencia, autoridad,

o medios extraordinarios, en la solución.

RESPONSABILIDAD

Una emergencia debe ser tratada en su origen por:

Personal designado para ello en el Plan de Acción.



Versión: 4


Página 25 de 44


Personal no designado pero entrenado, o informado de los procedimientos de

notificación.

Si no hay nadie de los anteriores, cualquier persona que se encuentre con el

problema.

ACCIONES A EJECUTAR

Esta persona deberá:

Detenerlo y solucionarlo si es su responsabilidad.

Si no es su responsabilidad, intentar detenerlo si lo cree posible y no puede

causar daños mayores o correr riesgos innecesarios.

Informar A LA MAYOR BREVEDAD, al personal implicado en el Plan de Acción,

y si no lo conoce, a sus superiores o al departamento que le corresponda.

TIEMPO

En la detección del problema y activación de medidas resolutorias son piezas

fundamentales:

El conocimiento y entrenamiento en las acciones a realizar.

El tiempo MÁXIMO a invertir en ellas.

En las guías de escalado que se acompañan, se ha asignado un tiempo máximo

de realización para cada tarea. Este tiempo, deberá ser objeto de revisión

continua a lo largo de la vida del Plan de Acción y se modificará como

consecuencia del entrenamiento, de las pruebas y de la inclusión / supresión /

modificación de acciones.

NOTIFICACIÓN

Uno de los aspectos peor resueltos de los planes de contingencia, está referido a la

notificación:

A QUÍEN notificar. (Superior, coordinador del Plan de Acción).

CUÁNDO notificar. (Al momento de presentarse la situación con denotación de

emergencia).

CÓMO notificar. (De manera escrita u oral).

DÓNDE y CÚANDO celebrar la primera reunión. (En la oficina de la Dirección

General).

En las guías de escalado del problema de esta sección, quedan especificados los dos

primeros puntos. En cuanto a la mecánica de notificación, se seguirá en principio la

forma general, esto es:

Se avisará al jefe del equipo de Recuperación. Si no es posible localizarle, se

avisará a su suplente.

El jefe del equipo avisará a los miembros de su equipo.



Versión: 4


Página 26 de 44


En ambos casos se utilizarán los teléfonos de localización en caso de

emergencia. Esta lista obrará en poder del jefe a cargo y del responsable del

plan.

En la notificación se indicará:

Tipo de desastre ocurrido.

Daños que se estiman de forma muy general.

Lugar previsto para la reunión de equipos afectados.

Hora límite de comienzo de la reunión.

A partir de aquí se pondrán en funcionamiento los procedimientos de respuesta y

recuperación de cada equipo.

Guía de escalado de problema

A las __.__ horas, del __.__.__ se ha producido una interrupción de las operaciones

Paso Acción a realizar Minutos

permitidos Resultado

Tiempo

acumulado

1

El responsable de la

operación, Dr.

______________ se

hace cargo del

problema.

Si el problema está resuelto

ir al paso 'Final de

Emergencia'

Si no lo está, se avisará al

Jefe que siga en el conducto

regular

2

El Jefe, Dr. _________

se hace cargo del

problema

Si el problema queda

resuelto, ir al paso 'Final de

Emergencia'

Si no lo está, se avisará al

Jefe que continúe con el

conducto regular

3

El Jefe de Explotación,

Dr. _____ se hace cargo

del problema.

Si el problema queda

resuelto, ir al paso 'Final de

Emergencia'

Si no lo está, informará de

ello al Jefe del Equipo de

Gestión de Incidentes. La

organización se encuentra

en Alerta 1

4

El Jefe del Equipo de

Gestión de Incidentes

convocará a los

miembros del equipo

para celebrar la reunión

de activación del Plan

El Plan queda activado y

los equipos de

recuperación entran en

acción



Versión: 4


Página 27 de 44


Este formato es una propuesta para el momento de presentarse una emergencia que

justifique su uso.

A partir de aquí, y dependiendo de las funciones de cada equipo, se establecerá

igualmente una lista de chequeo de actividades y tiempos previstos de forma que el total

de tiempos necesarios para el conjunto de actividades de todos los equipos, hasta

conseguir la continuidad de las operaciones, unido al tiempo acumulado indicado en la

tabla anterior. Se ajuste a las necesidades marcada por los umbrales de recuperación

indicados al inicio del documento.

INFORME DE EMERGENCIA

Una vez que el Plan de Contingencia haya sido puesto en práctica y se hayan

recuperado las funciones críticas, el jefe del equipo de Gestión de Incidentes elaborará

un informe con el siguiente formulario:

INFORME DE EMERGENCIA

EMERGENCIA NUMERO:

_____

DETECTADA

POR:_________

DPTO.

__________

ACCIONES REALIZADAS HORA FECHA

EMERGENCIA DETECTADA

ACCIÓN REALIZADA:

_______________________

PRIMERA ACCION TERMINADA SIN ÉXITO

JEFE DE TURNO AVISADO

JEFE DE TURNO EN EL CPD1

ACCIÓN REALIZADA:

_______________________

SEGUNDA ACCION TERMINADA SIN ÉXITO

JEFE EXPLOTACION AVISADO

JEFE EXPLOTACION EN EL CPD

ACCIÓN REALIZADA:

_______________________

TERCERA ACCION TERMINADA SIN ÉXITO

1Referencia de internet: http://bit.ly/1OcfoB0 . Centro de proceso de datos, ubicación de los recursos necesarios para el procesamiento de información de una organización.

http://bit.ly/1OcfoB0



Versión: 4


Página 28 de 44


RESPONSABLE DEL PLAN AVISADO

RESPONSABLE DEL PLAN EN EL CPD

ACCIÓN REALIZADA:

_______________________

CUARTA ACCION TERMINADA SIN ÉXITO

CENTRO EN ALERTA 1

ACCIÓN REALIZADA:

_______________________

LA EMERGENCIA FUE RESUELTA A LAS

5.2.3. Evaluación de daños

Se celebrará una reunión del equipo de Gestión de Incidentes para estudiar las

necesidades de evaluación, revisando:

Procedimientos de valoración.

Necesidades de información y formularios.

Revisiones de seguridad de personas e instalaciones.

Cualquier información especial relacionada con seguros.

NOTA: El acceso a las instalaciones después de un fuego, será probablemente

denegado durante un periodo de 24 horas o mayor.

Una vez sea permitido el acceso al edificio, se realizará una inspección in situ de

las áreas afectadas para evaluar el daño de:

.1. Equipos electrónicos (destrucción, recuperación a corto plazo, o

posibilidad de uso inmediato – no recuperación de contenidos).

.2. Archivos esenciales – copias impresas (archivos, manuales, discos

duros, instaladores, documentación, etc.) y datos en otros soportes

(datos en estaciones de trabajo, etc.) – para ayudar en las necesidades

más urgentes de recuperación y permitir el establecimiento de un plan

general de restauración/recuperación.

Obtener una evaluación de los daños de los siguientes elementos realizada por

los miembros del equipo de Gestión de Incidentes:

.1. Tiempo de reparación de los equipos electrónicos y de

telecomunicaciones (ordenadores personales, terminales, equipos de

comunicaciones);

.2. Instalaciones físicas (edificio, salas instalaciones de suministro de

energía, aire acondicionado, etc.)

Inmediatamente después de la inspección del lugar, los miembros del equipo se

ocuparán de recopilar la información siguiente:



Versión: 4


Página 29 de 44


.1. Documentación de los resultados de la evaluación de daños usando un

impreso similar al que se describe a continuación:

FORMULARIO DE EVALUACIÓN DE DAÑOS

Equipo de recuperación :

Área afectada:

Elemento Restaurable (SI/NO) Tiempo estimado de restauración

.2. Identificación de las prioridades de restauración de los elementos

dañados, informando qué registros vitales y equipos electrónicos

necesarios para las actividades de recuperación podrían ser restaurados

rápidamente, o los que tienen el mayor impacto negativo en las

operaciones de la organización.

5.3. PROCEDIMIETOS DE RESPUESTA

Los procedimientos de respuesta pueden ser activados muy rápidamente, pero

usualmente son solo medidas de emergencia y, por lo general, no son suficientes para

las operaciones del negocio a más largo plazo. Los procedimientos de respuesta están

basados típicamente en equipos y facilidades utilizadas específicamente para ese fin.

Son a menudo lo único que se requiere durante las interrupciones breves del negocio.

Los servicios informáticos y de comunicación serán responsables de la valoración de

hardware dañado, así como la reubicación de dichos equipos. Además, esta área

ayudará a las otras áreas afectadas en la recuperación de sus datos, estaciones de

trabajo y red de comunicaciones.

1. Presentarse en la Dirección General según instrucciones recibidas durante la

alerta.

2. Participar en la reunión de activación dirigida por el equipo de Gestión de

Incidentes.

3. Conseguir todos los detalles posibles en relación a lo siguiente:

Detalles específicos relacionados con el suceso, como tipo de suceso, lugar,

duración, causa.



Versión: 4


Página 30 de 44


Espacio físico potencialmente afectado, acceso al edificio y acceso potencial

a corto plazo.

Cualquier instrucción especial.

4. Contactar inmediatamente con el equipo de proveedores para obtener apoyo en

la evaluación del daño y actividades de restauración.

5. Coordinar las siguientes actividades de evaluación del daño en las instalaciones:

Recopilar los datos necesarios de los siguientes elementos:

Servidores.

Estaciones de trabajo.

Equipos de comunicaciones y líneas.

Impresoras

Computadores personales.

Otros equipos.

6. Coordinar con el equipo de Gestión de Incidentes, la estimación del tiempo

necesario para la reconstrucción del centro de proceso de datos.

7. Revisar posibles alternativas de trabajar en centros alternativos.

8. Coordinar los datos en el centro de almacenamiento externo, regularizando la

entrega de los datos de recuperación a las áreas afectadas.

9. Si se quiere un espacio físico alternativo para alojar un nuevo centro de proceso

de datos, asegurarse de que las necesidades particulares de la instalación son

conocidas por los responsables de su contratación. Tener en cuenta los

requisitos particulares siguientes:

Alimentación de energía eléctrica

Cableado

Aire acondicionado.

Otros.

10. Coordinar con el área Financiera, Servicios Generales, Planeación y Jurídica la

adquisición de computadores personales y servidores, además del software

adecuado, según se especifica en la lista de recursos mínimos necesarios de

cada área.

11. Pedir estimación de costos y disponibilidad de los principales proveedores

potenciales.

12. Una vez se reciban los primeros ordenadores personales, asignar personas que

se ocupen de configurar los equipos de acuerdo con las necesidades definidas

en la lista de recursos críticos de cada equipo.

13. Coordinar el cableado de nuevo centro y los suministradores externos.

14. Ayudar a los departamentos afectados en la recuperación de sus datos utilizando

sus copias de seguridad.

15. Coordinar la retirada de los elementos recuperables con vendedores y

representantes de la compañía de seguros.

16. Restablecer el acceso a la red de datos.



Versión: 4


Página 31 de 44


17. Contactar inmediatamente con el proveedor de telecomunicaciones para obtener

soporte presencial en el sitio para la evaluación de los daños y actividades de

recuperación.

18. Coordinar las actividades de evaluación de daños con Servicios Generales para

evaluar la extensión del daño a telecomunicaciones de voz y datos:

Sistemas y periféricos de la sala de sistemas.

Instalaciones de entrada de cables.

Cableado del edificio y armarios de telefonía.

Posibilidades de re-direccionamiento.

Equipos y líneas de comunicación de datos.

Coordinación en estimación del marco de tiempo para la reconstrucción de

las comunicaciones normales.

19. Coordinar actividades de soporte para la recuperación de voz y datos.

20. Revisar el listado de recursos mínimos necesarios a las áreas afectadas para

obtener las necesidades inmediatas de telecomunicaciones de las unidades

operativas que inician actividades inmediatas de recuperación.

21. Coordinar con el área de Servicios Generales la adquisición de teléfonos.

22. Pedir al proveedor de telecomunicaciones que re-direccione las líneas

telefónicas y conexiones de internet de la organización al lugar donde estén

ubicados.

23. Recuperar los circuitos de datos.

24. Cableado necesario para la recuperación de las comunicaciones del IDEP.



Versión: 4


Página 32 de 44


CAPITULO 6.

PRUEBAS Y ACTUALIZACIÓN

6.1. PRUEBAS Y ENTRENAMIENTO DEL PLAN

El programa de pruebas y entrenamiento debe constar, como mínimo, de tres

elementos:

Revisiones periódicas.

Ejercicios de entrenamiento.

Pruebas técnicas.

Es aconsejable establecer una programación anual de estos tres ejercicios para

asegurar su ejecución.

Después de cada revisión o ejercicio, los diversos componentes del plan deben ser

actualizados, si procede, con las experiencias obtenidas de los mismos.

6.1.1. Revisiones periódicas

Las revisiones deben comprobar los siguientes puntos:

¿Siguen siendo válidas las premisas de partida sobre las que se construyó el

plan?

¿Se han transformado en críticas, funciones de negocio que antes no lo eran?

¿Están todavía disponibles los recursos de recuperación, incluyendo las copias

de seguridad actualizadas en el almacenamiento externo?

¿Son todavía apropiados, en cantidades y umbrales de recuperación, los

recursos críticos que se han definido?

¿Ha habido algún cambio en la criticidad de alguna información, que ahora la

haga esencial para la recuperación?

¿Son todavía apropiados los umbrales de recuperación de las funciones de

negocio identificadas como críticas?

6.1.2. Pruebas técnicas

Una buena parte del funcionamiento del plan se basa en el buen funcionamiento de la

tecnología. Algunos elementos del plan requieren pruebas reales para asegurarse que

todo funcionará según lo previsto. Se recomienda una prueba anual de determinados

elementos tecnológicos y logísticos del plan. Estas recomendaciones están basadas en

la experiencia de muchos ejercicios de recuperación y en dificultades surgidas, tanto en

pruebas como en casos reales de recuperación.



Versión: 4


Página 33 de 44


Restaurar todos los servicios de copias de seguridad de computadores y red de

datos.

Comprobar la idoneidad de las copias de seguridad de bases de datos,

aplicaciones, instaladores de los aplicativos en producción, archivos en general,

existentes en el almacenamiento externo y su posibilidad de lectura. Igualmente

con toda la información almacenada en otros soportes.

Verificar la disponibilidad de los proveedores de recursos críticos.

Recuperar los elementos custodiados en el almacenamiento externo utilizando

la logística descrita en el plan.

Efectuar algunas transacciones y procesos reales utilizando los recursos y

registros identificados en el plan.

6.2. MANTENIMIENTO DEL PLAN

El Plan de Contingencia debe estar al día si queremos que sea útil en el momento de la

recuperación. El equipo de Gestión de Incidentes tiene como responsabilidad primaria

el mantener el plan actualizado. Además, deben ser consideradas algunas cuestiones

aparte de los planes de recuperación individuales. Revise estas cuestiones para

asegurar que se han establecido los procedimientos adecuados, tanto dentro como

fuera del plan.

Cuando sea necesario realizar cambios, se enviará copia de los cambios requeridos a

la persona a cargo del Plan de Contingencia para su revisión. La persona responsable

debe:

Revisar los cambios propuestos y verificar que se ha recibido la correspondiente

aprobación de la Dirección General para el cambio propuesto.

Si el cambio es de naturaleza técnica, refleja un cambio en la logística de

recuperación de negocio, o afecta a diferentes equipos de recuperación, el

responsable del plan debe enviar las revisiones propuestas a todos los equipos

afectados para su conocimiento y aprobación, si tal aprobación es necesaria.

Distribuir las copias necesarias del plan a los miembros del equipo de Gestión

de Incidentes.

6.2.1. Actualizaciones

El responsable del plan deberá:

Mantener una copia actualizada de su Plan de Contingencia en su casa y en la

oficina.

Asegurar que todos los miembros del equipo y el personal alternativo tienen una

copia actualizada de este Plan en su casa.

Asegurarse que todo el personal del equipo de recuperación considera las

actividades de recuperación como una parte de sus actividades diarias.



Versión: 4


Página 34 de 44


Asegurarse que las actividades de copias de seguridad y almacenado de los

registros vitales, incluyendo los correspondientes a PCs, están siendo

ejecutadas.

Mantener al día el Plan de Contingencia, incluyendo todos los procedimientos,

listado y registros del equipo actualizados. Actualizar este plan en cualquiera de

las siguientes circunstancias:

o Cambios en el personal del área incluido en el informe de composición

del equipo.

o Cambios significativos en las necesidades de la recuperación del

negocio, que supongan cambios en cualquier umbral de recuperación o

en los informes de recursos críticos.

o Cambios significativos en los procedimientos de la recuperación del

negocio, como la incorporación de nuevas características del negocio o

cambios en el instituto.

Participar en el Programa de Pruebas del Plan de Contingencia.



Versión: 4


Página 35 de 44


CAPITULO 7.

LISTA DE DISTRIBUCIÓN

El Plan de Contingencia debe ser distribuido al personal que deba participar en cualquier

fase del proceso de recuperación o deba estar informado del mismo. Nadie ajeno a la

organización debe poder leer, revisar, copiar o verificar el plan, sin previa autorización

escrita.

Del plan se harán, por tanto, tantas copias como sea necesario, pero éstas deben estar

numeradas y relacionadas en una lista que figurará como un capítulo más del plan,

siguiendo un modelo similar al siguiente:

EJEMPLAR No. Asignado a Cargo



Versión: 4


Página 36 de 44


BIBLIOGRAFÍA

Gaspar Martínez Juan, 2006. EL PLAN DE CONTINUIDAD DE NEGOCIO, Guía

práctica para su elaboración. Editorial Díaz de Santos.2

Internet

http://www.alegsa.com.ar

http://www.google.com

2 Nota aclaratoria: el presente documento fue desarrollado y en algunas secciones transcrito del libro original en donde se aplicó y enfocó al IDEP. Resalto el trabajo y originalidad del documento utilizado para tal fin del autor Juan Gaspar Martínez.

http://www.alegsa.com.ar/

http://www.google.com/



Versión: 4


Página 37 de 44


ANEXO 1. PLAN DE CONTINGENCIA AL SISTEMA DE INFORMACIÓN ADMINISTRATIVO

Y FINANCIERO SIAFI.

1. Objetivo General

Recuperación en la continuidad de las operaciones en el Sistemas de Información

Administrativo y Financiero SIAFI que el IDEP tiene en producción, para garantizar la

disponibilidad, integridad y autenticidad de la información institucional hacia los usuarios de

la entidad.

2. Objetivos Específicos

a. Respaldar y garantizar el correcto almacenamiento y recuperación de la

información contenida en la base de datos y aplicativo del Sistema de

Información Administrativo y Financiero SIAFI de la entidad.

b. Realizar pruebas de funcionamiento a los backups (copias de respaldo o de

seguridad) del sistema de información SIAFI.

c. Garantizar la continuidad de las operaciones administrativas y financieras de la

entidad.

d. Garantizar la integridad y autenticidad de la información recuperada de los

bakcups (copias de respaldo o de seguridad).

3. ALCANCE

El Plan de Contingencia al Sistema de Información Administrativo y Financiero SIAFI, está

enmarcado dentro del PLAN DE CONTIGENCIA TECNOLÓGICA IDEP PL-GT-12-02, tiene

como alcance la recuperación de la normalidad en las operaciones administrativas y financieras

de la entidad, cuando se presente pérdida total o parcial en la disponibilidad, integridad y/o

autenticidad del sistema de información SIAFI.

Este plan identifica las actividades específicas que deben desarrollar, el personal técnico del

IDEP, con el apoyo de la empresa ITGOP, quien es proveedor del sistema de información SIAFI.

4. PLAN DE ACCIÓN

A continuación se presentan las actividades, responsables y tiempos para el desarrollo de la

implementación del presente plan de contingencia.



Versión: 4


Página 38 de 44


ÍTEM ACTIVIDAD DESCRIPCIÓN RESPONSABLE REQUERIMIENTO TIEMPO

ESTIMADO

1

Realizar backups (copias de respaldo o de seguridad)

Realizar backups (copias de respaldo o de seguridad) diario a la base de datos y semanal al aplicativo del SIAFI. Se debe hacer copia de la base de datos completa y de los Schemas GRPDBA y SYS. Al aplicativo SIAFI se debe realizar semanal de manera incremental.

Técnico operativo SISTEMAS - IDEP

Computadores de escritorio o portátiles. Conexión segura al servidor (SSH). Acceso al motor de la base de datos ORACLE a través de la cuenta SYSTEM Acceso al aplicativo SIAFI a través de la cuenta de administrador del servidor Windows. Contar con almacenamiento disponible para realizar los backups.

1 hora, para la base de datos 1 hora para el aplicativo incremental.

2

Almacenar backups (copias de respaldo o de seguridad)

Almacenamiento semanal de backups (copias de respaldo o de seguridad) en un disco duro, que queda en caja fuerte en custodia en la tesorería del IDEP. Almacenamiento trimestral de backups en un disco, que queda en caja fuerte en custodia de la oficina externa del IDEP ubicada en la Secretaria de Educación Distrital SED.


Acceso a las cajas fuertes de tesorería y de la oficina externa del IDEP

1 hora, para el disco duro almacenado en tesorería. 1 hora para el disco duro almacenado en la oficina externa del IDEP -SED

3

Realizar simulacros y pruebas a los backups de la base de datos y aplicativo SIAFI

Realizar un simulacro de funcionamiento de por lo menos un backup de la base de datos y del aplicativo SIAFI, una vez al año.

Técnico operativo SISTEMAS - IDEP Ingenieros contratistas de sistemas Oficina Asesora de Planeación

Dos servidores físicos o virtuales. Licencia de prueba del motor de la base de datos. Licencias de pruebas de sistemas operativos Linux y Windows. Medios de instalación de los sistemas operativos Linux y Windows; y del motor de la base de datos ORACLE. Apoyo técnico de los ingenieros de la empresa proveedora de SIAFI, a través de acceso remoto o envío de documentación a través de correo electrónico.

8 días, dedicación completa.



Versión: 4


Página 39 de 44


4

Informar de la falta parcial o completa de disponibilidad, integridad y/o autenticidad de la información del sistema SIAFI

Los usuarios del aplicativo SIAFI una vez validado con sistemas de la pérdida total o parcial de la disponibilidad, integridad y/o autenticidad, deben informar formalmente a través la Subdirección Administrativa y Financiera a la Oficina Asesora de Planeación del IDEP, el problema presentado.

Usuarios del Sistema de Información SIAFI y Subdirector Administrativo y Financiero.

Validar con los ingenieros de sistemas de la Oficina Asesora de Planeación que se presentó un evento o incidente relacionado con la pérdida total o parcial de disponibilidad, integridad y/o autenticidad con el sistema de información SIAFI.

8 horas.

5

Realizar la restauración de la base de datos y aplicativo SIAFI

Realizar restauración de la base de datos y del aplicativo SIAFI, así: 1. Instalación del motor de base de datos ORACLE en un servidor o computador ubicado en las instalaciones de la entidad, bien sea en su sede principal o en la oficina externa ubicada en la SED. 2. Instalación del aplicativo SIAFI en un servidor o computador ubicado en las instalaciones de la entidad, bien sea en su sede principal o en la oficina externa ubicada en la SED. 3. Restauración de los backups (copias de respaldo o de seguridad) disponibles más recientes que se tengan de los discos guardados en las cajas fuertes de la entidad. 4. Configuración de la conectividad entre la base de datos y el aplicativo SIAFI. 5. Instalación y configuración del aplicativo SIAFI en los equipos de usuarios. 6. Validación satisfactoria de la restauración del backup de la base de datos por parte del proveedor del sistema SIAFI.

Técnico operativo SISTEMAS - IDEP Ingenieros contratistas de sistemas Oficina Asesora de Planeación Ingenieros del proveedor SIAFI.

Dos servidores físicos o virtuales. Computadores de escritorio o portátiles para los usuarios del sistema de información SIAFI. Licencia del motor de la base de datos. Licencias de sistemas operativos Linux y Windows; y del motor de la base de datos ORACLE. Medios de instalación de los sistemas operativos Linux y Windows; y del motor de la base de datos ORACLE. Contrato vigente con la empresa ITGOP, donde exista obligación específica para brindar soporte técnico para la implementación del Plan de Contingencia al Sistema de Información SIAFI.

8 a 15 días, dedicación completa, según el impacto o afectación.

6

Pruebas que garanticen el correcto funcionamiento, la disponibilidad, integridad y autenticidad de la información del aplicativo SIAFI restaurado.

Los usuarios del aplicativo SIAFI deben hacer pruebas en cada uno de los módulos, consultas y reportes al sistema de información SIAFI restaurado, donde se identifique y se valide la disponibilidad, integridad y autenticidad de la información.

Usuarios del Sistema de Información SIAFI

Computadores con acceso al aplicativo restaurado SIAFI.




Versión: 4


Página 40 de 44


7

Informe por parte de los usuarios de SIAFI sobre el resultado de las pruebas realizadas al sistema de información restaurado.

Se debe realizar un informe consolidado de los usuarios del sistema de información SIAFI a la Oficina Asesora de Planeación, sobre el correcto funcionamiento, la disponibilidad, integridad y autenticidad de la información; y de los posibles incidentes o eventos que puedan existir. En caso de presentarse observaciones de eventos o incidentes por parte de los usuarios, presentados en el sistema de información SIAFI, restaurado. Se deberá volver al ítem 5 del presente plan de acción.

Usuarios del Sistema de Información SIAFI

Computadores con acceso al aplicativo restaurado SIAFI.

1 día.

8

Informe definitivo de la implementación del Plan de Contingencia del Sistema de Información SIAFI, al comité directivo del IDEP

Informe definitivo de la implementación del Plan de Contingencia del Sistema de Información SIAFI, al comité directivo del IDEP.

Oficina Asesora de Planeación

Informe definitivo consolidado por parte de usuarios del SIAFI restaurado.

1 día.

OFICINA ASESORA DE PLANEACIÓN Y SISTEMAS

IDEP



Versión: 4


Página 41 de 44


ANEXO 2. PLAN DE CONTINGENCIA AL SISTEMA DE INFORMACIÓN NÓMINA HUMANO.

1. Objetivo General

Recuperación en la continuidad de las operaciones en el Sistemas de Información NÓMINA

HUMANO que el IDEP tiene en producción, para garantizar la disponibilidad, integridad y

autenticidad de la información institucional hacia los usuarios de la entidad.

2. Objetivos Específicos

a. Respaldar y garantizar el correcto almacenamiento y recuperación de la

información contenida en la base de datos y aplicativo del Sistema de

Información NÓMINA HUMANO de la entidad.

b. Realizar pruebas de funcionamiento a los backups (copias de respaldo o de

seguridad) del sistema de información NÓMINA HUMANO.

c. Garantizar la continuidad de las operaciones de nómina de la entidad.

d. Garantizar la integridad y autenticidad de la información recuperada de los

bakcups (copias de respaldo o de seguridad).

3. ALCANCE

El Plan de Contingencia al Sistema de Información NÓMINA HUMANO, está enmarcado dentro

del PLAN DE CONTIGENCIA TECNOLÓGICA IDEP PL-GT-12-02, tiene como alcance la

recuperación de la normalidad en las operaciones NÓMINA de la entidad, cuando se presente

pérdida total o parcial en la disponibilidad, integridad y/o autenticidad del sistema de información

NÓMINA HUMANO.

Este plan identifica las actividades específicas que deben desarrollar, el personal técnico del

IDEP, con el apoyo de la empresa SOPORTE LÓGICO, quien es proveedor del sistema de

información NÓMINA HUMANO.

4. PLAN DE ACCIÓN

A continuación se presentan las actividades, responsables y tiempos para el desarrollo de la

implementación del presente plan de contingencia.



Versión: 4


Página 42 de 44


ÍTEM ACTIVIDAD DESCRIPCIÓN RESPONSABLE REQUERIMIENTO TIEMPO

ESTIMADO

1

Realizar backups (copias de respaldo o de seguridad)

Realizar backups (copias de respaldo o de seguridad) diario a la base de datos y semanal al aplicativo del NÓMINA HUMANO. Se debe hacer copia de la base de datos completa y de los Schemas IDEPWEB e IDEPWEBGENERAL. Al aplicativo NÓMINA HUMANO se debe realizar semanal de manera incremental.


Computadores de escritorio o portátiles. Conexión segura al servidor (SSH). Acceso al motor de la base de datos ORACLE a través de la cuenta SYSTEM Acceso al aplicativo NÓMINA HUMANO a través de la cuenta de administrador del servidor Windows. Contar con almacenamiento disponible para realizar los backups.

1 hora, para la base de datos 1 hora para el aplicativo incremental.

2

Almacenar backups (copias de respaldo o de seguridad)

Almacenamiento semanal de backups (copias de respaldo o de seguridad) en un disco duro, que queda en caja fuerte en custodia en la tesorería del IDEP. Almacenamiento trimestral de backups en un disco, que queda en caja fuerte en custodia de la oficina externa del IDEP ubicada en la Secretaria de Educación Distrital SED.


Acceso a las cajas fuertes de tesorería y de la oficina externa del IDEP

1 hora, para el disco duro almacenado en tesorería. 1 hora para el disco duro almacenado en la oficina externa del IDEP -SED

3

Realizar simulacros y pruebas a los backups de la base de datos y aplicativo NÓMINA HUMANO

Realizar un simulacro de funcionamiento de por lo menos un backup de la base de datos y del aplicativo NÓMINA HUMANO, una vez al año.

Técnico operativo SISTEMAS - IDEP Ingenieros contratistas de sistemas Oficina Asesora de Planeación

Dos servidores físicos o virtuales. Licencia de prueba del motor de la base de datos. Licencias de pruebas de sistemas operativos Linux y Windows. Medios de instalación de los sistemas operativos Linux y Windows; y del motor de la base de datos ORACLE. Apoyo técnico de los ingenieros de la empresa proveedora de NÓMINA HUMANO, a través de acceso remoto o envío de documentación a través de correo electrónico.

8 días, dedicación completa.



Versión: 4


Página 43 de 44


4

Informar de la falta parcial o completa de disponibilidad, integridad y/o autenticidad de la información del sistema NÓMINA HUMANO

Los usuarios del aplicativo NÓMINA HUMANO una vez validado con sistemas de la pérdida total o parcial de la disponibilidad, integridad y/o autenticidad, deben informar formalmente a través la Subdirección Administrativa y Financiera a la Oficina Asesora de Planeación del IDEP, el problema presentado.

Usuarios del Sistema de Información NÓMINA HUMANO y Subdirector .

Validar con los ingenieros de sistemas de la Oficina Asesora de Planeación que se presentó un evento o incidente relacionado con la pérdida total o parcial de disponibilidad, integridad y/o autenticidad con el sistema de información NÓMINA HUMANO.

8 horas.

5

Realizar la restauración de la base de datos y aplicativo NÓMINA HUMANO

Realizar restauración de la base de datos y del aplicativo NÓMINA HUMANO, así: 1. El Soporte Técnico del Instituto realizará la instalación del motor de base de datos ORACLE en un servidor o computador ubicado en las instalaciones de la entidad, bien sea en su sede principal o en la oficina externa ubicada en la SED. 2. El Soporte Técnico del Instituto realizará la instalación del aplicativo NÓMINA HUMANO en un servidor o computador ubicado en las instalaciones de la entidad, bien sea en su sede principal o en la oficina externa ubicada en la SED, apoyado por el material (manuales o guías) suministrados por Soporte Lógico y en caso de requerirse, soporte vía osticket. 3. El Soporte Técnico del Instituto realizará la restauración de los backups (copias de respaldo o de seguridad) disponibles más recientes que se tengan de los discos guardados en las cajas fuertes de la entidad. 4. El Soporte Técnico del Instituto realizará la configuración de la conectividad entre la base de datos y el aplicativo NÓMINA HUMANO, apoyado por el material (manuales o guías) suministrados por Soporte Lógico y en caso de requerirse, soporte vía osticket. 5. El Soporte Técnico del Instituto realizará la configuración del aplicativo NÓMINA HUMANO en los equipos de usuarios. 6. El Soporte Técnico del Instituto realizará la validación satisfactoria de la restauración del backup de la base de datos por parte del proveedor del sistema NÓMINA HUMANO.

Técnico operativo SISTEMAS - IDEP Ingenieros contratistas de sistemas Oficina Asesora de Planeación Ingenieros del proveedor NÓMINA HUMANO.

Dos servidores físicos o virtuales. Computadores de escritorio o portátiles para los usuarios del sistema de información NÓMINA HUMANO. Licencia del motor de la base de datos. Licencias de sistemas operativos Linux y Windows; y del motor de la base de datos ORACLE. Medios de instalación de los sistemas operativos Linux y Windows; y del motor de la base de datos ORACLE. Contrato vigente con la empresa SOPORTE LÓGICO, donde exista obligación específica para brindar soporte técnico para la implementación del Plan de Contingencia al Sistema de Información NÓMINA HUMANO.




Versión: 4


Página 44 de 44


6

Pruebas que garanticen el correcto funcionamiento, la disponibilidad, integridad y autenticidad de la información del aplicativo NÓMINA HUMANO restaurado.

Los usuarios del aplicativo NÓMINA HUMANO deben hacer pruebas en cada uno de los módulos, consultas y reportes al sistema de información NÓMINA HUMANO restaurado, donde se identifique y se valide la disponibilidad, integridad y autenticidad de la información.

Usuarios del Sistema de Información NÓMINA HUMANO

Computadores con acceso al aplicativo restaurado NÓMINA HUMANO.


7

Informe por parte de los usuarios de NÓMINA HUMANO sobre el resultado de las pruebas realizadas al sistema de información restaurado.

Se debe realizar un informe consolidado de los usuarios del sistema de información NÓMINA HUMANO a la Oficina Asesora de Planeación, sobre el correcto funcionamiento, la disponibilidad, integridad y autenticidad de la información; y de los posibles incidentes o eventos que puedan existir. En caso de presentarse observaciones de eventos o incidentes por parte de los usuarios, presentados en el sistema de información NÓMINA HUMANO, restaurado. Se deberá volver al ítem 5 del presente plan de acción.

Usuarios del Sistema de Información NÓMINA HUMANO

Computadores con acceso al aplicativo restaurado NÓMINA HUMANO.

1 día.

8

Informe definitivo de la implementación del Plan de Contingencia del Sistema de Información NÓMINA HUMANO, al comité directivo del IDEP

Informe definitivo de la implementación del Plan de Contingencia del Sistema de Información NÓMINA HUMANO, al comité directivo del IDEP.

Oficina Asesora de Planeación

Informe definitivo consolidado por parte de usuarios del NÓMINA HUMANO restaurado.

1 día.

OFICINA ASESORA DE PLANEACIÓN Y SISTEMAS

IDEP

código: pl-gt-12-02 plan de contingencia versión: 4

Documents