PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP)

Transcripción

1 Página 1 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) BOGOTÁ D.C., DICIEMBRE DE 2013

2 Página 2 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) Ing. LUIS ARTURO FORERO RONDEROS JEFE OFICINA ASESORA DE PLANEACIÓN Ing. CÉSAR ALONSO LINARES PEÑA TÉCNICO OPERATIVO Ing. HERNÁN DARÍO GUTIÉRREZ CASAS CONTRATISTA OFICINA ASESORA DE PLANEACIÓN BOGOTÁ D.C., DICIEMBRE DE 2013

3 Página 3 de 23 CONTENIDO PÁG. INTRODUCCIÓN OBJETIVOS OBJETIVOS GENERALES OBJETIVOS ESPECÍFICOS APLICABILIDAD MARCO DE REFERENCIA ANTECEDENTE ALCANCE PLAN DE CONTINUIDAD DE TI PARA EL SISTEMA DE INFORMACION ADMINISTRATIVO FINANCIERO ERP SIAFI_GRP, HUMANO Y LOGICAT CONDICIÓN DE ENTRADA ANÁLISIS DE IMPACTO DE NEGOCIO (BIA) NOMBRE DEL SISTEMA DE INFORMACIÓN Matriz de impacto al negocio: Descripción de los componentes de la matriz de impacto: Análisis de Impacto al Negocio: Registros E Información Vital: Análisis De Riesgo: Soluciones De Continuidad: Procedimiento Del Plan De Continuidad: ESCENARIOS DE ACTIVACIÓN DEL PLAN Fase De Notificación y Activación Estrategia Fase de Reanudación Fase de Recuperación Fase de Restauración

4 Página 4 de 23 INTRODUCCIÓN. Cuando se tienen aplicaciones críticas donde la operación en las diferentes áreas del Instituto para la Investigación Educativa y el Desarrollo Pedagógico-IDEP depende del buen funcionamiento de los sistemas de información, se opta por tener una copia sincronizada de los sistemas de información completos que brinde todas las posibilidades de operación cuando algo malo ocurra. El siguiente documento contiene la revisión del Plan de Contingencia de los Sistemas de Información del IDEP, que se encuentran en producción y la nueva propuesta del ajuste. 4

5 Página 5 de 23 1) OBJETIVOS a) OBJETIVOS GENERALES Desarrollar un Plan de Contingencia de Tecnologías de Información (TI) que garantice la operación de las funcionalidades y los servicios informáticos en los procesos administrativos-financieros, talento humano, y demás áreas que manejen un sistema de información del IDEP ante eventos o desastres que afecten su disponibilidad. Actualizar el modelo de gestión para el Plan de Contingencia de TI de la Entidad con el fin de promover el mejoramiento continuo del plan y evitar la obsolescencia del mismo. Reanudar con la mayor brevedad posible las funciones de la organización soportadas con el software SIAFI_ GRP, HUMANO y LOGICAT. 5 Evaluar los riesgos así como los costos de los procedimientos de contingencia requeridos cuando se presente una interrupción de las operaciones soportadas con el software SIAFI_ GRP, HUMANO y LOGICAT, de tal manera que se tengan las partidas presupuestales asignadas. Optimizar los esfuerzos y recursos necesarios para atender cualquier contingencia de manera oportuna y eficiente, definiendo las personas responsables de las actividades a desarrollar antes y durante la emergencia. Definir acciones a ejecutar en caso de fallas de los elementos que componen el sistema SIAFI_GRP, HUMANO y LOGICAT. El plan de contingencia, asegura la capacidad de funcionamiento de los servidores del IDEP, ante eventos que pongan en peligro su normal funcionamiento. Reducir la probabilidad de las pérdidas de información, a un mínimo de nivel aceptable, a un costo razonable y asegurar su adecuada recuperación. Se asegura que existan controles adecuados para reducir el riesgo por fallas o mal funcionamiento tanto del equipo, como del software, de los datos y de los medios de almacenamiento.

6 Página 6 de 23 La vigencia de este plan está sujeta a cambios tecnológicos, de equipamiento y de los sistemas informáticos. b) OBJETIVOS ESPECÍFICOS Maximizar la efectividad de las operaciones de contingencia de TI a través de un plan establecido que consiste de las siguientes fases: Fase de Notificación/Activación: se detecta y evalúa el daño para activar el plan. Fase de Reanudación: se reanudan temporalmente los servicios y funcionalidades del Sistema de Información. Fase de Recuperación: los servicios y funcionalidades del Sistema de Información originales se recuperan del daño que activó el plan. Fase de Restauración: se recuperan las capacidades de procesamiento en operación normal y se reanudan los servicios y funcionalidades del Sistema de Información originales: 6 a) Identificar las actividades, recursos y procedimientos necesarios para reanudar los servicios y funcionalidades del Sistema de Información durante interrupciones prolongadas en la operación. b) Asignar responsabilidades al personal del área y proveer una guía para recuperar los servicios y funcionalidades del Sistema de Información durante períodos prolongados de interrupción en su operación. c) Garantizar la coordinación con todas las áreas del IDEP que participaran en las estrategias del Plan de Contingencia de TI. d) Garantizar la coordinación con puntos externos de contacto y proveedores que puedan participar en las estrategias del Plan de Contingencia de TI. 2) APLICABILIDAD

7 Página 7 de 23 El Plan de Contingencia de TI indica las funciones, operaciones y recursos necesarios para reanudar y restaurar las funcionalidades y los servicios que presta el Sistema de Información Administrativo Financiero SIAFI_GRP, HUMANO, y LOGICAT bajo la responsabilidad compartida entre cada uno de los usuarios responsables del proceso y los datos como la Oficina Asesora de Planeación del IDEP. Así, este documento aplica para todos los funcionarios, contratistas asociados con el manejo de los sistemas de información que se encuentran en producción. 7 3) MARCO DE REFERENCIA Las contingencias forman parte inherente de los sistemas de información. Las amenazas a la información (el principal activo de toda organización) pueden provenir de muchas fuentes, tanto de origen natural (terremotos, tormentas, etc.), de origen humano (retaliaciones, falencias profesionales, competencia, huelga, conflictos laborales, entre otros), como de origen técnico (fallas del hardware, del software, con el suministro de energía, etc.). Un plan de contingencia para los sistemas de información consiste en la identificación de los recursos informáticos que soportan los procesos misionales, estratégicos y de apoyo y que pueden

8 Página 8 de 23 ocasionar graves trastornos para el desenvolvimiento normal de la organización, con el propósito de estructurar y ejecutar aquellos procedimientos y asignar responsabilidades que salvaguarden la información y permitan su recuperación garantizando la confidencialidad, integridad y disponibilidad de ésta en el menor tiempo posible y a unos costos razonables. El plan de contingencia debe cubrir todos los aspectos que se van a adoptar tras una interrupción, lo que implica suministrar el servicio alternativo y para lograrlo no solo se deben revisar las operaciones cotidianas, sino que también debe incluirse el análisis de los principales distribuidores, clientes, negocios y socios, así como la infraestructura en riesgo. Esto incluye cubrir los siguientes tópicos: hardware, software, documentación, talento humano y soporte logístico; debe ser lo más detallado posible y fácil de comprender. Existen metodologías, modelos, y normativas para la formulación de planes de contingencia de sistemas de información, dentro de las cuales cabe destacar, entre otras, el modelo COBIT (Control Objectives for Information and related Technology - Objetivos de Control para la Información y Tecnologías Afines), la metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas), otras metodologías como ROA, CRAMM, MELISA y COBRA y las normativas relacionadas con la formulación de Políticas y Procedimientos de Seguridad como la BS 7799/ISO 17799, GUÍA TÉCNICA COLOMBIANA GTC 176 e ISO ) ANTECEDENTES En el Plan de Contingencia para los sistemas de información, se encuentra la descripción de una serie de los riesgos de manera muy básica hacia las áreas afectadas, los tiempos de recuperación, plataforma tecnológica y copias de respaldo. La información descrita anteriormente es suficiente para determinar de una manera parcial los riesgos. El Instituto cuenta con una propuesta de Plan de Continuidad del TI, que es previo al de contingencia el cual es suficiente para ponerlo en marcha.

9 Página 9 de ) ALCANCE El presente documento ajustara de manera adecuada de los documentos de; Análisis de Impacto al Negocio, el Plan de Continuidad y el Plan de Contingencia de TI del IDEP, este documento está dirigido a los Sistemas de Información que se encuentra en producción: el sistema administrativo financiero el cual está diseñado y opera bajo la estructura de un ERP, o solución integrada para la administración de recursos y proceso denominada SIAFI_GRP, HUMANO y LOGICAT.

10 Página 10 de 23 Con el escenario descrito en los antecedentes, este documento presenta una combinación de la Continuidad y la Contingencia para el Sistema de Información administrativo-financiero, talento humano, y áreas que manejen un S.I. y aplica para cualquier fecha de ocurrencia del evento que active el presente Plan de Contingencia. 10 6) PLAN DE CONTINUIDAD DE TI PARA EL SISTEMA DE INFORMACION ADMINISTRATIVO FINANCIERO ERP SIAFI_GRP, HUMANO Y LOGICAT a) CONDICIÓN DE ENTRADA Con el fin de continuar con los lineamientos contenidos en el Plan de Contingencia, se debe entrar en el detalle con las siguientes preguntas para la definición del plan de continuidad de TI: Quién ejecuta las actividades de recuperación? El personal cualificado en cantidad suficiente está disponible para realizar los trabajos de recuperación?

11 Página 11 de 23 Los trabajos de recuperación se están realizando de acuerdo con los procedimientos que han sido descritos en el Plan de Continuidad? A dónde se debe ir en caso de la ocurrencia de un desastre? Qué recursos son necesarios para reanudar, recuperar y restaurar las funciones de TI que se ven afectadas? A quién informar y a que sitio desplazarse en el caso de la ocurrencia de un desastre para reanudar funciones corporativas y operacionales? Las organizaciones externas como suministradores y organismos públicos, cooperarán razonablemente durante el periodo de los trabajos de recuperación en caso de ser necesario? Cuándo deben reanudarse las funciones y cuándo se pasa a un estado de restauración de los servicios en sitio? Cómo se deben realizar las actividades de reanudación, recuperación y restauración? 11 Se han realizado adecuadamente los programas de sensibilización y entrenamiento? La revisión del plan, mantenimiento, y actualizaciones están realizadas con periocidad para asegurar que responde a las necesidades de cada momento? El orden jerárquico que se propone para las personas responsables de la activación del Plan de Contingencia y de Continuidad es el siguiente:

12 Página 12 de 23 El grupo de emergencias es sugerido para responder ante un evento contingente que afecte el normal funcionamiento de los S.I. puestos en producción en el IDEP. Este equipo establece diferentes responsabilidades para aplicar el Plan Contingente sistema de información en conflicto según los escenarios: Grupo de emergencia: conformado por el líder de grupo de emergencia y los funcionarios que manipulan el sistema de información de tomar decisiones finales en el evento contingente. Líder de grupo de emergencia: es el responsable por declarar la contingencia y mantener continuo contacto con las áreas afectadas por el evento. Funcionario 1: encargado de describir la emergencia del sistema de información al líder del grupo. Funcionario 2: encargado de dar respuesta al tema de ubicar los pasos de continuidad de las actividades que se realizan en el sistema de información pero de manera manual. Funcionario 3: personal de apoyo de las funciones de llenar formularios 12 b) ANÁLISIS DE IMPACTO DE NEGOCIO (BIA) El Análisis de Impacto sobre el Negocio (BIA Business Impact Analysis) es el primer paso para el desarrollo de un Plan de Continuidad del Área de Sistemas. En este, se obtiene un entendimiento de las posibles áreas impactadas y se correlacionan con los componentes tecnológicos que soportan su operación, con el fin de caracterizar el impacto por la interrupción o no disponibilidad de los servicios tecnológicos. Así, se identifican las necesidades de recuperación en los procesos evaluados y posteriormente en el desarrollo del Plan de Continuidad del Área, se definen las estrategias a ser implementadas en caso de un evento o situación que lleve a la interrupción de su operación normal. Se recomienda emplear una metodología de participación activa con entrevistas a los líderes funcionales de las aplicaciones, donde se identificaban los requerimientos y los tiempos de recuperación de las plataformas actuales. En este contexto, se identificaron los siguientes enunciados: c) NOMBRE DEL SISTEMA DE INFORMACIÓN

13 Página 13 de 23 Qué Áreas podrían ser afectadas por la no disponibilidad del Sistema de Información? Cuáles son los tiempos RTO 1 y RPO 1 requeridos por el Área? El proceso actualmente tiene procedimientos documentados de recuperación de la plataforma tecnológica (PDR)? Cuál es la plataforma tecnológica que soporta el Sistema de Información? Cuál es el esquema de copias de respaldo (backup) de la plataforma tecnológica? Cuáles son los tiempos de recuperación actuales de la plataforma tecnológica? Se cumplen las expectativas de las Áreas en relación a los tiempos de recuperación RTO y RPO? Así, para cada componente de TI, que para este casos son los Sistemas de Información se sugiere un esquema de 2 Niveles que da respuesta a los enunciados anteriores, según los números en el gráfico: 13 i) Matriz de impacto al negocio: IMPACTO ALTO MEDIO BAJO DESCRIPCION SIAFI

14 Página 14 de 23 Se describe acciones específicas del sistema que puedan afectar al área, factor humano, procesos, Instituto. Se pondera y analiza el resultado para ver el verdadero impacto. Se debe levantar información con ayuda de entrevistas a los usuarios del IDEP. HUMANO Se describe acciones específicas del sistema que puedan afectar al área, factor humano, procesos, Instituto. 14 LOGICAT Se describe acciones específicas del sistema que puedan afectar al área, factor humano, procesos, Instituto.

15 Página 15 de 23 ii) Descripción de los componentes de la matriz de impacto: En la columna de descripción se detalla lo siguiente: Aparecen todos los ítems que describen impactos que puedan presentar en un caso de ausencia o fallas en los sistemas de información que se encuentran en producción en el IDEP. En la columna de impacto se encuentra la explicación de la valoración. Alta: 3 Media: 2 Baja: 1 Las columnas alto, medio y bajo se ubica la valoración que se le dio a la descripción del sistema de información evaluado. iv) Análisis de Impacto al Negocio: 15 Una vez se tenga la matriz de impacto con información recolectada por medio de las entrevistas a las áreas que manejan los diferentes sistemas de información, se podrán identificar el impacto que el Sistema Administrativo Financiero SIAFI_GRP, HUMANO y LOGICAT generaría en una eventual discontinuidad a la operación del IDEP. En general observar para los Sistemas de Información las siguientes situaciones: Ninguno de los Sistemas de Información cuentan a la fecha con un procedimiento de Continuidad documentado. Se cuenta con la presencia del Proveedor en el contrato de soporte y mantenimiento anual que se suscribe Las variables de Tiempo RTO y RPO desde el punto de vista de tecnología no cumplen con los requerimientos sugeridos por la Comisión Distrital de Sistemas ni con los procedimientos del IDEP. v) Registros E Información Vital: En caso de activarse el Plan de Continuidad para Sistema Administrativo Financiero SIAFI_GRP, HUMANO, ó LOGICAT, los responsables de las funciones del área de sistemas e informática deberá garantizar la siguiente información vital para los procesos de Reanudación, Recuperación y Restauración:

16 Página 16 de 23 Procedimiento de respuesta a emergencias: descripción detallada de los pasos que se deben seguir para responder a la falla del sistema. Esta información debe ser recolectada de los funcionarios encargados en el manejo del S.I. Procedimiento de escalamiento y activación del Plan de Continuidad: información descrita por los líderes de grupo de emergencia. Procedimientos de reanudación: el grupo de emergencia será el responsable de facilitar los procedimientos, activar el plan continuidad y el líder dar orden de realizar la reanudación. Procedimiento de recuperación: el grupo de emergencia será el responsable de facilitar los procedimientos y el líder dar orden de realizar la recuperación. Procedimiento de restauración: el grupo de emergencia será el responsable de facilitar los procedimientos, con ayuda de los responsables de las funciones del área de sistemas e informática y el líder dar orden de realizar la restauración. Procedimiento de control de cambios y versiones los responsables de las funciones del área de sistemas e informática del IDEP debe facilitar y describir el control de cambios y versiones. 16 Documento de configuración de motor de base de datos: los responsables de las funciones del área de sistemas e informática será el encargado de documentar esta información. Documento de configuración de la Aplicación: los responsables de las funciones del área de sistemas e informática será el encargado de documentar esta información. Documento de configuración del Disk Mapping: los responsables de las funciones del área de sistemas e informática será el encargado de documentar esta información. Reportes de Capacity Planning: los responsables de las funciones del área de sistemas e informática será el encargado de documentar esta información. Backup del Servidor de Aplicaciones: los responsables de las funciones del área de sistemas e informática será el encargado del manejo de los Backup del Servidor de Aplicaciones. Backup del Servidor de Base de Datos: los responsables de las funciones del área de sistemas e informática será el encargado del manejo de Backup del Servidor de Base de Datos. vii) Análisis De Riesgo: Para el análisis de riesgo que se deben identificar a los sistemas de información que se encuentran en producción en el IDEP son:

17 Página 17 de 23 Riesgos rutinarios: aquellos para los cuales el Instituto cuenta con recursos permanentes y suficientes para su manejo adecuado. Riesgos no rutinarios: aquellos con capacidad suficiente para amenazar su estabilidad y la seguridad en los sistemas de información del IDEP, este puede generar una crisis y afectar la operatividad y la información. Para una mejor identificación de riesgos, se sugiere seguir el siguiente proceso de gestión del riesgo (fuente NTC 5254:2006): Comunicación y consulta. Establecimiento del contexto. Identificación de los riesgos. Análisis de los riesgos. Evaluación de los riesgos. Tratamiento de los riesgos. Monitoreo y revisión. 17 viii) Soluciones de Continuidad: En la actualidad los sistemas de información SIAFI_GRP, HUMANO y LOGICAT se encuentran con Contrato de soporte y mantenimiento; por tal razón, el Plan de Continuidad de TI para este Sistema

18 Página 18 de 23 utiliza como estrategia principal la soportada por este contrato la cual garantiza la presencia del proveedor en el IDEP en caso de cualquier eventualidad. Para aquellos casos o escenarios donde la presencia del proveedor no sea indispensable se sugiere realizar un levantamiento de información con los funcionarios que los manipulan diariamente, generar mecanismos de continuidad como: Plantillas o formatos aprobados que permita seguir con los procesos que se realiza normalmente en el sistema. Manejar sitios alternos de trabajo con el sistema de información en caso de una emergencia. Tener una copia de seguridad actualizada diariamente en caso de necesitar de ella en una emergencia. Contar con el apoyo de los proveedores para el soporte del sistema de información. ix) Procedimiento del Plan de Continuidad: 18 Se debe incluir en el Plan de Continuidad de TI para el Sistema Administrativo Financiero SIAFI_GRP, HUMANO y LOGICAT los procedimientos de recuperación ante un evento de interrupción, con los siguientes escenarios No disponibilidad del Sistema Administrativo Financiero SIAFI_GRP, HUMANO y LOGICAT por un periodo mayor a 4 horas. Daño total de las instalaciones donde residen los componentes principales del Sistema Administrativo Financiero SIAFI_GRP, HUMANO y LOGICAT.

19 Página 19 de 23 7) En razón a que los sistemas de información están inmersos en infraestructuras y arquitecturas tecnológicas propias de cada instalación, el plan de contingencia del software SIAFI_GRP, HUMANO y LOGICAT debe ser elaborado por los responsables en cada una de las áreas en donde se encuentre instalado y funcionando. Documentar y disponer de una bitácora de las copias de respaldo, la distribución de medios, la periodicidad y la política. En este punto, se recomienda enviar una copia de respaldo a una empresa u organización encargada de almacenamiento de Backup como alternativa de continuidad en el IDEP. Establecer qué tipo de documentos o formularios generados por SIAFI_GRP, HUMANO y LOGICAT tiene como referencia objetos de control stocks o saldos, por ejemplo, los comprobantes de egreso requieren de los saldos en cuentas bancarias para realizar una operación, manejo de hojas de vida, correspondencia interna y externa, clasificación de documentos entre otras actividades que realice el S.I. 19 Mantener listados o informes actualizados, con periodicidad diaria, de los objetos tipo saldo y que se requieran para la generación de un documento u operación, por ejemplo, saldos bancarios y saldos presupuestales, manejo de hojas de vida, correspondencia interna y externa, clasificación de documentos entre otras actividades que realice el S.I. Diseñar un instrumento de control de saldos, manejo de hojas de vida, correspondencia interna y externa, clasificación de documentos entre otras actividades que realice el S.I. para aquellos documentos que los utilicen. Mantener una lista diaria de los últimos documentos generados, para controlar sus consecutivos y sus fechas de emisión. Diseñar formatos similares a los generados por el sistema para su aplicación manual. Documentar los ciclos de servicios asociados a la utilización del software GRP SIAFI, HUMANO, CORRESPONDENCIA Y LOGICAT en el contexto de los manuales de procedimientos de la organización.

20 Página 20 de 23 a) ESCENARIOS DE ACTIVACIÓN DEL PLAN i) Fase De Notificación y Activación Esta fase se enfoca en las acciones iníciales para detectar y evaluar el daño causado por el evento, teniendo en cuenta: Es prioridad, en una situación de emergencia, preservar la integridad y solides de la información contenida en las bases de datos de los diferentes sistemas de información que se encuentran en producción del IDEP antes de proceder a la notificación y activación del plan. Toda la información correspondiente debe ser dirigida al Líder de grupo de emergencia y el técnico operativo o quien haga sus veces. El Plan de Contingencia de TI debe ser activado por el Líder de grupo de emergencia. Para esto, se deben seguir los pasos a continuación: Tan pronto como la situación de emergencia es detectada, se debe contactar con las autoridades correspondientes y tomar los pasos necesarios para minimizar la pérdida de información: 20 Servicios de soporte de proveedores: contactar los proveedores correspondientes al sistema de información que haya presentado la emergencia. Hacer uso de las copias de seguridad de los sistemas de información para trabajar en un equipo alterno. Nota: si usted es una persona autorizada y tiene el conocimiento y entrenamiento adecuado proceda a responder inmediatamente a la emergencia, previa autorización y/o notificación del Líder del grupo de emergencia. Activar el proceso manual de los procesos que realiza el sistema de información en emergencia. El Líder de grupo de emergencia evalúa la emergencia y determina si el plan de contingencia debe ser activado. El plan de contingencia de los sistemas de información debe ser activado si una o más de las siguientes condiciones son verdaderas: Interrupción total de las operaciones del Centro de Cómputo ubicado en la oficina 402B del Centro Empresarial Arrecife por un periodo mayor a 2 horas.

21 Página 21 de 23 No disponibilidad de los Sistemas de Información soportados en el Centro de Cómputo ubicado en la oficina 402B del Centro Empresarial Arrecife por un periodo mayor a 4 horas, debido a daños en hardware y/o software de los equipos servidores ó pérdida de conectividad. Otro criterio, que se considere apropiado. Si el plan es activado, el Líder de grupo de emergencia: Notifica a los integrantes del grupo de emergencia de los sistemas de información que se encuentran en producción en el Instituto. Notifica a las dependencias de la entidad afectadas, autoridades pertinentes, proveedores y contratistas que tengan incidencia en el plan de contingencia. Inicia la ejecución del Plan de continuidad de los sistemas de información de acuerdo al Escenario presentado. Escenario 1 En este caso la no disponibilidad del Centro de Cómputo puede generarse por diversos factores como fallas en el suministro eléctrico, daños en los canales de Internet, incendio en las instalaciones, acciones terroristas, huelga o cualquier otra situación o evento que origine la interrupción total de los servicios informáticos soportados en el Centro de Cómputo. 21 Escenario 2 El escenario 2 se enfoca en la situación o evento que origine la interrupción parcial de los servicios informáticos soportados en el Centro de Cómputo. A este respecto se tiene en cuenta la no disponibilidad de las aplicaciones ó la pérdida de conectividad Así, con el fin de puntualizar el escenario 2 se realizan los siguientes comentarios: Sólo se afectan los servidores que son soportados en el Centro de Cómputo en este caso las aplicaciones afectadas son: el SIAFI_GRP, HUMANO Y LOGICAT. Los servicios básicos de operación no se encuentran afectados. Esto es: energía eléctrica, aire acondicionado y acceso al edificio, entre otros, se encuentran operando normalmente.

22 Página 22 de 23 ii) Estrategia Buscar contingencia en almacenamiento externo iii) Fase de Reanudación Se tendrá en cuenta que el grupo de emergencia inicia la recuperación de los servicios y funcionalidades del SIAFI_GRP, HUMANO y LOGICAT. Para esto se sugiere realizar los siguientes pasos: El líder de emergencia decide y publica lo que debe comunicar a los empleados, directivos, y público en general sobre la emergencia. El líder de de emergencia notifica a los líderes de proceso que activen los procedimientos de contingencia necesarios para que operen en emergencia los servicios afectados. Se inicia la reanudación de los servicios afectados empezando por los más críticos y terminando por los menos críticos, asegurando que cumplan con el tiempo y la información requerida por los procesos. 22 Se notifica a los líderes de procesos y a las personas afectadas que los servicios afectados se encuentran operando en contingencia. iv) Fase de Recuperación El líder de emergencia de los sistemas de información autoriza el inicio de la recuperación de los servicios y informáticos afectados. Para esto se realizan los siguientes pasos: El líder de emergencia evalúa la situación actual de la emergencia y decide si es seguro iniciar la Fase de Recuperación. El de emergencia notifica a los líderes de proceso que activen los procedimientos de recuperación necesarios para recuperar el funcionamiento normal de los servicios afectados en el sitio original. Se deben realizar pruebas de los servicios y de los controles de seguridad que aseguren el apropiado funcionamiento simulando una carga normal. v) Fase de Restauración El líder de emergencia establece la fecha y hora de inicio para retornar al sitio original, previendo el mínimo impacto a los procesos que se encuentran operando en contingencia.

23 Página 23 de 23 El líder de emergencia notifica a los líderes de proceso las actividades de restauración al sitio original. Se inicia la restauración de los servicios menos críticos hasta los servicios críticos, probando la veracidad de los datos del servicio y su funcionamiento para asegurar que se encuentran trabajando normalmente en el sitio original. Procedimientos técnicos. Se notifica a los líderes de procesos y a las personas afectadas que los servicios se encuentran operando normalmente. Se hace revisión y seguimiento durante un tiempo prudencial a los servicios restaurados, en caso de presentarse un evento inesperado. Se consolida la información del proceso de contingencia y acciones tomadas, y se presenta al Comité de Sistemas, Informática y de Control Interno. El líder de emergencia notifica al Jefe de Oficina Asesora de Planeación sobre las mejoras a realizar en el Plan y emite un comunicado desactivando la contingencia. 23 Todos los procesos operan normalmente. Nota: Una vez superado el evento contingente, el Jefe de Oficina Asesora de Planeación debe realizar las acciones correctivas y preventivas, y desarrollar los cambios y/o actualizaciones del Plan que se requieran.