Planes de contingencia ante fallas en los equipos de cómputo

CÓDIGO T.G.I.152.70.03

VERSIÓN 1

FECHA APROBACIÓN 16/12/2015

PÁGINA 1 de 15

Planes de contingencia ante fallas en los equipos de cómputo Sistemas de Información


VERSIÓN 1


PÁGINA 2 de 15

Planes de contingencia ante fallas en los equipos de cómputo

Elaborado por:

Ing. Armando Alvarado Dávila Coordinador Sistemas de

Información

Estandarizado por:

Coordinadora Calidad Fecha: Diciembre 2017

Aprobado por:

Dr. Javier Arévalo Tamayo Gerente

Gestión de la Información


VERSIÓN 1


PÁGINA 3 de 15

PLAN DE CONTINGENCIA ANTE CAIDAS DE LOS SISTEMAS DE CÓMPUTO INTRODUCCIÓN. Los sistemas de información presentan riesgos permanentes. El concepto de Seguridad de la Información se puede asociar al proceso para eliminar los riesgos relacionados a la confidencialidad, disponibilidad e integridad de uno de los recursos más valiosos de la Entidad: la información. La gestión de la seguridad tiene que basarse en un análisis costo-beneficio. Básicamente la seguridad de la información busca proteger la confidencialidad, integridad y disponibilidad de los activos clasificados como valiosos mediante controles implementados en políticas, estándares y procedimientos. El documento que se presenta a continuación muestra los planes de contingencia para los principales elementos de cómputo que, si fallan, pueden dejar no operativo los sistemas de cómputo. 1. DEFINICIONES. AMFE permite priorizar las acciones encaminadas a minimizar o eliminar las fallas con el fin de buscar respuestas para su mejora. Se basa en:

Fases

Establecer el equipo

Definir el proceso

Listar modos de fallo potenciales

Definir los efectos de los modos de fallo

Describir las causas que podrían originar dichos fallos

Listar controles que permitan detectar cada modo de fallo

Calcular prioridades (importancia de cada riesgo)

Implantar acciones de mejora para prevenirlos/reducirlos, etc. CÁLCULO DE PRIORIDADES - IMPORTANCIA DE CADA RIESGO. Se debe preocupar principalmente por los riesgos cuyo impacto en su servicio sean mayores, también los que tengan mayor probabilidad de ocurrir. Cuánto más se tarde en detectar su aparición mayor será su impacto. INDICE DE IMPORTANCIA DE CADA RIESGO. Para el cálculo del índice se utilizan los siguientes valores: Probabilidad de parar (A)


VERSIÓN 1


PÁGINA 4 de 15

Gravedad (G) Probabilidad de detección (D): Donde un nivel de detección alto implica una calificación baja NPR (Número de priorización de cada riesgo) – Determina el índice de importancia de cada riesgo. NPR = A x G X D MATRIZ DE ANÁLISIS. Para el análisis del riesgo se define una matriz con las siguientes columnas: Pasos del proceso Fallos posibles Causas (dónde actuar) Efectos Posibles NPR (G x O x D) inicial Fallos críticos ordenados por NPR Causas Tipo de control (Correctivo / Transferir / Prevenir) Controles a implementar (Acciones) Fecha de ejecución Responsable Tipo de seguimiento y evaluación 2. SISTEMAS DE INFORMACION. 2.1. LISTA DE ACTIVOS DE INFORMACION A PROTEGER. A continuación se listan los principales activos de información a proteger. 2.1.1. BASES DE DATOS DE APLICATIVOS Base de datos de SIHOS Base de datos de SIVIGILA Base de datos de ALFANET Base de datos de DINÁMICA Base de datos del PAC imágenes diagnósticas Base de datos de desplazados 2.1.2. DOCUMENTOS DE ÁREAS Documentos de Gerencia Documentos de Subgerencia Administrativa Documentos de Subgerencia de P y P Documentos de Subgerencia Científica


VERSIÓN 1


PÁGINA 5 de 15

Documentos del área de Contabilidad Documentos del área de Facturación Documentos del área de Tesorería Documentos del área de Presupuesto Documentos del área de Calidad Documentos del área Jurídica Documentos del área de Talento Humano Documentos del área de Mantenimiento Documentos del área de Gestión Ambiental Documentos del Laboratorio Clínico Documentos del área de Control Interno Documentos del área de Planeación Documentos del área de Almacén Documentos del área de Comunicaciones Documentos del área de Sistemas de Información Documentos del Auditor Médico Documentos del Archivo Central Documentos de Estadística 2.1.3. ARCHIVOS DE SONIDO Grabación de extensiones de Trauma y Partos 2.1.4. ARCHIVOS DE VIDEO Grabaciones de las Cámaras de vídeo. 2.1.5. CORREO ELECTRÓNICO Correo electrónico empresarial 2.1.6. INFORMACIÓN DE SERVIDORES DHCP del servidor 192.168.1.14 Directorio Activo del servidor 192.168.1.14 Conjunto de reglas y políticas del servidor 192.168.1.14 Carpetas del servidor 192.168.8.1 – Telefonía IP Carpetas del servidor 192.168.1.22 - Llamada Carpetas del servidor 192.168.1.10 - servcomu Carpetas del servidor 192.168.1.14 – Dominio Carpetas del servidor 192.168.1.12 – SIHOS Carpetas del servidor 192.168.1.15 –Dinámica Carpetas del servidor 192.168.1.11 – Laboratorio Clínico Carpetas del servidor 192.168.1.20 – ServerESE Carpetas del servidor 192.168.8.1 – Nagios 2.1.7. LICENCIAS DEL SOFTWARE


VERSIÓN 1


PÁGINA 6 de 15

Licencias de uso del software 2.1.8. ARCHIVOS DE CONFIGURACIÓN Switches Access Point Router Servidores Infraestructura de red 2.1.9. HARDWARE Equipos de cómputo Impresoras Escáner Radios UPS DVR Televisores Equipos biométricos (huelleros, cámaras) 3. ELEMENTOS QUE INTERVIENEN EN EL ÁREA DE SISTEMAS DE INFORMACIÓN. En términos generales el sistema de cómputo de la ESE ORIENTE, de cara al servicio al cliente, está compuesto por los siguientes elementos: Equipos de escritorio. En este caso hay de tres tipos, Todo en uno compuesto por un teclado, mouse, pantalla integrada y cargador; De torre compuesto por teclado, mouse, pantalla y torre y Portátiles. Red de datos interna. Permite la conectividad entre los equipos al interior de la red. Está compuesta por, cable de red, cableado estructurado, switches, POE, Radios (para implementar red inalámbrica), fibra óptica. Red de datos externa. Permite la conectividad a internet. Compuesta por AP proporcionado por EMCALI, fibra óptica proporcionada por EMCALI. Servidores. Los cuales implementan el sistema de información SIHOS, manejo del dominio, gestión documental, servidor de correos y demás aplicativos. Contienen además las bases de datos correspondientes. Radios de enlace. Ubicados uno en cada uno de los puestos y centros de salud y en la antena del hospital Carlos Holmes, son los equipos que implementan la comunicación inalámbrica entre el centro de datos y las demás IPS.


VERSIÓN 1


PÁGINA 7 de 15

Sistema de Información. Sistema que implementa los diferentes aplicativos tales como Historias clínicas, Gestión documental, Sivigila, entre otros. El aplicativo critico de cara al paciente es el de las historias clínicas SIHOS. Impresoras. Permite la generación de las órdenes, facturas y otros documentos. Red de telefonía. Permite las comunicaciones telefónicas tanto internas como externas. Estos elementos son los que se deben tener en cuenta al hacer un análisis ante caídas del sistema y generar los correspondientes planes de contingencia. 4. ANÁLISIS DE RIESGOS Cualquiera de los elementos mencionados puede generar problemas y frenar el servicio de datos. La tabla a continuación muestra el plan de contingencia definido para cada uno de los elementos de cómputo que, por sus características, influyen de una u otra manera en el normal funcionamiento de los sistemas de información. En la tabla se lista el elemento, el riesgo de no funcionamiento, el problema que genera y el plan de contingencia definido para mitigarlo.

Elemento Riesgo Problema que genera

Plan de contingencia

Equipo de escritorio

El equipo de cómputo no prende, el teclado no funciona, el mouse no funciona, la pantalla no funciona, el equipo no se conecta a la red, el usuario no puede iniciar la sesión del dominio

El usuario no puede utilizar el equipo de cómputo. Por lo tanto no puede actualizar las historias clínicas, ni utilizar sistemas de información

1. Tener a disposición en el área de sistemas una cantidad de elementos mínimos disponibles para dar soporte lo más pronto posible, tales como mouse, teclado, monitores, cables de red, cables telefónicos y equipos de cómputo. 2. Llevar las historias clínicas en forma manual e


VERSIÓN 1


PÁGINA 8 de 15

ingresarlas al sistema una vez se le solucione el problema. 3. Utilizar otro consultorio que esté disponible. En ningún momento se deben mover componentes de otros equipos de cómputo sin previa autorización del área de sistemas. 4. Suscribir un contrato preventivo con una empresa externa, para aumentar la vida útil de los equipos.

Red de datos interna

No permite la comunicación interna entre el equipo del usuario y los servidores

El usuario puede trabajar con su equipo de cómputo, pero no tiene acceso a los servidores de la red.

1. Llevar las historias clínicas en una plantilla de texto proporcionada por el área de sistemas, una vez se solucione el problema el médico debe actualizar la historia clínica en el sistema, con los datos consignados en la plantilla. 2. Informar al área correspondiente sobre la caída del sistema, llevar el


VERSIÓN 1


PÁGINA 9 de 15

registro en forma manual en formatos diseñados para tal fin y, una vez regrese el sistema, el profesional correspondiente lo ingresará al mismo dentro de las siguientes 24 horas de restablecimiento del servicio.

Red de datos externa

No permite la comunicación con las páginas de los entes de control y/o EPS

Impide la validación de los derechos de los pacientes.

1. Tener otro proveedor de internet que en caso de fallas de uno se active automáticamente el otro con tecnologías diferentes, de tal forma que uno se base en fibra óptica y el otro con tecnología inalámbrica

Servidores El servidor donde está el aplicativo presenta retardos, daños en sus componentes presentan daños o el servidor no responde técnicamente.

Impide la ejecución normal del aplicativo de Historias clínicas lo que retrasa la atención en los pacientes La información de las historias clínicas se pierde No permite la conexión de los

1. Tener servidores de respaldo debidamente configurados para que entren en ejecución en caso de daños del servidor principal. 2. Monitorear permanentemente los servidores


VERSIÓN 1


PÁGINA 10 de 15

El servidor de dominio presenta daños en sus componentes, no responde adecuadamente o no funciona.

equipos a la red lo que imposibilita el registro de datos en las historias clínicas y retrasos en la atención del paciente

para determinar su estado. 3. Hacer un mantenimiento preventivo y tener el software debidamente actualizado. 4. Tener copias de respaldo debidamente actualizadas para evitar pérdidas de información

Radios de enlace El radio de comunicación se daña o presenta fallas. El cable de red de los radios se estropea por factores climáticos o factores externos. Los dispositivos del sistema de radio enlace sufren averías. La frecuencia del radio es bloqueada o utilizada por otro medio. Problemas externos ajenos a la Entidad, que impiden la

El enlace del puesto o centro de salud con el nodo central no se establece o presenta tiempos de respuesta muy largos. Los datos no pueden ser almacenados en el sistema de información. Los puestos y centros de salud no prestan el servicio adecuadamente.

1. Suscribir un contrato de mantenimiento con una empresa que preste el servicio de mantenimiento correctivo y preventivo 24 x 7. 2. Instalar un sistema de monitoreo de los radio enlaces de la Red. 3. Cambiar el servicio de red interna del sistema de radio enlace por uno de fibra óptica que sea principal y dejar los radios enlace como sistema de respaldo.


VERSIÓN 1


PÁGINA 11 de 15

conexión con el enlace principal, tales como construcciones nuevas o crecimiento de árboles. Robo de dispositivos externos como el cable de red, antena o radio.

4. Mantener en stock material de apoyo tal como radios, POES, cable de red.

Sistemas de información

El sistema se vuelva obsoleto y no responda a las necesidades de información El sistema presenta inconsistencias en los datos que arroja Se presentan accesos no autorizados a la información Se pierde información del sistema.

El sistema no responde a las necesidades de información actuales de la empresa o la información que entrega es incompleta. Al tener datos errados la empresa no puede tomar decisiones de tipo gerencial y puede incurrir en multas por presentar información errada. La información es conocida por personal ajeno a la institución generando multas por violar la confidencialidad de la misma.

1. Hacer contratos de mantenimiento con las casas desarrolladoras para que mantengan el software permanentemente actualizado y le incorporen nuevas funcionalidades acorde a las necesidades de las áreas. 2. Monitorear permanentemente los datos arrojados por el sistema y activar las alarmas en caso de encontrarse inconsistencias en los mimos. 3. Establecer una política de control de acceso de usuarios


VERSIÓN 1


PÁGINA 12 de 15

Al perderse la información la empresa puede tardar mucho tiempo en recuperarla y generar traumatismos en la generación de reportes y/o soportes de tipo gerencial. La atención al usuario final puede verse afectada.

estableciendo claramente los permisos sobre la misma. 4. Generar copias de respaldo de la información contenida en las bases de datos que los soportan. Establecer una política de copias de respaldo. 5. Tener servidores espejo o de respaldo que permitan recuperar la información de una manera rápida

Impresoras La impresora no responde, traba el papel o no se conecta a la red La tinta del tonner de la impresora se daña regando la tinta en el dispositivo Se acaba el tonner de la impresora y su impresión es deficiente.

No se generan las órdenes médicas ni demás documentos, generando traumatismos en la prestación del servicio.

1. Mantener un stock de repuestos y kits de mantenimiento de impresoras 2. Tener uno o dos impresoras de respaldo en el almacén para ser reemplazadas temporalmente mientras se arregla el desperfecto. 3. Mantener un stock de tonner de impresoras y verificar permanentemente


VERSIÓN 1


PÁGINA 13 de 15

la calidad del mismo. 4. Suscribir un contrato preventivo con una empresa externa, para aumentar la vida útil de los equipos

Red de telefonía El servidor de telefonía IP se daña. Los teléfonos se dañan, las teclas no funcionan, no se conectan a la red.

No salen ni entran llamadas, viéndose afectado el servicio de traslado de pacientes principalmente. No se pueden validar los derechos de los pacientes, ni solicitar autorizaciones.

1. Tener un servidor de respaldo de la telefonía IP que permita recuperarse rápidamente ante una falla del principal. 2. Hacer copias de respaldo de la configuración del servidor de telefonía. 3. Mantener un stock de teléfonos en el almacén para ser reemplazados en caso de fallas. 4. Monitorear permanentemente el estado de la red de telefonía IP.

Switches Los puertos del switche se dañan Se desconfigura el switche

La comunicación de los equipos de cómputo que están conectados al switche se pierde por lo que el

1. Mantener puertos disponibles dentro de cada switche para que pueda ser utilizados en


VERSIÓN 1


PÁGINA 14 de 15

El switche se daña por completo

servicio de red se ve afectado. No se pueden utilizar los servicios de la red incluida la grabación en las bases de datos de los diferentes aplicativos.

caso de falla de uno de ellos. 2. Mantener actualizado el firmware de los switches para minimizar el riego de desconfiguración en caso de fallas en el fluido eléctrico. 3. Mantener un backup de la configuración del switche para que pueda ser recuperado en caso de fallas o pérdidas del mismo. 4. Tener uno o dos switches en stock para que puedan ser reemplazados en caso de fallas del mismo.


VERSIÓN 1


PÁGINA 15 de 15

Control de Cambios

Versión Fecha Responsable Variación Descripción del

cambio Pág. Modificada

01 01/02/2016 Armando Alvarado

Dávila – Coordinador Sistemas de Información

Primera Emisión

Planes de contingencia ante fallas en los equipos de cómputo

Documents

Transcript of Planes de contingencia ante fallas en los equipos de cómputo