Mo1.mpa6 Manual Del Plan De Continuidad De Negocio V1 (1).pdf
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Mo1.mpa6 Manual Del Plan De Continuidad De Negocio V1 (1).pdf as PDF for free.
More details
- Words: 7,091
- Pages: 27
Loading documents preview...
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 1 de 12
1. Objetivo Mejorar la eficiencia de la gestión administrativa y operativa para el control de contingencias, definiendo lineamientos de autonomía y responsabilidad para el personal involucrado. Establecer los lineamientos generales para que se lleven a cabo los esfuerzos y acciones necesarias que garanticen que la organización esté adecuadamente preparada para enfrentar eventos que afecten la infraestructura y recursos de toda indole. Evitar interrupciones a los procesos críticos del negocio como consecuencia de desastres. 2. ALCANCE El cubrimiento del presente Plan, se enmarca en los criterios de información que define el BCP y está alineado con las mejores prácticas de COBIT, ITIL, ISO 27001, BS 25999 e ISO 22301. El presente manual aplica a todos los procesos del ICBF determinados como críticas según el trabajo realizado con el BIA 3. DESARROLLO DE LA GUÍA
3.1 INTRODUCCIÓN El presente documento define el Plan de Continuidad de Negocio (BCP) para dar soporte a los servicios requeridos para la continuidad de la operación de los sistemas críticos de la entidad en temas tecnológicos.
3.2
DEFINICIONES
Plan de Continuidad del Negocio (BCP-Business Continuity Plan) Un plan documentado y probado con el fin de responder ante una emergencia de manera adecuada, logrando así el mínimo impacto a la operación del negocio. Plan de Contingencia Es un subconjunto de un Plan de Continuidad del Negocio, que contempla cómo reaccionar ante una contingencia que pueda afectar la disponibilidad o los servicios ofrecidos por los sistemas informáticos. Una contingencia puede ser un problema de corrupción de datos, suministro eléctrico, un problema de software o hardware, errores humanos, intrusión, entre otros.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 2 de 12
Plan de recuperación frente a desastres Un plan enfocado al área de TI, documentado y probado con el fin de restaurar la operatividad de los sistemas y aplicaciones en un sitio alterno después de presentada una emergencia. El BCP está restringido en alcance y no aplica para situaciones de interrupciones cortas que no requieran reubicación. 4. DESARROLLO DEL PLAN DE RECUPERACIÓN ANTE DESASTRES DEL NEGOCIO a. Análisis del impacto al Negocio (BIA) Este es el primer paso para desarrollar el plan de recuperación ante desastres para determinar los sistemas críticos de la organización. El ICBF estimó la recuperación de los siguientes procesos: Gestión de Servicio y Atención, Gestión Financiera, Gestión Tecnológica, Gestión de Contratación, Gestión Humana, Gestión para la Promoción y prevención para la Protección Integral de la Niñez y Adolescencia, Gestión para la Promoción y Prevención para la Protección Integral de la Primera Infancia, Gestión para la Atención de las Familias y Comunidades, Gestión para la Nutrición y Gestión para la Protección. Los anteriores procesos se tuvieron en cuenta ya que podrían tener un impacto sobre la continuidad de las operaciones e impacto financiero, humano y de reputación sobre la organización.
5. ESTRATEGIAS Y POLÍTICAS GENERALES PARA LA RECUPERACION ANTE DESASTRES
a. Enunciado de la Política General Todos los funcionarios y colaboradores del ICBF deben conocer y promover las prácticas relacionadas con la continuidad de las operaciones de los procesos críticos de la entidad. Aspectos de la Recuperación ante desastres a ser considerados en la definición de las políticas funcionales:
Respaldo de información. Seguridad física. Mantenimiento del plan. Pruebas del plan. o Simulaciones. o Intentos de restauración. Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 3 de 12
b. Violaciones a la política. En este caso especial, si las directivas de la organización se comprometen a desarrollar este plan, será responsabilidad de ellos, no faltar a este compromiso y tener en cuenta que al no realizar dicho plan, la compañía pudiera estar expuesta a procesos legales y contractuales, que pudieran poner en riesgo el futuro de la operación.
c. Revisión de la política. Esta política debe ser modificada si existieran cambios en los procesos de la entidad; de no haber cambios, se debe realizar su revisión anualmente, bien sea por personal interno o externo de la compañía.
6. ASPECTOS ESPECÍFICOS SOBRE LA POLÍTICA DE RECUPERACIÓN ANTE DESASTRES a. Inicio del Plan de Recuperación ante Desastres del Negocio Las directivas del ICBF son las responsables de dar inicio al plan de recuperación ante desastres. El Plan de Contingencia, es esencial para poder continuar las actividades críticas del negocio, en un evento de una falla por un periodo de tiempo prolongado que pudiera seriamente interrumpir los procesos y actividades importantes de la operación de la compañía. El proyecto del Plan de Recuperación ante Desastres será iniciado y formalmente aprobado por las directivas del ICBF.
Es importante considerar lo siguiente: Se debe establecer la necesidad del Plan de Recuperación ante Desastres. Para que el plan de recuperación sea eficaz, se ha organizado el plan en torno a un concepto de Equipo Directivo de Emergencia (EDE) que está formado por miembros altamente cualificados del equipo directivo procedentes de áreas vitales dentro de la organización. Los componentes del equipo tienen cometidos y responsabilidades concretas cuando se produce un desastre en el centro principal del ICBF y se pone en práctica el Plan de Recuperación de
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 4 de 12
Desastres. El EDE es un grupo de gestión flexible y móvil que puede ocuparse de cualquier plan de recuperación que sea necesario. Para la superación de todo evento que afecte severamente la Infraestructura Tecnológica y en consecuencia los procesos y/o Servicios críticos para el ICBF, se han establecido los siguientes equipos de trabajo con responsabilidades específicas para la prevención, reacción y recuperación del estado operativo de dicha infraestructura tecnológica. Adicionalmente del grupo o comité de emergencia, se deben establecer los catálogos de Contactos.
Comité Directivo de Emergencias
Equipo de Recuperación de Contingencias
Equipo de Soporte a Usuarios
6.1 Comité Directivo de Emergencias 6.1.1
Función
Aprobar las políticas y procedimientos para la prevención, reacción y recuperación de situaciones de contingencia, que permitan la toma de decisiones efectivas para la superación de eventos que afecten por periodos prolongados de tiempo la Infraestructura Tecnológica del ICBF. Es imperativa la gestión de este grupo en la ocurrencia de un desastre. Este comité se mantendrá informado sobre el estado de contingencia, aprobara la activación del plan de recuperación ante desastres cuando sea requerido y aprobara la asignación de los recursos necesarios. 6.1.2
Integrantes
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 5 de 12
Conforman este grupo: Directores de los procesos críticos. Director del ICBF. 6.1.3
Responsabilidad Antes de la Contingencia
Aprobar las políticas y los criterios para la declaración de situaciones de desastre definidas en el presente documento. Velar porque el Plan de recuperación ante desastres se mantenga operativo a lo largo del tiempo. Fijar los responsable para la administración, mantenimiento, generación de pruebas y validación post-reanudación de la contingencia. Ejecutar las actividades de Divulgación y Capacitación del Plan de Contingencias 6.1.4
Responsabilidad Durante la Contingencia
Evaluar el evento y estimar el impacto en la operación Declarar oficialmente la situación de desastre y activar el Plan de Recuperación para los servicios previamente establecidos. Mantener informado al Equipo de Recuperación de Contingencia las decisiones que se tomen para la recuperación de la situación de desastre. Autorizar las pruebas de los planes de contingencia en ventanas de tiempo previamente establecidas. 6.1.5
Responsabilidad Después de la Contingencia
Verificar el proceso de normalización de las operaciones afectadas. Evaluar el resultado del retorno a la normalidad y emitir recomendaciones. Llevar a cabo la evaluación, diseño e implantación de los ajustes necesarios al plan de contingencias. Revisar y actualizar las políticas y procedimientos de este manual según los cambios sugeridos por los diferentes equipos de trabajo.
6.1.6
Equipo de Recuperación de Contingencias
6.1.6.1 Función Recuperar y restaurar el ambiente de hardware, software, telecomunicaciones, energía y seguridad física que afecten de manera severa la infraestructura tecnológica. 6.1.6.2 Integrantes Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 6 de 12
Conforman este grupo:
Administradores de Bases de Datos y de Servidores. Oficial de Seguridad de la Información. Personal Especializado en Seguridad de la Información. Personal Especializado en Seguridad y Salud Ocupacional. Técnicos de Soporte. Brigadistas. Personal Especializado de cada proceso crítico. 6.1.6.3 Responsabilidad Antes de la Contingencia
Definir y probar los procedimientos de reacción para la recuperación de la operación. Ejecutar las acciones de prevención definidas en este manual. Ejecutar el Plan de Pruebas para las acciones de retorno a la normalidad (recuperación). Tener un inventario y registro actualizado de los equipos, componentes, mobiliario y aplicaciones que integran la infraestructura del ICBF. Mantener actualizados y fuera de las instalaciones, las copias de respaldo y documentos necesarios para la recuperación en caso de eventos o contingencias. Identificar y documentar los requerimientos mínimos para la operación del negocio. Verificar la disponibilidad de los recursos para el desarrollo del Plan de Contingencias. Identificar las debilidades de la Infraestructura Física y Tecnológica del ICBF frente al escenario de contingencia. Mantener actualizados los listados de contactos técnicos, proveedores y equipos de contingencia con datos de ubicación (teléfono, Celular, Dirección, email) para emergencias. 6.1.6.4 Responsabilidad Durante la Contingencia Proporcionar toda la información necesaria al comité directivo de seguridad y contingencias para que se declare la situación de desastre. Llevar un registro de los eventos y acciones desarrolladas durante el estado de recuperación ante desastres Definir el área de riesgo afectada. Evaluar el tipo de daño ocurrido. Mantener informado al Comité Directivo de Emergencias sobre el evento. Ejecutar los procedimientos de reacción establecidos en el Plan de Recuperación ante Desastres. Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 7 de 12
Contactar a los proveedores o personas responsables para la superación de la contingencia. Informar al Comité Directivo de Emergencia sobre el avance y el tiempo de recuperación estimados. 6.1.6.5 Responsabilidad Después de la Contingencia
Ejecutar las acciones de recuperación pertinentes a cada acción desarrollada. Autoevaluar la efectividad del equipo de trabajo durante la contingencia. Revisar y actualizar los procedimientos existentes. Modificar las tareas y procedimientos del equipo de trabajo según sea necesario. Elaborar registro, informes y reportes del proceso de recuperación. Evaluar la efectividad del Plan de Recuperación ante Desastres. 6.1.7
Equipo de Soporte a usuarios
6.1.7.1 Función Dar soporte a los usuarios para el desarrollo de sus tareas durante el tiempo de contingencia. 6.1.7.2 Integrantes Conforman este equipo:
Personal Especializado de Gestión de Servicio y Atención. Personal de Help Desk. Operadores del centro de cómputo. Personal Especializado de Comunicaciones. 6.1.7.3 Responsabilidad Antes de la Contingencia
Conocer cuando se esté ejecutando el plan de recuperación ante desastres, para informar a los usuarios afectados. 6.1.7.4 Responsabilidad Durante la Contingencia Prestar el servicio de atención al usuario en las ventanillas de atención. Prestar el servicio de Help Desk a usuarios que lo requieran.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 8 de 12
Comprobar con los usuarios la estabilidad de las aplicaciones y reportar anomalías. 6.1.7.5 Responsabilidad Después de la Contingencia Informar a los usuarios la recuperación del sistema
6.2 DESARROLLO Y ADMINISTRACIÓN DEL PLAN DE RECUPERACIÓN ANTE DESASTRES
Un Plan de Recuperación ante desastres debe cubrir los aspectos críticos y esenciales de la actividad de la compañía. Plan de Contingencia, es esencial para poder continuar con las actividades críticas del negocio, en el evento de una falla prolongada. El Plan de Recuperación ante desastres es un proyecto con características de detalle y complejidad, independiente del entorno tecnológico y probablemente contendrá una serie de acciones críticas enfocadas a lograr el retorno a la operación normal. Recomendaciones adicionales al desarrollo Recuperación ante Desastres del negocio:
y
administración
del
Plan
de
Entender plenamente los riesgos a que está enfrentado incluyendo e identificando los procesos críticos del negocio. Entender el posible impacto que una interrupción a la operación normal pueda tener. Formular y documentar una estrategia de continuidad del negocio de acuerdo con los objetivos y prioridades.
7. CARACTERÍSTICAS DEL PLAN DE RECUPERACIÓN ANTE DESASTRES DEL NEGOCIO Con el fin de garantizar su consistencia a lo largo de las diferentes unidades de negocio, el Plan de Recuperación ante Desastres de negocio debe considerar: Condiciones para su activación. Una estrategia de recuperación de desastres teniendo en cuenta aspectos como: o Costos de las diferentes alternativas. o Costos de servicios alternos. o Prioridades y tiempos de recuperación. o Negocios, usuarios, servicios, aspectos técnicos e información. Identificación de las responsabilidades y procedimientos de emergencia.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 9 de 12
Implementación de procedimientos de emergencia para permitir la recuperación en un tiempo limitado. Procedimientos de contingencia y procedimientos de regreso a la operación normal. Documentación de procedimientos y procesos acordados. Educación apropiada sobre manejo de emergencias. Cronograma de pruebas del Plan de Recuperación ante Desastres del negocio. Responsabilidades individuales de ejecución y propietarios de cada plan. a. Recomendaciones. El Plan de Contingencia es esencial para poder continuar con las actividades críticas del negocio, en el evento de una falla inesperada, que pudiera seriamente interrumpir los procesos y actividades importantes de la operación de la compañía. Para que el Plan de Recuperación ante desastres pueda ser ejecutado exitosamente, todo el personal no sólo debe tener conciencia de su existencia, sino conocer su contenido, junto con las actividades y responsabilidades de cada parte. Los aspectos de la seguridad de la información a ser considerados cuando se implementan estas políticas son: Aun cuando el Plan de Recuperación ante Desastres de Negocio haya sido probado, aun puede fallar, si el personal no está lo suficientemente familiarizado con sus contenidos. Cuando en el Plan de Recuperación ante Desastres del Negocio, las personas involucradas olvidan su percepción de la cercanía del riesgo, se puede presentar cierta apatía, la cual disminuye su importancia, y la necesidad de una participación activa en él. Se deberá crear un plan de concientización sobre la importancia del Plan de Contingencia y el compromiso de todos los empleados para garantizar su éxito. 8. PRUEBA DEL PLAN DE RECUPERACIÓN ANTE DESASTRES DEL NEGOCIO. El Plan de Recuperación ante desastres necesita ser probado periódicamente, con el fin de garantizar que la compañía entienda claramente como debe ser ejecutado. El hecho de probar el Plan de Recuperación ante desastres en la organización, evalúa su viabilidad, y garantiza que los funcionarios estén familiarizados con el plan y sus procedimientos.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 10 de 12
a. Controles adicionales sobre las pruebas del Plan de Contingencia Si la prueba del Plan de Recuperación ante desastres no reproduce las condiciones reales, el valor de tales pruebas es limitado y deficiente. Las fallas en el análisis del plan de pruebas del Plan de Contingencia, ocasionarán una disminución de la validez de la prueba. Los diferentes tipos de prueba incluyen: o Simulaciones de fallos. o Pruebas de recuperación técnicas (Manuales Técnicos). o Pruebas de recuperación en sitio alterno. o Prueba de servicios externos (Energía, comunicaciones etc.) 9. MANTENIMIENTO Y ACTUALIZACIÓN DEL PLAN DE RECUPERACIÓN ANTE DESASTRES El Plan de Recuperación ante desastres debe estar actualizado y revisado periódicamente. El mantenimiento y actualización del Plan de Recuperación ante desastres es muy importante si se requiere una operación exitosa en un momento dado. Se requiere probar las implicaciones por cambios en el Plan de Contingencia, de lo contrario su ejecución puede resultar en una serie de fallas y debilidades. Si el Plan de Recuperación ante desastres no es actualizado periódicamente, su éxito puede ser cuestionable. Los cambios incluyen:
Adquisiciones de nuevos equipos. Actualizaciones en los sistemas operacionales. Personal. Direcciones o números telefónicos. Estrategias de negocio. Ubicaciones físicas. Leyes. Contratistas, proveedores de servicio y clientes muy importantes. Procesos nuevos o eliminados. Riesgo (Operacional y financiero). a. Auditoria de mantenimiento
La auditoria al contenido del Plan de Recuperación ante Desastres y de su respectiva implantación, pruebas y utilización debe ser llevada a cabo por el Área de control interno.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 11 de 12
El Comité Directivo de Emergencias tiene la responsabilidad de proporcionar la información que requiera Auditoría Interna y de ejecutar las pruebas necesarias para validar el adecuado funcionamiento y capacidad de las diferentes medidas y respaldos establecidos. b. Retroalimentación y Actualización al Plan
El Comité Directivo de Emergencias dispondrá de un registro de eventos, cambios (internos y externos), recomendaciones y mejoras propuestas que se generen ya sea por:
Las auditorías Internas. Las pruebas al plan de recuperación. El reporte de cambios en la infraestructura interna. El reporte de cambios en las condiciones internas o externas del negocio que afecten los procesos y/o las condiciones de la infraestructura tecnológica. Este comité es responsable de evaluar, proponer e implantar los ajustes al Plan de Recuperación, al respectivo Manual y Procedimientos.
10. IDENTIFICACIÓN RIESGOS. Las vulnerabilidades son debilidades o ausencias de controles que al ser explotadas por amenazas, afectan la confidencialidad, disponibilidad e integridad de la información de nuestra organización. El análisis de riesgos del plan de continuidad esta directamente relacionado a los diferentes análisis ya realizados por los cuatro ejes que conforman el Sistema de Gestión Integral, en las matrices de cada eje se observarán escenarios que tienen que ver no solo con la naturaleza de cada sistema sino que también se involucran temas de continuidad que afectan la operación del ICBF. Adicionalmente existe una metodología unificada y documentada para ejecutar los diferentes análisis de riesgos. a. INUNDACIONES Dentro de las vulnerabilidades que podrían ser explotadas por esta amenaza podemos encontrar:
En algunas regionales el Data Center esta construido en zonas propensas a inundaciones. En algunas regionales no hay suficientes sistemas de drenaje de aguas que permitan la evacuación rápida ante inundaciones.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 12 de 12
Se tienen zonas que al inundarse pueden tocar cables de alta tensión. Se puede llegar a tener inundaciones en zonas de atención a usuarios.
b. TERREMOTOS Dentro de las vulnerabilidades que podrían ser explotadas por esta amenaza podemos encontrar:
La infraestructura de algunos edificios no está diseñada para soportar terremotos. La mayoría de los Data Center están ubicados en una zona propensa a terremotos.
c. DESCARGAS ELECTRICAS Dentro de las vulnerabilidades que podrían ser explotadas por esta amenaza podemos encontrar:
No hay pararrayos en algunos edificios que protejan los equipos. El terreno donde se implementaron algunos sistemas de tierra no fueron tratados correctamente acorde con la normas de adecuación de terrenos.
d. HUMANAS Dentro de las vulnerabilidades que podrían ser explotadas por esta amenaza podemos encontrar:
Un usuario por error borra la configuración de un servidor. Un ex empleado intencionalmente borra información de un equipo. Se cuenta con alto flujo de personal.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 13 de 15
11. PLANES DE RECUPERACIÓN ANTE DESASTRES a. Diseño Detallado Centros de Datos A continuación, se informa, para cada uno de los componentes de los Centro de Datos, la referencia de equipos y características que permiten alcanzar los objetivos planteados en los términos de referencia.
i. Características Generales El Centro de Datos del ICBF, está basado en plataformas computacionales alojadas en estructuras que cumplen con los requerimientos de infraestructura para responder a las necesidades de los usuarios de la entidad. El modelo de infraestructura de los centros de datos, infraestructura física y medios administrativos con los que se cuenta están diseñados para el cumplimiento de los niveles de servicios requeridos frente a: Seguridad: La sólida infraestructura y el adecuado control sobre las variables críticas de operación de los centro de datos, el control de acceso físico y la documentación de procesos, hacen de esta una facilidad que no solo cumple sino que excede las condiciones de seguridad exigidas por el la entidad para alojar, operar y mantener infraestructuras computacionales, telecomunicaciones, y prestación de servicios de gran importancia para el ICBF. Conectividad: Se cuenta con tecnologías de comunicación que operan por medio de un proveedor a quien se le tercerizan la mayoría de los servicios y aplicativos tecnológicos, en donde se hace la petición de contar con planes de contingencia y restauración en caso de un desastre. Escalabilidad: Cada año se revisa la infraestructura física y tecnológica para evaluar la posibilidad de crecimiento para el año siguiente, a lo cual se cuenta con una planeación de todas las áreas y procesos para que pueda escalar la entidad a medida que las necesidades del servicio se requieran. Disponibilidad: Se cuenta con una gran cantidad de sedes que pueden llegar a albergar a diferentes trabajadores en caso de un desastre, así mismo se tiene un infraestructura tecnológica que cuenta con sistemas de respaldo de información en caso tal de un colapso tecnológico en la entidad. Flexibilidad: La prestación de los servicios ofrecidos por el ICBF pueden ser prestados de manera oportuna al contar con diferentes operadores a nivel nacional que pueden independientemente hacerse cargo de sus labores individuales para responder adecuadamente a los diferentes servicios.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 14 de 15
Servicios Administrados: Estos servicios son diseñados para soportar los requerimientos de los sistemas de misión crítica, e incluyen, entre otros, gerencia de los sistemas de red, monitoreo del desempeño, asistencia técnica, almacenamiento de datos, acceso al Internet, atención a ciudadanos, control y vigilancia, planeación administrativa, etc. El CENTRO DE DATOS, está en la capacidad de proporcionar los niveles de servicio de misión crítica requeridos para su infraestructura, en la sede nacional y con niveles máximos de redundancia y seguridad.
12. PROCEDIMIENTO DE RECUPERACIÓN ANTE DESASTRES
El procedimiento de recuperación ante desastres incluye las precondiciones que se deben cumplir antes de entrar en contingencia y que tienen que ser ejecutadas lo más pronto posible ya que garantizarán que la puesta en marcha del Plan de Contingencia, va a ser ejecutada sin inconvenientes. Este plan trata de ser lo más automático posible para mejorar los tiempos de respuesta y garantizar la correcta recuperación ante una falla. a. PRIORIZACIÓN Para este plan se tomaron los siguientes procesos analizados en el BIA: A. B. C. D. E. F.
Gestión de Servicio y Atención. Gestión Financiera. Gestión Tecnológica. Gestión de Contratación. Gestión Humana. Gestión para la Promoción y prevención para la Protección Integral de la Niñez y Adolescencia. G. Gestión para la Promoción y Prevención para la Protección Integral de la Primera Infancia. H. Gestión para la Atención de las Familias y Comunidades. I. Gestión para la Nutrición. J. Gestión para la Protección A los cuales se les hizo un análisis de impacto referente al tiempo máximo que pueden estar inactivos y que tan critica llega a ser la afectación para el ICBF. Estos resultados son medidos en días.
Impacto Bajo
A B C D E F G H 1 1 1 1 5 1 1 5
I J 5 1
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 15 de 15
Impacto Medio Impacto Alto Critico No Retorno
3 3 3 3 4 5 5 5 15 8 8 8 20 15 15 15
10 3 3 20 5 5 30 10 8 60 15 15
10 20 30 45
10 3 20 4 30 8 45 15
La tabla anterior nos muestra la ruta crítica y la prioridad para iniciar la recuperación de algunos de los procesos considerados como críticos durante las entrevistas con dirección. 70
A
60
B
50
C
40
D
E
30
F
20
G
10
H I
0 Impacto Bajo
Impacto Medio
Impacto Alto
Critico
No Retorno
J
Claramente se puede identificar en el gráfico que debemos tomar como medida crítica los tiempos de procesos como el C, D y J, lo cual quiere decir que se le debe dar prioridad de restauración a los procesos de:
Gestión Humana. Gestión para la Promoción y Prevención para la Protección Integral de la Primera Infancia. Gestión para la Atención de las Familias y Comunidades. Gestión para la Protección
Se debe tener muy presente que la restauración de estos procesos no poder ser mayor a 15 días calendario, de lo contrario la afectación puede llevar a la materialización de riesgos mayores o traslado de funciones propias del ICBF a otra entidad.
Los segundos en prioridad son:
Gestión de Servicio y Atención. Gestión Financiera. Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 16 de 15
Gestión para la Promoción y prevención para la Protección Integral de la Niñez y Adolescencia.
Después de ellos vendrían los procesos:
Gestión Humana. Gestión para la Atención de las Familias y Comunidades. Gestión para la Nutrición.
Una vez restaurados los anteriores se puede continuar con los demás procesos de la entidad que no fueron considerados como críticos para la continuidad de las operaciones de la entidad. b. PRECONDICIONES Se debe tener a la mano los diferentes procedimientos de recuperación que aplique a cada proceso, así mismo es necesario que el plan lo active el comité directivo de emergencias y de inmediato se le notifique a los grupos de apoyo de la entidad. Para cada proceso se deben tener preparados unos elementos mínimos para su restauración: A. Gestión de Servicio y Atención.
240 funcionarios Internet y línea telefónica. Una disponibilidad de un mínimo del 50% de llamadas entrantes al Call Center. 2 Computadores (sede nacional) Office Básico. Materiales (esferos, tablas de apoyo, hojas, cartulina y marcadores).
B. Gestión Financiera.
115 funcionarios. 78 computadores. Office Básico. Acceso a aplicativos SIF, SIIF, PILA. Internet y línea telefónica. 35 Impresoras. Tokens de pago. Títulos Valores
C. Gestión Tecnológica.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 17 de 15
5 funcionarios. 3 computadores. Internet, red LAN, red WAN, Servidores, línea telefónica. Aplicativos misionales y financieros. Data Center. Office Básico.
D. Gestión de Contratación.
65 funcionarios Internet y línea telefónica. 43 computadores. Office Básico. 33 impresoras.
E. Gestión Humana.
Internet y línea telefónica. Office Básico. 105 funcionarios. 105 computadores. Aplicativo kactus. 33 impresoras.
F. Gestión para la Promoción y prevención para la Protección Integral de la Niñez y Adolescencia.
Internet. Office Básico. 110 funcionaros. Celulares. Cocinas completas. Comedores.
G. Gestión para la Promoción y Prevención para la Protección Integral de la Primera Infancia.
Internet y línea telefónica. Office Básico. 280 funcionarios. 241 computadores. Aplicativos RUB y SIM. 12.000 voluntarios.
H. Gestión para la Atención de las Familias y Comunidades. Antes de imprimir este documento… piense en el medio ambiente!
I.
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 18 de 15
Internet y línea telefónica. Office Básico. 32 funcionaros. 32 computadores. Aplicativo SIPAM.
Gestión para la Nutrición.
Internet y línea telefónica. Office Básico. 843 funcionarios 340 computadores.
J. Gestión para la Protección.
Internet y línea telefónica. Office Básico. 810 funcionarios. 203 computadores. Aplicativo SIM. c. ESCENARIOS
Inicialmente se definen tres (3) escenarios por los cuales sería necesario declarar la contingencia. i. Caída completa del centro de cómputo principal. Para este caso los usuarios del ICBF no tendrían acceso a los servidores y el ente al cual se le tiene tercerizada la administración del Data Center, debería realizar los cambios en los equipos de contingencia para garantizar el servicio. PASOS Una vez sea declarada la activación de contingencia: Solicitar la configuración de: o Red de datos. o Servidores de: Aplicativo Kactus. Aplicativo Seven. Aplicativo SIF. Aplicativo SIIF. Aplicativo RUB. Aplicativo SIM. Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 19 de 15
Aplicativo SIPAM. Correo electrónico. Controlador de dominio. Intranet. Pagina Web. o UPSs. o Red de Telefonía IP. o Sistemas Móviles. Solicitar los documentos de: o Manuales de los aplicativos. o Inventario de Backups. o Inventario de los dispositivos tecnológicos. o Diagrama de res de datos. o Diagrama de red de telecomunicaciones. Revisar el estado de los servidores actuales. Revisar el estado de los datos de respaldo. Revisar el estado de la red de datos. Revisar el estado de la red de telecomunicaciones. Realizar las migraciones, configuraciones y levantamiento de sistemas de información. Realizar pruebas funcionales.
Responsable: Proveedor que administra el data center Tiempo estimado: 74 Horas. Remitirse a documento de Traslado de Centro de Computo de ICBF a Terremark.
ii. Caída de la infraestructura física de una de las sedes. Cada sede debe tener visualizada una ubicación de posible respaldo para aquellos que así lo requiera, y buscar la posibilidad de que algunos funcionarios puedan trabajar desde sus casas. PASOS Una vez sea declarada la activación de contingencia:
Solicitar la documentación relacionada con la infraestructura contingencia: o Ubicación o Servicios disponibles o Cantidad de personas que puede albergar o Infraestructura tecnológica o Sistemas de control de acceso Verificar la seguridad actual de las instalaciones de contingencia. Antes de imprimir este documento… piense en el medio ambiente!
física
de
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 20 de 15
Comunicar a los funcionarios la ubicación del sitio alterno Solicitar restablecimiento de redes de datos en sitio Verificar conectividad de los funcionarios que pueden trabajar desde sus casas.
Si el desastre se presenta en la Sede Dirección General, los colaboradores pueden albergarse en la Regional Bogotá, Regional Cundinamarca, y sus Centros Zonales. En caso que se presente un desastre a Nivel Departamental los colaboradores pueden desplazarse a cualquiera de las sedes Regionales a Nivel Nacional.
13. PRUEBAS DE CONTINUIDAD a. Pruebas de funcionalidad de la contingencia Para asegurar la funcionalidad de la activación de la contingencia, se realizaran pruebas de este Plan, al menos una vez por año para validar su operatividad. El objeto de estas pruebas es detectar las mejoras que pueda haber, entrenar al personal y mantener vigente el plan de recuperación ante desastres a lo largo del tiempo. b. Pruebas de continuidad de traslado a centro de datos alterno Para la pruebas de recuperación se suspenderá el servicio total en el Centro de Computo Principal (CCP) para entrar en operación en el centro alterno. En la parte de conectividad, el direccionamiento IP para el segmento de servidores está definida independiente a cada centro de datos presentado sobre el mismo segmento y el direccionamiento del ICBF será único para los servidores. Aquí se mostrara las actividades básicas para que el centro de datos Alterno entre en funcionamiento ya sea por inconvenientes altamente críticos o desastres que requieran de la activación de esta contingencia. Ver documento Traslado de Equipos de Centro de Computo ICBF a Terremark. 14. ENTRENAMIENTO DEL PLAN DE RECUPERACIÓN ANTE DESASTRES DE TI Todo el personal del ICBF debe conocer el Plan de Continuidad de Negocio y Recuperación ante desastres y su respectiva función dentro de él, una vez se haya realizado su aprobación.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 21 de 15
El plan de Contingencia es esencial para poder continuar con las actividades críticas del negocio, en el evento de una falla inesperada, que pudiera seriamente interrumpir los procesos y actividades importantes de la operación de la compañía. Para que el Plan de Recuperación ante desastres pueda ser ejecutado exitosamente, todo el personal no sólo debe tener conciencia de su existencia, sino conocer su contenido, junto con las actividades y responsabilidades de cada parte. Los aspectos de la seguridad de la información a ser considerados cuando se implementan estas políticas son: Aun cuando el Plan de Recuperación ante Desastres de Negocio haya sido probado, aun puede fallar, si el personal no está lo suficientemente familiarizado con sus contenidos. Cuando en el Plan de Recuperación ante Desastres del Negocio, las personas involucradas olvidan su percepción de la cercanía del riesgo, se puede presentar cierta apatía, la cual disminuye su importancia, y la necesidad de una participación activa en él. Se deberá crear un plan de concientización sobre la importancia del Plan de Contingencia y el compromiso de todos los empleados para garantizar su éxito. Se establece el siguiente plan general de divulgación para dar a conocer a todos los interesados Internos y externos el Plan de Recuperación ante Desastres desarrollado por el ICBF. a. Plan de Divulgación La frecuencia del plan de divulgación se hará anual a todos los entes participantes en el BCP con el objeto de documentar los cambios realizados, actualizaciones al BCP, divulgar mejoras realizadas, capacitar al nuevo personal y recordar el plan a todo el personal. El plan de divulgación se realizará 2 meses antes de la prueba de contingencia. Este plan consta de las siguientes actividades: i. Medios de Divulgación Correo Electrónico. Documento escrito. Charlas / conferencias. ii. Responsables Director de TI. Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 22 de 15
Director del área de Mejoramiento. iii. Audiencia Administradores de TI Personal de soporte del ICBF. Personal del área de Recursos Humanos iv. Esquemas de Evaluación de la Divulgación Encuestas. Registro de asistencia a Conferencias o Charlas. b. Plan de Capacitación Se establece el siguiente plan general de capacitación para proporcionar el entrenamiento necesario a todos los involucrados (responsables Internos y externos) en el plan de recuperación ante desastres. Los responsables asignados desarrollarán el plan detallado para realizar la capacitación a los diferentes grupos. i. Responsables Director de TI. Director del área de Mejoramiento. ii. Participantes Administradores de TI Personal de soporte del ICBF. Personal del área de Recursos Humanos iii. Esquemas de Evaluación de la Capacitación Cuestionarios de Evaluación. 15. DISTRIBUCION DEL PLAN DE CONTINUIDAD DE NEGOCIO DE TI. Debido a la naturaleza sensitiva de la información contenida en este documento de plan de continuidad, dicha información deberá ser distribuida solo a personal autorizado y mantenerse bajo adecuadas medidas de seguridad para evitar su Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 23 de 15
divulgación. Consecuentemente, algunas secciones de este plan deberán ser distribuidas solo a las personas cuyas actividades hagan necesario conocer dicha información. a. Personal a quien debe distribuirse. Se debe distribuir a todo el personal de TI del ICBF como conocimiento al Plan de Continuidad y su respectiva función dentro de él. b. Responsables. El responsable de distribuir la información del Plan de Continuidad es todo el grupo de Emergencias de continuidad. c. Revelación. Se podrá entregar la información de este documento bajo las siguientes formas:
Por escrito a todos aquellos que intervengan en el plan de Recuperación. Mediante entrega formal de documentos. Mediante presentación oral o visual. d. Obligaciones.
El Receptor consiente en:
Respecto de la Información que recibe de la parte que revela, usar el mismo cuidado y discreción que usa con su propia Información confidencial o clasificada en forma similar y que no desea que sea revelada, publicada o divulgada. Utilizar la Información únicamente para el propósito para el que fue revelada. Distribuir la información a través de capacitaciones o medios iterativos a los empleados o funcionarios del ICBF que tengan la necesidad de conocerla. A terceros con previa autorización por escrito del dueño de la documentación. Antes de revelar la Información a cualquiera de las partes señaladas, el Receptor deberá suscribir con dichas partes un acuerdo que las obligue a cuidar la Información de manera equivalente a los términos y condiciones previstos en este Convenio.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 24 de 15
e. Almacenamiento del plan. Para el almacenamiento del documento se recomienda que el ICBF tenga una copia en sus instalaciones salvaguardado como información sensible de tal modo que solamente tengan acceso a él las personas que hacer parte del BCP. Se manejará un control de versiones del documento para garantizar su actualización y será responsabilidad del área de TI, divulgar el nuevo documento a las partes.
16. RECOMENDACIONES PARA LA RECUPERACIÓN COMPLETA DEL CENTRO ALTERNO DE DATOS (CCA).
El alcance de este documento es implementar la recuperación en el centro alterno de los servicios establecidos (Servidos WEB y almacenamiento), sin embargo, esto no garantiza una recuperación total de la operación porque se quedan muchos servicios que no permiten la total continuidad de la operación. Para realizar la recuperación total se tienen las tres siguientes alternativas: a. Alquiler de infraestructura.
i. CONSIDERACIONES En esta solución, toda la infraestructura pertenece a un tercero y en caso de entrar en un plan de recuperación ante desastres, se alquilaría la infraestructura necesaria para recuperar la operación. ii. RIESGOS
Aunque existen muchas empresas que prestan el servicio de alquiler, es un riesgo para el ICBF, que ninguna de ellas cuente con la infraestructura necesaria para recuperar sus sistemas de información, por ello el proveedor a quien se le terceriza la administración del data center debe asegurar que puede cumplir con este requerimiento en su totalidad. En un esquema de pruebas, esta es una solución viable puesto que la actividad es controlada y programada, sin embargo, para una recuperación ante desastres, donde es difícil determinar en que momento se entraría en contingencia y donde la principal preocupación es recuperar lo antes posible la infraestructura para entrar en operación, sería crítico contar con los equipos necesarios y en el menor tiempo posible.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 25 de 15
iii. TIEMPOS DE RECUPERACIÓN El tiempo de recuperación depende mucho de la infraestructura a alquilar y de la disponibilidad de los equipos por parte del proveedor con que el ICBF contrate, pero estos no pueden superar más de 15 días para los procesos críticos mencionados anteriormente. b. Compra de infraestructura.
i. CONSIDERACIONES En esta solución, toda la infraestructura pertenecería al ICBF y estaría instalada y en operación en el sitio alterno para que en caso de declarar un desastre, se activara el Plan de Contingencia. ii. RIESGOS
Daño de equipos al momento de entrar en contingencia. Se recomienda tener contratos de mantenimiento que garanticen la puesta en sitio de los equipos dañados en el menor tiempo posible. iii. TIEMPOS DE RECUPERACIÓN
Este esquema tendría el menor tiempo de recuperación puesto que la infraestructura estaría disponible en sitio alterno al momento de entrar en contingencia. El tiempo dependería solamente de la puesta en funcionamiento del plan de recuperación ante desastres. c. LEASING DE INFRAESTRUCTURA.
i. CONSIDERACIONES En esta solución, toda la infraestructura pertenece a un tercero pero estaría en sitio operando y en caso de entrar en un plan de recuperación ante desastres, se activaría el Plan de Contingencia. ii. RIESGOS
Tener en leasing todos los equipos necesarios para entrar en contingencia. Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 26 de 15
Daño de equipos en el sitio alterno. Se recomienda tener contratos de puesta en sitio de equipos en el menor tiempo posible. Se debe contar con la apropiación presupuesta para el pago del canon mensual. iii. TIEMPOS DE RECUPERACIÓN
Como la infraestructura esta en sitio, el tiempo de recuperación dependería solamente de la puesta en marcha del Plan de Contingencia. .
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 27 de 15
ANEXO. 1
1.
MECANISMOS DE SEGUIMIENTO Y CONTROL
2.
DESARROLLAR PRUEBAS DE DESASTRE REALIZAR ENTRENAMIENTO Y SENSIBILIZACIÓN
ROLES Y RESPONSABILIDADES
A continuación se describe los roles que se involucran dentro del proceso: GRUPO TECNICO
Responsable de la definición y ejecución de recuperaciones de aplicativos y planes de contingencia. DIRECTOR DEL Responsable por velar la realización de la recuperación del CENTRO DE DATOS sistema y apoyo en la comunicación con los proveedores y los clientes. ADMINISTRADOR Responsable de la identificación del inconveniente y la ejecución DEL CENTRO DE de la recuperación del sistema en conjunto con el grupo técnico y DATOS los proveedores relacionados.
Antes de imprimir este documento… piense en el medio ambiente!
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 1 de 12
1. Objetivo Mejorar la eficiencia de la gestión administrativa y operativa para el control de contingencias, definiendo lineamientos de autonomía y responsabilidad para el personal involucrado. Establecer los lineamientos generales para que se lleven a cabo los esfuerzos y acciones necesarias que garanticen que la organización esté adecuadamente preparada para enfrentar eventos que afecten la infraestructura y recursos de toda indole. Evitar interrupciones a los procesos críticos del negocio como consecuencia de desastres. 2. ALCANCE El cubrimiento del presente Plan, se enmarca en los criterios de información que define el BCP y está alineado con las mejores prácticas de COBIT, ITIL, ISO 27001, BS 25999 e ISO 22301. El presente manual aplica a todos los procesos del ICBF determinados como críticas según el trabajo realizado con el BIA 3. DESARROLLO DE LA GUÍA
3.1 INTRODUCCIÓN El presente documento define el Plan de Continuidad de Negocio (BCP) para dar soporte a los servicios requeridos para la continuidad de la operación de los sistemas críticos de la entidad en temas tecnológicos.
3.2
DEFINICIONES
Plan de Continuidad del Negocio (BCP-Business Continuity Plan) Un plan documentado y probado con el fin de responder ante una emergencia de manera adecuada, logrando así el mínimo impacto a la operación del negocio. Plan de Contingencia Es un subconjunto de un Plan de Continuidad del Negocio, que contempla cómo reaccionar ante una contingencia que pueda afectar la disponibilidad o los servicios ofrecidos por los sistemas informáticos. Una contingencia puede ser un problema de corrupción de datos, suministro eléctrico, un problema de software o hardware, errores humanos, intrusión, entre otros.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 2 de 12
Plan de recuperación frente a desastres Un plan enfocado al área de TI, documentado y probado con el fin de restaurar la operatividad de los sistemas y aplicaciones en un sitio alterno después de presentada una emergencia. El BCP está restringido en alcance y no aplica para situaciones de interrupciones cortas que no requieran reubicación. 4. DESARROLLO DEL PLAN DE RECUPERACIÓN ANTE DESASTRES DEL NEGOCIO a. Análisis del impacto al Negocio (BIA) Este es el primer paso para desarrollar el plan de recuperación ante desastres para determinar los sistemas críticos de la organización. El ICBF estimó la recuperación de los siguientes procesos: Gestión de Servicio y Atención, Gestión Financiera, Gestión Tecnológica, Gestión de Contratación, Gestión Humana, Gestión para la Promoción y prevención para la Protección Integral de la Niñez y Adolescencia, Gestión para la Promoción y Prevención para la Protección Integral de la Primera Infancia, Gestión para la Atención de las Familias y Comunidades, Gestión para la Nutrición y Gestión para la Protección. Los anteriores procesos se tuvieron en cuenta ya que podrían tener un impacto sobre la continuidad de las operaciones e impacto financiero, humano y de reputación sobre la organización.
5. ESTRATEGIAS Y POLÍTICAS GENERALES PARA LA RECUPERACION ANTE DESASTRES
a. Enunciado de la Política General Todos los funcionarios y colaboradores del ICBF deben conocer y promover las prácticas relacionadas con la continuidad de las operaciones de los procesos críticos de la entidad. Aspectos de la Recuperación ante desastres a ser considerados en la definición de las políticas funcionales:
Respaldo de información. Seguridad física. Mantenimiento del plan. Pruebas del plan. o Simulaciones. o Intentos de restauración. Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 3 de 12
b. Violaciones a la política. En este caso especial, si las directivas de la organización se comprometen a desarrollar este plan, será responsabilidad de ellos, no faltar a este compromiso y tener en cuenta que al no realizar dicho plan, la compañía pudiera estar expuesta a procesos legales y contractuales, que pudieran poner en riesgo el futuro de la operación.
c. Revisión de la política. Esta política debe ser modificada si existieran cambios en los procesos de la entidad; de no haber cambios, se debe realizar su revisión anualmente, bien sea por personal interno o externo de la compañía.
6. ASPECTOS ESPECÍFICOS SOBRE LA POLÍTICA DE RECUPERACIÓN ANTE DESASTRES a. Inicio del Plan de Recuperación ante Desastres del Negocio Las directivas del ICBF son las responsables de dar inicio al plan de recuperación ante desastres. El Plan de Contingencia, es esencial para poder continuar las actividades críticas del negocio, en un evento de una falla por un periodo de tiempo prolongado que pudiera seriamente interrumpir los procesos y actividades importantes de la operación de la compañía. El proyecto del Plan de Recuperación ante Desastres será iniciado y formalmente aprobado por las directivas del ICBF.
Es importante considerar lo siguiente: Se debe establecer la necesidad del Plan de Recuperación ante Desastres. Para que el plan de recuperación sea eficaz, se ha organizado el plan en torno a un concepto de Equipo Directivo de Emergencia (EDE) que está formado por miembros altamente cualificados del equipo directivo procedentes de áreas vitales dentro de la organización. Los componentes del equipo tienen cometidos y responsabilidades concretas cuando se produce un desastre en el centro principal del ICBF y se pone en práctica el Plan de Recuperación de
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 4 de 12
Desastres. El EDE es un grupo de gestión flexible y móvil que puede ocuparse de cualquier plan de recuperación que sea necesario. Para la superación de todo evento que afecte severamente la Infraestructura Tecnológica y en consecuencia los procesos y/o Servicios críticos para el ICBF, se han establecido los siguientes equipos de trabajo con responsabilidades específicas para la prevención, reacción y recuperación del estado operativo de dicha infraestructura tecnológica. Adicionalmente del grupo o comité de emergencia, se deben establecer los catálogos de Contactos.
Comité Directivo de Emergencias
Equipo de Recuperación de Contingencias
Equipo de Soporte a Usuarios
6.1 Comité Directivo de Emergencias 6.1.1
Función
Aprobar las políticas y procedimientos para la prevención, reacción y recuperación de situaciones de contingencia, que permitan la toma de decisiones efectivas para la superación de eventos que afecten por periodos prolongados de tiempo la Infraestructura Tecnológica del ICBF. Es imperativa la gestión de este grupo en la ocurrencia de un desastre. Este comité se mantendrá informado sobre el estado de contingencia, aprobara la activación del plan de recuperación ante desastres cuando sea requerido y aprobara la asignación de los recursos necesarios. 6.1.2
Integrantes
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 5 de 12
Conforman este grupo: Directores de los procesos críticos. Director del ICBF. 6.1.3
Responsabilidad Antes de la Contingencia
Aprobar las políticas y los criterios para la declaración de situaciones de desastre definidas en el presente documento. Velar porque el Plan de recuperación ante desastres se mantenga operativo a lo largo del tiempo. Fijar los responsable para la administración, mantenimiento, generación de pruebas y validación post-reanudación de la contingencia. Ejecutar las actividades de Divulgación y Capacitación del Plan de Contingencias 6.1.4
Responsabilidad Durante la Contingencia
Evaluar el evento y estimar el impacto en la operación Declarar oficialmente la situación de desastre y activar el Plan de Recuperación para los servicios previamente establecidos. Mantener informado al Equipo de Recuperación de Contingencia las decisiones que se tomen para la recuperación de la situación de desastre. Autorizar las pruebas de los planes de contingencia en ventanas de tiempo previamente establecidas. 6.1.5
Responsabilidad Después de la Contingencia
Verificar el proceso de normalización de las operaciones afectadas. Evaluar el resultado del retorno a la normalidad y emitir recomendaciones. Llevar a cabo la evaluación, diseño e implantación de los ajustes necesarios al plan de contingencias. Revisar y actualizar las políticas y procedimientos de este manual según los cambios sugeridos por los diferentes equipos de trabajo.
6.1.6
Equipo de Recuperación de Contingencias
6.1.6.1 Función Recuperar y restaurar el ambiente de hardware, software, telecomunicaciones, energía y seguridad física que afecten de manera severa la infraestructura tecnológica. 6.1.6.2 Integrantes Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 6 de 12
Conforman este grupo:
Administradores de Bases de Datos y de Servidores. Oficial de Seguridad de la Información. Personal Especializado en Seguridad de la Información. Personal Especializado en Seguridad y Salud Ocupacional. Técnicos de Soporte. Brigadistas. Personal Especializado de cada proceso crítico. 6.1.6.3 Responsabilidad Antes de la Contingencia
Definir y probar los procedimientos de reacción para la recuperación de la operación. Ejecutar las acciones de prevención definidas en este manual. Ejecutar el Plan de Pruebas para las acciones de retorno a la normalidad (recuperación). Tener un inventario y registro actualizado de los equipos, componentes, mobiliario y aplicaciones que integran la infraestructura del ICBF. Mantener actualizados y fuera de las instalaciones, las copias de respaldo y documentos necesarios para la recuperación en caso de eventos o contingencias. Identificar y documentar los requerimientos mínimos para la operación del negocio. Verificar la disponibilidad de los recursos para el desarrollo del Plan de Contingencias. Identificar las debilidades de la Infraestructura Física y Tecnológica del ICBF frente al escenario de contingencia. Mantener actualizados los listados de contactos técnicos, proveedores y equipos de contingencia con datos de ubicación (teléfono, Celular, Dirección, email) para emergencias. 6.1.6.4 Responsabilidad Durante la Contingencia Proporcionar toda la información necesaria al comité directivo de seguridad y contingencias para que se declare la situación de desastre. Llevar un registro de los eventos y acciones desarrolladas durante el estado de recuperación ante desastres Definir el área de riesgo afectada. Evaluar el tipo de daño ocurrido. Mantener informado al Comité Directivo de Emergencias sobre el evento. Ejecutar los procedimientos de reacción establecidos en el Plan de Recuperación ante Desastres. Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 7 de 12
Contactar a los proveedores o personas responsables para la superación de la contingencia. Informar al Comité Directivo de Emergencia sobre el avance y el tiempo de recuperación estimados. 6.1.6.5 Responsabilidad Después de la Contingencia
Ejecutar las acciones de recuperación pertinentes a cada acción desarrollada. Autoevaluar la efectividad del equipo de trabajo durante la contingencia. Revisar y actualizar los procedimientos existentes. Modificar las tareas y procedimientos del equipo de trabajo según sea necesario. Elaborar registro, informes y reportes del proceso de recuperación. Evaluar la efectividad del Plan de Recuperación ante Desastres. 6.1.7
Equipo de Soporte a usuarios
6.1.7.1 Función Dar soporte a los usuarios para el desarrollo de sus tareas durante el tiempo de contingencia. 6.1.7.2 Integrantes Conforman este equipo:
Personal Especializado de Gestión de Servicio y Atención. Personal de Help Desk. Operadores del centro de cómputo. Personal Especializado de Comunicaciones. 6.1.7.3 Responsabilidad Antes de la Contingencia
Conocer cuando se esté ejecutando el plan de recuperación ante desastres, para informar a los usuarios afectados. 6.1.7.4 Responsabilidad Durante la Contingencia Prestar el servicio de atención al usuario en las ventanillas de atención. Prestar el servicio de Help Desk a usuarios que lo requieran.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 8 de 12
Comprobar con los usuarios la estabilidad de las aplicaciones y reportar anomalías. 6.1.7.5 Responsabilidad Después de la Contingencia Informar a los usuarios la recuperación del sistema
6.2 DESARROLLO Y ADMINISTRACIÓN DEL PLAN DE RECUPERACIÓN ANTE DESASTRES
Un Plan de Recuperación ante desastres debe cubrir los aspectos críticos y esenciales de la actividad de la compañía. Plan de Contingencia, es esencial para poder continuar con las actividades críticas del negocio, en el evento de una falla prolongada. El Plan de Recuperación ante desastres es un proyecto con características de detalle y complejidad, independiente del entorno tecnológico y probablemente contendrá una serie de acciones críticas enfocadas a lograr el retorno a la operación normal. Recomendaciones adicionales al desarrollo Recuperación ante Desastres del negocio:
y
administración
del
Plan
de
Entender plenamente los riesgos a que está enfrentado incluyendo e identificando los procesos críticos del negocio. Entender el posible impacto que una interrupción a la operación normal pueda tener. Formular y documentar una estrategia de continuidad del negocio de acuerdo con los objetivos y prioridades.
7. CARACTERÍSTICAS DEL PLAN DE RECUPERACIÓN ANTE DESASTRES DEL NEGOCIO Con el fin de garantizar su consistencia a lo largo de las diferentes unidades de negocio, el Plan de Recuperación ante Desastres de negocio debe considerar: Condiciones para su activación. Una estrategia de recuperación de desastres teniendo en cuenta aspectos como: o Costos de las diferentes alternativas. o Costos de servicios alternos. o Prioridades y tiempos de recuperación. o Negocios, usuarios, servicios, aspectos técnicos e información. Identificación de las responsabilidades y procedimientos de emergencia.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 9 de 12
Implementación de procedimientos de emergencia para permitir la recuperación en un tiempo limitado. Procedimientos de contingencia y procedimientos de regreso a la operación normal. Documentación de procedimientos y procesos acordados. Educación apropiada sobre manejo de emergencias. Cronograma de pruebas del Plan de Recuperación ante Desastres del negocio. Responsabilidades individuales de ejecución y propietarios de cada plan. a. Recomendaciones. El Plan de Contingencia es esencial para poder continuar con las actividades críticas del negocio, en el evento de una falla inesperada, que pudiera seriamente interrumpir los procesos y actividades importantes de la operación de la compañía. Para que el Plan de Recuperación ante desastres pueda ser ejecutado exitosamente, todo el personal no sólo debe tener conciencia de su existencia, sino conocer su contenido, junto con las actividades y responsabilidades de cada parte. Los aspectos de la seguridad de la información a ser considerados cuando se implementan estas políticas son: Aun cuando el Plan de Recuperación ante Desastres de Negocio haya sido probado, aun puede fallar, si el personal no está lo suficientemente familiarizado con sus contenidos. Cuando en el Plan de Recuperación ante Desastres del Negocio, las personas involucradas olvidan su percepción de la cercanía del riesgo, se puede presentar cierta apatía, la cual disminuye su importancia, y la necesidad de una participación activa en él. Se deberá crear un plan de concientización sobre la importancia del Plan de Contingencia y el compromiso de todos los empleados para garantizar su éxito. 8. PRUEBA DEL PLAN DE RECUPERACIÓN ANTE DESASTRES DEL NEGOCIO. El Plan de Recuperación ante desastres necesita ser probado periódicamente, con el fin de garantizar que la compañía entienda claramente como debe ser ejecutado. El hecho de probar el Plan de Recuperación ante desastres en la organización, evalúa su viabilidad, y garantiza que los funcionarios estén familiarizados con el plan y sus procedimientos.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 10 de 12
a. Controles adicionales sobre las pruebas del Plan de Contingencia Si la prueba del Plan de Recuperación ante desastres no reproduce las condiciones reales, el valor de tales pruebas es limitado y deficiente. Las fallas en el análisis del plan de pruebas del Plan de Contingencia, ocasionarán una disminución de la validez de la prueba. Los diferentes tipos de prueba incluyen: o Simulaciones de fallos. o Pruebas de recuperación técnicas (Manuales Técnicos). o Pruebas de recuperación en sitio alterno. o Prueba de servicios externos (Energía, comunicaciones etc.) 9. MANTENIMIENTO Y ACTUALIZACIÓN DEL PLAN DE RECUPERACIÓN ANTE DESASTRES El Plan de Recuperación ante desastres debe estar actualizado y revisado periódicamente. El mantenimiento y actualización del Plan de Recuperación ante desastres es muy importante si se requiere una operación exitosa en un momento dado. Se requiere probar las implicaciones por cambios en el Plan de Contingencia, de lo contrario su ejecución puede resultar en una serie de fallas y debilidades. Si el Plan de Recuperación ante desastres no es actualizado periódicamente, su éxito puede ser cuestionable. Los cambios incluyen:
Adquisiciones de nuevos equipos. Actualizaciones en los sistemas operacionales. Personal. Direcciones o números telefónicos. Estrategias de negocio. Ubicaciones físicas. Leyes. Contratistas, proveedores de servicio y clientes muy importantes. Procesos nuevos o eliminados. Riesgo (Operacional y financiero). a. Auditoria de mantenimiento
La auditoria al contenido del Plan de Recuperación ante Desastres y de su respectiva implantación, pruebas y utilización debe ser llevada a cabo por el Área de control interno.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 11 de 12
El Comité Directivo de Emergencias tiene la responsabilidad de proporcionar la información que requiera Auditoría Interna y de ejecutar las pruebas necesarias para validar el adecuado funcionamiento y capacidad de las diferentes medidas y respaldos establecidos. b. Retroalimentación y Actualización al Plan
El Comité Directivo de Emergencias dispondrá de un registro de eventos, cambios (internos y externos), recomendaciones y mejoras propuestas que se generen ya sea por:
Las auditorías Internas. Las pruebas al plan de recuperación. El reporte de cambios en la infraestructura interna. El reporte de cambios en las condiciones internas o externas del negocio que afecten los procesos y/o las condiciones de la infraestructura tecnológica. Este comité es responsable de evaluar, proponer e implantar los ajustes al Plan de Recuperación, al respectivo Manual y Procedimientos.
10. IDENTIFICACIÓN RIESGOS. Las vulnerabilidades son debilidades o ausencias de controles que al ser explotadas por amenazas, afectan la confidencialidad, disponibilidad e integridad de la información de nuestra organización. El análisis de riesgos del plan de continuidad esta directamente relacionado a los diferentes análisis ya realizados por los cuatro ejes que conforman el Sistema de Gestión Integral, en las matrices de cada eje se observarán escenarios que tienen que ver no solo con la naturaleza de cada sistema sino que también se involucran temas de continuidad que afectan la operación del ICBF. Adicionalmente existe una metodología unificada y documentada para ejecutar los diferentes análisis de riesgos. a. INUNDACIONES Dentro de las vulnerabilidades que podrían ser explotadas por esta amenaza podemos encontrar:
En algunas regionales el Data Center esta construido en zonas propensas a inundaciones. En algunas regionales no hay suficientes sistemas de drenaje de aguas que permitan la evacuación rápida ante inundaciones.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 12 de 12
Se tienen zonas que al inundarse pueden tocar cables de alta tensión. Se puede llegar a tener inundaciones en zonas de atención a usuarios.
b. TERREMOTOS Dentro de las vulnerabilidades que podrían ser explotadas por esta amenaza podemos encontrar:
La infraestructura de algunos edificios no está diseñada para soportar terremotos. La mayoría de los Data Center están ubicados en una zona propensa a terremotos.
c. DESCARGAS ELECTRICAS Dentro de las vulnerabilidades que podrían ser explotadas por esta amenaza podemos encontrar:
No hay pararrayos en algunos edificios que protejan los equipos. El terreno donde se implementaron algunos sistemas de tierra no fueron tratados correctamente acorde con la normas de adecuación de terrenos.
d. HUMANAS Dentro de las vulnerabilidades que podrían ser explotadas por esta amenaza podemos encontrar:
Un usuario por error borra la configuración de un servidor. Un ex empleado intencionalmente borra información de un equipo. Se cuenta con alto flujo de personal.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 13 de 15
11. PLANES DE RECUPERACIÓN ANTE DESASTRES a. Diseño Detallado Centros de Datos A continuación, se informa, para cada uno de los componentes de los Centro de Datos, la referencia de equipos y características que permiten alcanzar los objetivos planteados en los términos de referencia.
i. Características Generales El Centro de Datos del ICBF, está basado en plataformas computacionales alojadas en estructuras que cumplen con los requerimientos de infraestructura para responder a las necesidades de los usuarios de la entidad. El modelo de infraestructura de los centros de datos, infraestructura física y medios administrativos con los que se cuenta están diseñados para el cumplimiento de los niveles de servicios requeridos frente a: Seguridad: La sólida infraestructura y el adecuado control sobre las variables críticas de operación de los centro de datos, el control de acceso físico y la documentación de procesos, hacen de esta una facilidad que no solo cumple sino que excede las condiciones de seguridad exigidas por el la entidad para alojar, operar y mantener infraestructuras computacionales, telecomunicaciones, y prestación de servicios de gran importancia para el ICBF. Conectividad: Se cuenta con tecnologías de comunicación que operan por medio de un proveedor a quien se le tercerizan la mayoría de los servicios y aplicativos tecnológicos, en donde se hace la petición de contar con planes de contingencia y restauración en caso de un desastre. Escalabilidad: Cada año se revisa la infraestructura física y tecnológica para evaluar la posibilidad de crecimiento para el año siguiente, a lo cual se cuenta con una planeación de todas las áreas y procesos para que pueda escalar la entidad a medida que las necesidades del servicio se requieran. Disponibilidad: Se cuenta con una gran cantidad de sedes que pueden llegar a albergar a diferentes trabajadores en caso de un desastre, así mismo se tiene un infraestructura tecnológica que cuenta con sistemas de respaldo de información en caso tal de un colapso tecnológico en la entidad. Flexibilidad: La prestación de los servicios ofrecidos por el ICBF pueden ser prestados de manera oportuna al contar con diferentes operadores a nivel nacional que pueden independientemente hacerse cargo de sus labores individuales para responder adecuadamente a los diferentes servicios.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 14 de 15
Servicios Administrados: Estos servicios son diseñados para soportar los requerimientos de los sistemas de misión crítica, e incluyen, entre otros, gerencia de los sistemas de red, monitoreo del desempeño, asistencia técnica, almacenamiento de datos, acceso al Internet, atención a ciudadanos, control y vigilancia, planeación administrativa, etc. El CENTRO DE DATOS, está en la capacidad de proporcionar los niveles de servicio de misión crítica requeridos para su infraestructura, en la sede nacional y con niveles máximos de redundancia y seguridad.
12. PROCEDIMIENTO DE RECUPERACIÓN ANTE DESASTRES
El procedimiento de recuperación ante desastres incluye las precondiciones que se deben cumplir antes de entrar en contingencia y que tienen que ser ejecutadas lo más pronto posible ya que garantizarán que la puesta en marcha del Plan de Contingencia, va a ser ejecutada sin inconvenientes. Este plan trata de ser lo más automático posible para mejorar los tiempos de respuesta y garantizar la correcta recuperación ante una falla. a. PRIORIZACIÓN Para este plan se tomaron los siguientes procesos analizados en el BIA: A. B. C. D. E. F.
Gestión de Servicio y Atención. Gestión Financiera. Gestión Tecnológica. Gestión de Contratación. Gestión Humana. Gestión para la Promoción y prevención para la Protección Integral de la Niñez y Adolescencia. G. Gestión para la Promoción y Prevención para la Protección Integral de la Primera Infancia. H. Gestión para la Atención de las Familias y Comunidades. I. Gestión para la Nutrición. J. Gestión para la Protección A los cuales se les hizo un análisis de impacto referente al tiempo máximo que pueden estar inactivos y que tan critica llega a ser la afectación para el ICBF. Estos resultados son medidos en días.
Impacto Bajo
A B C D E F G H 1 1 1 1 5 1 1 5
I J 5 1
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 15 de 15
Impacto Medio Impacto Alto Critico No Retorno
3 3 3 3 4 5 5 5 15 8 8 8 20 15 15 15
10 3 3 20 5 5 30 10 8 60 15 15
10 20 30 45
10 3 20 4 30 8 45 15
La tabla anterior nos muestra la ruta crítica y la prioridad para iniciar la recuperación de algunos de los procesos considerados como críticos durante las entrevistas con dirección. 70
A
60
B
50
C
40
D
E
30
F
20
G
10
H I
0 Impacto Bajo
Impacto Medio
Impacto Alto
Critico
No Retorno
J
Claramente se puede identificar en el gráfico que debemos tomar como medida crítica los tiempos de procesos como el C, D y J, lo cual quiere decir que se le debe dar prioridad de restauración a los procesos de:
Gestión Humana. Gestión para la Promoción y Prevención para la Protección Integral de la Primera Infancia. Gestión para la Atención de las Familias y Comunidades. Gestión para la Protección
Se debe tener muy presente que la restauración de estos procesos no poder ser mayor a 15 días calendario, de lo contrario la afectación puede llevar a la materialización de riesgos mayores o traslado de funciones propias del ICBF a otra entidad.
Los segundos en prioridad son:
Gestión de Servicio y Atención. Gestión Financiera. Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 16 de 15
Gestión para la Promoción y prevención para la Protección Integral de la Niñez y Adolescencia.
Después de ellos vendrían los procesos:
Gestión Humana. Gestión para la Atención de las Familias y Comunidades. Gestión para la Nutrición.
Una vez restaurados los anteriores se puede continuar con los demás procesos de la entidad que no fueron considerados como críticos para la continuidad de las operaciones de la entidad. b. PRECONDICIONES Se debe tener a la mano los diferentes procedimientos de recuperación que aplique a cada proceso, así mismo es necesario que el plan lo active el comité directivo de emergencias y de inmediato se le notifique a los grupos de apoyo de la entidad. Para cada proceso se deben tener preparados unos elementos mínimos para su restauración: A. Gestión de Servicio y Atención.
240 funcionarios Internet y línea telefónica. Una disponibilidad de un mínimo del 50% de llamadas entrantes al Call Center. 2 Computadores (sede nacional) Office Básico. Materiales (esferos, tablas de apoyo, hojas, cartulina y marcadores).
B. Gestión Financiera.
115 funcionarios. 78 computadores. Office Básico. Acceso a aplicativos SIF, SIIF, PILA. Internet y línea telefónica. 35 Impresoras. Tokens de pago. Títulos Valores
C. Gestión Tecnológica.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 17 de 15
5 funcionarios. 3 computadores. Internet, red LAN, red WAN, Servidores, línea telefónica. Aplicativos misionales y financieros. Data Center. Office Básico.
D. Gestión de Contratación.
65 funcionarios Internet y línea telefónica. 43 computadores. Office Básico. 33 impresoras.
E. Gestión Humana.
Internet y línea telefónica. Office Básico. 105 funcionarios. 105 computadores. Aplicativo kactus. 33 impresoras.
F. Gestión para la Promoción y prevención para la Protección Integral de la Niñez y Adolescencia.
Internet. Office Básico. 110 funcionaros. Celulares. Cocinas completas. Comedores.
G. Gestión para la Promoción y Prevención para la Protección Integral de la Primera Infancia.
Internet y línea telefónica. Office Básico. 280 funcionarios. 241 computadores. Aplicativos RUB y SIM. 12.000 voluntarios.
H. Gestión para la Atención de las Familias y Comunidades. Antes de imprimir este documento… piense en el medio ambiente!
I.
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 18 de 15
Internet y línea telefónica. Office Básico. 32 funcionaros. 32 computadores. Aplicativo SIPAM.
Gestión para la Nutrición.
Internet y línea telefónica. Office Básico. 843 funcionarios 340 computadores.
J. Gestión para la Protección.
Internet y línea telefónica. Office Básico. 810 funcionarios. 203 computadores. Aplicativo SIM. c. ESCENARIOS
Inicialmente se definen tres (3) escenarios por los cuales sería necesario declarar la contingencia. i. Caída completa del centro de cómputo principal. Para este caso los usuarios del ICBF no tendrían acceso a los servidores y el ente al cual se le tiene tercerizada la administración del Data Center, debería realizar los cambios en los equipos de contingencia para garantizar el servicio. PASOS Una vez sea declarada la activación de contingencia: Solicitar la configuración de: o Red de datos. o Servidores de: Aplicativo Kactus. Aplicativo Seven. Aplicativo SIF. Aplicativo SIIF. Aplicativo RUB. Aplicativo SIM. Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 19 de 15
Aplicativo SIPAM. Correo electrónico. Controlador de dominio. Intranet. Pagina Web. o UPSs. o Red de Telefonía IP. o Sistemas Móviles. Solicitar los documentos de: o Manuales de los aplicativos. o Inventario de Backups. o Inventario de los dispositivos tecnológicos. o Diagrama de res de datos. o Diagrama de red de telecomunicaciones. Revisar el estado de los servidores actuales. Revisar el estado de los datos de respaldo. Revisar el estado de la red de datos. Revisar el estado de la red de telecomunicaciones. Realizar las migraciones, configuraciones y levantamiento de sistemas de información. Realizar pruebas funcionales.
Responsable: Proveedor que administra el data center Tiempo estimado: 74 Horas. Remitirse a documento de Traslado de Centro de Computo de ICBF a Terremark.
ii. Caída de la infraestructura física de una de las sedes. Cada sede debe tener visualizada una ubicación de posible respaldo para aquellos que así lo requiera, y buscar la posibilidad de que algunos funcionarios puedan trabajar desde sus casas. PASOS Una vez sea declarada la activación de contingencia:
Solicitar la documentación relacionada con la infraestructura contingencia: o Ubicación o Servicios disponibles o Cantidad de personas que puede albergar o Infraestructura tecnológica o Sistemas de control de acceso Verificar la seguridad actual de las instalaciones de contingencia. Antes de imprimir este documento… piense en el medio ambiente!
física
de
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 20 de 15
Comunicar a los funcionarios la ubicación del sitio alterno Solicitar restablecimiento de redes de datos en sitio Verificar conectividad de los funcionarios que pueden trabajar desde sus casas.
Si el desastre se presenta en la Sede Dirección General, los colaboradores pueden albergarse en la Regional Bogotá, Regional Cundinamarca, y sus Centros Zonales. En caso que se presente un desastre a Nivel Departamental los colaboradores pueden desplazarse a cualquiera de las sedes Regionales a Nivel Nacional.
13. PRUEBAS DE CONTINUIDAD a. Pruebas de funcionalidad de la contingencia Para asegurar la funcionalidad de la activación de la contingencia, se realizaran pruebas de este Plan, al menos una vez por año para validar su operatividad. El objeto de estas pruebas es detectar las mejoras que pueda haber, entrenar al personal y mantener vigente el plan de recuperación ante desastres a lo largo del tiempo. b. Pruebas de continuidad de traslado a centro de datos alterno Para la pruebas de recuperación se suspenderá el servicio total en el Centro de Computo Principal (CCP) para entrar en operación en el centro alterno. En la parte de conectividad, el direccionamiento IP para el segmento de servidores está definida independiente a cada centro de datos presentado sobre el mismo segmento y el direccionamiento del ICBF será único para los servidores. Aquí se mostrara las actividades básicas para que el centro de datos Alterno entre en funcionamiento ya sea por inconvenientes altamente críticos o desastres que requieran de la activación de esta contingencia. Ver documento Traslado de Equipos de Centro de Computo ICBF a Terremark. 14. ENTRENAMIENTO DEL PLAN DE RECUPERACIÓN ANTE DESASTRES DE TI Todo el personal del ICBF debe conocer el Plan de Continuidad de Negocio y Recuperación ante desastres y su respectiva función dentro de él, una vez se haya realizado su aprobación.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 21 de 15
El plan de Contingencia es esencial para poder continuar con las actividades críticas del negocio, en el evento de una falla inesperada, que pudiera seriamente interrumpir los procesos y actividades importantes de la operación de la compañía. Para que el Plan de Recuperación ante desastres pueda ser ejecutado exitosamente, todo el personal no sólo debe tener conciencia de su existencia, sino conocer su contenido, junto con las actividades y responsabilidades de cada parte. Los aspectos de la seguridad de la información a ser considerados cuando se implementan estas políticas son: Aun cuando el Plan de Recuperación ante Desastres de Negocio haya sido probado, aun puede fallar, si el personal no está lo suficientemente familiarizado con sus contenidos. Cuando en el Plan de Recuperación ante Desastres del Negocio, las personas involucradas olvidan su percepción de la cercanía del riesgo, se puede presentar cierta apatía, la cual disminuye su importancia, y la necesidad de una participación activa en él. Se deberá crear un plan de concientización sobre la importancia del Plan de Contingencia y el compromiso de todos los empleados para garantizar su éxito. Se establece el siguiente plan general de divulgación para dar a conocer a todos los interesados Internos y externos el Plan de Recuperación ante Desastres desarrollado por el ICBF. a. Plan de Divulgación La frecuencia del plan de divulgación se hará anual a todos los entes participantes en el BCP con el objeto de documentar los cambios realizados, actualizaciones al BCP, divulgar mejoras realizadas, capacitar al nuevo personal y recordar el plan a todo el personal. El plan de divulgación se realizará 2 meses antes de la prueba de contingencia. Este plan consta de las siguientes actividades: i. Medios de Divulgación Correo Electrónico. Documento escrito. Charlas / conferencias. ii. Responsables Director de TI. Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 22 de 15
Director del área de Mejoramiento. iii. Audiencia Administradores de TI Personal de soporte del ICBF. Personal del área de Recursos Humanos iv. Esquemas de Evaluación de la Divulgación Encuestas. Registro de asistencia a Conferencias o Charlas. b. Plan de Capacitación Se establece el siguiente plan general de capacitación para proporcionar el entrenamiento necesario a todos los involucrados (responsables Internos y externos) en el plan de recuperación ante desastres. Los responsables asignados desarrollarán el plan detallado para realizar la capacitación a los diferentes grupos. i. Responsables Director de TI. Director del área de Mejoramiento. ii. Participantes Administradores de TI Personal de soporte del ICBF. Personal del área de Recursos Humanos iii. Esquemas de Evaluación de la Capacitación Cuestionarios de Evaluación. 15. DISTRIBUCION DEL PLAN DE CONTINUIDAD DE NEGOCIO DE TI. Debido a la naturaleza sensitiva de la información contenida en este documento de plan de continuidad, dicha información deberá ser distribuida solo a personal autorizado y mantenerse bajo adecuadas medidas de seguridad para evitar su Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 23 de 15
divulgación. Consecuentemente, algunas secciones de este plan deberán ser distribuidas solo a las personas cuyas actividades hagan necesario conocer dicha información. a. Personal a quien debe distribuirse. Se debe distribuir a todo el personal de TI del ICBF como conocimiento al Plan de Continuidad y su respectiva función dentro de él. b. Responsables. El responsable de distribuir la información del Plan de Continuidad es todo el grupo de Emergencias de continuidad. c. Revelación. Se podrá entregar la información de este documento bajo las siguientes formas:
Por escrito a todos aquellos que intervengan en el plan de Recuperación. Mediante entrega formal de documentos. Mediante presentación oral o visual. d. Obligaciones.
El Receptor consiente en:
Respecto de la Información que recibe de la parte que revela, usar el mismo cuidado y discreción que usa con su propia Información confidencial o clasificada en forma similar y que no desea que sea revelada, publicada o divulgada. Utilizar la Información únicamente para el propósito para el que fue revelada. Distribuir la información a través de capacitaciones o medios iterativos a los empleados o funcionarios del ICBF que tengan la necesidad de conocerla. A terceros con previa autorización por escrito del dueño de la documentación. Antes de revelar la Información a cualquiera de las partes señaladas, el Receptor deberá suscribir con dichas partes un acuerdo que las obligue a cuidar la Información de manera equivalente a los términos y condiciones previstos en este Convenio.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 24 de 15
e. Almacenamiento del plan. Para el almacenamiento del documento se recomienda que el ICBF tenga una copia en sus instalaciones salvaguardado como información sensible de tal modo que solamente tengan acceso a él las personas que hacer parte del BCP. Se manejará un control de versiones del documento para garantizar su actualización y será responsabilidad del área de TI, divulgar el nuevo documento a las partes.
16. RECOMENDACIONES PARA LA RECUPERACIÓN COMPLETA DEL CENTRO ALTERNO DE DATOS (CCA).
El alcance de este documento es implementar la recuperación en el centro alterno de los servicios establecidos (Servidos WEB y almacenamiento), sin embargo, esto no garantiza una recuperación total de la operación porque se quedan muchos servicios que no permiten la total continuidad de la operación. Para realizar la recuperación total se tienen las tres siguientes alternativas: a. Alquiler de infraestructura.
i. CONSIDERACIONES En esta solución, toda la infraestructura pertenece a un tercero y en caso de entrar en un plan de recuperación ante desastres, se alquilaría la infraestructura necesaria para recuperar la operación. ii. RIESGOS
Aunque existen muchas empresas que prestan el servicio de alquiler, es un riesgo para el ICBF, que ninguna de ellas cuente con la infraestructura necesaria para recuperar sus sistemas de información, por ello el proveedor a quien se le terceriza la administración del data center debe asegurar que puede cumplir con este requerimiento en su totalidad. En un esquema de pruebas, esta es una solución viable puesto que la actividad es controlada y programada, sin embargo, para una recuperación ante desastres, donde es difícil determinar en que momento se entraría en contingencia y donde la principal preocupación es recuperar lo antes posible la infraestructura para entrar en operación, sería crítico contar con los equipos necesarios y en el menor tiempo posible.
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 25 de 15
iii. TIEMPOS DE RECUPERACIÓN El tiempo de recuperación depende mucho de la infraestructura a alquilar y de la disponibilidad de los equipos por parte del proveedor con que el ICBF contrate, pero estos no pueden superar más de 15 días para los procesos críticos mencionados anteriormente. b. Compra de infraestructura.
i. CONSIDERACIONES En esta solución, toda la infraestructura pertenecería al ICBF y estaría instalada y en operación en el sitio alterno para que en caso de declarar un desastre, se activara el Plan de Contingencia. ii. RIESGOS
Daño de equipos al momento de entrar en contingencia. Se recomienda tener contratos de mantenimiento que garanticen la puesta en sitio de los equipos dañados en el menor tiempo posible. iii. TIEMPOS DE RECUPERACIÓN
Este esquema tendría el menor tiempo de recuperación puesto que la infraestructura estaría disponible en sitio alterno al momento de entrar en contingencia. El tiempo dependería solamente de la puesta en funcionamiento del plan de recuperación ante desastres. c. LEASING DE INFRAESTRUCTURA.
i. CONSIDERACIONES En esta solución, toda la infraestructura pertenece a un tercero pero estaría en sitio operando y en caso de entrar en un plan de recuperación ante desastres, se activaría el Plan de Contingencia. ii. RIESGOS
Tener en leasing todos los equipos necesarios para entrar en contingencia. Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 26 de 15
Daño de equipos en el sitio alterno. Se recomienda tener contratos de puesta en sitio de equipos en el menor tiempo posible. Se debe contar con la apropiación presupuesta para el pago del canon mensual. iii. TIEMPOS DE RECUPERACIÓN
Como la infraestructura esta en sitio, el tiempo de recuperación dependería solamente de la puesta en marcha del Plan de Contingencia. .
Antes de imprimir este documento… piense en el medio ambiente!
GESTION TECNOLOGICA
MO1.MPA6
23/11/2012
MANUAL DEL PLAN DE CONTINUIDAD DE NEGOCIO
Versión 1.0
Pág 27 de 15
ANEXO. 1
1.
MECANISMOS DE SEGUIMIENTO Y CONTROL
2.
DESARROLLAR PRUEBAS DE DESASTRE REALIZAR ENTRENAMIENTO Y SENSIBILIZACIÓN
ROLES Y RESPONSABILIDADES
A continuación se describe los roles que se involucran dentro del proceso: GRUPO TECNICO
Responsable de la definición y ejecución de recuperaciones de aplicativos y planes de contingencia. DIRECTOR DEL Responsable por velar la realización de la recuperación del CENTRO DE DATOS sistema y apoyo en la comunicación con los proveedores y los clientes. ADMINISTRADOR Responsable de la identificación del inconveniente y la ejecución DEL CENTRO DE de la recuperación del sistema en conjunto con el grupo técnico y DATOS los proveedores relacionados.
Antes de imprimir este documento… piense en el medio ambiente!
Related Documents
Desarrollo Plan Continuidad De Negocio
February 2021 1
Continuidad Del Negocio
January 2021 1
Beneficios Del Plan De Negocio
February 2021 2
Ecobit Plan De Negocio
February 2021 1
Plan De Continuidad De Negocios
February 2021 1More Documents from "salimmanzur"
Civilta_medievale_n.1_2020.01.02[1].pdf
February 2021 0
313962385-music-from-frozen-johnne-vinson.pdf
February 2021 0
Ayudas A Un Autoconocimiento Temprano
February 2021 0