PLAN DE CONTINGENCIA TECNOLOGICA CONTRALORIA MUNICIPAL DE ARMENIA PERIODO

Transcripción

1 PLAN DE CONTINGENCIA TECNOLOGICA CONTRALORIA MUNICIPAL DE ARMENIA PERIODO NANCY LORENA CASTRO SANZ CONTRALORA MUNICIPAL DE ARMENIA 1

2 INTRODUCCION La Contraloría Municipal de Armenia, pensando siempre en garantizar la entrega de un servicio, en condiciones de eficiencia y eficacia y con el compromiso de superar los estándares de calidad, ha determinado programar un Plan de Contingencias que permita generar mecanismos alternativos o dar soluciones a las diferentes fallas que se puedan presentar en los sistemas tecnológicos y que en un momento dado sean causas de crear obstáculos para cumplir con las labores que nos han sido asignados. Este plan se diseño teniendo en cuenta las características de los diferentes equipos, la conformación del sistema, la plataforma de operatividad de los mismos y los aplicativos existentes, además se tuvieron en cuenta los Planes de Riesgos, con los cuales determinó la matriz que sirvió de insumo para programar las acciones a desarrollar. 2

3 ASPECTOS GENERALES OBJETIVOS General: Proporcionar a la Contraloría Municipal de Armenia, una herramienta que le permita garantizar el funcionamiento de la tecnología informática y la recuperación en el menor tiempo posible de la información, originada por fallas que interrumpan el servicio así como establecer pautas que generen la mayor garantía en la seguridad de las herramientas tecnológicas y para los funcionarios que las operan. Específicos: Definir los procedimientos preventivos y correctivos, que permitan prevenir las eventualidades en las operaciones de los bienes informáticos y corregir en forma oportuna cualquier anormalidad que afecte su correcto funcionamiento. Determinar mediante un análisis de riesgos de una manera precisa cuales son los riesgos a los que se encuentran más expuestas las Redes de la entidad. Revaluar los controles existentes que sean considerados poco efectivos ó no sean aplicables. Presentar recomendaciones que permitan disminuir la probabilidad de ocurrencia de una eventualidad y definir los procedimientos preventivos resultantes de estas recomendaciones. Listar las posibles fallas que se pueden presentar en el funcionamiento del hardware y software que conforman la plataforma tecnológica. 3

4 ALCANCE: El Plan de Contingencias Tecnológicas de la Contraloría Municipal de Armenia, define el marco general de los procedimientos preventivos y correctivos que permiten reducir el impacto en las operaciones normales de la plataforma tecnológica, (hardware o software) cuando estas sean interrumpidas parcial o totalmente y garantiza la continua operatividad de los bienes informáticos, así como, la de minimizar el tiempo de recuperación y puesta a punto cuando se presenten imprevistos que obliguen la reinstalación total o parcial, tanto de hardware como de software. Adicionalmente define los procedimientos de actualización del Plan, bien por la adquisición de nuevos recursos, la actualización tecnológica de los existentes y la adición o modificación de los procedimientos preventivos y correctivos. ACCIONES: 1. Formular el Plan de Desarrollo Informático para la Contraloría Municipal de Armenia. 2. Generar y asignar acciones de mejora informáticas. 3. Evaluar las inquietudes de los usuarios con respecto a los requerimientos informáticos. 4. Optimizar y reasignar los recursos informáticos, previo estudio con los responsables del proceso, de acuerdo a las necesidades de la Institución y a los recursos disponibles. 5. Socializar permanentemente el uso racional de bienes informáticos e insumos. 6. Promover, difundir y supervisar políticas preventivas y correctivas, en materia de equipos, sistemas de información y telecomunicaciones. 7. Coordinar las capacitaciones y demás actividades que tiendan a mantener actualizado el Talento Humano vinculado directamente a la Contraloría Municipal de Armenia. 4

5 MEDIDAS DE CONTINGENCIA Estudiar y evaluar las diferentes amenazas y riesgos que se presentan en la entidad. Establecer prioridades ante probabilidad de ocurrencia y conocer los procedimientos adecuados para cada eventualidad. Tener conocimiento de las nuevas tecnologías y en lo posible implementarlas para conseguir de esta forma mejoras en los controles preventivos y correctivos. Verificar la ubicación adecuada de todos los recursos tecnológicos, de tal manera que se asegure su buen estado y funcionamiento. DESCRIPCION DE LAS MAQUINAS DE USUARIO FINAL Al interior de la red de datos de la Contraloría Municipal de Armenia se diferencian básicamente dos (2) clases de estaciones de trabajo. Estaciones de desarrollo: Son maquinas o computadoras, ubicadas (piso primero) con software especifico, empleadas para el mantenimiento de los sistemas de información y para la atención directa a los usuarios. Estas máquinas son: El SERVIDOR PRINCIPAL HP COMPAQ 360G5 y el Servidor donde funciona el Software Financiero, también contamos con un servidor encargado del manejo del firewall en zential. Estaciones de usuario final: Son las maquinas o computadoras dedicadas para el trabajo de los usuarios finales, están distribuidas en las diferentes dependencias de la Contraloría. 5

6 Sistemas Operativos de la Contraloría Municipal de Armenia: Windows Server 2008 Zential Windows Vista Business Windows Vista Home Basic Windows XP Professional. Windows 7 Professional. Manejadores de Bases de Datos: Interbase bajo XP Professional. MySQL. Utilitarios: Kaspersky antivirus. A2 Solution. Software de Escritorio: Microsoft Office 2007 Microsoft Office 2003 Microsoft Office Rar. PDF Complete versión gratuita 6

7 APLICATIVOS UTILIZADOS AL INTERIOR DE LA ENTIDAD TECNOMUNDO Sistemas Arp. Contabilidad, Presupuesto, Activos Fijos, Nómina y Tesorería. Software Contraloría Santiago de Cali Software para el manejo y radicación de los procesos de responsabilidad fiscal enviado por la Contraloría de Santiago de Cali. ANÁLISIS DE RIESGOS Se deben identificar de mayor a menor el grado de importancia dentro de la red, esto servirá para comenzar a generar controles preventivos y correctivos a los elementos más indispensables para la organización. Estos riesgos se deben clasificar según sus características y se definirán cuales tienen más probabilidad de ocurrencia. Teniendo claros los riesgos a que está sometida la Red, se deben diseñar las contingencias necesarias para atacarlos, de tal manera que se reduzcan al máximo las probabilidades de daños en la misma. MATRIZ DE ELEMENTOS DEFINICION: La matriz de elementos es una confrontación de todos los dispositivos, equipos y demás componentes que conforman la Red de la entidad, esta confrontación permitirá determinar cuáles de estos elementos son más importantes para el buen funcionamiento de la Red en la Contraloría Municipal de Armenia y construir procedimientos que eviten cualquier problema que afecte su correcto funcionamiento. Se diseña una matriz escalonada y se compara elemento contra elemento asignando un puntaje para determinar cual elemento confrontado es más importante dentro de la conformación de la red. 7

8 Después de confrontar todos los elementos se hace una suma de los puntos obtenidos por cada elemento y se organizan en forma descendente obteniendo cuales son más críticos en el funcionamiento de la red, utilizando una escala de 1 a 10. ELEMENTOS QUE CONFORMAN LA RED CORPORATIVA 750v. Servidores (3). Dos Switche de 24 puertos. UPS Nicomar Electronics instalada en el Servidor Principal Router de 108 Sistema de Energía: Compuesto por las UPS individuales de 1500 kv y Cableado Estructurado Horizontal. Estaciones de Usuario Final Entorno Físico. MATRIZ DE DATOS ELEMENTOS DE LA RED PUNTAJE Sistema de Energía 10 Servidores 9 Switche 9 Cableado Estructurado 8 Estaciones de Usuario Final 6 Entorno Físico 4 Como se puede apreciar el elemento que se constituye como primordial para garantizar la continua comunicación de la red de datos, es el Sistema de Energía el cuál se constituye en el corazón de la red, y en orden de importancia le siguen los servidores y el Switche. 8

9 MATRIZ DE RIESGOS Definición: La matriz de riesgos es una confrontación analítica de los posibles riesgos a los que se encuentra sometida la Red Corporativa, este análisis nos permitirá evaluar la probabilidad de ocurrencia de los distintos riesgos para diseñar los controles preventivos y correctivos, los que se considera más críticos y causan más impacto para la administración. Análisis de Riesgos: Los diferentes riesgos a los que puede encontrarse sometida la Red Corporativa se pueden agrupar de la siguiente forma: Riesgos Catastróficos: Se refiere a todos los riesgos que afectan totalmente los dispositivos o elementos que conforman la red. Estos riegos conllevan a un paro total en el procesamiento Informático. Se destacan los siguientes: Incendio, Explosión, Terrorismo, Desastres Naturales, Huelgas Riesgos por fallas técnicas: Hace referencia a todos aquellas que conllevan a un daño parcial o total de los elementos, estos son propios según sea el elemento en cuestión se pueden nombrar fallas en disco duro, fallos de dispositivos, fallos en memoria, daños en procesador, desgaste de parte por obsolescencia. Riesgos por fallas humanas: Trata sobre los riesgos debido a las manipulaciones y decisiones del personal que tiene a cargo la vigilancia y operación de los equipos o elementos de la red. Riesgos por fallas en suministro de los servicios públicos: Hace referencia a los riesgos ocasionados por la falta en algún momento de los servicios esenciales o públicos, como son la falta de energía, fallas en las líneas telefónicas o canales de comunicación. Riesgos por falta de seguridad: A este grupo pertenecen todos aquellos riesgos que pueden presentarse en un momento dado por la falta de seguridad. Se destacan: Sabotaje, motines, hurto, retiro del personal, conflictos laborales. La escala utilizada para analizar la Matriz de Riesgos es de 1 a 20 9

10 CONFRONTACION DE LOS RIESGOS ELEMENTOS DE LA RED PUNTAJE Riesgos por Fallas Humanas 15 Riesgos por Fallas Técnicas 10 Riesgos por falta en el suministro de servicios públicos 10 Riesgos Catastróficos 5 Riesgos por falta de seguridad 5 Clasificación de los riesgos: Según los resultados arrojados en la matriz anterior, el orden de importancia se identifica en la gráfica siguiente: 10

11 LISTADO DE PROCEDIMIENTOS PREVENTIVOS Procedimientos Generales: Son los procedimientos comunes a los diferentes elementos que conforman la Red de la Contraloría Municipal de Armenia, así: No ubicar ni almacenar elementos inflamables como papel, gasolina, ether, bebidas alcohólicas, alcohol, trapos cerca de los bienes informáticos. Garantizar una temperatura adecuada para el buen funcionamiento de los equipos. La ubicación de los equipos debe ser preferiblemente en lugares donde existan paredes de concreto. No se deben ubicar papeleras de basura en el lugar destinado como centro de cableado ya que se pueden convertir en la causa de un posible incendio. Dar el adecuado uso a los diferentes elementos evitando siempre prácticas inseguras. Nunca consumir alimentos ni ingerir bebidas cerca de los equipos. Controlar el acceso de paquetes al centro de cableado. Tener una excelente distribución eléctrica, evitando conectar los equipos a una misma fuente. Evitar extensiones y cables sueltos cerca a los equipos. Evitar la acumulación de la energía estática, referenciando todos los equipos a una misma tierra. Todos los equipos deben tener protección contra cortocircuitos y sobrevoltaje ya sea interna o externa. Los equipos sólo deben ser manipulados por el personal que tenga los 11

12 suficientes conocimientos acerca de ellos. Mantener actualizada la hoja de vida por cada equipo con que cuenta la Contraloría Municipal de Armenia, incluyendo el seguimiento de los mantenimientos preventivos y correctivos realizados y programados de los equipos y que permita mantener actualizado el inventario de hardware en forma permanente. Mantener las Pólizas de Seguros de los Equipos vigentes. Destinar un sitio seguro y de acceso restringido para guardar manuales, software de instalación (Cd s, Disquetes), documentación de los equipos, ejerciendo un estricto control sobre su uso, preferiblemente en Cajas Fuertes. Los originales de las licencias del software se encuentran en custodia de la Subcontraloría, preferiblemente en Cajas Fuertes. PROCEDIMIENTOS PARA EL SISTEMA DE ENERGÍA REGULADA Asegurar la buena ventilación, aislamiento y aireación de la UPS. Emplear los tomas que estén conectados a la UPS NICOMAR de 3000KVA (Servidor principal), sólo para conectar los equipos de computo de misión crítica, en ningún momento pueden ser conectados a lámparas, ventiladores, hornos microondas, parrillas y otros. La UPS contiene voltajes peligrosos, por lo tanto las reparaciones deben ser realizadas por personal especializado. PROCEDIMIENTOS PARA LOS SERVIDORES Mantener la configuración básica de los servidores respaldada en un archivo e impreso tanto dentro como fuera de la Contraloría Municipal de Armenia. Estructurar formatos donde se tenga de forma clara y concisa la siguiente información para el servidor. Discos Duros: cantidad, capacidad, tecnología, nombre y número de 12

13 volúmenes por disco, cantidad de discos que se pueden adicionar, drivers que lo controlan. Memoria: Marca, referencia, cantidad actual, posible expansión, tabla de distribución de SIMM suministrada por el proveedor. Mainboard: Arquitectura, procesador, velocidad, coprocesador, número y tipo de slots. Tarjetas de Red: Tipo, drivers, tipo de bus, configuración (puerto, interrupción, DMA), tipo de conector, topología. Unidades de Almacenamiento: CD ROM (tecnología, velocidad, interno ó externo, drivers, tipo de controladora), Floppy Drive (tipo, capacidad), Tape Backup (Tipo, Capacidad, controladora). APLICACIONES EN GENERAL Proteger los switches de encendido/apagado para que estos no sean activados/desactivados accidentalmente. Instalar un adecuado antivirus que sea residente en memoria y configurarlo para que chequee continuamente todas las acciones realizadas sobre los archivos. Actualizar constantemente el antivirus ya sea a través de Internet ó a través del distribuidor. Verificar periódicamente el espacio en disco. Borrar periódicamente la información innecesaria. Verificar en horas de alta demanda el porcentaje de utilización del servidor mediante la utilización de la herramienta Monitor del Sistema. Definir políticas de respaldo que aseguren la integridad y la pronta recuperación en caso de una posible pérdida total ó parcial de la información. 13

14 Tener un estricto control sobre los usuarios, derechos sobre los archivos del sistema y sobre los objetos. En caso de retiro de algún funcionario, desactivar su usuario de la red, o cambiar su contraseña, y borrar todos los datos que no se requieran en el volumen de los servidores. Purgar los servidores una vez cada 15 días vaciando la papelera de reciclaje para borrar físicamente los archivos que han sido borrados lógicamente y no se necesitan. Siempre bajar los servidores mediante el proceso adecuado antes de apagarlos físicamente, para evitar que tanto el sistema operativo como las aplicaciones que estén abiertas sufran algún daño. Nunca bajar el servidor mientras haya usuarios conectados a éste. Utilizar el Panel del Control para configurar los protocolos y tarjetas de red de tal manera que se garantice la mejor administración de los dispositivos. Restringir en lo posible el acceso a la red de un usuario a través de la misma estación. Limitar el número de conexiones simultáneas de usuarios a un recurso de red. Verificar periódicamente el funcionamiento del sistema de ventilación de los equipos, evitando el sobrecalentamiento. Homogenizar el acceso a la red mediante el uso de unidades lógicas a todos los recursos de la red. 14

15 OTRAS CONTINGENCIAS A REALIZAR: Suministrar toda la información de archivos y directorios debidamente estructurados para consulta de usuarios. Cada servidor debe poseer una dirección IP de acuerdo al mapa de direcciones IP definido. Utilizar el visor de Eventos para monitorear la hora interna del servidor y su sincronización con los demás. Tener el máximo de los recursos en red como impresoras, scanner, servicios de fax. Mantener actualizado el sistema operativo de la red, aplicaciones críticas que se tengan y software utilitarios. No suprimir nunca el usuario Admin sin haber asignado los derechos de supervisión a otro objeto usuario, si esto sucede habrá eliminado el control de supervisión sobre el árbol directorio. Reducir el tiempo de acceso y tráfico WAN colocando la información en un único servidor al que el usuario pueda acceder y manejar copia de la información en el cliente. Las particiones se deben efectuar sólo si proporcionan mejor funcionamiento o tolerancia a fallos en la red y en el árbol. Antes de realizar cualquier partición o fusión se debe garantizar que el estado de sincronización sea estable. Para procesos de administración, creación y supresión de usuarios, gestión de la red, utilizar el servicio de Directorio Activo. Apagar el interruptor de encendido y desconectar los cables de corriente antes de instalar o remover una unidad de disco. 15

16 PROCEDIMIENTOS PARA LOS ELEMENTOS DE LA RED WAN ELEMENTOS DE LA RED WAN : RAS 1500 BLINK Cambiar cada mes el password del usuario administrador. Debe ser de conocimiento exclusivo de este. Estar pendientes de las nuevas versiones del software y hardware para realizar las actualizaciones pertinentes. No se deben mantener objetos que obstruyan la ventilación de los enrutadores. Deshabilitar los protocolos que no se estén usando en la red, para no generar tráfico innecesario. Se debe establecer una contraseña de entrada al sistema para los usuarios remotos, esta contraseña debe ser forzada a cambios periódicos. Para mayor seguridad se debe exigir que la contraseña este formada por caracteres alfanuméricos. Codificar el software de manera que se puedan tener 3 intentos equivocados de accesar al sistema, luego de esto el usuario es bloqueado. Verificar semanalmente el estado de los puertos asincrónicos del servidor como son: Estado de usuario, conexión, tiempo de login y tiempo de desconectado. Estado de los paquetes que entran, errores. Desbordamientos que se han presentado. Los puertos de datos de par trenzado RJ-45, son enchufes blindados RJ -45 a los que sólo deben acoplarse conectores de datos RJ-45. No pueden utilizarse como enchufes telefónicos. 16

17 PROCEDIMIENTOS PARA ESTACIONES DE USUARIOS Y TARJETAS DE RED Para su mantenimiento deben seguirse los pasos y recomendaciones dadas por los fabricantes y el proveedor. Proteger los drivers de operación de las tarjetas. Proteger el software de configuración para que no sea alterada. Verificar periódicamente la conexión de las tarjetas (para cable) al Pathcord con el punto de red. El Path cord no debe estar doblado, ni pisado, para evitar su deterioro e interrupciones de conexión. Mantener copias de discos de inicio y clientes específicos de la red de datos Tener disponibles controladores de acceso a la red para las diferentes configuraciones de las tarjetas de red. Crear procedimientos claros y concisos sobre la instalación y configuración de las tarjetas de red ISA, PCI y demás Capacitar constantemente a los usuarios finales sobre la manera correcta de entrar y salir de la red, conceptos básicos, manejo de los recursos, uso y aprovechamiento de las ventajas del trabajo en red. Capacitar constantemente a los usuarios finales de la manera adecuada de estructurar el árbol de directorio o Archivo del Sistema de las máquinas. Disponer de elementos de oficina adecuados (sillas, escritorios para las estaciones de trabajo, mesas para impresoras, descansa pies y demás elementos), de tal manera que se garantice la seguridad física de los equipos y su correcto funcionamiento. Realizar mantenimientos preventivos que incluyan revisión y limpieza 17

18 lógica y física de los equipos. Todas las estaciones de trabajo deben tener instalado el software antivirus, para prevenir daños en la información. Mantener actualizada la versión del antivirus en los servidores, ya que la actualización en cada estación de trabajo está programada para realizarse automáticamente a través de la red. Capacitar a los usuarios sobre la importancia de no trabajar con disquetes ni con USB, diferentes a los utilizados al interior de la entidad, en caso de ser necesario deben ser revisados, para evitar que la red se infecte. Todas las anomalías que se presenten en el funcionamiento de los equipos deben ser informadas al funcionario competente para atenderlas. PROCEDIMIENTOS GENERALES PARA: LA ADMINISTRACIÓN DE LA BASE DE DATOS Y EL SOPORTE Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN EN PRODUCCIÓN. La Administración, soporte, mantenimiento y seguridad de la Base de datos. Mantenimiento a los Sistemas de Información en Producción. Al interior de la red de datos de la Contraloría Municipal de Armenia existen varios servicios informáticos que soportan la gestión de la entidad y sus diferentes áreas de gestión, actualmente estos servicios son: Correo Electrónico Software Financiero desarrollado por TECNOMUNDO que soporta los procesos de Contabilidad, Tesorería, Nomina, Activos Fijos y Presupuesto) Netmeeting. El procedimiento a activar en caso de carencia de unos de estos servicios se define a continuación. 18

19 Falta del Correo Electrónico: Para garantizar el flujo de la correspondencia se debe recurrir al flujo del documento físico o verbal hasta que se restablezca el servicio; cuando se utilice el documento físico deberá manejarse dos copias del documento; una para el destinatario y otra para el remitente en la cual se debe registrar el recibido. Deficiencias software financiero: La carencia de elementos de software desarrollados, se debe a fallas en servidores o software de desarrollo, estas fallas por lo general son de solución demorada, el procedimiento a seguir ante esta eventualidad es: Evaluar la magnitud del problema contra la necesidad del aplicativo. Contactar al responsable de atender la Contingencia. Realizar las tareas necesarias tendientes a la solución del problema, siempre en coordinación con la empresa proveedora del Software. Diligenciar los formatos de control diseñados por la Contraloría, para la atención de las contingencias presentadas. NANCY LORENA CASTRO SANZ Contralora Municipal de Armenia. Elaboro: Valentina Ramírez Pineda Técnico Administrativo Revisò:Henry Zuluaga G y Luz Elena Ramirez V. 19