TIC-GCN-0001-Guia Para Elaboracion de Planes de ad en TIC

5/9/2018 TIC-GCN-0001-Guia Para Elaboracion de Planes de ad en TIC - slidepdf.com

http://slidepdf.com/reader/full/tic-gcn-0001-guia-para-elaboracion-de-planes-de-ad-en-tic

Caja Costarricense de Seguro Social

Dirección deTecnologías de Información y Comunicaciones

Administración de la Continuidad de la Gestión

Manual para Elaborar unPlan de Continuidad de la Gestión en

Tecnologías de Información y ComunicacionesTIC-ASC-CGN-0001

Noviembre 2007



Manual para Elaborar un Plan de Continuidad de la Gestión en TIC TIC-ASC-CGN-0001Continuidad de la Gestión en Tecnología de Información y Comunicaciones Versión 1.0

Subárea Continuidad de la Gestión ©©©©CCSS 2007 2 de 84

Tabla de Contenidos

ALCANCES ..................... ...................... ......................... ......................... ...................... .................... 5 ACTUALIZACIÓN ......................... ......................... ...................... ......................... ......................... ...... 5 APROBACIÓN DEL DOCUMENTO..................... ........................ ....................... ......................... .............. 5

1. HISTORIAL DE REVISIONES ......................... ...................... ......................... ......................... ...... 6 DEFINICIONES ........................ ...................... ......................... ......................... ...................... ............ 7

2. INTRODUCCIÓN....................... ......................... ......................... ......................... ...................... ... 8 3. BENEFICIOS DE CONTAR CON PLANES DE CONTINUIDAD EN TIC.................... .................... 9 4. DIFICULTADES PARA IMPLANTAR UN PLAN DE CONTINUIDAD EN TIC............................... 10 5. ETAPAS MÍNIMAS PARA ELABORAR UN PCTIC..................... ......................... ...................... . 10

ANÁLISIS DE RIESGOS ........................ ......................... ...................... ......................... ..................... 10 DESARROLLO DE ESTRATEGIAS DE RECUPERACIÓN DE LAS OPERACIONES ........................................... 11 DESARROLLAR E IMPLEMENTAR EL PLAN DE CONTINUIDAD EN TIC ....................................................... 11 PROCEDIMIENTOS DE RECUPERACIÓN...................... ......................... ......................... ...................... . 12 DESARROLLAR PROGRAMAS DE ENTRENAMIENTO Y CONCIENTIZACIÓN .................................................. 12 PRUEBAS Y DAR MANTENIMIENTO AL PLAN ........................ ......................... ...................... .................. 12 PROCEDIMIENTO DE MEJORA CONTINUA ....................... ...................... ......................... ..................... 13

6. EL PLAN DE CONTINUIDAD EN TIC.............. ...................... ......................... ......................... .... 13 RELACIONES DE COORDINACIÓN ..................... ......................... ......................... ...................... .......... 14 GUÍA GENERAL PARA ELABORACIÓN DEL PLAN DE CONTINUIDAD EN TIC ............................................... 15 COORDINADOR DEL PLAN ...................... ......................... ......................... ...................... .................. 16 ORGANIZACIÓN Y ADMINISTRACIÓN PARA EL PLAN DE CONTINUIDAD TIC............................................... 16

Líder de Equipo ....................... ......................... ...................... ......................... .................16 Suplente del Líder de Equipo............................................................................................17 Miembros de equipo ......................... ........................ ....................... ......................... ........17 Composición de equipos para la continuidad ........................ ......................... ...................17 Posición y habilidades requeridas del personal....................... ......................... .................19 Centro de Operaciones de Emergencia (COE)...................................... ....................... .....19

DISTRIBUCIÓN DEL PLAN DE CONTINUIDAD DEL TIC............................................................................ 20 DIRECTRIZ DE CAPACITACIÓN EN PLANES DE CONTINUIDAD .................................................................. 20 DIRECTRIZ DE MANTENIMIENTO DE LOS PLANES DE CONTINUIDAD ......................................................... 21 RESPONSABILIDADES ......................... ......................... ...................... ......................... ..................... 21 TIEMPOS MÁXIMOS DE INTERRUPCIÓN. .............................................................................................. 21

7. ACTIVACIÓN DEL PLAN DE CONTINUIDAD DE TIC................... ......................... ..................... 21 ACTIVACIÓN DEL PLAN........................ ......................... ...................... ......................... ..................... 21 NOTIFICACIÓN INICIAL......................... ......................... ...................... ......................... ..................... 21





PRIMERA NOTIFICACIÓN DE ALERTA....................... ...................... ......................... ......................... .... 22 VERIFICACIÓN DEL DESASTRE ..................... ......................... ....................... ......................... ............ 23 ACTIVACIÓN DEL EQUIPO DE RECUPERACIÓN..................... ......................... ...................... .................. 23 SITIO ALTERNO DE RESPALDO DE DATOS........................ ...................... ......................... ..................... 23 ESCALAMIENTO DE NOTIFICACIONES ..................... ...................... ......................... ......................... .... 24 EVALUACIÓN DE DAÑOS...................... ......................... ...................... ......................... ..................... 24 ESTABLECER EL COE ..................................................................................................................... 25 NOTIFICACIÓN A LOS MIEMBROS DEL EAE.............. ...................... ......................... ......................... .... 26 SESIÓN INFORMATIVA......................... ......................... ...................... ......................... ..................... 26

8. RECOMENDACIONES DE RECUPERACIÓN....................... ......................... ......................... .... 27 ELABORAR LAS RECOMENDACIONES DE RECUPERACIÓN ..................................................................... 27

9. SEGUIMIENTO DEL EVENTO......................................... ....................... ......................... ............ 27 10. ANEXO I – PLANTILLA PARA CONTROL DEL DESARROLLO DE LAS FASES ..................... . 28 11. ANEXO II – GUÍA PARA LA ELABORACIÓN DE ANALISIS DE RIESGOS ..................... .......... 29

INTRODUCCIÓN....................... ...................... ......................... ......................... ...................... .......... 29 DESARROLLO DE ANÁLISIS DE RIESGOS (DEFINICIONES) ..................................................................... 30 EL ANÁLISIS DE RIESGOS (CATEGORÍAS DE RIESGOS).......................................................................... 30 METODOLOGÍA ....................... ...................... ......................... ......................... ...................... .......... 32 CAPTURA DE LA INFORMACIÓN DE RIESGOS.................... ...................... ......................... ..................... 32 ANÁLISIS DE PROBABILIDAD, IMPACTO Y RIESGO ........................ ......................... ....................... ......... 33

DESARROLLO DE ESTRATEGIAS DE RIESGOS ..................... ......................... ...................... .................. 36 DESARROLLO DE ESTRATEGIAS DE RIESGOS- ARV002 ....................................................................... 37

12. ANEXO III – GUÍA PARA ELABORAR PLANES DE CONTINUIDAD DE LA GESTION EN TIC . 38 INTRODUCCIÓN....................... ...................... ......................... ......................... ...................... .......... 38

13. HISTORIAL DE REVISIONES ......................... ...................... ......................... ......................... .... 41 14. PLAN DE CONTINUIDAD................................... ......................... ......................... ...................... . 42

INFORMACIÓN DE LA UNIDAD (PTC001, PTC002).............................................................................. 42 INVENTARIO DE HARDWARE Y SOFTWARE - PTC003................ ...................... ......................... ............ 43 ANÁLISIS DE RIESGOS ........................ ......................... ...................... ......................... ..................... 44 TIEMPOS MÁXIMOS DE INTERRUPCIÓN (PTC004)............................................................................... 46 ORGANIZACIÓN PARA LA CONTINUIDAD (PTC005).............................................................................. 47 COMPOSICIÓN DE EQUIPOS (PTC006) .............................................................................................. 48 INFORMACIÓN DE CONTACTOS EXTERNOS (PTC007) .......................................................................... 49 UBICACIÓN DEL CENTRO DE OPERACIONES DE EMERGENCIA (PTC008)............................................... 50 SITIO ALTERNO DE RESPALDO DE DATOS (PTC009) .......................................................................... 51 MATRIZ DE ENSAYOS DEL PLAN (PTC010) ......................................................................................... 52 PROCEDIMIENTOS DE RECUPERACIÓN (HARDWARE)(PTC011) ............................................................ 53





PROCEDIMIENTOS DE RECUPERACIÓN (SISTEMA DE INFORMACIÓN O APLICACIÓN)(PTC012) ................. 57 PROCEDIMIENTOS DE RECUPERACIÓN (EQUIPO O LÍNEA DE COMUNICACIÓN. (PTC013) ......................... 60 RESUMEN DEL ESTADO DEL EVENTO (PTC014)................................................................................. 62 EVALUAR EL ESTADO DEL EQUIPO DE TIC (PTC015) ......................................................................... 64

15. ANEXO IV – GUÍA PARA EL DESARROLLO DE ENSAYOS DEL PLAN DE CONTINUIDAD EN TIC65 INTRODUCCIÓN....................... ...................... ......................... ......................... ...................... .......... 65 ENSAYOS DEL PLAN....................... ......................... ......................... ......................... ...................... . 65 DIRECTRIZ PARA EJECUCIÓN DE LOS ENSAYOS DEL PLAN .................................................................... 66 OBJETIVOS DE LOS ENSAYOS ...................... .......................... ...................... ......................... ............ 66 COORDINADOR DE LOS ENSAYOS .................... ......................... ......................... ....................... ......... 67 RESPONSABILIDADES DEL CPC EN LOS ENSAYOS ...................... ......................... ...................... .......... 67 TIPOS DE ENSAYOS ....................... ......................... ......................... ......................... ...................... . 67 FRECUENCIA DE LOS ENSAYOS ..................... ........................ ....................... ......................... ............ 68 CALENDARIO DE ENSAYOS ..................... ......................... ......................... ...................... .................. 68 EVALUACIÓN DE LOS ENSAYOS ..................... ........................ ....................... ......................... ............ 69 GUÍA PARA EL DESARROLLO DE ENSAYOS ......................... ......................... ...................... .................. 70 MATRIZ DE ENSAYO DEL PLAN (PTC016)....................... ...................... ......................... ..................... 71 ENSAYO DEL PLAN (PTC017) .......................................................................................................... 72

16. ANEXO V – MANTENIMIENTO DEL PLAN (PTC018)................. ......................... ...................... . 73 17. ANEXO VI – DOCUMENTO PROCEDIMIENTOS ALTERNOS DE TRABAJO................... .......... 74

INTRODUCCIÓN. ......................... ......................... ...................... ......................... ......................... .... 74 EVALUACIÓN DE FACTIBILIDAD PARA LA DOCUMENTACIÓN .................................................................... 74 DESCRIPCIÓN DEL FORMULARIO PARA DOCUMENTACIÓN DE PAT ......................................................... 75 PROCEDIMIENTO ALTERNO DE TRABAJO ENCUESTA............................................................................. 78 PROCEDIMIENTO ALTERNO DE TRABAJO (PTC019)............................................................................. 80 EJEMPLO. PROCEDIMIENTO ALTERNO DE TRABAJO..................... ......................... ...................... .......... 81

18. ANEXO VII – ESCALACION DE EVENTOS (PTC020) ........................ ...................... .................. 82 19.

ANEXO VIII – PLAN DE CAPACITACION (PTC021)........................... ...................... .................. 83

CALENDARIO CAPACITACIÓN - PTC021........... ......................... ......................... ....................... ......... 83

20. ANEXO IXX – PRESUPUESTO DE EQUIPO PARA CONTINGENCIAS......... ......................... .... 84 PRESUPUESTO DE EQUIPO PARA CONTINGENCIAS (PTC022) .............................................................. 84

21. ANEXO XX - ABREVIATURAS ....................... ...................... ......................... ......................... .... 84





Alcances

Este manual describe las guías mínimas que deben cumplirse para la elaboración de un plan decontinuidad de la gestión en Tecnologías de Información y Telecomunicaciones. Estasconsideraciones son obligatorias para todas las unidades regionales y centrales en Tecnologíasde Información y Telecomunicaciones, de la Caja Costarricense del Seguro Social.

Actualización

Por las consideraciones de las guías incluidas, periódicamente se revisarán para actualizar,eliminar o agregar nuevas disposiciones o normas, acorde a la evolución de las tecnologías deinformación y comunicaciones en la Institución.

Aprobación del documento

El documento fue acogido en acuerdo del Comité Gerencial de Tecnologías de Información, queen su sesión N.21 celebrada el lunes 09 de julio del 2007 y aprobado en firme en la sesión N.23del 30 de octubre 2007.





1. Historial de revisiones

Fecha Versión Descripción Autor

Marzo 2006 0.1 Versión inicial Lic. Leonardo Fernández M

Lic. Laura Morales Ureña

Septiembre 2006 0.2 Actualización del documento Lic. Leonardo Fernández M

Kpmg. S.A.

Abril 2007 0.3 Revisión documento Lic. Laura Morales

Octubre 2007 1.0 Aprobación del documento

Sesión N.23 del 20 de octubre 2007

Comité Gerencial

Tecnlogias de Informacion

Noviembre 2007 1.0 Actualización documento

Registro aprobación

Lic. Leonardo Fernandez M

Pricewaterhouse S.A.





Definiciones

Planeamiento de Continuidad del Negocio (Business Continuity Planning - BCP)

Es el proceso de desarrollar planes y procedimientos dentro de la organización con el propósitode responder ante un desastre o interrupción significativa del negocio, de forma tal que lasoperaciones críticas del negocio puedan continuar sus operaciones dentro de un límite aceptablede tiempo, de acuerdo a lo establecido por la gerencia general.

Planeamiento de Recuperación ante Desastres (Disaster Recovery Planning - DRP)Planes, actividades y programas diseñados para permitir a la organización retornar a unacondición aceptable, luego de un desastre o interrupción significativa del negocio.

A diferencia del concepto anterior, el DRP está orientado a la recuperación de los servicios y deTI y consecuentemente contiene los detalles de recuperación requeridos por el equipo desoporte para restaurar la plataforma tecnológica.

Para efectos de este documento y los esfuerzos desarrollados en la CCSS, se seguirádenominando Plan de Continuidad para Tecnología de Información y Comunicaciones (PCTIC).

Tiempos máximos de interrupción (TMI)

Lapso de tiempo (horas hábiles) en el cual el proceso y los servicios de TI deben ser restauradosa un nivel operacional aceptable.





2. Introducción

La criticidad de la información dentro de la organización y la complejidad de los sistemas deinformación hacen que las organizaciones sean más sensibles ante las amenazas de laintegridad de la información. Los incidentes de perdida de información que con cierta frecuenciase presentan y son dados a conocer por los medios de comunicación, provocan alarma en lasOrganizaciones ya que afectan a la totalidad de las actividades de las mismas. Sin embargo,incidentes menos relevantes como el fallo de una línea de comunicación puede tener un efectodevastador en los procesos de la organización.

En la actualidad la regulación de la mayoría de los sectores no suele hacer una referenciaespecífica a la continuidad de negocio. En general, los administradores suelen poner énfasis enla integridad y disponibilidad de la información más que en la disponibilidad de los sistemascomo base a la continuidad del negocio de la empresa.

Ante esta realidad la Dirección de Tecnologías de Información y Comunicaciones ha visto lanecesidad de buscar soluciones que obedezcan a estrategias que aseguren la seguridad ycontinuidad de sus procesos operativos sustantivos.

Un aspecto a considerar dentro de este entorno, es el Riesgo o Amenaza, factor que no puedeser pasado por alto, debido a que se encuentra inmerso en cualquier operación organizacionalen donde intervienen Procesos, Gente y Tecnología. Por tanto, aquellas soluciones orientadas ala mitigación y/o manejo de estos riesgos, cobran vital importancia para nuestra Institución.

Las consecuencias que la Institución puede enfrentar, cuando uno o varios de sus procesossustantivos están inoperantes o son incapaces de brindar un servicio son muchos, y en algunoscasos pueden llegar a ser catastróficos representando un costo muy alto para la Institución.Algunas de esas causas son descritas a continuación:

Desastres naturales Problemas técnicos Problemas organizacionales (huelgas, leyes aceptadas por el congreso, regulaciones

gubernamentales, leyes internacionales ) Problemas de terceros involucrados en la producción o soporte a un servicio Problemas con los proveedores de insumos o subproductos Fallas en equipos o maquinaria especializada Servicios de soporte a producción o servicio Errores humanos, etc.

Estudios realizados sobre este asunto, revelan cómo cualquier negocio termina rápidamente

siendo incapaz de realizar o ejecutar las actividades del día a día, cuando los sistemas,aplicaciones y componentes de tecnología de información no están disponibles a causa de unsiniestro, eventualidad o contingencia.

Adicionalmente estos contratiempos pueden deteriorar la imagen de la Institución e inciden en lasatisfacción de nuestros usuarios.

Por lo anterior la Caja Costarricense del Seguro Social requiere ir más allá y ejecutar un alcancemás amplio que no solo contemple la continuidad en TIC, sino que también incluya lacontinuidad operativa de las operaciones, lo anterior da origen a los conceptos sobre laContinuidad del Negocio y Administración del Riesgo (conceptos descritos por las mejoresprácticas para la Administración de Servicios de Tecnologías de Información sugeridas por ITIL ysustenta y justifica la generación de un Plan de Continuidad en TIC.





El enfoque principal de un Plan de Continuidad en TIC considera recuperar las operaciones de

los procesos sustantivos de una organización, dentro de un espacio de tiempo determinado,buscando equilibrar el costo y viabilidad de éste.

Cabe mencionar que la generación de un Plan de Continuidad en TIC, tiene una relación muyestrecha con la alta gerencia de la organización, ya que el éxito de este tipo de prácticasorganizacionales depende en gran medida, del grado de involucramiento de estos actores.

3. Beneficios de contar con Planes de Continuidad en TIC

Es fundamental ver los beneficios que trae a la Institución la elaboración de Planes de Plan deContinuidad en TIC, a partir de los elementos siguientes:

Protección de la viabilidad de la gestión al enfrentar una interrupción mayor, mediante unaestrategia de continuidad.

Aprovechamiento de la infraestructura actual para ese objetivo.

Aprovechamiento de la documentación actual (procesos y procedimientos).

Equilibrio entre las variables: costo, beneficio y riesgo.

Definición de una estructura organizacional para el Plan de Continuidad de la Gestión en TIC.

Diseño de medidas para reducción de riesgos identificados.

Definir una estrategia global de continuidad de negocio, basada en la recuperación de laoperación y servicios sustantivos de cualquier organización.

Selección de componentes para cumplir con la estrategia de continuidad. Creación de una cultura de continuidad de negocio.

Tener la documentación necesaria y suficiente para alguna auditoria.

Institucionalización del BCP.

Contar con planes de continuidad de negocio, los cuales podrán ayudar a la organización aoperar sus procesos más críticos de negocio durante un periodo contingente.

Contar con análisis de riesgo e impacto de los componentes (activos) que soportan alproceso.

Identificar los puntos más críticos y vulnerables de los procesos de negocio de la

organización. Identificar áreas de oportunidad dentro de la organización, como resultado de los análisis y

alternativas de operación durante un periodo contingente.

Cálculos sobre el costo aproximado de pérdida, al no poder ejecutar un proceso crítico.





4. Dificultades para implantar un Plan de Continuidad en TIC

Algunas dificultades se podrían presentar al tratar de llevar a cabo un proyecto orientado a laimplantación de un Plan de Plan de Continuidad en TIC, entre las que se puede citar lassiguientes:

Falta de Compromiso de la Dirección.

Los programas particulares no se integran entre sí.

En el diseño del plan no se realiza una gestión correcta del riesgo.

No se realizan simulacros o planes de prueba completos.

Limitaciones de presupuesto.

Falta de involucramiento del personal de la organización.

5. Etapas mínimas para elaborar un PCTIC

Un proyecto típico de BCP como mínimo incluye los componentes siguientes:

Análisis de Riesgos. (Análisis de Impacto en el Negocio).

Desarrollo de Estrategias de Recuperación de las Operaciones.

Desarrollar e implementar el Plan de Continuidad en TIC.

Desarrollar programas de entrenamiento y concientización.

Pruebas y mantenimiento al BCP.

Procedimientos de mejora continua.

Análisis de Riesgos

Busca determinar los eventos y situaciones externas que pueden afectar adversamente a laorganización y su infraestructura, tanto por una interrupción como por un desastre, evalúa eldaño que dichos eventos pueden causar, y los controles requeridos para prevenir o minimizar losefectos de pérdida potencial. Provee un análisis costo-beneficio para justificar la inversiónrequerida para mitigar los riesgos identificados.

Esta etapa está orientada a:

Entender las pérdidas potenciales. Determinar la exposición de la Organización a pérdidas potenciales.

Identificar controles para prevenir o mitigar los efectos de pérdidas potenciales.

Evaluar, seleccionar y utilizar apropiadamente herramientas y metodologías para análisis deriesgos.

Evaluar la efectividad de los controles.

Evaluar y controlar los riesgos.

Administrar los registros vitales para el negocio.





Para el desarrollo del Análisis de Riesgos refiérase al documento “Guía para la elaboración delAnálisis de Riesgos Anexo II, como insumo para el Plan de Continuidad de la Gestión en TIC.

Los resultados del Análisis de Riesgos serán utilizados como insumo para el desarrollo de laestrategia de TI, identificando oportunidades de mejora que ayuden a disminuir la proclividad delnegocio a interrupciones. Debe entenderse que los riesgos identificados en este análisis,únicamente deberán ser considerados para preparar una estrategia de mitigación de riesgosprevio a cualquier interrupción o desastre. No serán utilizados para estrategias o accionesdurante o después de un evento que provoque la interrupción de los servicios.

Dentro del análisis de riesgos hay que desarrollar un análisis del impacto del negocio:

El Análisis de Impacto en el Negocio (BIA), dado que algunos de sus propósitos principales sondeterminar la urgencia por la recuperación de las funciones del negocio e identificar los recursosnecesarios para iniciar y mantener la operación del negocio en un lugar alterno, deberá serllevado a cabo por todas las áreas críticas del negocio.

Dicho análisis deberá identificar claramente lo siguiente:

Información general de las áreas funcionales.

Información de los niveles de impacto (cualitativo, cuantitativo, regulatorio).

Información de las funciones críticas para la supervivencia del área.

Los requerimientos de recursos para el área (instalaciones, tecnología, servicios de soporte,recursos humanos).

La actualización de este análisis deberá actualizarse al menos una vez al año o cuando lascondiciones en el negocio así lo obliguen.

Desarrollo de Estrategias de Recuperación de las Operaciones

En esta etapa se deberán establecer diversas estrategias orientadas a la recuperación de laplataforma tecnológica de acuerdo con los objetivos de tiempo de recuperación establecidos porel negocio.

Como parte de la etapa se deberá realizar lo siguiente:

Identificar los requerimientos estratégicos para la recuperación de la plataforma de TI.

Valorar la oportunidad de estrategias alternativas contra los resultados del Análisis delImpacto del Negocio.

Preparar un análisis costo/beneficio de las estrategias de recuperación.

Seleccionar posibles sitios alternos de operación y respaldo de datos. Entender los requerimientos contractuales para los servicios del negocio.

Desarrollar e implementar el Plan de Continuidad en TIC

En esta etapa se debe diseñar, desarrollar e implementar el plan de continuidad que proveerá dela información necesaria para recuperar las operaciones de TI dentro del marco de tiempoestablecido por el negocio. Para lograr este objetivo se deberá:

Determinar los requerimientos del Plan.

Determinar la estructura del Plan.





Diseñar el Plan.

Definir y documentar los procedimientos de recuperación (se aclaran más adelante).

Desarrollar los requerimientos de documentos a utilizar durante y después del desastre.

Implementar el Plan.

Establecer pruebas y procedimientos de control, distribución, capacitación y mejora continuadel Plan.

Procedimientos de Recuperación Los procedimientos de recuperación son documentos que apoyarán el proceso de recuperaciónde la plataforma de TI posterior a la manifestación de cualquier evento que los afecte parcial ototalmente (escenario de peor caso). De esta forma deberá documentarse procedimientos parala recuperación de:

Sistemas de información; Servidores;

Equipos y líneas de comunicación.

En todos los casos se deberá considerar con prioridad aquellos elementos (de los citadosanteriormente) que sean críticos de acuerdo a los procesos críticos del negocio y considerandolos tiempos máximos de interrupción identificados en cada uno de los casos.

Los procedimientos de recuperación deberán incluir toda la información necesaria para larecuperación (“desde cero”) de cualquiera de los elementos de la plataforma crítica del negocio.Para ello se ha incluido en el plan de continuidad tres documentos, para: sistemas de

información, servidores y equipos y líneas de comunicación.

El responsable por su documentación es cada uno de los encargados de los equipos o sistemas.Para su preparación deberá considerarse siempre el “escenario de peor caso” de forma tal quese documente todo lo necesario para una recuperación total. Posteriormente y en caso de utilizarla documentación, según se haya dado una pérdida total o parcial, la información deberáutilizarse según sea necesario.

Desarrollar programas de entrenamiento y concientización

En esta etapa, el objetivo principal será desarrollar un programa orientado a crear y mantenerconciencia en el negocio, además de mejorar las habilidades requeridas para desarrollar e

implementar los planes de recuperación. Para lograr esto deberá: Definir los objetivos de entrenamiento y concientización.

Desarrollar y ejecutar programas variados de entrenamiento.

Desarrollar programas de concientización.

Identificar otras oportunidades de educación.

Pruebas y dar mantenimiento al Plan

Esta etapa se orienta a probar con antelación y coordinar ejercicios, documentando y evaluandolos resultados de ellos. Desarrollar procesos para mantener vigentes las capacidades para lograr





una adecuada recuperación de las operaciones de TI, en acuerdo con la dirección estratégicadel negocio.

Para el logro de los objetivos se deberá: Establecer y ejercitar el Plan.

Determinar los requerimientos de ejercitación.

Desarrollar escenarios realistas para las pruebas.

Preparar reportes y procedimientos de control de los ejercicios.

Ejecutar ejercicios.

Obtener retroalimentación de los resultados de las pruebas e implementar las mejorasrequeridas.

Procedimiento de Mejora Continua

Se deberá establecer en el procedimiento para administrar la mejora continua del plan decontinuidad. Considere para esto los elementos siguientes:

Administración del cambio en la organización. Los dueños de procesos o de la plataforma deTI son los responsables por reportar al coordinador del plan de continuidad o de los planes,los cambios que se den en el ambiente. Esto con el fin de que el administrador coordine losesfuerzos de actualización correspondientes.

Los cambios a considerar serán todos aquellos que modifiquen la estructura del plan decontinuidad tales como cambios en el personal, cambios en los procesos de negocio,cambios de la plataforma de TI, etc.

Capacitación del personal. Se deberá definir un plan de capacitación permanente al personalinvolucrado en los esfuerzos para asegurar la continuidad de TI. Los procesos decapacitación deberán ejecutarse al menos una vez al año, o cuando un cambio en el negocioasí lo fuerce.

Ensayo del plan. Definir un plan para ensayar periódicamente los planes de continuidad yrecuperación. Esto deberá realizarse al menos una vez al año. En los ensayos deberáparticipar todo el personal involucrado en los esfuerzos de continuidad y recuperación. Losensayos se podrán desarrollar gradualmente, de forma que durante el año se cubra latotalidad de la documentación. A partir de los ensayos se deberá documentar los resultadosde los mismos y desarrollar procedimientos para la actualización inmediata de toda ladocumentación que se vea afectada.

Revisión constante. El coordinador del plan de continuidad será el responsable por manteneruna vigilancia constante sobre el negocio y sobre TI, para identificar eventuales cambios quefuercen a un proceso de actualización de los planes de continuidad y recuperación.

6. El Plan de Continuidad en TIC

Los Planes de Continuidad de TIC (PCTIC) han sido diseñados para proveer respuestainmediata y una subsiguiente recuperación operacional de los procesos considerados como





críticos. Una interrupción puede ser ocasionada por situaciones diversas como son: problemasde procesamiento, comunicaciones, pérdida de acceso al edificio, fuego u otros. Sin embargo, el

factor común en todas las situaciones es una interrupción en el acceso a los sistemas deinformación que residen en las computadoras principales (servidores) y que soportan lasoperaciones.

Esos procedimientos de recuperación constituyen una herramienta útil para hacer organizada yefectiva la ejecución de las tareas durante la recuperación de las operaciones de TI.Adicionalmente, funcionan como guías, prácticas y sencillas, que ayudan a la ejecución de lasactividades y que las decisiones puedan ser realizadas por personal diferente de aquellos queestán familiarizados con ellas, previendo que parte del personal podría no estar disponible en elmomento del desastre.

En cualquiera de los casos, esos planes serán entregados al líder de equipo y él seráresponsable de darlos a conocer al resto del personal involucrados en el equipo de recuperación.Todo cambio en los procedimientos como consecuencia de la modificación de la forma detrabajo, recursos involucrados (técnicos y humanos), etc. deberá ser comunicado oportunamenteal Coordinador del Plan de Continuidad (CPC) para proceder con la actualización y distribucióndel plan.

En el documento Guía para Elaborar Planes de Continuidad de TIC encontrará un modelo aseguir para los procedimientos de recuperación, los cuales deberán definirse para: Servidores; Sistemas de información y aplicaciones; y, Equipos de comunicación.

Este Plan ha sido diseñado únicamente para enfrentar situaciones de desastre que afecten alárea de Tecnología de Información y Comunicaciones, particularmente sus computadoras

principales.

Relaciones de coordinación

Las relaciones de coordinación son aquellas que se establecen con diferentes centros ya seaninternos o externos, con el fin que en caso de presentarse algún evento o suceso dondenuestras operaciones queden fuera de servicio, estos centros nos ayuden a salir de la crisis ypodamos iniciar las operaciones en los tiempos establecidos.

Relaciones de coordinación internas:

- Dirección de Tecnologías de Información y Comunicaciones- Área de Seguridad y Calidad Informática.- Sub – Área de Continuidad de la Gestión- Dirección Regional (la que corresponda).- Otros centros Regionales.

Relaciones de coordinación externas:

- Bomberos.- Compañía Nacional de Fuerza y Luz- Cruz Roja.- Instituto Costarricense de Electricidad- Empresas Locales de suministros de electricidad





- Hospitales Nacionales

Guía general para elaboración del Plan de Continuidad en TIC

Como guía general se muestra en esta sección los pasos a seguir para la elaboración del Plan deContinuidad de TIC. Para mayor referencia, deberá tener consigo la “Guía para Elaborar Planes deContinuidad en TIC” Anexo III, en donde encontrará los instrumentos a utilizar y que se referencian en estedocumento.

1. Para iniciar con el Plan deberá documentar la Carátula y el formulario control de Revisiones yaprobaciones (PTC000).

2. Prepare la información de la unidad (PTC001), información de persona a cargo de la crisis (PTC002),y disponer de un Inventario de hardware y software. Para este último se incluye en la guía un modelo

de la información mínima que deberá contener dicho inventario (PTC003).3. Desarrolle un análisis de riesgos y vulnerabilidades de la situación actual en la plataforma de TI. Para

esto utilice la Guía de Elaboración de Análisis de Riesgos . Como resultado de dicho análisis deberáobtener la matriz de análisis de riesgos así como la tabla de riesgos completa (ARV001 y ARV002). Enadelante, deberá dar seguimiento a las estrategias de mitigación de riesgos que fueron planteadas yrealizar las actividades pertinentes para que dichas estrategias se cumplan.

4. Complete la tabla Tiempos Máximos de Interrupción incluida en el documento “Guía de Elaboración dePlan de Continuidad TIC”,(PTC004) priorizando la recuperación de los diferentes procesos de TIC asícomo de sus componentes de plataforma tecnológica. La priorización deberá realizarse con base enlos requerimientos del negocio para la prestación de sus servicios.

Los tiempos máximos de interrupción se obtienen a partir de un análisis de impacto en el negocio en

donde se identifican los procesos o funciones del negocio, su nivel de criticidad o bien qué tantodepende el negocio de esos procesos y qué tanto tiempo puede pasar antes que su interrupción sevuelva crítica.

Para la identificación de los TMI se deberá realizar un ejercicio con las áreas usuarias del negocio endonde los responsables de las funciones determinen con base en su conocimiento, cuánto será eltiempo que puede transcurrir antes que la interrupción de la función o servicio provoque daño operjuicio al negocio. Para esto se puede utilizar escalas para posteriormente clasificar la prioridad ycriticidad. Ejemplo: menos de cuatro horas, un día, dos días, cinco días, dos semanas, etc.

5. Documente en un Organigrama la Organización para la Continuidad (PTC005), estableciendo lasrelaciones de mando para la ejecución y control de las labores. En la Guía se muestra un ejemplo deltipo de organigrama que deberá documentar, para los equipos de recuperación y donde deberíaúnicamente incluir los nombres de las personas que conformarían los equipos. Paralelamente deberácompletar la información específica de las personas que conforman los equipos en la tabla deComposición de Equipos.

6. Complete la información de los formularios Información de contactos externos(PTC007), Ubicación delCentro de Operaciones de Emergencia (PTC008), Sitio Alterno de Respaldo de Datos (PTC009) yMatriz de Ensayos del Plan (PTC010).

7. Complete los Procedimientos de Recuperación tanto en hardware, software y comunicaciones, en quele permitirán recuperar la plataforma de TI ante diversos escenarios que podrían afectarlo sean objetode una interrupción o de un desastre mayor. Los formularios muestra a seguir para desarrollar estadocumentación se incluyen en el documento “Guía de Elaboración de Plan de Continuidad TIC”.Deberá completar un documento de recuperación (utilizando el correspondiente) para cada servidor,equipo de comunicación o aplicación miembro de la plataforma de TI.





8. Elabore una lista de abreviaturas propias de la plataforma tecnológica y definiciones de aspectostécnicos muy especializados.

9. Planee y ejecute ensayos de los documentos y de la organización del PCTIC. Pruebe principalmentede los Procedimientos de Recuperación.

10. Realice los ajustes correspondientes a la documentación según los resultados de los ensayosrealizados.

11. Realice sesiones de capacitación con el personal involucrado para asegurar que todos tienen claro surol en el momento de la contingencia y que todos entienden claramente la documentación y losprocedimientos a seguir en caso de una contingencia.

12. Revise y someta a aprobación de acuerdo con la Política de Continuidad Institucional según losaprobadores asignados en el punto 1 de la presente guía los documentos desarrollados.

13. Distribuya copias del Plan según corresponda.

14. Planee el procedimiento de mejora continua (actualización y capacitación regular en el tema)a todo el personal involucrado, este procedimiento (mantenimiento y revisión del plan) debeser al menos una vez cada seis meses. Para ello use el formulario PTC014.

Coordinador del Plan

El Coordinador del Plan de Continuidad , adelante el CPC, es responsable de la supervisión ycoordinación de todas las actividades de recuperación establecidas en este plan. Conforme seimplante el Plan, será el responsable de acumular y administrar toda la información que estéincluida en el mismo.

El CPC es responsable de obtener copias de este Plan y distribuirlas a los líderes de los equiposy a sus suplentes. Debe además encargarse de mantener copias de este Plan seguras en los

sitios alternos que se mencionan.Todas las actividades de este Plan deben ser ensayadas, tanto para asegurar que losprocedimientos funcionarán correctamente, como para brindar entrenamiento a los diferentesequipos. El CPC programará los ensayos y documentará los resultados favorables o negativos.Cuando un ensayo falle, deberá trabajar junto con el líder del equipo correspondiente pararesolver los problemas, actualizar el Plan y programar otro ensayo.

Organización y administración para el Plan de Continuidad TIC

Dentro de la administración, diseño, coordinación, ejecución y desarrollo de pruebas del plan decontinuidad de TIC es necesario contar con varios equipos de trabajo, el cual depende del

tamaño de la organización, de los recursos existentes, (recursos humanos, equipos electrónicosy procesos), por lo tanto esta guía esta diseñada para cualquier tamaño y complejidad de launidades.

Líder de Equipo

En cada equipo de recuperación deber definirse un Líder, quien debe ser una persona conliderazgo natural, para un grupo particular, donde los demás esperan que dirija y tenga lacapacidad para realizar decisiones durante el periodo de recuperación. Los líderes de losequipos de recuperación se asignan a cada uno de los procesos de negocios y deberán realizar,sin limitarse a, las tareas siguientes:





Participar en las sesiones de trabajo programadas para la evaluación de los riesgos eimpactos del proceso bajo su responsabilidad.

Aportar su conocimiento del proceso de negocios en el análisis y diseño de losprocedimientos de recuperación. Liderar la recuperación del proceso de negocios a su cargo en los simulacros y prácticas, y

en las situaciones reales. Identificar e implantar mejoras al plan de contingencia y a los procedimientos de

recuperación bajo su responsabilidad. Servir de enlace entre el equipo de recuperación y el equipo administrador. Mantenimiento de la información del estado de recuperación Coordinar con otros equipos de recuperación.

Los líderes de los equipos de recuperación y sus suplentes deben contar con el perfil siguiente:

Conocer profundamente el proceso de negocios bajo su responsabilidad. Poseer conocimientos de análisis y diseño de procesos de recuperación. Poseer un perfil psicológico que lo faculte para liderar grupos en catástrofes o bajo

situaciones de alta tensión emocional. Tomador rápido y seguro de decisiones y hábil comunicador. Dedicar el tiempo que se requiera para a atender y ejecutar eficiente y oportunamente las

labores que se le asignen en el proyecto.

Suplente del Líder de Equipo

El suplente sirve como Líder de Equipo si el líder de equipo designado esta imposibilitado o nodisponible para administrar el equipo. Por lo tanto, debe disponer del mismo perfil que el líder ycumplir con las mismas funciones.

Miembros de equipo

Los miembros de equipo son responsables de ejecutar las acciones de recuperación. Debido aque las actividades son usualmente desarrolladas por múltiples personas, quienes pueden variardependiendo de las circunstancias y recursos disponibles, es mejor evitar la identificación detareas con individuos específicos. En su lugar, la planeación se limita a experiencias yrequerimientos específicos, los cuales son necesarios para realizar tareas particulares.

Composición de equipos para la continuidad

En el caso particular del área de TI, y como parte de la organización se podrá definir los equipossiguientes:

a- Equipo de Tecnología de Información (EATI)

Una vez que la recuperación ha iniciado, el equipo EATI supervisa y coordina todas lasactividades internas de recuperación, y monitorea el avance de las acciones realizadas por elpersonal de los equipos de Operaciones (EO), Comunicaciones (EC) y Aplicaciones (EA). Entrelas principales responsabilidades del EATI están las siguientes:





Analizar los reportes de daños.

Reportar el estado de la recuperación y cualquier otro problema que surja.

Notificar al personal del equipo de recuperación de TI.

Servir como punto focal para todas las consultas planteadas por el personal de recuperacióndel área de Tecnología de Información.

Habilitar el sitio alterno de tal forma que este listo para recuperar las aplicaciones.

El equipo EATI esta conformado por personal de áreas especializadas de la Dirección deInformática; por tal razón, una descripción de las funciones y responsabilidades de cada área sedescriben a continuación:

b- Equipo de Comunicaciones (EC)

Este equipo de trabajo se encarga de las acciones de recuperación de las comunicaciones y

debe informar al líder del EATI de la interrupción en el servicio y el avance en la recuperación.Algunas de sus responsabilidades son las siguientes:

Desarrollar y documentar las configuraciones de las comunicaciones de datos.

Determinar el daño en la red de comunicaciones y asegurar la provisión del equipo dereemplazo.

Coordinar la instalación del software del sistema operativo que permita la restauración de lascomunicaciones.

Ordenar e instalar el hardware necesario para establecer comunicaciones con las oficinas.

Coordinar con entes externos (ej. ICE, RACSA) para restaurar el servicio y ordenar las

comunicaciones. Probar que las comunicaciones se hayan establecido adecuadamente.

c- Equipo de Operaciones (EO)

Este equipo de trabajo coordina con el Líder del EATI el avance de la restauración de lasoperaciones de las plataformas críticas. Entre sus responsabilidades están las siguientes:

Asegurar la disponibilidad de los respaldos necesarios en la recuperación.

Restaurar archivos y sistema operativo en el sitio de recuperación.

Elaborar calendarios de operaciones en el sitio de recuperación.

En caso necesario, coordinar actividades necesarias para restaurar las facilidades en el sitioprincipal o en la nueva ubicación.

Ordenar e instalar el hardware necesario para el procesamiento normal en el sitiopermanente.

d- Equipo de Aplicaciones (EA)

Este equipo coordina con el Líder del EATI y supervisa la restauración de las aplicaciones queresiden en el computador principal. Entre sus responsabilidades están las siguientes:





Coordinar la recuperación de las aplicaciones en el computador alterno y en el computadorprincipal, en caso necesario.

Reconstruir el ambiente de operación de las aplicaciones que residen en los servidores. Soportar el esfuerzo de los usuarios para actualizar los datos de la aplicación.

En caso necesario, desarrollar un plan de trabajo detallado para moverse del sitio-alterno alsitio principal.

En la Guía se muestra un ejemplo del organigrama que deberá documentar, para reflejar laOrganización para la Continuidad.

Posición y habilidades requeridas del personal

La cantidad de personal que se requiere para atender el plan de continuidad deberá ser definida

en cada una de las localidades de la CCSS. En el cuadro siguiente se muestra un detalle de lasposiciones con que se debería contar en cada ubicación y las habilidades mínimas específicasde cada rol.

Nombre Habilidades específicas

Coordinador del Plan deContinuidad de TI

Conocimiento de la plataforma tecnológica Capacidad de trabajo en equipo y coordinación con los líderes de

los equipos de recuperación

Líder equipo derecuperación de lascomunicaciones

Conocimiento técnico en la infraestructura de las comunicaciones Capacidad de trabajo en equipo y coordinación con proveedores y

miembros de los equipos de recuperación

Líder equipo derecuperación de lasoperaciones

Conocimiento de las diferentes plataformas tecnológicas Capacidad para liderar equipos de recuperación de las

operaciones

Líder equipo derecuperación de lossistemas

Conocimiento del portafolio de sistemas de la organización Capacidad para liderar equipos de recuperación de los sistemas

Miembros de los equiposde recuperación de TI

Conocimiento técnico de la plataforma, de los sistemas, de lascomunicaciones

Centro de Operaciones de Emergencia (COE)

El Centro de Operación de Emergencias (COE) es un local o área desde la cual se controla todala emergencia y se realizan actividades de evaluación inicial, coordinación y toma de decisiones.Es el sitio que albergará al personal responsable de coordinar los esfuerzos de la recuperación.

El Coordinador del Plan de Continuidad (CPC) determinará cual localidad, de las disponibles,será utilizada en el momento del desastre. Para ello, deberá basarse en las condicionesespecíficas del incidente y las localidades afectadas. Entre otros, el CPC debe coordinar losiguiente:

Asegurar que el mobiliario adecuado, teléfonos, suministros de oficina y espacio han sidoproporcionados para los miembros de los equipos Consejo Director y Administrador deEmergencias.





Mantener un registro de todas las actividades realizadas en el COE, incluyendo el estado dela emergencia, asignación de personal, minutas de reuniones, etc.

Coordinar el personal en el COE para asegurar que hay teléfonos disponibles para laatención de llamadas entrantes.

La documentación de la información referente al COE se hará en la plantilla “Ubicación del COE”que se incluye en la “Guía para Elaborar Planes de Continuidad de TIC”.

Distribución del Plan de Continuidad del TIC

Al menos dos copias completas del Plan de Continuidad de TI deben ser mantenidas fuera sitio(por ejemplo donde se almacenan respaldos fuera de sitio o en su defecto la casa delresponsable CPC).

Directriz de distribución del plan.

El Plan de Continuidad de TI debe ser distribuido a todo el personal autorizado, ya que sólo elpersonal activo puede tener acceso al plan. Si un individuo deja de laborar para el negocio o unade sus unidades específicas, es su responsabilidad retornar las copias y todos los duplicados opartes duplicadas de este plan a su superior respectivo. A nadie fuera de la organización le serápermitido a leer, revisar, copiar o auditar el Plan sin la autorización formal y escrita por parte delCoordinador del Plan de Continuidad.

Distribución de los documentos

Debido a la confidencialidad de este documento únicamente el Coordinador del Plan (CPC) y,mantendrá una copia completa del mismo. Subconjuntos del Plan serán distribuidos tomandocomo base la premisa “need-to-know” y de la manera siguiente:

Adicionalmente, es necesario desarrollar el mecanismo de control para asegurar que todas lascopias de las hojas que han sido modificadas sean colocadas fuera de circulación. Para controlarla actualización de los documentos se recomiendan acciones como las siguientes:

Enviar secciones completas para reemplazar aquellas con cambios, en lugar de enviar sólolas hojas que han cambiado.

Asegurar que los líderes provean algún tipo de recibo para verificar que recibieron las nuevasversiones del plan. El retornar las hojas reemplazadas podría ser considerado como unrecibo.

Mantener el control de los planes de recuperación para propósitos de seguridad.

Directriz de capacitación en planes de continuidad Debe ser política proveer la capacitación necesaria a los funcionarios, sobre el Plan deContinuidad de TIC, con el propósito de asegurar la obtención de una participación acorde conlos lineamientos establecidos en este plan y esperados en el evento de un desastre.

La capacitación puede ser considerada como la mejor manera de proporcionar al personal con elconocimiento apropiado de sus responsabilidades ante un desastre. Adicionalmente ayuda amantener el Plan actualizado al permitir la identificación de áreas de mejora y de actualizaciónen el mismo.





Básicamente hay dos tipos de capacitación o entrenamiento: el inicial y el continuo. De estamanera, los miembros de los equipos de recuperación recibirán un entrenamiento inicial y

sesiones posteriores y recurrentes de capacitación.

Directriz de Mantenimiento de los planes de continuidad

Los planes deben ser revisados por lo menos una vez cada seis meses.

Responsabilidades

Coordinador del Plan

Es responsabilidad del Coordinador del Plan de Continuidad (CPC) el establecer un programa decapacitación continua, que asegure que todo el personal requerido en un evento contingenteesté en capacidad de activar y ejecutar el Plan.

Todo el personal

Es responsabilidad de todo el personal el comprender el papel que deberá desempeñar y lasfunciones que ha ejecutar en caso de desastre. Para lo cual y en el momento que se requieradeberá participar de las actividades de capacitación establecidas por el CPC.

Tiempos máximos de Interrupción.

Los tiempos máximos de interrupción se obtienen a partir de un análisis de impacto en elnegocio en donde se identifican los procesos o funciones del negocio, su nivel de criticidad o

bien qué tanto depende el negocio de esos procesos y qué tanto tiempo puede pasar antes quesu interrupción se vuelva crítica.

Para la identificación de los TMI se deberá realizar un ejercicio con las áreas usuarias delnegocio en donde los responsables de las funciones determinen con base en su conocimiento,cuánto será el tiempo que puede transcurrir antes que la interrupción de la función o servicioprovoque daño o perjuicio al negocio. Para esto se puede utilizar escalas para posteriormenteclasificar la prioridad y criticidad. Ejemplo: menos de cuatro horas, un día, dos días, cinco días,dos semanas, etc.

7. Activación del plan de continuidad de TIC

Activación del Plan

Se deberá establecer un protocolo de notificación oficial ante la ocurrencia de un desastre,además de establecer el nombre de la persona responsable por la activación de dicho protocolo.Una vez que la notificación se ha hecho, el responsable activará al personal apropiado pararealizar las actividades de soporte y recuperación.

Notificación Inicial

Los procedimientos de activación del plan serán realizados después que los planes iniciales deevacuación y respuesta de emergencias han sido implantados. Estos procedimientos deactivación del plan documentan la evaluación inicial, las decisiones y las actividades de





activación de equipo que serán realizadas. Se deberá proveer la coordinación y comunicacióncentralizada de todas las respuestas al incidente. Específicamente, estos procedimientos

incluyen la activación del personal de soporte apropiado, asistencia en el desarrollo de lasrecomendaciones de recuperación y en la activación de los equipos de recuperación tanto de losprocesos de negocio como de los de tecnología.

En casode...

Ejemplo de notificación InicialHacer lo siguiente...

Incidente enel edificio

Si la severidad del incidente lo requiere, el personal de seguridad notificaráa la Administración del edificio, el cual realizará una evaluación inicial delincidente y determinará si otras notificaciones son necesarias. Si seconsidera necesario, el CPC debe ser notificado.

Interrupciónde servicios En el evento de una interrupción del servicio de los sistemas deinformación, una notificación inicial podría surgir directamente del personalde Tecnología de Información. En esta situación, la Dirección deInformática deberá realizar una evaluación inicial del incidente ydeterminará si notificaciones adicionales son requeridas. Si se consideranecesario, el CPC debe ser notificado.

Primera notificación de alerta

La notificación de una evento contingente podría provenir de fuentes diversas, dependiendo dela naturaleza y momento de la emergencia. No obstante, la respuesta inicial a la notificaciónestará dictada por los procedimientos de emergencia de la organización y las prácticas

estándares de operación.A continuación una lista típica de acciones y flujos de notificación iniciales:

1. Si usted es el primero en tener conocimiento del incidente, realice todas las acciones denotificación de emergencia, de acuerdo con los procedimientos establecidos por laorganización (por ejemplo, activar la alarma contra incendios).

2. Notifique al CPC y provea la información siguiente:2.1. Su nombre2.2. Una descripción del evento2.3. Un reporte preliminar de daños

2.4. Información relacionada con cualquier intento de notificación a los contactos2.5. Un número telefónico y lugar donde puede ser localizado

3. Si es notificado después de horas o vía un escalamiento del problema, considere lainformación siguiente:3.1. Fecha y hora de la notificación3.2. Persona realizando la notificación3.3. Descripción de la situación3.4. Cualquier instrucción especial.





Verificación del Desastre

Para la verificación del desastre deberá seguir las actividades siguientes:

1. Si el acceso a su área de trabajo está disponible, realice una inspección para evaluar el dañode los aspectos siguientes:1.1. Equipo electrónico (Estado: destruido, fácil de recuperar, disponibilidad de uso).1.2. Registros vitales: copias de archivos, manuales, documentación, etc. y datos en otros

medios (computadoras personales, microfilm, etc.). Esto ayuda en determinar un plande restauración o salvamento de recursos.

1.3. Equipo de oficina, trabajo en proceso, formulario, misceláneos. Analice el estado deoperación en el momento del desastre e identifique la pérdida de datos críticos. Evalúeel impacto en las operaciones si los datos deben ser restaurados desde respaldos.

2. Obtenga una evaluación de daños en relación con lo siguiente:

2.1. Tiempos de recuperación del equipo electrónico (computadoras personales, terminalesy equipo de comunicaciones)

2.2. Instalaciones físicas (condiciones ambientales, integridad de la estructura física, etc.)

3. Después de la inspección, el líder del equipo de recuperación debe reportarse al Centro deOperaciones de Emergencia (COE) para participar en una reunión de evaluación. En laevaluación del equipo utilice el formulario “Evaluar Estado de Equipo Crítico” que se incluyeen la “Guía para Elaborar Planes de Continuidad de TIC”.

Activación del equipo de recuperación

En cuanto el equipo administrador de la recuperación comunica la decisión de activar el Plan, el

Líder debe notificar a todos los miembros del equipo.1. Determine cuales miembros del equipo deben ser requeridos para realizar los procedimientos

siguientes:1.1. Cumplir con los objetivos de recuperación1.2. Asistir en los esfuerzos de salvamento1.3. Asignación temporal para soportar otros departamentos

2. Elabore una lista del personal que no es requerido en las actividades iniciales de larecuperación.

3. Obtenga un lugar para hacer una reunión informativa y preparar el equipo de recuperación.

4. Contacte a todos los miembros de equipo y provea la información siguiente:4.1. Identifique la ubicación designada para la reunión.4.2. Identifique los requerimientos de tiempo para preparar a los miembros de equipo.

Sitio alterno de respaldo de datos En el momento de la contingencia, el responsable de la recuperación de la información deberádeterminar el sitio idóneo para la ubicación de los medios de respaldo de los datos del negocio,sea una localidad en el sitio (en el centro de datos) en caso que ella no se haya visto afectada, obien una localidad fuera del sitio.





La información de localidades externas se encuentra y deberá documentarse en el formulario“Sitio Alterno de Respaldo de Datos” que se incluye en la “Guía para Elaborar Planes de

Continuidad de TIC”.Escalamiento de Notificaciones

1. Basado en la severidad de la situación, se deberá determinar lo siguiente:

1.1. El evento ha sido manejado apropiadamente y no se requieren notificacionesadicionales. Terminar situación de emergencia.

1.2. Las circunstancias del evento justifican notificaciones adicionales basado en losiguiente:

1.2.1. El evento involucra daños a la propiedad y / o personas.

1.2.2. El evento involucra una interrupción potencial del negocio que excederá las

horas de un día normal de trabajo.2. Utilice el reporte “Composición de Equipos” que se incluye en la “Guía para Elaborar Planes

de Continuidad de TIC” para notificar de las circunstancias del incidente a personalrepresentativo de la organización. Suministre una breve descripción del incidente a lossiguientes:

2.1. Coordinador del Plan de Continuidad

2.2. Encargado de TIC

3. Basándose en las circunstancias del evento se determinarán las acciones de respuestainicial y el CPC dirigirá las actividades siguientes:

3.1. Si daños a personal han ocurrido, notifique a Recursos Humanos para que dirija losasuntos de notificación a los familiares y establezca las prioridades de la organizacióndurante la crisis.

3.2. Si el acceso al edificio está permitido, inicie una inspección para evaluar los daños.

Evaluación de Daños

El Líder del PCTIC conducirá una inspección en el sitio, con el objetivo de determinar laextensión del daño en las áreas afectadas. Representantes de las áreas afectadas, de seguridady de tecnología de información deben estar presentes para determinar las condiciones del sitio, yde los equipos de cómputo.

1. En caso de que el edificio haya sido afectado por el evento contingente

1.1. En caso necesario, obtenga autorización de las autoridades presentes (bomberos,policía, etc.) y envíe personal a las áreas afectadas del edificio.

1.2. Determine el equipo de emergencia que se requiere y adquiera los materialesnecesarios para los miembros del equipo, basándose en las circunstancias de incidente.Considere, entre otros, los equipos siguientes: Cascos y ropa de seguridad Linternas Cámara de video / fotografía instantánea o digital Bloques de notas y lápices





Radios (Walkie-talkies) Cualquier otro que considere necesario.

2. Brinde una charla resumida, previa a la inspección, al personal de la compañía que visitarálas áreas afectadas.

2.1. Discuta la información disponible, tal como la causa, condiciones ambientales, tiempos,consideraciones especiales, etc.

2.2. Haga que el personal revise los procedimientos de seguridad.

2.3. Discuta los objetivos de inspección y utilice el formulario “Evaluar Estado de EquipoCrítico” (PTC012) que se incluye en la “Guía para Elaborar Planes de Continuidad deTIC”.

3. Asigne objetivos de inspección a cada miembro del equipo de manera que se evalúencuidadosamente los aspectos siguientes:

Comunicaciones

Sistemas

Equipo de Cómputo

Edificio (accesos y áreas de trabajo)

Medios de almacenamiento

4. Viaje al sitio del daño y evalúe la magnitud del mismo. Entre otros, considere el área y sucontenido:

Estructura (interna y externa)

Accesibilidad dentro del edificio Estado de las comunicaciones

Estado del cableado y conexiones de la red

Estado del servicio eléctrico

5. En caso necesario, trabaje con el contratista para elaborar un estimado de la reconstrucciónde las áreas dañadas.

Establecer el COE

Basándose en los resultados de la evaluación de daños, el CPC determinará si las

circunstancias del incidente justifican la activación de los demás miembros del equipo EAE y lanotificación al la jefatura respectiva. Adicionalmente, basados en esas mismas circunstancias, sedebe determinar la ubicación más recomendable para el Centro de Operaciones de Emergencias(COE). La determinación de la ubicación se hará con base en la información descrita en eldocumento “Ubicación del COE” que se incluye en la “Guía para Elaborar Planes de Continuidadde TIC”.

1. Contacte el lugar para el COE seleccionado y coordine el arribo del personal de soporte delEAE, así como del equipo de cómputo y los suministros.

2. Coordine la recuperación y entrega del material almacenado fuera de sitio hacia el COE.

3. Verifique que haya suficientes líneas telefónicas y teléfonos en operación.





4. Coordine la entrega del equipo de cómputo requerido.

5. Coloque bitácoras para todo el personal de que entra o sale del COE. Eso ayuda a

documentar el uso del lugar y controlar al personal.6. Utilizando diagramas, establezca y mantenga los cuadros de estado siguientes:

6.1. Mensajes generales

6.2. Ubicación del personal

6.3. Sesiones informativas

7. En cuanto el Centro de Operaciones de Emergencia (COE) esté operando, el Coordinadordel Plan será el responsable por su operación continua.

Notificación a los miembros del EAE

Si se considera conveniente, todos los miembros del los equipos de recuperación seráncontactados para que se reporten a una sesión informativa en el COE.1. Suministre la información siguiente:

1.1. Información inicial del incidente.1.2. Ubicación, número de teléfono del COE.1.3. Fecha y hora de la sesión informativa.

Sesión Informativa

El CPC realizará una sesión informativa en el Centro de Operaciones de la Emergencia contodos los miembros del equipo invitados. Para ello utilice como guía el siguiente procedimiento:

1. Suministre la información siguiente, basándose en las circunstancias del evento contingentey en los resultados de la evaluación de daños.1.1. Detalles del evento:

1.1.1. Tipo de Evento1.1.2. Ubicación1.1.3. Tiempo de la ocurrencia1.1.4. Posible causa

1.2. Daños y fatalidades:1.2.1. Número de personas muertas1.2.2. Número de personas con heridas de gravedad

1.2.3. Estado de los heridos de gravedad1.2.4. Posibilidad de heridos o muertos adicionales.

1.3. Edificaciones potencialmente dañadas1.4. Acceso al edificio1.5. Medios de Comunicación (Prensa)

1.5.1. Conocimiento del incidente por los medios (prensa)1.5.2. Reacción de los reporteros en el sitio.

1.6. Cualquier instrucción especial o adicional que se considere conveniente y oportuna.





8. Recomendaciones de Recuperación

Una vez que se haya hecho la valoración del incidente, las actividades de respuesta y

recuperación deben ser iniciadas inmediatamente.

Elaborar las Recomendaciones de Recuperación

Elabore recomendaciones sobre cuales estrategias deberán ser desarrolladas, considerandopara ello los resultados del proceso de evaluación de daños y cualquier otro aspecto especialque podrían incluir, entre otros, el tiempo en que ocurre el evento y regulaciones externas opropias del negocio (por ejemplo, el cierre de fin de mes o año fiscal). El CPC dirigirá a losLíderes de los equipos de recuperación en lo siguiente:

1. Elabore una lista de prioridades de recuperación de la plataforma, basándose en las TiemposMáximos de Interrupción (TMI) establecidos según tabla incluida en la “Guía para ElaborarPlanes de Continuidad de TIC”. Actualice esta lista con cualquier cambio necesario,

considerando los recursos disponibles y requerimientos inmediatos de TI.Revisar y Finalizar las Recomendaciones de Recuperación

1. El CPC evaluará el evento suscitado y determinará de inmediato la necesidad de actualizar elCOE.

2. Si el COE no está disponible inmediatamente, entonces:

2.1. Coordine para determinar el tiempo estimado en el cual estará disponible.

2.2. Obtenga la identificación y el tiempo estimado de la duración de la interrupción de losservicios de Tecnología de Información.

9. Seguimiento del EventoEl estado del evento y el reporte de las acciones de recuperación debe ser mantenido por elCPC. Para realizar eso, algunas sugerencias se ofrecen a continuación:

1. Controle el estado del evento brindando seguimiento a las actividades de respuesta yrecuperación del personal involucrado en las mismas. Considere, al menos, lo siguiente:

1.1. Tipo de evento

1.2. Áreas funcionales afectadas

1.3. Actividades planeadas

2. Documente la bitácora del avance de las tareas en secuencia cronológica. Utilice para ello elformulario “Resumen del Estado del Evento” (PTC011), incluido en la “Guía para ElaborarPlanes de Continuidad de TIC”. El propósito de este reporte de estado es asistir el control ylas comunicaciones. Es conveniente considerar la utilización de múltiples formularios paradocumentar actividades concurrentes.

2.1. Actividades de soporte y recuperación de Tecnología de Información

2.2. Actividades de restauración de las instalaciones (edificio) y/o del COE.

3. Brinde seguimiento apropiado para la pronta solución de asuntos que podrían obstaculizar laejecución oportuna de tareas.

3.1. Asuntos de seguridad

3.2. Adquisición de recursos





3.3. Disponibilidad de los proveedores

3.4. Asuntos del personal

10. Anexo I – Plantilla para control del desarrollo de las fases

La siguiente plantilla se propone con el fin de dar un control en el desarrollo de las diferentesetapas de la realización de un plan de continuidad.

Paso Plan de Continuidad en TIC FechaInicio

FechaFinal Responsable

1 Análisis de Riesgos (análisis de Impacto)

2 Desarrollo de Estrategias de Recuperación de lasOperaciones

3Desarrollar e implementar el Plan deRecuperación ante Desastres (DRP)

4Desarrollar programas de entrenamiento yconcientización

5 Ejercitar y dar mantenimiento al DRP

6 Procedimiento de mejora continua





11. Anexo II – Guía para la elaboración de Analisis de Riesgos

Introducción

La seguridad y el control dentro de las operaciones diarias de un negocio es una preocupaciónconstante de sus clientes. Reducir el impacto de potenciales amenazas se logra estableciendocontroles adecuados, procedimientos y prácticas antes de que los eventos de interrupción odesastre se materialicen. El Análisis de Riesgos en Tecnología de Información yComunicaciones se concentra en la identificación de potenciales amenazas y la evaluación delos controles existentes con el propósito de hacer las recomendaciones correspondientes para lamejora en la administración y operación de la plataforma tecnológica. El objetivo de estaactividad es reducir la probabilidad de una amenaza potencial y reducir el impacto que puedeprovocar un evento desastroso o una interrupción significativa en los servicios.

Las actividades principales son las siguientes: Identificar las amenazas físicas y las medidas correspondientes para la mitigación en el sitio,

incluyendo amenazas internas y externas, seguridad y controles ambientales, seguridad yprocedimientos de respuesta a incidentes, procedimientos de respaldo y recuperación dedatos, y prácticas de personal.

Análisis de vulnerabilidad, identificar amenazas y debilidades en los controles que pudieranno haber sido diseccionados, o identificar posibles mejoras que puedan implementarse.

Desarrollar sugerencias y recomendaciones para reducir la probabilidad de ocurrencia de lasamenazas, incluyendo acciones de prevención y correctivas.

Los objetivos de un Análisis de Riesgos son evaluar las amenazas físicas en contraposición con

los controles para reducir la probabilidad de ocurrencia, y para mitigar el impacto de dichasamenazas. Los tipos de controles incluyen políticas y procedimientos de seguridad física,preparación para la respuesta a incidentes, y planes en sitio para implementar procedimientos ypolíticas para controles adicionales dentro de la organización. Los resultados de estainvestigación se documentan en un reporte y se comunican al Comité de Dirección de laContinuidad.

Los resultados del trabajo permitirán determinar:

La probabilidad de potenciales amenazas identificadas.

La vulnerabilidad de diversas funciones dentro de la compañía, para cada una de lasamenazas.

El costo efectivo de los controles en el sitio.

La priorización requerido para la implementación de los controles.

El cronograma de implementación de los controles requeridos.





Desarrollo de Análisis de Riesgos (definiciones)

Antes de iniciar con la metodología de ejecución del Análisis de Riesgos, es importante aclararalgunos conceptos que están asociados directamente con el tema y cuyo dominio es relevante.

¿Qué es Riesgo?

Los riesgos, que pueden ser naturales o provocados por el hombre, representan la exposición ala pérdida dentro de una organización. Los potenciales riesgos son típicamente medidos entérminos de probabilidad de ocurrencia y el impacto generado en caso que los mismos sematerialicen.

¿Qué es Vulnerabilidad?

La vulnerabilidad se mide con relación al nivel de sensibilidad que tiene la organización a queuno de los riesgos se materialice.

¿Qué es Probabilidad?

La probabilidad mide la capacidad de ocurrencia del riesgo en el tiempo, considerando nivelesde (como ejemplo): muy poco probable, poco probable, moderada, probable y casi cierta.

¿Qué es Impacto?

El impacto mide el nivel de daño provocado una vez manifestado el riesgo. Este nivel de impacto

se puede medir (como ejemplo) con la calificación siguiente: insignificante, menor, moderado,

significativo o catastrófico.

¿Qué es el nivel de riesgo?

Grado de exposición al riesgo que se determina a partir del análisis de la probabilidad y

vulnerabilidad de ocurrencia del evento y de la magnitud de su consecuencia potencial sobre el

cumplimiento de los objetivos fijados. Permite establecer la importancia relativa del riesgo.

El análisis de Riesgos (categorías de riesgos)

Para el desarrollo del análisis de riesgos deberá considerar una serie de categorías de riesgossobre los cuales de acuerdo a estudios de mercado, se presentan la mayoría de interrupciones ydesastres que afectan a TIC en cualquier organización.

Las áreas que como mínimo deberá evaluar son las que se indican en las tablas de las páginassiguientes. Para cada evento se muestra un ejemplo de los eventos que podría considerar pararealizar la evaluación, no obstante no deberá únicamente limitarse a los descritos.

El objetivo principal es evaluar aquellas situaciones (eventos) a partir de las cuales se puedasuscitar una interrupción de los servicios de TIC.





Categorías deRiesgos

Ejemplo de aspectos mínimos que puede considerar

Interrupción eléctrica Fuentes alternas de generación eléctrica: UPS y plantas eléctricas; Mantenimiento de las fuentes alternas de generación eléctrica; Estado de la instalación eléctrica y capacidad eléctrica instalada; Lámparas de emergencia; Señalamiento iluminado de salidas y puertas de emergencia.

Fallos en Hardware Equipo de cómputo utilizado y obsolescencia; Capacidad de redundancia entre servidores; Monitoreo de problemas en los servidores; Contratos de mantenimiento preventivo y correctivo; Condiciones físicas y ambientales (limpieza, humedad, temperatura).

Fallos en Software Desarrollo local de aplicaciones (metodologías/ estándares); Cambios y configuración en aplicaciones; Trascendencia de los sistemas incluidos en el estudio.

Fallos enComunicaciones

Soporte técnico de los equipos utilizados; Mantenimiento preventivo y correctivo de los equipos de comunicación.

Desastres naturales Pólizas de seguro vigentes; Brigadas de atención ante situaciones de emergencia; Capacitación al personal; Rutas de evacuación; Iluminación de pasillos y puertas y salidas de emergencia.

Incendio Pólizas vigentes de seguro; Sistemas automáticos y manuales contra incendio (gabinetes, extintores,

aspersores); Uso de materiales retardantes del fuego; Almacenamiento de material combustible; Detectores de humo revisados regularmente.

Fallos en Respaldos Procedimientos para respaldo y recuperación de información, fuentes,

objetos, documentación, y configuración de los sistemas; Periodicidad de los respaldos; Facilidades y protección para el almacenamiento dentro y fuera de sitio; Configuración de los discos duros de los servidores; Documentación actualizada sobre procedimientos de respaldo y

recuperación.

Categorías de riesgos Ejemplo de aspectos mínimos que puede considerar

Virus Programa antivirus instalado en computadoras y servidores; Configuración y actualización del software antivirus; Consultas regulares de fuentes de información para actualizaciones

sobre virus; Capacitación al personal para identificar potenciales fuentes de

ataque de virus; Políticas para el ataque de virus.

Violaciones a la Seguridadfísica

Seguridad física para el ingreso al edificio, oficinas y cuartos deservidores y equipos de comunicación;

Capacitación al personal para detectar situaciones que puedanrepresentar riesgo o cuestionar la presencia de personasdesconocidas o sin identificación;

Sistemas de seguridad: circuitos cerrados de televisión, sensores demovimiento, alarmas;

Revisión y control de salida e ingreso de equipo de cómputo;





Utilización de bitácoras para el registro de ingresos.

Intrusión (hackeo) Procedimientos para otorgamiento de acceso a las aplicaciones y

políticas de acceso lógico; Procedimientos para el acceso a los recursos tecnológicos (redes y

aplicaciones); Administración y configuración de “firewalls”; Monitoreo de los accesos tanto legítimos como ilegítimos; Disponibilidad de herramientas para el monitoreo de la seguridad.

Recurso Humano Dependencia en el personal; Capacitación; Documentación de las funciones del personal;

Los riesgos identificados en el análisis deberán ser resumidos en la tabla (ARV001) del Anexo II,para concluir sobre la probabilidad y el impacto asociados a cada situación (ARV002).

Metodología

Con el propósito de recabar la información necesaria para el análisis de las amenazas y loscontroles relacionados con cada uno de esos eventos, se podrá realizar reuniones confuncionarios del área de Informática y otras áreas administrativas que pudieran estarinvolucradas en el análisis de los eventos citadas en las tablas anteriores. Es recomendable quede cada reunión se emita una minuta que resuma la información más relevante y que será elsustento de las conclusiones que se incorporen en el análisis de riesgos.

Finalmente, se efectúan visitas, inspecciones y valoraciones del grado de riesgo asociado encuartos de servidores, cuartos de comunicación y otras áreas del edificio donde haya comoejemplo equipo de emergencia tal como extintores.

Captura de la información de riesgos

Con el propósito de facilitar la generación de la estrategia de riesgos y el seguimiento posteriordel análisis, se deberá completar una tabla donde se resumen los riesgos identificados, larecomendación de implementación o mejora de control para tratar el riesgo y el ente (persona oárea del negocio) responsable por la implementación de la recomendación.

La tabla a utilizar será la siguiente: (ARV001)

Captura de la Información de Riesgos - ARV001

Código Área: DRxxxx-xxx-xxx Versión: x.0 Fecha: dd-mmm-aaaa





Plan de Continuidad TIC Responsable:

Un ejemplo de cómo se debe completar la tabla, es el siguiente:

Categoría delRiesgo

Descripción delRiesgo

Descripción delImpacto

FechaNivel deImpacto

Nivel deProbabilidad

Nivel deRiesgo

1 Interrupcióneléctrica

Ausencia de plantaeléctrica

Interrupción delservicio de TI encaso de falta desistema eléctrico

Agosto 29, 2006 Critico Moderada Critico

2 Comunicaciones Fallo en la línea de

comunicación

Pérdida de la

comunicaciónhacia la DirecciónRegional

Agosto 29, 2006 Insignif icante Poco probable Bajo

3 Respaldos No hay respaldosfuera de sitio

Pérdida deinformación en elsistema deFarmacia (SIFA)

Agosto 29, 2006 Critico Poco probable Crítico

Análisis de probabilidad, impacto y riesgo

Como parte de las actividades que se deben desarrollar para completar la tabla anterior, deberáidentificar el nivel de probabilidad y el nivel de impacto asociados con cada riesgo. Paraidentificar dichos niveles adecuadamente, deberá utilizar las tablas de la página siguiente, ydeterminar con base en ellas, cual es cada nivel asociado al riesgo correspondiente.

Para la definición de categorías de riesgo considere la tabla siguiente:

:

Categorías de Riego Cod Descripción

Operacional O El efecto afecta la operativa de la institución

Legal/ regulatorios L El efecto podría afectar la institución ante una demanda o

sanción de carácter regulatorio.

Financiero F El efecto afecta las finanzas de la institución.

Imagen I El efecto afecta la imagen y servicio de la institución





Para la calificación de la probabilidad considera la tabla siguiente

Niveles de ProbabilidadDescripción

Casi cierta 10 Es muy probable que ocurra un evento de esta naturaleza.en unperiodo de tres meses.

Probable 7 Es probable que ocurra un evento de esta naturaleza en unperiodo de 3 a 6 meses.

Moderada 5 El evento ocurrirá en algún momento en un periodo de 6 meses aun año.

Poco probable 3 Es poco probable que el evento suceda pero podría ocurrir enalgún momento de un periodo de un año a dos años.

Muy poco probable1 Es muy poco probable que el evento se presente en un periodo

más de 2 años y no se detectaron vulnerabilidades que aumentensu probabilidad de ocurrencia.

Para la calificación del impacto considera la tabla siguiente:, vale aclarar que estas

descripciones ir acompañadas de un elemento de nivel o calidad de servios o económico.

Niveles de

Impacto Descripción

Crítico

10El evento provoca una interrupción completa de la Tecnología en Informática yde todas sus operaciones. Los procesos críticos del negocio no tienen acceso alas instalaciones y tampoco a los recursos de información.

Significativo7 El evento provoca una interrupción entre parcial y completa de la Tecnología en

Informática y afecta a todos sus procesos.

Moderado5 El evento provoca una interrupción en los servicios de TI y esto afecta los

procesos, pero las actividades críticas no son interrumpidas.

Menor

3El evento genera un leve impacto en los procesos, pero no ocasiona unainterrupción importante en las operaciones. La interrupción de los servicios de TIafecta a menos de un 30% de los usuarios y dura lo suficiente para afectarlevemente sus operaciones.

Insignificante

1El evento no provoca un impacto en los procesos. La interrupción de losservicios de TI afecta a uno o algunos usuarios, pero no dura lo suficiente paraprovocar un impacto en sus procesos.





Para cada categoría de riesgo, se deberá especificar el nivel de impacto y el nivel de

Probabilidad según las tablas respectivas indicadas anteriormente. Luego de esto, deberádeterminar el nivel de riesgo asociado, y para esto deberá, revisar el valor asignado a cada nivelde Impacto y nivel de probabilidad y multiplicar dichos valores.Para determinar el nivel de riesgo debe comparar los valores resultantes de acuerdo a losrangos de los criterios de calificación de los riesgos establecidos en la siguiente tabla.

Para obtener el nivel de riesgo asociado únicamente deberá “cruzar” en la matriz la probabilidadversus el impacto y el color resultante representará el nivel asociado de riesgo.

Para la definición de los criterios de calificación de Riesgos considere la tabla siguiente:

Matriz de Riesgo para el Riego Operativo

INSIGN MENOR MODER SIGNIF. CRITICO

ACTO

Riesgo Rango Inferior Rango Superior

Muy Alto 70 100

Medio 35 69

Medio 16 34

Medio 6 15

Muy Bajo 1 5

10 30 50 70 100

7 21 35 49 70

5 15 2535

50

3 9 15 21 30

1 3 5 7 10

P

R

O

B

A

B

I

L

I

D

A





Un ejemplo es el siguiente: si se considera un riesgo con una probabilidad Moderada y unimpacto Significativo, la nivel asociado de riesgo es Crítico, tal como se muestra en la matriz.

Al finalizar esta fase, deberá tener un inventario de riesgos completo en la tabla muestra de lapágina 9, y una representación de los riesgos en la matriz, tal cual se muestra en el ejemplosiguiente:

La representación del riesgo puede hacerse considerando dos situaciones:

1. Representando cada uno de los riesgos por separado; o,

2. Representando el mayor de los niveles de riesgo asociados a un único evento. (este es elcaso de cómo se representó en la matriz anterior).

Finalmente aquellos eventos para los cuales no se identifica ningún riesgo, no se representan enla matriz y deberá entenderse que en aquellos eventos para los cuales su respectiva letra deidentificación no se ve reflejada en la matriz, no poseen riesgos asociados.

Desarrollo de estrategias de riesgos

Luego de la identificación de los riesgos en TIC, se deberá establecer la(s) estrategia(s)tendientes a mitigar los riesgos identificados. Información relacionada es la definición de lasacciones a seguir para lograr que la estrategia se implemente y el establecimiento de unapersona responsable por el seguimiento y logro de la estrategia de continuidad seleccionada.

Cada una de las estrategias que se desarrollen para cada riesgo, estarán orientadas a disminuirla probabilidad y/o el impacto de cualquiera de los riesgos identificados en el análisis. Se debeaclarar que estas estrategias no forman parte de una estrategia durante o después de un eventode contingencia. La estrategia durante o después del evento se planteará en el documento Plande Continuidad.

Para esto, considere agregar a la tabla mostrada (ARV001), lo siguiente: (ARV002).

Simbología del Riesgo:Bajo Moderado Alto Crítico





Desarrollo de estrategias de riesgos- ARV002


Plan de Continuidad TIC Responsable:

Un ejemplo de esta sección, considerando los riesgos del ejemplo anterior, es el siguiente:

Categoría delRiesgo

Descripción delRiesgo

Estrategia deMitigación

Acciones aseguir

Responsable Estado

1 Interrupcióneléctrica

Ausencia de plantaeléctrica

Disponer de una plantaeléctrica para cubrirnecesidades de TIC ydel Área de Salud

Iniciar proceso decompra con lacorrespondiente

justificación

Dirección yAdministración delÁrea de Salud

En proceso

2 Comunicaciones Fallo en la línea decomunicación

Disponer de una líneaalterna para lacomunicación en elmomento que el nivelde riesgo seincremente

Contratar una línea decomunicación alterna


En proceso

3 Respaldos No hay respaldosfuera de sitio

Llevar respaldos fuerade sitio

Identificar el sitiodonde llevar losrespaldos


En proceso

Una vez completadas la tabla y la matriz de riesgos, a ambas se le deberá dar un seguimientopermanente con el fin de identificar nuevos riesgos que eventualmente podrían afectar la

continuidad de la plataforma de TI, además de dar seguimiento y garantizar la ejecución exitosade las estrategias tendientes a la reducción de los riesgos ya identificados.

El seguimiento de este análisis deberá hacerse al menos dos veces al año para mejorar en todomomento la mitigación de todos aquellos riesgos que eventualmente podrían aparecer en eltiempo.





12. Anexo III – Guía para elaborar planes de continuidad de la Gestion en TIC

Introducción

Como parte del plan de continuidad a desarrollar a partir de este manual, podrá encontrar enesta sección documentos que deberá preparar previo a la manifestación de un evento deinterrupción, mientras que otros documentos incorporados en esta Guía, serían utilizadosdespués de la contingencia o evento de desastre o interrupción.

La información o documentos que deberá tener preparados previos a la manifestación decualquier desastre y/o como parte del plan de continuidad son los siguientes:

• Carátula de Plan de Continuidad de la Gestión de TIC.• Control de revisión y aprobación del documento (PTC000).• Información de la Unidad (PTC001, PTC002);• Inventario de hardware y software (PTC003);• Análisis de Riesgos (ARV001, ARV002);• Tiempos Máximos de Interrupción (PTC004);• Organización para la Continuidad (PTC005);• Composición de Equipos (PTC006);• Información de Contactos Externos (PTC007);• Ubicación del Centro de Operaciones de Emergencia (COE) (PTC008);• Sitio alterno de respaldo de datos (PTC009);• Matriz de Ensayos del Plan (PTC010);• Procedimientos de Recuperación para la plataforma de TIC Hardware (PTC015);• Procedimientos de Recuperación para la plataforma de TIC Software (PTC016);• Procedimientos de Recuperación para la plataforma de TIC Comunicaciones (PTC017);• Resumen del Estado del Evento (este se utilizará luego de un evento de desastre) (PTC011);• Evaluar Estado de Equipo Crítico (este se utilizará luego de un evento de desastre)

(PTC012).• Ensayos del Plan (PTC013).• Mantenimiento del Plan (PTC014).• Plan de capacitación (PTC018).• Presupuesto equipo para contingencias (PTC019).•

Protocolo de Escalación de eventos (PTC020).• Anexo de Abreviaciones.





Plan de Continuidad de la Gestión en TIC (indicar el lugar)

Carátula de Plan de continuidad de la Gestión en TIC

Caja Costarricense de Seguro Social

Dirección deTecnologías de Información y Comunicaciones

Administración de la Continuidad de la Gestión

Plan de Continuidad de la Gestión enTecnologías de Información y Comunicaciones

Area:__ (indicar el lugar) ____ DRxxx-xxx-xxx

Versión 1.0 – xxxx 2007





CONTROL DE LLENADO DE MATRICESFECHA

LLENADO• Control de revisión y aprobación del documento (PTC000). • Información de la Unidad (PTC001, PTC002); • Inventario de hardware y software (PTC003); • Análisis de Riesgos (ARV001, ARV002); • Tiempos Máximos de Interrupción (PTC004); • Organización para la Continuidad (PTC005); • Composición de Equipos (PTC006); • Información de Contactos Externos (PTC007); • Ubicación del Centro de Operaciones de Emergencia (COE) (PTC008); • Sitio alterno de respaldo de datos (PTC009); • Matriz de Ensayos del Plan (PTC010); •

Procedimientos de Recuperación para la plataforma de TIC Hardware (PTC011);

• Procedimientos de Recuperación para la plataforma de TIC Software (PTC012); • Procedimientos de Recuperación para la plataforma de TIC Comunicaciones(PTC013); • Resumen del Estado del Evento (este se utilizará luego de un evento de desastre)(PTC014); • Evaluar Estado de Equipo Crítico (PTC015).

Matriz ensayos del Plan (PTC016). • Ensayos del Plan (PTC017). • Mantenimiento del Plan (PTC018). • Procedimiento alterno de trabajo. (PTC019). • Protocolo de Escalación de eventos (PTC020). • Plan de capacitación (PTC021). • Presupuesto equipo para contingencias (PTC022).





Control de revisión y aprobación del documento(PTC000)

Historial de revisionesVersión Autor Fecha Revisión

Control de aprobación

Responsable Firma Fecha deAprobación

12345

Control de ensayosResponsable Fecha Resultados

12345

Nota: Ver Políticas de Continuidad en el Manual de Políticas Institucional para más detallesde responsabilidades.

13. Historial de revisiones

Versión Fecha Descripción Razón Cambio Responsables





14. Plan de continuidad.

Complete la información general solicitada en la tabla siguiente: (PTC001 y PTC002)

Información de la Unidad (PTC001, PTC002)

Complete la información general solicitada en la tabla siguiente: (PTC001)

Nombre de la Unidad:

Dirección:

Ciudad

Número de teléfono

Unidad programática

LIDER: La siguiente persona estará a cargo de gestionar la crisis y será el portavoz de launidad en caso de emergencia.(PTC002)

Nombre Contacto Primario deEmergencia

Número de Teléfono

Número Alternativo

Correo electrónico Unidad Programática

SUPLENTE: En caso que el funcionario anterior no esté disponible, será relevado por:Nombre Contacto Segundariode Emergencia

Número de Teléfono

Número Alternativo

Correo electrónico

Unidad Programática


Plan de Continuidad TIC Aprob:: (líder o coordinador del plan) Firma:

Cada tabla es aprobada por quien hizo el plan, el plan en su totalidad lo aprueba, ya sea eladministrador y director



Como parte del Plan de Continuidad de TIC se deberá contar con un inventario, para lo cual puede utilizar siguiente: (PTC003)

Inventario de hardware y software - PTC003

Nombredel

Equipo

Sist.Operat

ivo

Inform. d elos

Procesadores

Infor. dela

Memoria

Unidadesde

Almacena-miento

Unidadesde

respaldo

Basede

datos

Equipos decomunic.

Sistemade

Inform.

Numerode placa

ccss

Nivel Criticida(A,M,B)

Alto: La ausencia de dicho hardware o software para interrumpe toda la operación de la Oficina Regional.

Medio: La ausencia de dicho hardware o software para interrumpe varios usuario con un TMI con una ventana de tiempo corto.

Bajo: La ausencia de dicho hardware o software para interrumpe un usuario con un TMI con una ventana de tiempo amplio.

Recomienda revisar el inventario una vez al año o cuando se presenta un cambio significativo en los equipos principales.

Código Área: DRxxxx-xxx-xxx

Versión: x.0 Fecha: dd-mmm-aaaa

Plan de Continuidad TIC Aprob: (líder o coordinador del plan) Firma:

Al Formato anterior puede adicionar cualquier otra información que usted considere pertinente para el adeequipo y sus correspondientes relación de dependencia o de operación con otros equipos de la plataforma



Análisis de Riesgos

El análisis de riesgos es un componente fundamental en el desarrollo de un plan de continuidad. En esta stanto la Matriz de Resultados del Análisis de Riesgos, como las tablas de detalle de los riesgos identificado

Tabla de riesgos identificados (ARV001) ARV002

Captura de la Información de Riesgos y desarrollo de estrategias de

Titulo del RiesgoDescripcióndel Riesgo

Descripcióndel Impacto Fecha

Nivel deImpacto

Nivel deProbabilidad

Nivel deRiesgo

Estrategiasde Mitigació

12345

Código de Área: DRxxxxxxxxxx Versión: x.0 Plan de Continuidad TIC Responsable

La Categorías de Riesgo se encuentran incluidas en la pagina 32 del Manual para Elaborar Planes de ConDescripción indicara como esa categoría de Riesgo impactará a la unidad e Tecnología. Por ejemplo:

Ejemplo

Categoría: es Interrupción EléctricaDescripción: Ausencia de una Planta de abastecimiento de energía eléctrica.



Estrategias durante y después de la manifestación de los riesgos.

Categoría del Riesgo: _______________________________________________________

Descripción del riesgo: ______________________________________________________

Acciones durante la manifestación del riesgoAcción Iniciales ID Ref.

Acciones después de la manifestación del riesgo.Acción Iniciales ID Ref.

Procedimientos para regreso al sitio principalAcción Iniciales ID Ref.

Contactos requeridosEmpresa Nombre de referencia Teléfonos



Manual para Elaborar un Plan de Continuidad de la Gestión en TIC TIC-ASC-CGN-0001

Continuidad de la Gestión en Tecnología de Información y Comunicaciones Versión 1.0


Tiempos Máximos de Interrupción (PTC004)

Los Tiempos Máximos de Interrupción (TMI) deberán ser definidos en conjunto con las áreasusuarias de los sistemas de información. Su propósito es establecer cuanto tiempo como máximopodrán los procesos de TIC y que apoyan a las áreas, estar sin operación antes de que se causedaño a la organización. Además, con la definición de estos TMI el personal de TIC deberáestablecer las prioridades correspondientes para en caso de una interrupción total, realizar unarecuperación organizada de la plataforma tecnológica, que permita responder a los TMI aquídefinidos y dar la atención a las áreas usuarios, en primera instancia que provean serviciosconsiderados como críticos para la organización, hasta concluir con aquellos servicios menoscríticos para el negocio.

Complete en la tabla siguiente (PTC004), para cada área de negocio, cuáles son las funcionesafectadas en cada una de ellas y el TMI factible, definido en acuerdo con el área usuaria. Seincluye en la primera línea un ejemplo de la información a completar.

La Criticidad estará definida por escalas para posteriormente clasificar la prioridad y criticidad loque dependerá de cada área. Ejemplo: menos de cuatro horas, un día, dos días, cinco días, dossemanas, etc. Los factores de riesgos se pueden clasificar en aspectos Operativos (O),Imagen(I), Legales (L) y Regulatorios (R).La definición del TMI se puede hacer en minutos, horas, días etc.

Tiempos Máximos de Interrupción (PTC004)

Área, U.P.Funcionesafectadas

Sist. Informac.de apoyo

FactorRiesgo TMI TR TMIR Criticidad

Recursos

Humanos Generación de la

planilla para pago aempleados

Regulatorio

Operativo Legal

120 min

30 min 90 min

ALTO

Menor 120m

Contabilidad Cierre mensual


Plan de Continuidad TIC Aprob:(Puede ser Asist Adminitrativo) Firma:

Niveles de Criticidad

Alto El TMI de Menor de XX horas.

Medio El TMI esta entre xx y yy horas

Bajo El TMI es mayor que yy horas.

Para el caso del ejemplo se deberá entender que el tiempo máximo que se puede interrumpir elproceso de generación de la planilla es de dos horas, antes de que se genere un problema quepudiera poner en riesgo el pago de la planilla a los empleados. De igual forma en el área decontabilidad, el cierre mensual puede verse afectado por un máximo de dos horas, antes de queinicie la afectación del proceso para la empresa.






Organización para la Continuidad (PTC005)

Deberá incluir como parte del Plan de Continuidad, información general de la organización, delpersonal para la continuidad de TIC (PTC005). Un ejemplo de dicha organización es el siguiente:

Organización para la Continuidad - PTC005

Nota: Como una consideración adicional, en aquellos casos donde el personal de apoyo al plan es reducidose podrían complementar con personal de la Dirección Regional, siempre y cuando exista previo acuerdoentre las partes.


Plan de Continuidad TIC Aprob: (líder o coordinador del plan) Firma:

Cada uno de los cuadros de equipos deberá llevar los nombres de las personas que conformancada equipo, además de la misión, visión, objetivo, organigrama, etc, de la unidad.

Equipo Recuperaciónhardware

Equipo RecuperaciónSoftware y

Aplicaciones

Equipo RecuperaciónEquipos y Líneas de

Comunicación

Equipo Administradorde Tecnología deInformación U.P:






Composición de equipos (PTC006)

El Centro de Operaciones de Emergencia (COE) es el sitio desde donde se coordinarán ysupervisarán las acciones de recuperación del desastre (PTC006).

Composición de equipos - PTC006

EquipoU.P.(*)

Nombre delEmpleado Rol Teléfono Celular Dirección


Plan de Continuidad TIC Aprob:: (líder o coordinador del plan) Firma:

Nota: Los roles se especifican en la parte teórica del plan en la paginas 13 delManual para Elaborar Planes de Continuidad en TIC.






Información de contactos externos (PTC007)

Complete para sus proveedores y otros contactos externos, la información que le permitirálocalizarlo fácilmente, en el momento que requiera de su asistencia.

Complete para ello la información de la tabla siguiente: (PTC007)

U.P.

Compañía

Servicios

Tel. Cía.

Fax Cía.Dirección Cía.

E-mail Cía.

Contactos E-mail Teléfono Celular Beeper

Código Área: DRxxxx-xxx-x Versión: x.0 Fecha: dd-mmm-aaaa

Plan de Continuidad TIC autor:: (Persona que recopila la informaciónde contactos)






Ubicación del Centro de Operaciones de Emergencia (PTC008)

El Centro de Operaciones de Emergencia (COE) es el sitio desde donde se coordinarán ysupervisarán las acciones de recuperación del desastre. Para esto complete la información quese solicita. (PTC008)

SITIO No. 1

U.P.

Ubicación;Dirección:Teléfonos:Contactos:

#1 Nombre:Puesto:Rol:Tel. Hab.:Tel. Celular:Beeper:Dirección:

#2 Nombre:Puesto:Rol:Tel. Hab.:Tel. Celular:Beeper:Dirección:






Sitio Alterno de Respaldo de Datos (PTC009)

En las tablas siguientes, documente los datos de los lugares donde se almacenan los respaldosde datos y cualquier otra “Nota” requerida como referencia del procedimiento para acceder adichos sitios y los protocolos para enviar y retirar los respaldos del sitio. (PTC009)

SITIO No. 1

U.P.Ubicación;Dirección.Teléfonos:Tipo

datos:Contactos:

Nombre:

Tel. oficinaFrecuencia

SITIO No. 2

U.P.:Ubicación:Dirección

Teléfonos:Tipodatos:Contactos:

Nombre:

Tel. oficinaFrecuencia

Notas:






Matriz de ensayos del plan (PTC010)

En la matriz de pruebas del plan, deberá planear la ejecución de diversos tipos de ensayos,durante un período de un año.

Para esto, utilizando la matriz descrita, puede planear el tipo de ensayo y en qué mes se deberállevar a cabo el mismo. Puede completar la matriz indicando qué día del mes planea llevar a caboel ensayo o bien, únicamente marcar con “x” el mes y posteriormente, iniciado ese mes,establecer la fecha exacta de ejecución del ensayo y el planeamiento que esto implica,incluyendo por ejemplo la preparación del personal si esto fuese necesario. (PTC010)

Calendario anual de Ensayo - PTC010Año:__________

Tipo deEnsayo

U.P. E N E

F E B

M A R

A B R

M A Y

J U N

J U L

A G O

S E T

O C T

N O V

D I C

Presupuesto

1-

2-

3-

4-

5-

6-


Plan de Continuidad TIC autor::Puede ser firmado por elresponsable y/o por el suplente






Procedimientos de Recuperación (hardware)(PTC011)

Procedimiento de Recuperación

{Nombre del hardware}

Control de revisión y aprobación del documento

Historial de revisiones

Versión Autor Fecha Revisión


Responsable Firma Fecha de Aprobación

12345

Control de ensayos

Responsable Fecha Resultados12345

NOTA: este documento deberá revisarse al menos una vez al año y los procedimientos deberánser probados en su totalidad con la misma periodicidad.






Información General

Objetivos del documento{Documente cuál es el objetivo de este documento}

Distribución{Documente a qué personas o áreas deberá hacer llegar copia de este documento y a través dequé medio se le hará llegar}

Integrantes del equipo de recuperación

Principal Suplente

Líderes del equipo {nombre completo} {nombre completo}

Miembro No. 1 {nombre completo} {nombre completo}






Información general del hardware

{complete la información requerida, puede adicionar la información que considere pertinente} Marca y modeloDirección IPProcesadores

Sistema OperativoVersiónParches

Base de datos

VersiónParches

Discos DurosEspecificación técnicaÁrea de SWAPTarjetas controladoras

Tarjeta de redEspecificación técnicaRedundancia

Memoria

CantidadTolerancia a fallos (ECCmemory)

Fuente de poderEspecificación técnicaRedundancia

Unidad de respaldoMarca y modeloTipo de cintaSoftware usado

Garantía de fábricaProveedor y contactoFecha de Vencimiento

Contrato de mantenimientoProveedor y contactoFecha de vencimiento

Otros






Recuperación del hardware

Estrategia de recuperación{Detalle la generalidad de la estrategia a seguir para la recuperación}

Acciones requeridas previo o durante el proceso de recuperación

AcciónCompletado

(S/N) Iniciales ID Ref.

Procedimientos de validación y sincronización con otros equipos

AcciónCompletado

(S/N)

Iniciales ID Ref.

Procedimientos para regreso al sitio principal

AcciónCompletado

(S/N)Iniciales ID Ref.

Otros procedimientos posteriores al evento

Acción Completado

(S/N)

Iniciales ID Ref.

Contactos requeridos (empleados involucrados con el equipo, proveedores, etc.)Empresa Nombre de referencia Teléfonos

Notas:






Procedimientos de Recuperación (Sistema de Información o Aplicación)(PTC012)


{Nombre del Sistema de Información o aplicación}





Responsable Firma Fecha de Aprobación12345

Control de ensayos

Responsable Fecha Resultados12345

NOTA: este documento deberá revisarse al menos una vez al año y los procedimientos deberán serprobados en su totalidad con la misma periodicidad.






Información GeneralObjetivos del documento{documente cuál es el objetivo de este documento}

Distribución{documente a qué personas o áreas deberá hacer llegar copia de este documento y a través dequé medio se le hará llegar}


Principal Suplente



Información general de la aplicación

{complete la información requerida, puede adicionar la información que considere pertinente}Versión en producción

Sistema operativo baseVersiónParches

Plataforma baseServidoresEquipos decomunicaciónEnlaces

Otros






Recuperación de la aplicación

Estrategia de Recuperación{Detalle la generalidad de la estrategia a seguir para la recuperación}

Recursos requeridos previo o durante el proceso de recuperaciónID Recurso Ubicación Responsable

Instalación de la aplicación

Acción Completado(S/N) Iniciales ID Ref.

Procedimientos de validación en la instalación de la aplicación

AcciónCompletado


Procedimientos y parámetros para configurar la aplicación

AcciónCompletado



Acción Completado(S/N)

Iniciales ID Ref.


Notas:






Procedimientos de Recuperación (Equipo o línea de comunicación. (PTC013)


{Nombre del equipo o detalle de la línea de comunicación}





Responsable Firma Fecha deAprobación

12345

Control de ensayos

Responsable Fecha Resultados

12345

NOTA: este documento deberá revisarse al menos una vez al año y los procedimientos deberán serprobados en su totalidad con la misma periodicidad.







Objetivos del documento{documente cuál es el objetivo de este documento}

Distribución{documente a qué personas o áreas deberá hacer llegar copia de este documento y a través dequé medio se le hará llegar}


Principal Suplente



Información general del equipo de comunicación

{complete la información solicitada, puede adicionar la información que considere pertinente}Marca y modeloDirección IP

Sistema OperativoVersiónParches

PuertosCantidadTipo

MemoriaCantidadTolerancia a fallos (ECCmemory)

Fuente de poderEspecificación técnicaRedundancia

Garantía de fábricaProveedor y contactoFecha de Vencimiento

Contrato de mantenimientoProveedor y contactoFecha de vencimiento






Otros

Recuperación del equipo

Estrategia de recuperación{Detalle la generalidad de la estrategia a seguir para la recuperación}

Recursos requeridos previo o durante el proceso de recuperaciónID Recurso Ubicación Responsable

Procedimientos para instalar y configurar el equipo de comunicación. Cuando aplique,incluya versiones de sistema operativo y parches

AcciónCompletado


Procedimientos requeridos para validar la instalación y configuración

AcciónCompletado


Procedimientos de validación y sincronización con otros equiposAcción Completado



AcciónCompletado



Notas:

Resumen del Estado del Evento (PTC014)

En este formulario podrá documentar una bitácora de las actividades desarrolladas durante lacontingencia y la recuperación de los servicios de TIC. (PTC011)






Resumen del Estado del Evento (PTC011)

Nombre del Incidente: __________________________________ Lugar:_______________________________________

Nombre de la persona que reporta: _________________________________________________________________________

Procedimientoaplicado

ResultadoEstatus

FechaPreparado:

Actividad: Fecha yHora:


Plan de Continuidad TIC autor::






Evaluar el Estado del Equipo de TIC (PTC015)

La evaluación del estado del equipo de TIC se realizará posterior al evento de interrupción odesastre. Es importante obtener un entendimiento de en qué estado quedó el equipo para lo cualdeberá completar la tabla adjunta. (PTC012)

Evaluar el Estado del Equipo de TIC - PTC015

Lugar:______________________ [-----------ESTADO----------]NombreEvento:__________________________

Equipo Condición (*) TiempoRescate Comentarios

1. _______________________ ___________ _________ ______________________________

2. _______________________ ___________ _________ ______________________________

3. _______________________ ___________ _________ ______________________________

4. _______________________ ___________ _________ ______________________________

Legenda (*) Condición: ND - No Dañado

DPU - Dañado, pero utilizableDR - Dañado, requiere rescate antes de usarD - Dañado, requiere reconstrucción

Código Área: DRxxxx-xxx-xxx Versión: x.0 Fecha: dd-mmm-aaaaPlan de Continuidad TIC autor::

Legenda (*) Condición: ND - No Dañado

DPU - Dañado, pero utilizableDR - Dañado, requiere rescate antes de usarD - Dañado, requiere reconstrucción

Se muestra a continuación un ejemplo de cómo completar dicha tabla:

[-----------ESTADO----------]

Equipo Condición (*) TiempoRescate Comentarios

1. Servidor de Base de Datos DRU (dañadopero utilizable)

2 horas Equipo sufrió daño en tarjetascontroladoras, mismas que deberánsustituirse vía contrato de mantenimientocorrectivo. Refiérase a Procedimiento deRecuperación correspondiente






15. Anexo IV – Guía para el desarrollo de ensayos del plan de continuidad en TIC

2. Introducción

Introducción

El propósito de ensayar el Plan, es asegurar la viabilidad y actualización del mismo. Un Plan quees ensayado regularmente permite identificar aspectos no cubiertos inicialmente, o bien,debilidades en el proceso de mantenimiento del mismo. Adicionalmente, todo ensayo debe serconsiderado como una oportunidad para entrenar al personal, tanto en la forma de actuar ante lasituación de emergencia como en los procedimientos de recuperación establecidos.

Ensayos del plan 3. Ensayos del Plan de Continuidad

Como parte del proceso de mejora continua al cual debe someterse todo Plan de Continuidad, larealización de ensayos1 es un pilar fundamental que la CCSS deberá desarrollar con el fin degarantizar la actualización y el mantenimiento de estos Planes. Noensaye para tener éxito. Ensaye para tener entendimiento. Todos los ensayos debenconsiderarse como exitosos si su objetivo es validar el plan, y las debilidades o los errores nocubiertos no se convierten en factores negativos para el Plan, de otra forma el ensayo habráfracasado.

Algunas de las recomendaciones a seguir para el desarrollo de los ensayos de un Plan deContinuidad en TI se listan a continuación:

1. Utilizar el documento PTC010 para el planeamiento de los ensayos a realizar. Este documentoincorpora elementos que con su definición, establecerán un escenario claro y preciso para larealización de cada ensayo. Los escenarios sobre los cuales se puede desarrollar un ensayopueden ser múltiples, desde problemas básicos con un respaldo de datos o un componente de unequipo de cómputo, hasta un evento de desastre que afecte la totalidad de las instalaciones deTIC.El escenario bajo el cual se hará el ensayo debe ser definido con anterioridad. El plan estápreparado para reaccionar y dirigiar las acciones de recuperación en cualquiera de los casosdescritos.

2. Garantizar la adecuada capacitación del personal en el entendimiento de la documentación delPlan de Continuidad, y de todo documento que esté relacionado con el tipo de ensayo (vea másadelante la sección Tipos de Ensayo) y el alcance del mismo.

3. Para la realización propia del ensayo, deberá documentar los procedimientos que seguirá parael mismo, para lo cual deberá considerar al menos lo siguiente:

a. El detalle inicial del tipo de ensayo que se desea realizar. Para más detalle vea la secciónTipos de Ensayo.

b. El objetivo que se busca con el desarrollo del ensayo.






c. Los procedimientos de recuperación que serán probados. Esto último implica establecer cuálesde los procedimientos descritos en el plan, serán considerados para realizar el ensayo.

d. La responsabilidad del ensayo. Esto implica definir quién será responsable de velar porla adecuada realización del ensayo y de obtener al final, las conclusiones y los resultados delmismo. Esta responsabilidad puede recaer en el coordinador del plan de continuidad, en elresponsable de TIC u otra persona asignada por uno de ellos.

e. La planeación y la calendarización del ensayo, donde se indique qué día y horas se realizará elensayo. Esto no aplica si se desea hacer un ensayo sorpresa.

f. Las métricas de evaluación de los resultados, estas pueden variar dependiendo del tipo deensayo que se desee realizar. Las métricas deberán ser definidas por el coordinador del plan decontinuidad, estableciendo de qué forma se concluirá si los resultados del ensayo fueron o no

adecuados.

4. Luego de la conclusión del ensayo, se deberán obtener las conclusiones al respecto de:

a. Información que debiera ser corregida en el Plan de Continuidad por deficiencias o erroresencontrados durante el ensayo;

b. Información que debiera ampliarse para mejorar su claridad en el Plan al momento de serutilizada;

c. Información sobre elementos de riesgo que fueron identificados durante el ensayo, como puedeser personal no encontrado, documentación no identificada, etc.;

d. Obtener finalmente conclusiones sobre si la documentación de los procedimientos definidos espráctica o si bien los procedimientos pueden eficientizarse para obtener mejores resultadosconsiderando variables como tiempo, costo y esfuerzo.

e. La documentación y revisión de todos los resultados generados durante el ensayo estrascendental para el proceso de mejora continua. Refiérase a la sección “Evaluación de losEnsayos” para mayor información.

f. Los ensayos deben ser al menos una vez al año, según calendario

Directriz para ejecución de los ensayos del Plan

Deberá establecerse una directriz en la cual se establezca que todos los medios necesarios parala realización de los ensayos del Plan de Continuidad de TI deberán facilitarse en el tiempo quesean requeridos. Ello permitirá la actualización de los procedimientos, así como la capacitaciónnecesaria para el desempeño eficaz y eficiente de este plan.

Objetivos de los ensayos

Los ensayos del plan tienen como objetivos principales los siguientes:

- Incrementar la conciencia y el conocimiento en el plan;- Validar del plan;






- Actualizar y corregir el plan para que contemple los cambios en el ambiente del negocio yrequerimientos de soporte;

- Entrenar a los miembros de los equipos de recuperación, con el propósito de minimizar eltiempo de respuesta y de recuperación;- Verificar la disponibilidad de los datos y recursos críticos almacenados fuera de sitio;- Comunicar formalmente a la Alta Administración los resultados de los ensayos.

Coordinador de los ensayos

Una persona deberá ser designada como el coordinador de los ensayos. En algunos casos, esconveniente seleccionar un coordinador diferente para cada uno, eso incrementa elentrenamiento de los líderes. No se debe olvidar que ese coordinador de los ensayos debe seruna persona familiarizada con el proceso del negocio, el plan y los sistemas de informaciónutilizados.

Responsabilidades del CPC en los ensayos

Es responsabilidad del Coordinador del Plan de Continuidad el planear y ejecutar los ensayosconjuntamente con el Coordinador de los mismos. Un factor de éxito para los ensayos es laobtención del respaldo de la Alta Administración (o Jefe de la locación). Ese respaldo debeasegurar la disponibilidad de los recursos necesarios para que los ensayos sean efectivos yprovechosos.Las responsabilidades del coordinador de los ensayos incluyen, entre otras, las siguientes:

- Determinar el tipo de ensayo a realizar.- Asegurar que el plan está actualizado permanentemente y antes de los ensayos.

- Definir el alcance, objetivos, supuestos y escenario del ensayo.- Documentar todos los costos asociados con el desarrollo del ensayo.- Establecer la fecha del ensayo.- Planear y documentar actividades y reuniones, tanto previas como posteriores a losensayos.- Coordinar y mantener una bitácora de todas las actividades antes, durante y después delensayo.

Tipos de ensayos

Para cumplir con los objetivos de los ensayos no es práctico, ni necesario, que todo en el plansea cubierto en una única sesión. No obstante, es importante administrar los componentescríticos del mismo; y consecuentemente, los ensayos deben ser vistos como una serie eventospara los cuales se debe establecer un calendario que permita comparar tiempos estimados yactuales.Es recomendable, que en el alcance de los ensayos se defina las tareas y funciones que seránprobadas. También se debe indicar lo que no será probado, con el fin de no crear falsasexpectativas con respecto al ensayo a realizar.Todos los tipos de ensayo ayudan a capacitar al personal, a mantener a los empleados con unalto conocimiento y demostrar la efectividad de los planes de continuidad en TI. Por lo tanto, losensayos no deben limitarse, a la utilización de las siguientes técnicas para demostrar la habilidadde recuperar los componentes críticos de la Plataforma.






Procedimientos de Recopilación

Verificar que todos los registros vitales han sido identificados y que están protegidos fuera desitio, además que esos registros son recopilados de forma organizada y con tiempos apropiados.

Walk-Trough Independiente (en-sitio)

Permitir a cada equipo la oportunidad para ejercitar sus procedimientos de recuperación demanera independiente, previa al ensayo conjunto, esto permite identificar áreas de mejora yactualizar el plan, así como ejercitar la habilidad de cada Líder de Equipo.

Walk-Trough Combinado (en-sitio)

Permitir a cada proceso de negocio la oportunidad de probar la habilidad de sus equipos en las

acciones de recuperación como una unidad combinada, probando el trabajo de losprocedimientos de recuperación documentados, con el fin de identificar áreas de mejora yactualizar el plan.

Activación de los equipos de Recuperación

La activación de los equipos confirma la disponibilidad de sus miembros, así como su habilidadpara realizar responsabilidades asignadas de manera eficiente y a tiempo. Después de que losequipos son activados, el coordinador de los ensayos s debe asegurar que los equipos conocensus responsabilidades, para ello se podría solicitar a cada uno de los equipos que discuta susresponsabilidades antes del ensayo con los otros miembros involucrados.

Ensayos de Simulación

Establecer escenarios para los ensayos ante un desastre, los cuales provean a los participantescon situaciones que podrían afectar como cada miembro de los equipos reaccionará. Losescenarios brindarán a la administración con una base para iniciar la activación de sus planes yefectuar la recuperación de los procesos de negocios de los cuales ellos son responsables.

Frecuencia de los ensayos

Los ensayos deben ser realizados al menos una vez al año, o en su defecto de los cambios en elambiente en las operaciones. No obstante, dependiendo del riesgo, es conveniente elaborar uncalendario de ensayos más frecuente y riguroso. Es conveniente tener en cuenta que los

resultados de los ensayos deben ser formalmente reportados. Además, en caso de que seanecesario, el Plan podría requerir ser actualizado, para lo cual el CPC debe actualizar unformulario “Mantenimiento del Plan” (PTC014) incluido en esta guía.

Calendario de ensayos

El Coordinador del Plan de Continuidad deberá preparar un calendario de ensayos. Esrecomendable que ese calendario este ligado con el Plan de Capacitación. Para elaborar elcalendario de actividades se puede utilizar una matriz como la mostrada en el formulario “Matrizde Ensayos del Plan” (PTC010) incluida en esta guía, en la cual se coloca el tipo de ensayo arealizar y la fecha en que se llevará a cabo el mismo.Es conveniente que previo a la programación del ensayo, el CPC prepare el plan del mismo.






El formulario “Ensayo del Plan” (PTC013) de esta guía se utiliza para documentar tanto losobjetivos, escenario, áreas a ser probadas, etc., así como los resultados de los ensayos.

Evaluación de los ensayos

Una revisión posterior al ensayo debe ser realizada dentro de las dos semanas siguientes almismo y todas las personas que participaron en él deben estar presentes para la revisión de losresultados. Un proceso de evaluación deberá responder, entre otras, a las interrogantessiguientes:

¿Se cumplieron los objetivos establecidos para el ensayo?¿Se realizó el ensayo en el tiempo establecido?¿Fue el ensayo elaborado y conceptualizado apropiadamente?¿Cuáles partes del Plan fueron inadecuadas o no estaban actualizadas?

¿Puede el personal de los equipo de recuperación utilizar el plan de forma efectiva?¿Fueron todas las interfaces críticas identificadas y documentadas?Después de la reunión de revisión del ensayo se deberán documentar los resultados de lamisma. Para ello se utilizará la sección “Resultados” del formulario “Ensayo del Plan” (PTC013)incluido en esta guía.Los Líderes de los equipos serán responsables de comunicar los resultados del ensayo a todoslos miembros de sus equipos, con el fin de mejorar el Plan a partir de los resultados.Adicionalmente, el coordinador del ensayo será responsable de lo siguiente:

- Comunicar los resultados de los ensayos a la Administración.- Elaborar una lista de todos los inconvenientes identificados durante el ensayo y asignar a los

miembros de equipos para que trabajen en ellos.- Brindar seguimiento a la resolución de esos problemas.

Basado en los resultados de los ensayos, el Coordinador del Plan debe determinar si se deberealizar un ensayo de seguimiento. Si éste no es necesario, se debe seguir con el calendario deensayos y proponer las áreas que deben ser probadas. Es recomendable que los objetivos de losensayos de seguimiento estén limitados a aspectos específicos que no fueron exitosos durante elensayo realizado anteriormente. De lo contrario, no se podría validar que se hayan resuelto losinconvenientes encontrados previamente.Luego de la ejecución del ensayo las situaciones u oportunidades de mejora al Plan deberán serrecolectadas y documentadas, y reportadas formalmente al administrador institucional de lacontinuidad. Como parte de la evaluación de resultados deberá incluir al menos lo siguiente:

a) Una evaluación de los planes y procedimientos que fueron ejercitados.

b) El tipo y la calidad de respuesta a las situaciones del escenario que fueron establecidaspara el ensayo.

c) Una evaluación de la cooperación y la respuesta recibida de terceros (si aplica) entre losque se cuentan por ejemplo proveedores y clientes.

d) Una lista del personal que estuvo presente durante el ensayo.

e) Una bitácora de actividades desarrolladas con la evaluación de tiempo previsto (el queespera que dure la actividad) y tiempo final de ejecución (el que duró realmente).






f) Un detalle de eventuales problemas que surgieran durante el ensayo.

g) Finalmente agregue sus conclusiones sobre el desarrollo del ensayo.

Guía para el desarrollo de ensayos

Esta sección describe las actividades administrativas requeridas para elaborar, coordinar ysupervisar los ensayos del plan. De manera que estas actividades provean oportunidades demejora para el Plan y al mismo tiempo que se vaya incrementando en el personal involucrado, laexperiencia en responder a una contingencia.Para preparar y desarrollar el ensayo puede atender a las actividades siguientes:

1. Establezca los objetivos del ensayo a realizar. Incluya, al menos, lo siguiente:• ¿Pueden ser medidos?

• ¿Cómo pueden ser evaluados?

2. Establezca el alcance del ensayo• ¿Cuáles áreas serán incluidas?• ¿Cuáles procedimientos, listas de chequeo y responsabilidades serán probadas?• ¿Cuáles excepciones, si hay, deben ser consideradas?

3. Desarrolle el escenario del ensayo.

4. En caso necesario, estime el tiempo total del ensayo en el sitio alterno. Considere eltiempo de desplazamiento del personal.

5. Revise la configuración del hardware en el sitio alterno para verificar compatibilidad.

6. Verifique el inventario de los archivos de respaldo mantenidos en el sitio de almacenamientocon el control que se tiene del mismo, con el objetivo de verificar los procedimientos deactualización de respaldos.

7. Seleccione al personal que participará en el ensayo e infórmelo.

8. Familiarice al personal con la logística del sitio-alterno.

9. Obtenga permiso del proveedor del software para usar los productos con licencia en elsitio alterno tanto en los ensayos como durante un posible desastre.

10. Obtenga y transporte los respaldos, formularios, suministros y documentación requerida parael ensayo.

11. Realice los arreglos de transporte, hospedaje y comidas para el equipo del ensayo.

12. Ejecute el ensayo.

13. Compare los resultados del ensayo con los resultados esperados y escriba un informe.

14. Corrija los errores detectados y actualice el documento del plan.






Matriz de ensayo del plan (PTC016)

Calendario anual de ensayo Año: _______

Tipo de Ensayo E N E

F E B

M A R

A B R

M A Y

J U N

J U L

A G O

S E T

O C T

N O V

D I C

1-

2-

3-

4-

5-

6-

7-

8-






Ensayo del Plan (PTC017)

Tipo de Ensayo ___________________________Fecha/Hora de Inicio_______________________

____________________________Fecha/Hora de Fin_________________________

Sitio de Ejecución _______________________Equipos _______________________________

Involucrados_____________________________

Objetivos

Criterios de Medición

Criterio Medio de validación Resultado

Tiempo de atención

Tiempo de Respuesta

Volumen de transacciones

Tiempo de espera

Áreas a ser probadas

Área / aplicativo Prueba/ transacción Resultado esperado Resultado obtenido

Escenario

Resultados

Recomendaciones







Plan de Continuidad TIC autor::

16. Anexo V – Mantenimiento del Plan (PTC018)

Para la comunicación de las modificaciones al plan se debe utilizar este formulario.

Adicionalmente, es conveniente que se entregue el documento en forma electrónica para

facilitar su incorporación al Plan.

Nombre Equipo: __________________________________________________________________

Líder de Equipo: _________________________________________________________________

Fecha: ____________________ Hora: __________________

Justificación para la modificación:

_________________________________________________________________________________

_________________________________________________________________________________

_________________________________________________________________________________

Modificaciones solicitadas:

______________________________________________________________________________________

______________________________________________________________________________________

__________________________________________________________________________

Observaciones:

______________________________________________________________________________________

______________________________________________________________________________________

__________________________________________________________________________


Plan de Continuidad TIC aprob::






17. Anexo VI – Documento Procedimientos alternos de trabajo.

Introducción .Introducción

Los procedimientos alternos de trabajo son una herramienta para hacer más organizada yefectiva la ejecución de las tareas durante la recuperación de los sistemas de informaciónque soportan un proceso o área funcional.Una contingencia puede generar mucha presión en el personal involucrado durante el proceso derecuperación y por lo tanto es importante que ellos estén provistos de guías para tomardecisiones oportunas durante estas situaciones. Adicionalmente, esas acciones se realizan másfácilmente cuando los individuos de la organización asumen un papel activo y responsable en el

desarrollo de los procedimientos a seguir si un desastre ocurriera.Es conveniente recalcar que el personal y no el plan, será responsable de manejar los esfuerzosde recuperación, así que el involucramiento temprano de aquellos individuos con un mayorentendimiento de sus áreas de trabajo es conveniente para el desarrollo del plan.

2. Documentación de Procedimientos Alternos de TrabajoEvaluación de factibilidad para la documentación

Como parte del desarrollo de un análisis de impacto en el negocio, se deberá incluir una solicitudde información a cada área o proceso del negocio en donde se determine la existencia o no deprocedimientos alternos ya establecidos para el desarrollo en primera instancia de los procesoscríticos y eventualmente luego, de procesos no críticos, según los niveles de criticidadestablecidos por el mismo análisis de impacto en el negocio. En caso de existir dichosprocedimientos alternos se deberá proceder a documentar los procedimientos o revisar yactualizar (cuando aplique) esos procedimientos. Se debe considerar que esos procedimientosalternos pueden lograrse a través de herramientas manuales (ej. formularios) o bienautomatizadas (hojas electrónicas, procesador de palabras u otros sistemas de operación local),en las que se tenga dependencia de únicamente una computadora personal, eventualmente unalínea de comunicación conmutada, y que podrían estar disponibles si así lo requiere el área o elproceso de negocio, sea esto en el sitio primario o en un sitio alterno.Cada área o proceso del negocio será responsable de determinar cuando se puede o nodocumentar un Procedimiento de este tipo. Como ejemplo, uno de los factores que influyen enesa decisión es, considerar si es posible mantener en el procedimiento alterno iguales osuperiores controles, que los utilizados cuando se utilizan los sistemas de información normales.Dado el caso que la aplicación de los controles en un nivel igual o superior no pueda mantenerse,el área o proceso de negocio tendrá la potestad de eventualmente no desarrollar el Procedimientoy esperar a la recuperación de la plataforma de TIC. De otro modo, la documentación de losProcedimientos es responsabilidad de los responsables de cada área o proceso del negocio.Como esquema general para completar los formularios siga lo siguiente:

1. Aplique a cada área o proceso de negocio, el formulario descrito en el anexo 3.1 de estedocumento y determine la existencia de procedimientos alternos en las áreas o laposibilidad de realizar la documentación respectiva.

2. Determine un inventario de procesos de negocio para los cuales pueda documentarse un PAT.






3. Para cada proceso donde sea factible la documentación de un PAT, deberá completar elformulario incluido en el anexo 3.2 de este documento.

4. El usuario responsable del proceso de negocio deberá completar el formulario descritodesarrollando las actividades siguientes

a. Completar la sección encabezado con los datos indicados. Para mayor detalle del significadode cada ítem de información refiérase a la sección 2.2 de este documento.

b. Complete los datos de Unidad de Negocio, Procedimientos relacionados, Objetivos yResponsables. Para mayor detalle del significado de cada ítem de información refiérase a lasección 2.2 de este documento.

c. Como Recursos Críticos se deberá documentar qué personal deberá estar presente para la

ejecución del procedimiento, completando los datos de ubicación. Podría involucrarse personalexterno (proveedores).Adicionalmente considere documentar en esta sección, qué equipos de oficina o comunicacionesrequerirá para desarrollar el PAT, el nombre de formularios y cualquier otro recurso requeridopara aplicar el documento.

d. En la sección Detalle del Procedimiento, deberá documentar las acciones que el usuariodeberá desarrollar como parte de la forma alterna para ejecutar el proceso en cuestión. Lasacciones deberán documentarse en el mismo orden en el cual deberán ser ejecutadas.Adicionalmente complete en cada caso quién es el responsable (puesto) de ejecutar la acción yqué recursos de los descritos en la sección anterior, se requerirán para ejecutar la acción.

e. Cuando se logran restaurar las operaciones de la plataforma de TI, todo lo que se habíaejecutado fuera de los sistemas de información regulares, deberá de ingresarse para actualizar lainformación de la base de datos central. Por ese motivo, en la sección Actividades a desarrollarluego de la restauración de TIC, documente en orden de ejecución, las acciones que deberárealizar el usuario para alimentar la información en los sistemas y actualizar correctamente lasbases de datos.

f. Finalmente en la sección de notas o comentarios documente cualquier situación adicional quepueda o debe considerarse como parte de la ejecución del PAT. Puede considerar supuestos,restricciones, etc. En el anexo 3.1 se incluye un modelo del formulario que se utilizará paraevaluar en cada área o proceso de negocio, la disponibilidad de los procedimientos alternos. Otrainformación que se puede obtener a partir de dicho formulario es la siguiente:

• Descripción de los procedimientos alternos que estén documentados;• Tiempo que dispara la utilización de dicha documentación; y,• Tiempo durante el cual el área o proceso puede operar con los procedimientos.

Descripción del formulario para documentación de PAT

Para la definición de un procedimiento alterno se debe considerar que será utilizado en el casodel peor escenario, cuando la operación de la plataforma tecnológica sea interrumpida por un






período superior al cual el proceso de negocio pueda soportar para su interrupción. Ladescripción de cada uno de los campos requeridos para completar el Procedimiento se describen

a continuación:

Código de Procedimiento Código de identificación asociado con el proceso del negocio que está siendo documentado.

Los códigos de referencia tienen el siguiente formato, PAT-XX-YY , donde:

XX indica las siglas del proceso de negocio,

YY es un número secuencial que diferencia componentes (procedimientos) de un mismo proceso.

Fecha de emisión

Fecha en que se elaboró el documento o se realizó la última actualización.

Fecha de aprobaciónFecha en que se aprobó el documento

Versión Aunque la fecha del documento puede ser utilizada como base para un control de versiones esconveniente la utilización de un sistema de numeración que permite incluir versiones en borrador.

La numeración de las versiones se hará de la siguiente forma “v.rb”, donde

• v = número de versión, iniciando en 1;

• r = nivel de revisión, iniciando en 0 (dentro de cada versión);

• b = letra para indicar la secuencia del borrador dentro de la misma revisión,iniciando en A.

Por ejemplo, el número de versión 1.1C indica que se trata del tercer borrador de la versión 1.1.

Para la primer vez que se documente el procedimiento alterno debe utilizarse el número deversión 1.0A.

Escrito por

Nombre de la persona responsable de la documentación del procedimiento.

Aprobado por Nombre de la persona responsable de aprobar la información contemplada en el procedimiento.

Unidad de negocio Nombre del área funcional para la cual se está documentando el Procedimiento Alterno deTrabajo.

Procedimientos relacionados Nombre de otros Procedimientos Alternos o documentos relacionados con el actual.






Objetivos Indicar el objetivo del procedimiento. Por ejemplo, ante un evento contingente que afecte los

sistemas de información que soportan el proceso de planillas, el objetivo de un procedimientoalterno podría ser “Garantizar el pago oportuno de la planilla de los empleados.”

Responsables ¿Quién(es) será(n) responsable(s) ante la organización de dirigir, controlar y ejecutar lasactividades necesarias para alcanzar los objetivos definidos?

Recursos críticos ¿Qué recursos se necesitan para realizar el procedimiento alterno? De ser necesario indique:¿en qué momento serán requeridos? Los recursos podrían incluir personal interno / externo,equipo de cómputo y oficina, etc.

Detalle del procedimiento ¿Qué acciones se deben ejecutar para cumplir con los objetivos? Las acciones deben ser tansimples, concisas y puntuales como sea posible, de manera que sean claras y fáciles deinterpretar. Se aconseja el formato de “Lista de Chequeo”.

Otros Cualquier otro elemento que pueda formar parte del procedimiento

Actividades a desarrollar luego de la restauración de TIC ¿Qué acciones se deberán ejecutar luego de la restauración de los servicios de tecnología deinformación y comunicaciones para actualizar en los sistemas la información recopilada con losProcedimientos Alternos durante el tiempo que estuvieron fuera los servicios de TIC?

Notas y comentarios Indique en esta sección del Procedimiento cualquier aspecto que no esté contemplado enalguna otra sección y que se considere relevante para su ejecución exitosa. Por ejemplo, lossupuestos para que el procedimiento funcione, cuándo se requieren los recursos, la necesidad dedefinir formatos especiales en papel o MS-Office para su uso durante la recuperación, etc.

NOTAS:

• No combine procedimientos. Se debe utilizar un formulario para documentar cada actividad que

requiera un procedimiento alterno de trabajo.

• Los procedimientos deben describir la forma de trabajar mientras no se disponga de los servicios de

Tecnología de Información (correo electrónico, Internet, sistemas de información, etc.)

• No se debe indicar la forma en que se realiza la actividad o el proceso. Hay que recordar que no se están

documentando los flujos de los procesos.



Procedimiento alterno de trabajo encuesta

PROCEDIMIENTOS ALTERNOS DE TRABAJO DISPONIBLES

Los procedimientos alternos son aquellos procesos manuales o semiautomáticos que podrían reemplazar, parcial o totalmente, el trabajo

realizado a través de los sistemas de información.

A.1 ¿Dispone su Proceso de Negocio de algún procedimiento alternativo para trabajar en caso de una interrupción?

Si su respuesta es NO, pase a la pregunta A.2. Si su respuesta es SI, pase a la pregunta A.3.

A.2 ¿Es factible para su Procesos de Negocio documentar procedimientos alternos de trabajo?

Describa, en los espacios correspondientes, para qué procesos del negocio sería factible desarrollar procedimientos manuales

Procesos de Negocio

A.3 ¿Están dichos procedimientos formalmente documentados?

en caso afirmativo, adjunte formulario

Describa, en los espacios correspondientes, en qué consiste el procedimiento alterno, así como los supuestos en que se basan sus procedimientos.

Procedimiento Alterno

Supuestos

A.4 Indique la cantidad de tiempo requerido para comenzar a utilizar dichos procedimientos alternos en el momento de la contingecia

A.5 Indique por cuánto tiempo podría el Proceso de Negocio continuar utilizando ese procedimiento alterno en el momento de la contingencia






A.6 ¿Qué porcentaje de la carga de trabajo normal del Proceso de Negocios podría ser manejada por esta altern

A.7 ¿Cuándo fue la última vez que estos procedimientos alternos fueron utilizados o probados?

A.8 ¿Cuándo fue la última vez que el personal fue entrenado en el uso de estos procedimientos alternos?

A.9 Si bajo condiciones normales de trabajo (con sistemas de información disponibles) su proceso de negocios tiene trabajo pendiente por realizar,

entonces brinde una descripción de ese trabajo que está pendiente, incluya entre otros los motivos por los cuales lo está, los periodos en que

normalmente se presenta dicha situación (meses/semanas/día) y el tiempo que se requiere para eliminar ese trabajo pendiente.



Fecha de

emisión:Procedimiento alterno de

trabajo (PTC019)

Código de

ProcedimientoPAT-XX-YY Fecha de

aprobación:

Escrito por: {nombre} Aprobado por: {nombre} Versión {v.rb}

Página

80 de x

Unidad de Negocio

Procedimientos

relacionados

Objetivos

Responsables

Recursos críticos Personal (Administrativos, funcionales, otros):

Nombre Puesto o Empresa Teléfono o Correo-e

Equipo de comunicaciones (teléfono, fax, radios, etc.):

Equipo de oficina (impresoras, máquinas de escribir, etc.):

Formularios y documentos:

Otros recursos:

Detalle del procedimiento

Acciones (en orden secuencial) Responsable Recursos

Otros

Actividades a desarrollar

luego de la restauración

de TIC


Notas y comentarios






Fecha de

emisión:

01/04/2007

Puede incluir acá un

logoEjemplo. Procedimiento

alterno de trabajo

Atención al cliente

Código de

Procedimiento

PAT-AC-01

Fecha de

aprobación:

11/04/2007

Escrito por: Leonardo Fernandez M Aprobado por: Rosario Castro T. Versión 1.0

Página

81 de 1

Unidad de Negocio Atención al cliente

Procedimientos

relacionados

Ninguno

Objetivos Mantener la atención a los cliente para el pago de obligaciones patronales

Responsables Leonardo Fernandez M.

Recursos críticos Personal (Administrativos, funcionales, otros):

Nombre Puesto o Empresa Teléfono o Correo-e

Rosario Castro R. Jefe de Área 284-7022

Leonardo Fernandez Plataforma 295-2401

Equipo de comunicaciones (teléfono, fax, radios, etc.):

Dos teléfonos, un fax

Equipo de oficina (impresoras, máquinas de escribir, etc.):Una impresora

Formularios y documentos:

Formulario recibo de dinero por concepto de pago de planillas

Listado de pendiente de pago por patrono

Otros recursos:

Una computadora y sistema manual para emisión de recibos

Detalle del procedimiento


Recibir al cliente Leonardo F.M. No aplica

Confirmar pendiente de pago en listado Leonardo F.M. Listado de pendiente

Recibir el pago del patrono Cajero Recibos de dineroEntregar recibo al patrono Cajero No aplica

Otros No hay

Actividades a desarrollar

luego de la restauración

de TIC


Ingresar los recibos de dinero en el

sistema

Cajero Recibos de dinero y

Sicere en operación

Notas y comentarios

No hay.






18. Anexo VII – Escalacion de eventos (PTC020)

Protocolo de Escalación de eventos(PTC020){Nombre del Lugar}


Objetivos del protocolo{Documente cuál es el objetivo de este documento}

Estatuto de Declaratoria: ____________________________________________________________________________________

___________________________________________________________________________________

Criterios de declaratoria del Evento:Autorizados a declarar el evento Identificación de Potenciales problemas Definir cuando y como puede el

problema ser escalado

Árbol de listas de contactosPrimer Nivel de contactoNombre Contacto lugar Equipo a Activar Medio de notificación

Segundo Nivel de contactoNombre Contacto lugar Equipo a Activar Medio de notificación

Tercer Nivel de contactoNombre Contacto lugar Equipo a Activar Medio de notificación

Nota: El líder definirá el medio en que será notificado a los diferentes contactos, para esto el contacto podrádocumentar la notificación en el formulario Resumen del Estado del Evento (PTC011).







19. Anexo VIII – Plan de Capacitacion (PTC021)

Para esto se debe considerar el plan de ensayos según el formulario (PTC010) incluida en esta guía. Para esto sesugiere los siguientes aspectos:

• Las presentaciones podrían incluir temas tales como:o Los componentes del plan de continuidad,o Porqué es importante el plan de continuidad,o Lideres y coordinadores,o Dónde el plan de continuidad puede tener lugar,o Presentación del plan de ensayos,o Cómo el plan es activado.

• En lo referente al tipo de audiencias estos podrían ser Gerencial, Regional, Local, Miembros del equipo derecuperación, nuevos empleados, etc,

• En temas de concientización, se podrían utilizar videos, noticias, póster, Memo de la administración, artículospromocionales. Etc.

• En cuanto a temas de concientización es importante revisar desastres recientes y lecciones aprendidas, pormedio de forum de discusión, artículos en la intranet, etc.

Calendario Capacitación - PTC021Año:__________

Tipocapacitación

audiencia Capacitador Tiempo frecuencia Lugar Presupuesto

1-

2-

3-

4-







20. Anexo IXX – Presupuesto de equipo para contingencias

Para poder atender los eventos en el menor tiempo de respuesta se requiere mantener una serie deequipos asignados de acuerdo a los servicios críticos identificados en la matriz de TiemposMáximos de interrupción (PTC004).

Presupuesto de Equipo para Contingencias (PTC022)

EquipoSistemas de

ApoyoCta gastos Ubicación

Proveedor Mantenimiento Justificación


Plan de Continuidad TIC Aprob:: Firma:

21. Anexo XX - Abreviaturas

Se detalla a continuación algunas abreviaturas utilizadas en este documento y las guías para elaboracióndel Plan de Continuidad de TI

BCP Planeamiento de Continuidad del Negocio (Business Continuity Planning)

BIA Análisis de Impacto en el Negocio (Business Impact Analysis)

COE Centro de Operaciones de Emergencias

CPC Coordinador del Plan de Continuidad

DRP Planeamiento de Recuperación ante desastres (Disaster Recovery Planning)

EATI Equipo Administrador de Tecnologías de Información

EA Equipo de Aplicaciones

EC Equipo de Comunicaciones

EO Equipo de OperacionesITIL Administración de Servicios de TI (Information Technology Infrastructure Library)

PCTIC Plan de Continuidad en Tecnología de Información y Comunicaciones

RA Análisis de Riesgos (Risk Analisys)

TIC Tecnologías de Información y Telecomunicaciones

TMI Tiempo máximo de interrupción.

TIC-GCN-0001-Guia Para Elaboracion de Planes de ad en TIC

Documents

Transcript of TIC-GCN-0001-Guia Para Elaboracion de Planes de ad en TIC