Sistema Integrado de Gestión PLAN DE CONTINGENCIA TIC

Transcripción

1 Sistema Integrado de Gestión PLAN DE CONTINGENCIA TIC Versión 2 Proceso: Gestión Administrativa- GA Diciembre de 2016

2 Página 2 de 9 CONTENIDO INTRODUCCIÓN 1. JUSTIFICACIÓN 2. OBJETIVO 3. ALCANCE 4. DEFINICIÓN DE TÉRMINOS 5. NORMATIVIDAD 6. ELEMENTOS SUSCEPTIBLES DE CONTINGENCIA 7. METODOLOGÍA DE TRABAJO 8. REVISIÓN Y ACTUALIZACIÓN DEL PLAN 9. REFERENCIAS

3 Página 3 de 9 INTRODUCCIÓN Con los avances tecnológicos y de los sistemas de información en la actualidad, las plataformas que soportan los servicios en las entidades, se ven expuestos continuamente a diferentes fuentes de riesgos que podrían ocasionar una interrupción. Es por ello, que al interior de los mismos, se debe adoptar un instrumento que los guíe sobre qué camino tomar para superar las eventualidades que se puedan presentar mediante la formulación de un Plan Integral de Contingencia que disminuya los riesgos a los que pueda estar expuesta la infraestructura tecnológica. En este orden de ideas, la Institución Universitaria Escuela Nacional del Deporte debe establecerse su Plan de Contingencia TIC, que establezca estrategias para responder de forma adecuada ante fallas técnicas y sobre todo, para garantizar la protección de la información, que es uno de los activos más importantes de la Institución. Se entiende que la infraestructura informática 1 está conformada por el hardware, software y elementos complementarios que soportan la información o datos críticos para el funcionamiento de la Entidad. El Plan implica realizar un análisis de los posibles riesgos, a los cuales pueden estar expuestos los equipos de cómputo, los equipos de comunicaciones, periféricos y sistemas de información (internos y externos Cloud computing), de forma que se puedan aplicar medidas de seguridad oportunas para afrontar contingencias y desastres de diversos tipos. Para ello, deben identificarse los procedimientos relevantes a la infraestructura informática, como aquellas tareas que el personal realiza frecuentemente al interactuar con la plataforma informática (entrada de datos, generación de reportes, consultas, entre otros). De acuerdo a lo anterior, el Plan de Contingencia debe estar enfocado a establecer un adecuado sistema de seguridad física y lógica para la previsión de desastres, de tal manera que se establezca las medidas destinadas a salvaguardar la información contra los daños producidos por hechos naturales o humanos. Es de vital importancia resaltar que, para el logro de los objetivos Institucionales es indispensable el manejo de información, para lo cual necesita garantizar tiempos de indisponibilidad mínimos para no originar desviaciones al funcionamiento normal de los servicios y mayores costos de operación. 1. JUSTIFICACIÓN 1 Procesamiento automático de información mediante dispositivos electrónicos y sistemas computacionales. Lee todo en: Definición de informática - Qué es, Significado y Concepto

4 Página 4 de 9 El resguardo de la información es una de las acciones más importantes que debe comprender una institución, ante la posibilidad de pérdida, destrucción, robo, entre otras amenazas; además, implica el desarrollo e implementación de un Plan de Contingencia. De TIC que propenda por la protección de las mismas. Dado que las Tecnologías de Información y Comunicaciones (TIC), involucran Hardware, el Software, equipos de comunicaciones, la Web, entre otros, están expuestos a diversos factores de riesgo humano y físicos. Por tanto, estos problemas menores o mayores se pueden aprovechar para retroalimentar los procedimientos y planes de seguridad de la información. Pueden originarse pérdidas catastróficas a partir de fallos de componentes críticos (el disco duro), bien por grandes pérdidas (incendios, terremotos, sabotaje, entre otros.) o por fallas técnicas (errores humanos, virus informático y más) que producen daño físico irreparable. Por lo anterior, es importante contar con un Plan de Contingencia adecuado de forma que ayude a la Entidad a recobrar rápidamente el control y capacidades para procesar la información y restablecer la marcha normal de la Institución. 2. OBJETIVO Garantizar la continuidad de las actividades de la Institución Universitaria Escuela Nacional del Deporte, ante eventos que podrían alterar el normal funcionamiento de las Tecnología de la Información y Comunicaciones - TIC, a fin de minimizar el riesgo no previsible, críticos o de emergencia, y responder de forma inmediata hacia la recuperación normal. 3. ALCANCE La formulación e Implementación del Plan de Contingencia TIC, incluye los elementos referidos a los sistemas de información, equipos, infraestructura, personal y servicios de la Institución Universitaria Escuela Nacional del Deporte. Inicia con el análisis de la incidencia tecnológica, la evaluación del impacto y finaliza con la aplicación del plan de contingencia TIC. 4. DEFINICIÓN DE TÉRMINOS Contingencia: Suspensión, interrupción, inesperada y no planificada de la disponibilidad de los recursos tecnológicos.

5 Página 5 de 9 Plan de Contingencia 2 : Es un tipo de Plan Preventivo, Predictivo y Reactivo, presenta una estructura estratégica y operativa que ayudará a controlar una situación de emergencia y a minimizar sus consecuencias negativas. Se divide en plan de emergencias, plan de restauración (Backup) y plan de recuperación. EMERGENCIA RESTAURACIÓN RECUPERACIÓN Objetivo Restringir el perjuicio o daño. Continuar procesos esenciales. Recupera proceso completo Actuación Urgente Lo más rápido posible En tiempo prudente Contenido Traslado Evaluación del daño Prontitud de acción Opciones para el proceso de acciones esenciales. Estrategias para la restauración o mejora de los recursos. Responsabilidad Principal Institución Usuarios Unidad de Sistemas Actividades complementarias de los Planes de Contingencia Documentación a gestionar Acuerdos: Planes aprobados por la administración, elaborados con apoyo de los usuarios. Recursos: Equipos de cómputo adecuados, espacio alterno de trabajo, copias de seguridad actualizada. Pruebas: autenticidad de la copia de seguridad, práctica, capacitación del personal. Seguros: Contratos convocados, no aseguran riesgos seguros, los actos intencionados internos no son asegurados. Tipos de contratos a celebrar: 1. Daños: Hardware e instalaciones 2. Pérdida de archivos: Costos de reconstrucción. 3. Gastos suplementarios: Utilización obligada de recursos externos. 4. Especiales: Finalización de proyectos. Copia de Seguridad (Backup): Es el proceso de copia de seguridad con la finalidad de utilizarla para restaurar lo original después de una incidencia. 2 Lee todo en: Definición de plan de contingencia - Qué es, Significado y Concepto. Tomado de:

6 PLAN DE CONTINGENCIA TIC Página 6 de 9 Servidor Espejo: Nombre como se conoce un procedimiento de protección de datos y acceso a los mismos en los equipos informáticos. Este se implementa en la tecnología RAID 1. TIC: Tecnologías de la Información y las Comunicaciones. Informática 3 : Procesamiento automático de información mediante dispositivos electrónicos y sistemas computacionales. 5. NORMATIVIDAD Ver Manual de Implementación de Políticas TIC institucional y la normatividad que la cubre, Código del Buen Gobierno y Normograma por Procesos. 6. ELEMENTOS SUSCEPTIBLES DE CONTINGENCIA El Plan de Contingencia abarca todos los aspectos que forman parte de los servicios tecnológicos, por lo tanto, resulta de vital importancia considerar todos los elementos susceptibles de provocar eventos que conlleven a activar la contingencia. Los principales elementos, que serán considerados para su evaluación son: Hardware Servidores Estaciones de trabajo( laptops y PC s) Impresoras, fotocopiadoras, scanner o Lectora de Códigos de Barra Equipos de radiofrecuencia Equipos multimedia Impresoras de red Impresoras de equipos administrador Software Software de Base de Datos (Oracle,SQL, PostgreSQL, MySQL) Aplicativos utilizados por el Institución Software de Aplicaciones (WebLogic, Tomcat Apache). Software Base (Sistemas operativos y Ofimática). Antivirus para protección de servidores y estaciones de trabajo. Información sobre Sistemas Informáticos Base de datos utilizados por los Aplicativos. 3 Lee todo en: Definición de informática - Qué es, Significado y Concepto. Tomado de:

7 Página 7 de 9 Respaldo de información generada con Software Base y de Ofimática. Respaldo de las Aplicaciones utilizadas por la Institución. Respaldos de Base de Datos. Respaldos de información y configuración de los Servidores. Comunicaciones Equipos de comunicaciones switch y conectores RJ-45 Equipo de comunicaciones Router y LAN. Equipo de Telefonía fija Enlaces de cobre y fibra óptica. Cableado de Red de Datos. Equipos diversos UPS Aire Acondicionado Infraestructura Física Salas de cómputo Laboratorios de Investigación Salas de Audiovisuales Red eléctrica regulada Operativos Logística operativa (suministros Informáticos). Servicios Públicos Suministro de Energía Eléctrica. Servicio de Telefonía Fija analógico/digital y móvil. Recursos Humanos Disponibilidad de personal experto interno o externo Disponibilidad de personal para el soporte técnico operativo 7. METODOLOGÍA DE TRABAJO El estudio del impacto del evento tiene como prioridad la identificación del proceso crítico y sus soportes, con el fin de proporcionar las bases para establecer el Plan de Recuperación TIC. A continuación, se plantean las actividades a llevar a cabo: Investigación con el usuario final responsable involucrado. Determinación del tiempo en horas de interrupción del procedimiento. Verificación de la criticidad.

8 Página 8 de 9 Clasificación de activos TIC, los criterios para estos son: Criticidad: Considerado el más importante, porque si el activo falla, interrumpe el procedimiento. Frecuencia de uso: El grado de utilidad. Tecnología: El nivel de innovación tecnológica del activo (costo en el mercado y nivel de obsolescencia). CRITERIOS CLASIFICACIÓN CRITICIDAD FRECUENCIA DE USO TECNOLOGÍA ALTO MEDIO BAJO ALTO MEDIO BAJO ALTO MEDIO BAJO A B C Diseño gráfico de aplicación 8. REVISIÓN Y ACTUALIZACIÓN DEL PLAN El Plan de Contingencia TIC, será revisado, al menos una vez al año, previo al desarrollo de los Planes Anuales por el Profesional de la Unidad de Sistemas. Así mismo, podrá ser actualizado cuando así lo dispongan las instancias pertinentes en la Institución Universitaria Institución Universitaria Escuela Nacional del Deporte. 9. REFERENCIAS Manual de Implementación de Políticas TIC. PETI Institucional. Informes de Registro calificado condición No. 8 y No. 9 Institucionales.

9 Página 9 de 9 Aprobación del Documento Elaboró Revisó Aprobó Nombre Responsable Firma Fecha Esperanza Botero Idarraga María Isabel Andrade María Isabel Andrade José Fernando Arroyo Valencia Profesional universitario con funciones de coordinación de sistemas Representante de Calidad Vicerrectora Institución Universitaria- Administrativa 02/12/ /12/2016 Rector 07/12/2016 Versión No. Fecha de Aprobación Control de Cambios Descripción de los Cambios 1 07/12/2016 Se actualiza el slogan de la institución. Justificación del Cambio Cambio del slogan no aplicado.