DESARROLLO DE UN PLAN DE RECUPERACIN DE DESASTRES PARA LA UNIDAD DE TECNOLOGA DE LA EPMAPAP

Vicerrectorado de Investigacin y Vinculacin con la Colectividad

Maestra en Evaluacin y Auditora de Sistemas Tecnolgicos

Autor: Ing. Jos Luis Loor Zambrano

Sangolqu, Mayo 2014

DESARROLLO DE UN PLAN DE RECUPERACIN DE DESASTRES PARA LA UNIDAD DE TECNOLOGA DE LA EPMAPAP

ANTECEDENTES

Con este trabajo se dot a la Unidad de Tecnologa de la EPMAPAP de un DRP que sirva para afrontar desastres que puedan comprometer la continuidad de las operaciones en los procesos automatizados.El trabajo de investigacin se desarroll en la Empresa Pblica Municipal de Agua Potable y Alcantarillado de Portoviejo, creada mediante Ordenanza de 26 de noviembre de 1996.En virtud de la creciente dependencia que tienen las empresas a nivel mundial de la tecnologa para realizar sus operaciones, se hace cada vez ms necesario el contar con un plan de recuperacin de desastres. En Ecuador este fenmeno se manifiesta en mayor proporcin en el sector privado.En la provincia de Manab muy pocas empresas cuentan con la proteccin de esta herramienta.

PROBLEMA

ALCANCEEn la Unidad de Tecnologa de la EPMAPAP no se dispone de un DRP, por lo que se incumple la norma de control interno 410-11Plan de Contingencias: Corresponde a la unidad de tecnologa de informacin la definicin, aprobacin e implementacin de un plan de contingencias que describa las acciones a tomar en caso de una emergencia o suspensin en el procesamiento de la informacin por problemas en los equipos, programas o personal relacionado. El Plan de Recuperacin de Desastres se desarroll para sustentar las operaciones de los principales servicios ofrecidos por la Unidad de Servicios Informticos de la EPMAPAP.JUSTIFICACIN

Dada la recurrencia de eventos elctricos discontinuos y de inundaciones presentadas en la ciudad de Portoviejo a causas de fuertes inviernos cada vez ms frecuentes que amenazan la seguridad de los datos, los sistemas informticos con los que cuenta la institucin, sus consecuencias en la continuidad y calidad en la prestacin de estos servicios, es evidente la necesidad de implementar un DRP que permita salvaguardar la integridad de los equipos informticos, realizar una adecuada gestin y administracin de los recursos tecnolgicos.El agua es un derecho Constitucional, segn lo expresa la Constitucin de la Repblica del Ecuador en su Ttulo II Derechos, Captulo II Derechos del Buen Vivir, Seccin Primera Agua y Alimentacin, Art. 12: El derecho humano al agua es fundamental e irrenunciable. El agua constituye patrimonio nacional estratgico de uso pblico, inalienable, imprescriptible, inembargable y esencial para la vida. OBJETIVOS

Desarrollar un DRP para la Unidad de Tecnologa de la EPMAPAP sobre la base de estndares y buenas prcticas, que permita afrontar desastres y mantener la continuidad de las operaciones del negocio.Seleccionar los estndares y buenas prcticas aplicables a la recuperacin de desastres en la Unidad de Tecnologa de la EPMAPAP.

Aplicar los estndares y buenas prcticas seleccionados, para definir y probar, en forma piloto, el DRP

Realizar un anlisis de factibilidad para la implementacin del DRP.

GENERALESPECFICOSMARCO TERICO

Plan de contingencia, es un instrumento de gestin que contiene las medidas que garanticen la continuidad del negocio protegiendo al sistema de informacin de los peligros que lo amenazan o recuperndolo tras un impacto. Plan de Continuidad del Negocio, permite de modo planificado, sistemtico y organizado resguardar la capacidad de la empresa de proveer un nivel aceptable de servicios en cualquier eventualidad que comprometa la continuidad de las operaciones. DRP Plan de Recuperacin de Desastres, es la estrategia que se seguir para restablecer los servicios de TI despus de haber sufrido una afectacin de cualquier tipo, que atente contra la continuidad del negocio.SELECCIN DE LA NORMATIVA Y ESTNDARES A APLICAR

EstndaresSon un conjunto de especificaciones tcnicas o mejores prcticas, aprobadas por organismos reconocidos, aplicables a cualquier tipo de organizacin cuyo objetivo es la mejora continua de los procesos y su permanencia a travs del tiempo.BS 25999 ISO 22301 - Seguridad de la sociedad Sistemas de gestin de la continuidad de negocio ISO 27001 - Tecnologa de la Informacin Tcnicas de Seguridad Sistema de la Seguridad de la Informacin (SGSI)Estndares sobre la continuidad del negocio:Los estndares, normas y buenas prcticas implementadas en diversas organizaciones a nivel mundial, surgen ante la necesidad de gestionar los riesgos y estandarizar las polticas de seguridad en las organizacionesSELECCIN DE LA NORMATIVA Y ESTNDARES A APLICAR cont.

BS-25999Es un estndar britnico de mejores prcticas, para lograr la continuidad de las operaciones de negocio, considerando los riesgos a los que se enfrenta la organizacinISO 22301Seguridad de la sociedad Sistemas de gestin de la continuidad de negocioEs la primera norma internacional para la gestin de la continuidad del negocio, desarrollada para ayudar a las organizaciones a minimizar el riesgo de las interrupciones que puedan presentarse.Clusulas:1. Alcance2. Referencias normativas3. Trminos y definiciones4. Requerimientos generales5. Liderazgo6. Planeacin7. Soporte8. Operacin9. Evaluacin del desempeo10. MejoraISO 27001 Tecnologa de la Informacin Tcnicas de Seguridad Sistema de la Seguridad de la Informacin (SGSI)Es una norma internacional auditable que define los requisitos para un sistema de gestin de la seguridad de la informacin. Permite adoptar a la organizacin un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar el SGSI.SELECCIN DE LA NORMATIVA Y ESTNDARES A APLICAR cont.

Constitucin de la Repblica del EcuadorEstablece en su Ttulo VII Rgimen Del Buen Vivir, Captulo Primero Inclusin y Equidad, Seccin Novena, Gestin del Riesgo, que:Art. 389.- El Estado proteger a las personas, las colectividades y la naturaleza frente a los efectos negativos de los desastres de origen natural o antrpico mediante la prevencin ante el riesgo, la mitigacin de desastres, la recuperacin.Art. 390.- Los riesgos se gestionarn bajo el principio de descentralizacin subsidiaria, que implicar la responsabilidad directa de las instituciones dentro de su mbito geogrfico.NormativaEs todo el cuerpo legal que en el marco de su jurisdiccin es aplicable para cada organizacin de acuerdo a su actividad y lugar donde desarrollan sus actividades. Normas de Control InternoEn la norma de control interno 410-11de la Contralora General del Estado dice que: Corresponde a la unidad de tecnologa de informacin la definicin, aprobacin e implementacin de un plan de contingencias que describa las acciones a tomar en caso de una emergencia o suspensin en el procesamiento de la informacin por problemas en los equipos, programas o personal relacionado. Seleccin del estndar, buenas prcticas y la normativa para la definicin del DRP

Se realiz la seleccin de la norma que cumpli con los criterios establecidos y que mejor se ajustaba a la realidad y necesidad de la Unidad de Tecnologa de la EPMAPAP a fin obtener mejores resultados durante su desarrollo y en su posterior implementacin para mitigar en lo posible los riesgos a los que est expuesta la organizacin.Peso %Criterios de SeleccinAlternativasBS-25999ISO 22301ISO 270019,10%Contribucin a la continuidad de negocio100,00%100,00%40,00%9,09%Flexibilidad de adaptacin100,00%100,00%90,00%9,09%Norma Internacional50,00%100,00%100,00%9,09%Actualizacin disponible80,00%100,00%90,00%9,09%Escalabilidad90,00%100,00%80,00%9,09%Independencia95,00%97,00%80,00%9,09%Impacto80,00%80,00%80,00%9,09%Sostenibilidad80,00%100,00%80,00%9,09%Aplicabilidad sector pblico/ privado100,00%100,00%90,00%9,09%Certificable100,00%100,00%100,00%9,09%Experiencias exitosas de implementacin98,00%95,00%100,00%100,00%TOTAL PONDERACIN88,46%97,45%84,54%ESTRUCTURA ORGNICA EPMAPAP

UNIDAD DE TECNOLOGIA DE LA EPMAPAP

La Unidad de Tecnologa de la EPMAPAP, es un rea de asesora tecnolgica que brinda servicios de soporte y administracin de los sistemas informticos a las reas administrativas de la EPMAPAP, alineada siempre a los objetivos institucionales.

La EPMAPAP cuenta con sistemas informticos integrados dentro de sus principales reas:Sistema informtico comercial ABILLING Sistema informtico contable OLYMPOSistema informtico administrativo AFLOW Sistema informtico de talento humano ATHIE Estructura OrgnicaDiagrama de Red OrganizacionalDESARROLLO DEL DRP

El DRP desarrollado consta de una serie de documentos formulados a partir de las necesidades y objetivos institucionalesUbicacin del DocumentoNombre del DocumentoANEXO 1Control de informacin documentadaANEXO 2Requisitos legales, normativos y reglamentariosANEXO 3Lista de requisitos legales, normativos y reglamentariosANEXO 4Poltica de continuidad de los servicios tecnolgicosANEXO 5Anlisis del impacto en el negocioANEXO 5.1Cuestionario de anlisis de impacto Disponibilidad del servicio de comunicacinANEXO 5.2Cuestionario de anlisis de impacto Disponibilidad del sistema comercialANEXO 5.3Cuestionario de anlisis de impacto Disponibilidad del sistema administrativoANEXO 5.4Cuestionario de anlisis de impacto Disponibilidad del sistema financieroANEXO 6Estrategia de continuidad de los servicios tecnolgicosANEXO 6.1Lista de actividadesANEXO 6.2Prioridades de recuperacinANEXO 6.3Objetivos de tiempo de recuperacinANEXO 6.4Escenarios de incidentes disruptivosANEXO 6.5Plan de preparacin para la continuidad de los servicios tecnolgicosANEXO 6.6Estrategia de recuperacin - Disponibilidad del servicio de comunicacinANEXO 6.7Estrategia de recuperacin - Disponibilidad del sistema comercialANEXO 6.8Estrategia de recuperacin - Disponibilidad del sistema administrativoANEXO 6.9Estrategia de recuperacin - Disponibilidad del sistema financieroANEXO 6.10Cuestionario de evaluacin de control internoANEXO 6.11Calificacin de la evaluacin de control internoANEXO 6.12Matriz de evaluacin de riesgosANEXO 6.13Matriz de tratamiento de riesgosANEXO 6.14Plan de evacuacinANEXO 7Plan de continuidadANEXO 7.1Plan de respuesta a incidentes generalesANEXO 7.2Registro de incidentesANEXO 7.3Ubicaciones estratgicas de continuidadANEXO 7.4Plan de transporteANEXO 7.5Registro de contactosANEXO 7.6Plan de recuperacin - Disponibilidad del servicio de comunicacinANEXO 7.7Plan de recuperacin - Disponibilidad del sistema comercialANEXO 7.8Plan de recuperacin - Disponibilidad del sistema administrativoANEXO 7.9Plan de recuperacin - Disponibilidad del sistema financieroANEXO 8.2Formulario de informe de pruebasANEXO 9Plan de capacitacinANEXO 10.1Programa de auditoraANEXO 10.2Informe de auditoraANEXO 11Formulario de medidas correctivasANEXO 12Matriz RACI de responsabilidadesDESARROLLO DEL DRP

Control de Informacin documentada Este documento tiene como objetivo el de asegurar el control de la informacin documentada con respecto a la creacin, actualizacin, distribucin, acceso, recuperacin y uso de los documentos utilizados en el plan de recuperacin de desastres (DRP).Requisitos legales, normativos y reglamentariosEl presente documento tiene como objetivo determinar las partes interesadas que son relevantes para la organizacin y los requisitos de estas partes interesadas, adems de los requisitos legales, normativos y reglamentarios aplicables a la organizacin.Lista de requisitos legales, normativos y reglamentariosEn este documento se listan todos los requisitos legales, normativos, y reglamentarios que hacen necesario el desarrollo del plan de recuperacin de desastres y su posterior implementacinDESARROLLO DEL DRP

Poltica de continuidad de los servicios tecnolgicos El presente documento tiene como objetivo definir el alcance y reglas bsicas para la gestin de la continuidad de los servicios tecnolgicosAnlisis de impacto en el negocio El objetivo de este documento es definir el proceso de evaluacin que se aplicar a los principales servicios que ofrece la unidad de tecnologa y determinar el impacto de interrupcin en el negocio, para priorizar objetivos de recuperacinCuestionarios de anlisis de impactoEn este documento se detallan las tareas, recursos y datos necesarios para la recuperacin de las principales actividades.Estrategia de continuidad de los servicios tecnolgicosEste documento tiene como objetivo determinar una estrategia de recuperacin apropiada para asegurar la proteccin de las actividades priorizadas, sus dependencias y el apoyo de recursos, sirviendo de base para la continuidad y recuperacin de los servicios tecnolgicos que sustentan el negocioDESARROLLO DEL DRP

Lista de actividades Este documento detalla las actividades principales y complementarias de recuperacin que garantizan la continuidad de las operaciones organizacionales que dependen de la Unidad de servicios informticosPrioridades de recuperacin Este documento define los perodos mximos tolerables de interrupcin para cada actividad y establece prioridades en consecuenciaObjetivos de tiempo de recuperacin Este documento define los objetivos de tiempo de recuperacin para cada actividad a recuperar considerada dentro del DRPEscenarios de incidentes disruptivos Este documento define escenarios comunes de incidentes disruptivosPlan de preparacin para la continuidad de los servicios tecnolgicosEste documento define los preparativos para cumplir con las condiciones para retomar en forma satisfactoria las actividades comerciales luego de un incidente disruptivoDESARROLLO DEL DRP

Estrategia de recuperacinEste documento define las responsabilidades claves, el tratamiento de los recursos y el procedimiento aplicable a las copias de seguridad de los datos para las principales actividades.Calificacin de la evaluacin de control interno Este documento contiene la evaluacin realizada a la Unidad de servicios informticos mediante el cuestionario de control internoMatriz de tratamiento de riesgos Este documento contiene la respuesta y las instrucciones de auditora de cmo tratar los riesgos una vez identificadosMatriz de evaluacin de riesgo Este documento contiene la matiz de evaluacin y respuesta a los riesgos luego de realizada la calificacin mediante el cuestionario de control internoCuestionario de evaluacin de control interno Este documento describe el cuestionario de control interno realizado a la Unidad de servicios informticos de la EPMAPAP para la evaluacin y verificacin de sus controlesPlan de evacuacin Este documento define el plan de evacuacin del edificio y los procedimientos bsicos a seguir en casos de emergencia.DESARROLLO DEL DRP

Plan de continuidad Este documento tiene como objetivo determinar procedimientos documentados para responder a incidentes perturbadores y como continuar o recuperar sus principales actividades tecnolgicas dentro de un marco de tiempo predeterminadoPlan de respuesta a incidentes generalesEl objetivo de este documento es asegurar la proteccin y bienestar de los individuos ante la ocurrencia de desastres, as como contener el incidente, reduciendo al mnimo posible el dao sobre el negocio, sus empleados y sus partes interesadasRegistro de incidentes Este documento clasifica los incidentes disruptivos y presenta un formato para el registro de estos cuando se presentenDESARROLLO DEL DRP

Ubicaciones estratgicas de continuidadEste documento proporciona las ubicaciones disponibles alternativas para asegurar la continuidad de las operaciones tecnolgicas en caso de incidentes disruptivosPlan de transporte Este documento presenta la forma en que se organizar el transporte en caso de que se activen los planes de recuperacinRegistro de contactosEste documento lista los principales datos de los empleados que se encuentran vinculados a las acciones de recuperacin o involucrados dentro de las actividades del DRPPlan de recuperacin Este documento define de forma precisa cmo la EPMAPAP recuperar sus actividades dentro de plazos establecidos ante el caso de un desastre o de un incidente disruptivo y terminar la recuperacin de cada actividad dentro del objetivo de tiempo de recuperacin establecidoDESARROLLO DEL DRP

Plan de capacitacin Este documento detalla la capacitacin necesaria para preparar al personal para que pueda cumplir su funcin dentro del plan de recuperacin de desastres.Formulario de informe de pruebas Este documento es un formato que se usar para el registro de las pruebas y verificaciones peridicas o imprevistas con el fin de evaluar y detectar problemas que se presenten al momento de aplicar el DRP, para luego tomar las medidas correctivas necesariasPrograma de auditora Este documento es un formato para redactar el programa anual de auditora interna sobre el marco de las normas ISO 22301:2012Informe de auditora Formato bsico para el registro de las auditoras internas realizadas al DRP desarrollado luego de su implementacinDESARROLLO DEL DRP

Formulario de medidas correctivas Este documento es un formato para el registro de las acciones correctivas detectadas durante incidentes disruptivos al aplicar los procedimientos del DRP, con el objetivo de implementar al mejora continua al mismo.Matriz RACI de responsabilidades Es una matriz de asignacin de responsabilidades, en la cual se especifica el rol de cada persona dentro de la gestin del DRP para la continuidad del negocio y de las responsabilidades que deben cumplir estos. Una vez desarrollado el documento del plan de continuidad del negocio como parte del DRP y siguiendo la norma ISO 22301:2012, se realizaron los simulacros o pruebas piloto a esta unidad de Servicios Informticos con tres escenarios seleccionados para medir el grado de eficacia y aplicabilidad del plan desarrollado.Los escenarios fueron seleccionados de forma discrecional por el autor debido a que la actual tesis es una propuesta de diseo de un DRP pero el mismo no se encuentra implementado, por esta razn la falta de recursos materiales, humanos y logsticos impidieron probar escenarios de mayor complejidad. Pruebas piloto ESTUDIOS DE FACTIBILIDAD

Factibilidad TcnicaApellidos y NombresTtulo de tercer nivelExperiencia reas# Aos de experienciaJos Ivn Alcvar MoreiraIngeniero en sistemas informticosSeguridad y base de datos.TelecomunicacionesDesarrollo de software3Javier Hernn Lpez ZambranoIngeniero en sistemas computacionalesSeguridad y base de datos.TelecomunicacionesDesarrollo de software4Eglice Renn Ross VillavicencioTcnico informticoSoporte tcnico.Instalacin y mantenimiento de hardware y software3AplicacinTipo de softwareTipo licenciaPlataformaWhatsUp GoldMonitoreo de redPropietarioWindowsConsolas de comandos integradas en el sistema operativoConsola de comandosGLP Software libreLinuxExiste la factibilidad tcnica en la implementacin del DRP, ya que se cuenta con los conocimientos y habilidades tanto de los niveles directivos para la gestin administrativa y de los niveles de gestin operativa de las tareas informticas de la institucinAs mismo se establece que se cuentan con las herramientas informticas necesarias para la administracin y recuperacin de actividadesESTUDIOS DE FACTIBILIDAD

Factibilidad OperativaLa EPMAPAP posee una estructura orgnica funcional que permite la toma de decisiones de forma oportuna, esta efectiva operabilidad coordinada con los procesos definidos en el manual de procesos organizacionales de la EPMAPAP permite la viabilidad operativa del DRP desarrollado y el empoderamiento de los procesos organizacionales.El literal i del Reglamento de la Estructura Orgnica y Funcional de la EPMAPAP establece que es funcin del jefe del departamento de servicios informticos: Definir los procedimientos de contingencia o planes de recuperacin de desastre. Factibilidad LegalEn la norma de control interno 410-11 Corresponde a la unidad de tecnologa de informacin la definicin, aprobacin e implementacin de un plan de contingencias La Constitucin de la Repblica del Ecuador en sus Art. 389 y 390 menciona: Art. 389.- El Estado proteger a las personas, las colectividades y la naturaleza frente a los efectos negativos de los desastres de origen natural o antrpico mediante la prevencin ante el riesgo, la mitigacin de desastres, la recuperacin. Art. 390.- Los riesgos se gestionarn bajo el principio de descentralizacin subsidiaria, que implicar la responsabilidad directa de las instituciones dentro de su mbito geogrfico ESTUDIOS DE FACTIBILIDAD

Factibilidad EconmicaDe acuerdo al estudio realizado se estableci el costo de la cada concurrente de todos los sistemas informticos y el costo a invertir en recursos para la recuperacin de las actividades.ActividadCosto SemanalIncidente disruptivoCosto de InversinDisponibilidad del servicio de comunicacin61000,0020000,00Disponibilidad del sistema comercial21500,0015000,00Disponibilidad del sistema administrativo13500,0015000,00Disponibilidad del sistema financiero7000,0015000,00Total103000,0065000,00CONCLUSIONES

La norma ISO 22301:2012 se ajusta a las necesidades institucionales de la EPMAPAP debido a su flexibilidad de adaptacin a cualquier organizacin sin importar su tipo, tamao y naturaleza, lo que permiti la culminacin del presente plan de recuperacin de desastres. La norma ISO 22301:2012 aplicada en el presente trabajo, fue la mejor opcin (solucin) para desarrollar el plan de recuperacin de desastres para la unidad de servicios informticos de la EPMAPAP, quedando as demostrado mediante las pruebas pilotos que se realizaron con el objetivo de probar su eficacia y la flexibilidad de acoplamiento que brinda la norma. Despus del anlisis realizado se demuestra que existe la viabilidad tcnica, operativa, legal y econmica del DRP desarrollado, considerando los beneficios y prestaciones que motivan su implementacin dentro de la Unidad de servicios informticos de la organizacin. Las pruebas preliminares del DRP desarrollado corroboran el estudio de su factibilidad as como, permiten afirmar que es posible su implementacin y operacin en el marco organizacional de la EPMAPAP. El diseo desarrollado del DRP basado en la norma ISO 22301:2012, ha sido una solucin demostrada mediante las pruebas pilotos y los estudios de factibilidad realizados que demuestran su viabilidad de implementacin dentro del marco estructural y organizacional de la EPMAPAP. RECOMENDACIONES

Implementar el plan de recuperacin de desastres desarrollado para la unidad de servicios informticos de la EPMAPAP, para asegurar la continuidad de las operaciones tecnolgicas y de los servicios informticos que brinda este departamento, que son la base sustentable para llevar a cabo las principales actividades de la organizacinRealizar la socializacin del presente plan de recuperacin de desastres a todo el personal de la institucin para concientizar las acciones y medidas correctivas que se puedan tomar sin haber implementado el mismo, adems de brindar una idea ms clara y de prevencin ante desastres o incidentes disruptivos que se pudieran presentar. Acoger la norma ISO 22301:2012 en el resto de unidades organizativas de la EPMAPAP para asegurar la continuidad del negocio mediante un completo Sistema de Gestin de Continuidad del Negocio. Dotar al personal de la debida capacitacin que ayude a adquirir las habilidades bsicas necesarias para la integracin del personal dentro del DRP desarrollado que complemente las habilidades y destrezas inmersas en el perfil de cada empleadoRealizar un convenio de alianza estratgica con la Empresa homnima de servicio bsico de agua potable de la ciudad de Manta denominada Empresa de Aguas de Manta, a fin de unir esfuerzos y servir de centros de recuperacin remoto de forma bilateral, tal como se especifica en el desarrollo del presente DRP

GRACIAS