RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO

Transcripción

1 MC-pr-01 MANEJO DEL REGISTRO NACIONAL DE Septiembre 2012 PROFESIONALES Pág.1/27 RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO

2 Pág.2/27 1. OBJETIVO Y ALCANCE 1.1. Objetivo Establecer los controles para asegurar el nivel de continuidad requerido para la seguridad de la información en situaciones adversas del COPNIA Alcance Mantener o restaurar la continuidad de la seguridad de la información y la operación de las actividades críticas en las escalas de tiempo requeridas después de que se haya presentado una interrupción, falla o desastre. 2. NORMATIVIDAD Tipo Número Título Fecha N.A. N.A. N.A. N.A. 3. DEFINICIONES 3.1. Activos de Información: Los activos de información son datos o información propietaria en medios electrónicos, impreso o entre otros medios, considerados sensitivos o críticos para los objetivos misionales del COPNIA 3.2. Clasificación de la Información: es el ejercicio por medio del cual se determina que la información pertenece a uno de los niveles de clasificación estipulado por la entidad. Tiene como objetivo asegurar que la información tenga el nivel de protección adecuado. La información debe clasificarse en términos de sensibilidad e importancia para la organización Información: La información es un activo que, como otros activos importantes del negocio, es esencial para las actividades de la entidad y, en consecuencia necesita una protección adecuada. 4. DESCRIPCIÓN DE LA ACTIVIDAD 4.1. El COPNIA designará un funcionario que cumpla el rol de Oficial de Seguridad para la administración de la continuidad de las operaciones en caso de un desastre o falla que ponga en peligro el cumplimiento de la misión institucional. El Oficial de Seguridad deberá considerar lo siguiente:

3 Pág.3/27 Identificar los riesgos del negocio, su probabilidad e impacto. Generar el Informe de Análisis de Impacto en el Negocio (BIA Business Impact Analysis). Identificar la prioridad de los procesos críticos de la Entidad. Formular y documentar un Plan de Recuperación de Desastre (DRP), alineada con objetivos y prioridades de la Entidad. Realizar pruebas y actualización de los planes y demás documentos perteneciente a la continuidad del negocio. Se realizará un análisis de impacto al negocio donde se identifiquen los eventos que pueden causar interrupciones y el cumplimiento de la misión del COPNIA, así como los requerimientos de recuperación en función de las prioridades del negocio, de la seguridad de la información y del impacto que puedan generar a la Entidad. Las actividades deberán ser realizadas con la participación activa de los dueños de los procesos y recursos de las Áreas del COPNIA. Una vez obtenido el resultado del análisis de riesgo, se deberá desarrollar un plan para la administración de los riesgos que tenga como una de sus prioridades conservar la continuidad del negocio y la misión institucional. Generar el directorio de datos del personal clave que incluya los números de contacto en donde puedan ser localizadas frente a una contingencia. Anexo Lista de contratos y personal de TIC. Se deberá especificar las condiciones requeridas para activar los planes de continuidad y la descripción de los procesos a seguir en caso de ser necesaria la activación. Actividades de concienciación y educación, diseñadas para generar el entendimiento de la continuidad de las operaciones y de la seguridad de la información, así como el manejo de crisis. Los planes de recuperación deben ser probados periódicamente para identificar posibles fallas, cambios en responsabilidades, nuevos requerimientos, manejo de situaciones de crisis, verificar que la organización, personal, equipo, facilidades y procesos pueden ser coordinados en forma adecuada y coordinar la participación del área de seguridad física y grupos de protección civil de la entidad. Ver Anexo Lista de verificación de plan de contingencia.

4 Pág.4/27 5. DESCRIPCIÓN DE LA ACTIVIDAD No. 1 Nombre de la actividad Inicio del Procedimiento 2 Comunicar la falla 3 Iniciar plan de recuperación Descripción Los funcionarios del COPNIA tienen la responsabilidad de comunicar de forma inmediata, por cualquier medio de comunicación, al área de sistemas la interrupción parcial o total del servicio de un sistema de información y/o comunicación de la Entidad. Los ingenieros de sistemas del COPNIA o Contratistas realizan pruebas preliminares para constatar la veracidad del incidente y constatar la suspensión total o parcial del servicio del sistema de información. En principio se deben tomar en cuenta los siguientes aspectos del plan de emergencias: 1. Evaluación del impacto de la situación del desastre en la infraestructura de los sistemas de información y/o comunicación. 2. Asignación de funciones de emergencia a los funcionarios del área de sistemas. 3. Verificación de disponibilidad de recursos para la contingencia como: manuales técnicos de instalación del sistema de información, almacenamiento de datos distribuidos, sistemas eléctricos, comunicación, hardware, y Backups. 4. Comunicación a los usuarios de la interrupción o degradación del servicio indicando el tiempo estimado de restablecimiento del servicio si se puede determinar. 5. Procedimiento de contacto y colaboración con los proveedores Responsable Todos los funcionarios usuarios de sistemas de información del COPNIA Funcionario del área de sistemas asignado para la recuperación y seguimiento de la solución

5 Pág.5/27 involucrados. 6. Se registra la incidencia en el libro de registro de contingencias. 7. Se solicita y mantiene disponible la última copia de seguridad registrada en el libro de control de backups. 4 Ejecutar el plan de recuperación. Si el sistema se encuentra funcionado parcialmente y es posible realizar una copia de seguridad, se suspende el servicio para que los usuarios no registren más transacciones y se realiza la copia de seguridad. El responsable asignado ejecuta los siguientes pasos para la recuperación del sistema de acuerdo al nivel de la falla: 1. Instalación y puesta a punto de un equipo de cómputo compatible y hardware necesarios para la instalación del sistema de información con las características mínimas exigidas. 2. Instalación y configuración del sistema operativo, drivers y servicios necesarios para el funcionamiento del sistema de información a recuperar. 3. Instalación y configuración del sistema de información y el motor de la base de datos, con sus respectivas librerías y niveles de seguridad. 4. Instalación de aplicaciones adicionales necesarias para el funcionamiento del sistema de información. 5. Realización del procedimiento restauración de la base de datos con la última copia de seguridad disponible (Restore). 6. Reiniciación del servicio, prueba y afinamiento del sistema de información. Funcionario del área de sistemas asignado para la recuperación y seguimiento de la solución.

6 Pág.6/27 5 Comunicar el restablecimiento del servicio 7. En un horario de baja demanda, se realiza la recuperación de otras aplicaciones y documentos que no influyen directamente en el funcionamiento del sistema de información recuperado. 8. Si el equipo de cómputo no requiere cambiarse por fallas técnicas de hardware y se cuenta con una copia imagen del disco duro, únicamente es necesario restaurar la imagen del disco duro y restaurar la copia de seguridad de la información, sin realizar los pasos del 1 al ara algunos sistemas de información únicamente se requiere copiar la carpeta donde se encuentra el software ejecutable y actualizar la carpeta de la base de datos con el último backup automático almacenado en el disco duro o memoria USB del usuario. De acuerdo con la complejidad y especialidad del sistema de información de la Entidad, o si la actividad 5 no ha sido satisfactoria, se debe escalar y determinar el nivel de servicio de acuerdo a los cuadros del numeral. 6.5 Una vez puesta en marcha y funcionamiento el sistema de información, se comunica a los usuarios del mismo. Se realiza un seguimiento en las primeras dos horas sobre el comportamiento y rendimiento del sistema para verificar su correcto funcionamiento. Se lleva a cabo una encuesta sobre del funcionamiento del sistema de información, como retroalimentación para el cierre del proceso. Funcionario del área de sistemas asignado para la recuperación y seguimiento de la solución 6 Cerrar el proceso Se cierra el proceso, una vez Funcionario del área

7 Pág.7/ de recuperación en caso de contingencia. Se identifican las posibles fallas en el procedimiento Fin del procedimiento finalizado el período de seguimiento y no exista ninguna observación por parte de los usuarios. Una vez restaurado funcionamiento de los sistemas de información, se identificarán las posibles fallas en las actividades realizadas para revisar el procedimiento y establecer un mejoramiento continuo del mismo. Es importante tener presente que las mismas deben ser documentadas en la plataforma de soporte de la mesa de ayuda. de sistemas asignado para la recuperación y seguimiento de la solución. Funcionario del área de sistemas asignado para la recuperación y seguimiento de la solución. Los funcionarios del COPNIA deben continuar con la prestación del servicio a los usuarios externos en caso de que ocurra una interrupción del servicio en los sistemas de información del COPNIA, para ello se deben tener en cuenta las siguientes consideraciones: En caso de no tener red de Internet, servicio de electricidad, los responsables de cada oficina deben comunicarse con el proveedor del servicio público para hacer el seguimiento a la solución de la falla y obtener el tiempo estimado de la solución. Verificar la última radicación o consecutivo del último registro y realizar la actividad y el control de forma manual o en otro sistema de información alterno de contingencia como Word, Excel, Etc. Verificar periódicamente cualquier aviso en la página web, intranet o comunicación sobre el estado y progresos de la solución de la falla del sistema de información. Las UPS asignadas a los equipos de cómputo darán únicamente el tiempo necesario e indispensable para guardar la información que se esté trabajando en ese momento, permitiendo dar protección a los equipos en caso de caídas eléctricas. 6. ANEXOS 6.1. Libro de registro de contingencias. (SI-fr-07) 6.2. Lista de contratos y personal que labora en sistemas. (SI-fr-05) 6.3. Recomendaciones desarrollo mantenimiento de BCP y DRP 6.4. Lista de verificación plan de contingencia. (SI-fr-03)

8 Pág.8/ Escalamiento y Niveles de Servicio 6.6. El Informe de Análisis de Impacto en el Negocio (BIA Business Impact Analysis) ANEXO 6.1 SI-fr-07 ANEXO 6.2 SI-fr-05

9 Pág.9/27 ANEXO 6.3 ANÁLISIS DE IMPACTO AL NEGOCIO - RECOMENDACIONES PARA EL DESARROLLO Y MANTENIMIENTO DEL BCP Y DRP DE COPNIA Plan de Recuperación de desastres Con base en lo anterior, la Dirección de Sistemas determinará los requerimientos tecnológicos para soportar una operación contingente, dentro de los elementos mínimos a considerar (sin limitarse) son: a) Servidores. b) Servicios de red. c) Sistemas Operativos. d) Almacenamiento. e) Bases de datos. f) Licencias. g) Aplicaciones. h) Servicios en general. Además de los recursos a considerar, es necesario diseñar un proyecto encaminado a disponer de un centro alterno de cómputo en el cual se pueda instalar, configurar y dejar disponibles los elementos mínimos citados previamente. En consideración a la complejidad y magnitud que esto representa, se debe considerar aspectos que garanticen el éxito como contratación de consultoría externa e involucramiento de todos los proveedores asociados a las marcas y líneas de la infraestructura a disponer en el centro de cómputo alterno Plan de Continuidad del Negocio Tomando como insumo el resultado obtenido con los líderes de procesos, se proyectará la disposición de una sede de operación alterna a la principal, en la cual se instalarán los elementos mínimos para operar en caso que la sede principal no esté disponible. Para lograr tal objetivo, es necesario tener claro cuáles son los niveles mínimos de operación que la entidad acogerá para atender los servicios que presta a un porcentaje aceptable. Al igual que con el Plan de recuperación de desastres, se debe emprender un proyecto en el que se tengan en cuenta, sin limitarse, los siguientes elementos:

10 Pág.10/27 a) Personas mínimas requeridas b) Puestos de trabajo c) Comunicaciones d) Registros o información física esencial. e) Proveedores clave. El objetivo principal de esta etapa, es que los procesos esenciales de la Entidad sigan operando desde otra sede, bien sea integralmente o a un nivel que permita atender lo prioritario de sus funciones Recomendaciones En virtud de la experiencia, a continuación se relacionan una serie de aspectos que de considerarlos, ayudarán a la Entidad a implantar de manera adecuada la gestión de continuidad del negocio: 1) La necesidad, patrocinio y responsabilidad, deben surgir y establecerse al más alto nivel de la Entidad. 2) Constituir un Comité de Continuidad, que puede ser un componente del comité Directivo. 3) La continuidad del negocio no es solo un proyecto con inicio y fin, se trata de una actividad permanente con funciones propias y necesidad de coordinar el esfuerzo y recursos de diferentes áreas, por tanto, se debe proyectar como tal, de tal forma que es altamente recomendable que se nombre una delegatura u oficina responsable de la Dirección de la Continuidad, con personal y recursos suficientes para ello. 4) En razón al carácter operacional y estratégico que reviste la Continuidad del negocio, es una responsabilidad que no debería recaer en el área de Sistemas. 5) A fin de emprender el proyecto de manera estructurada y para hacerlo exitoso, es recomendable adoptar los lineamientos de la norma ISO (Norma Internacional de Gestión de Continuidad de Negocio ) así como las mejores prácticas emitidas por el Desaster Recovery Institute (DRI)

11 Pág.11/27 Encontramos también aspectos en la administración de tecnología que pueden ayudar a que los requisitos de servicios tecnológicos para soportar la continuidad (DRP) se gestionen con mayor fluidez y eficiencia: 1) Analizar, definir, asignar una estructura organizacional del área de Sistemas de tal forma que se segreguen claramente las áreas y funciones que debe asumir. 2) Revisar y actualizar la documentación asociada a las responsabilidades de los funcionarios, procesos propios de tecnología y procedimientos relevantes. 3) Identificar funciones críticas que están soportadas en el conocimiento de determinados expertos a fin de buscar alternativas que no comprometan a la Entidad en caso de ausencia de tales funcionarios. 4) Revisar los contratos de soporte a fin de determinar cuáles de ellos requieren renovación o con cuales proveedores se pueden realizar acuerdos de soporte por demanda, lo anterior previendo situaciones de contingencia. 5) Establecer como política y procurar como lineamiento que en la infraestructura tecnológica se mantengan componentes que sean vigentes, cuyos proveedores y fabricantes brinden el soporte y las actualizaciones pertinentes. Contar con hardware o software que se pueda conseguir en el mercado. 6) Se recomienda fortalecer las políticas, lineamientos, procedimientos y en general documentación asociada a Backups de la Información, de tal forma que estén ajustados a las necesidades de los procesos de la Entidad y que contemple además los medios, la frecuencia y pruebas de restauración. En este aspecto, es importante considerar que en casos de recuperación es necesario considerar el transporte de los Backups en aspectos como medio y tiempo, de igual forma el periodo que puede transcurrir en su recuperación. 7) Como resultado de la innovación y renovación de sistemas de información, la entidad se puede encontrar con medios disponibles para restaurar backups pero con infraestructura (Hardware, Sistema Operativo, Bases de datos, Aplicaciones) no compatibles con la estructura de datos registrada en el backup, por tanto, se recomienda una política de migración de sistemas que contemple la vigencia de los Backups. 8) Llevar un control adecuado de la capacidad instalada así como de la demanda de servicios. 9) Mantener documentación actualizada, disponible y permanente de la configuración de los elementos de la infraestructura, bajo la premisa que todo cambio debe ser documentado y actualizado en los registros. 10) Adoptar las mejores prácticas ITIL.

12 Pág.12/27 ANEXO 6.4 SI-fr-03 ANEXO 6.5 SI-fr ESCALAMIENTO Y NIVELES DE SERVICIO Los usuarios pueden solicitar la solución de un problema presentado o realizar una solicitud de mejora del sistema de información y telecomunicación, informando al área de sistemas quienes, presentando una solución de acuerdo con el nivel de importancia y los niveles de servicio. Para ello el ingeniero asignado deberá dar trámite a la incidencia o problema de soporte registrado en el sistema soporte de mesa de ayuda, registrando la solución de

13 Pág.13/27 la misma, al cual se le puede realizar seguimiento desde el mismo sistema CUADRO DE ESCALAMIENTO NIVEL PUNTO DE ESCALAMIENTO a) Ingeniero de sistemas del COPNIA b) Profesional de Gestión de Sistemas. c) Administradores del sistema - Ingenieros de desarrollo contratistas - Especialistas consultores externos CUADRO NIVELES DE SERVICIO N DESCRIPCIÓN GENERAL DEL PROBLEMA NIVEL DE SERVICIO REQUERIDO Incremento de la capacidad en cualquier capa computacional de Nivel 3: Hasta 60 días calendario 1 hardware o software. Denegación de servicios por fallas del software que afecten de Nivel 1 : 30 minutos hábiles forma general el sistema que impida el acceso a los servicios Nivel 2 : 4 horas hábiles 2 con impacto significativo operacional, entre un 95% al 100% de Nivel 3 : 10 horas hábiles los usuarios. PRIORIDAD DE SOLUCIÓN ALTA. Degradación de servicios por fallas sobre las estructuras de Nivel 1 : 4 horas hábiles datos y software que NO impida el acceso a los servicios con Nivel 2 : 8 horas hábiles 3 impacto operacional medio-alto, entre un 70% al 94% de los Nivel 3 : 2 día hábiles usuarios. PRIORIDAD DE SOLUCIÓN MEDIA. 4 5 Degradación de rendimiento sobre los servicios y problemas de forma que NO se impida el acceso a los servicios con impacto operacional bajo, entre el 1% al 69% de los usuarios. PRIORIDAD DE SOLUCIÓN BAJA. Nivel 1 : 2 días hábiles Nivel 2 : 5 días hábiles Nivel 3 : 15 días hábiles Solicitud de mejora o creación de un nuevo módulo de software. Dependiendo su complejidad, tiempo acordado mediante formato SI-fr-09 y se escala de acuerdo con la especialidad cuadro de escalamiento. El tiempo de solución establecido en el anterior cuadro de niveles de servicio, según la prioridad y niveles de escalamiento, corresponde al tiempo transcurrido entre la comunicación oficial del problema y la solución del problema en el servidor de producción. Si en el proceso de pruebas, los usuarios identifican que el problema persiste, o se generan nuevos problemas, el tiempo transcurrido se reactiva hasta que nuevamente se entregue la solución del problema encontrado y así sucesivamente, hasta obtener una solución definitiva.

14 Pág.14/ CUADRO DE NIVELES DE ATENCIÓN NIVEL 1 2 NIVEL DE ATENCION ATENCIÓN PRIORITARIA: Sistemas de información y equipos que requieran alta disponibilidad de atención a los usuarios externos y manejen alto volumen de información. ATENCIÓN NORMAL: Sistemas de información y equipos no relacionados con la atención a los usuarios y manejen bajo volumen de información. Ejemplo: Impresoras, Procesos Disciplinarios, Sistemas que no requirieran Conectividad y que cuenten con mayor plazo para la consulta y disponibilidad de información, etc. Los usuarios deben verificar periódicamente cualquier aviso en la página web, intranet, comunicación oficial, correo electrónico sobre el estado y progresos de la solución de la falla del sistema de información. 6. CONTROL DE CAMBIOS No. Fecha Descripción del cambio o modificación 1 Junio 2014 Primera emisión DIANA LORENA TORO BETANCUR CARLOS ROBERTO VALLEJO CUBILLOS CARLOS ALBERTO JARAMILLO JARAMILLO Consultor ADALID Prof. de Gestión de Sistemas Director General ELABORÓ REVISÓ APROBÓ