UNIVERSIDAD MARIANO GÁLVEZ DE GUATEMALA

Facultad de Ingeniería de Sistemas de Información y Ciencias de la Computación

Maestría en Seguridad Informática

Principios de Seguridad

Ing. Cristian Rosales

BCP DE DATA CENTER

Elaborado por:

Laura Mariela López Hernández 1593-11-1745

Edwin Raúl de León Méndez 1593-11-4030

Jorge Arnoldo Mijangos Ortiz 1593-11-16422

Noé Leonel Blandón Méndez 1593-12-4649

Odber Alfonso López Hernández 1593-12-10145

Luis Alfredo López Ramos 1593-13-11006

Esteban Efraín Noriega Rivera 1593-14-3065

La Antigua Guatemala, 08 febrero de 2020

 Índice de Contenido

Introducción .............................................................................................................. vi

1. Análisis del negocio y evaluación de riesgos (Fase I) ..................................... 1

1.1. Introducción ................................................................................................. 1

1.2. Fases de la normativa para el desarrollo del plan......................................... 1

1.2.1. Compresión de la Organización y su contexto. ...................................... 1

1.2.2. Análisis de impacto en el negocio. ......................................................... 2

1.2.3. Evaluación de riesgos. ............................................................................ 2

1.2.4. Estrategia de continuidad de negocio. .................................................... 2

1.2.5. Procedimiento de continuidad de negocio. ............................................ 2

1.3. Evaluación de resultados .............................................................................. 2

1.3.1. Documentación del plan. ........................................................................ 2

1.3.2. Liderazgo................................................................................................ 3

1.4. Políticas de Continuidad de Negocios .......................................................... 4

1.5. Estrategia de Continuidad ............................................................................ 5

1.5.1. El Personal. ............................................................................................ 6

1.5.2. Información. ........................................................................................... 6

i
 1.6. Estrategia de Recuperación de Servidores ................................................... 7

1.7. Fase de vuelta a la normalidad / fin de la emergencia ................................. 7

1.8. Procedimiento de vuelta a la normalidad ..................................................... 7

1.8.1. Análisis del impacto. .............................................................................. 7

1.8.2. Valoración de Riesgos............................................................................ 8

1.9. Procedimientos de vuelta a la normalidad.................................................... 9

1.9.1. Generación de informes y evaluación. ................................................... 9

2. Estrategia de Respaldo (Fase II) .................................................................... 10

2.1. Estrategia para Backup de la Información Operación Continua. ............... 10

3. Desarrollo del Plan de Continuidad (Fase III) ............................................... 11

3.1. Organización de los Equipos ...................................................................... 11

3.1.1. Equipo director o Comité de Crisis. ..................................................... 11

3.1.2. Equipo de Recuperación. ..................................................................... 12

3.1.3. Equipo Logístico. ................................................................................. 13

3.1.4. Equipo de relaciones públicas y atención a clientes ............................ 14

3.1.5. Cronograma BCP Relaciones Públicas ................................................ 16

3.2. Equipos de Unidad de Negocio .................................................................. 17

ii
 3.2.1. Procedimientos y responsabilidades del plan. ...................................... 17

3.2.2. Matriz responsables unidad de negocios. ............................................. 18

3.3. Estrategias de Recuperación....................................................................... 19

3.3.1. Estrategia de Recuperación de Correo Electrónico .............................. 20

3.4. Fase de alerta .............................................................................................. 20

3.4.1. Notificación del evento ........................................................................ 21

3.4.2. Evaluación del evento .......................................................................... 21

3.4.3. Ejecución del plan correspondiente ..................................................... 22

3.5. Fase de transición ....................................................................................... 23

3.5.1. Procedimiento de concentración y traslado de personal y equipos. ..... 23

3.5.2. Procedimiento de puesta en marcha del centro de recuperación. ......... 23

3.6. Fase de recuperación de desastres .............................................................. 24

3.6.1. Prioridades de Recuperación. ............................................................... 24

3.6.2. Personal del equipo de recuperación .................................................... 25

4. Pruebas y Mantenimiento .............................................................................. 26

4.1. Pruebas ....................................................................................................... 26

4.2. Backup ........................................................................................................ 27

iii
 4.3. Pruebas de conectividad ............................................................................. 27

4.4. Pruebas de restauración de backup............................................................. 28

4.4.1. Detalle de la Actividad ......................................................................... 28

5. Mantenimiento ............................................................................................... 30

5.1. Mantenimiento Programado ....................................................................... 30

5.2. Mantenimiento Reactivo ............................................................................ 30

5.3. Mantenimiento Evolutivo ........................................................................... 30

5.4. Mantenimiento Preventivo ......................................................................... 31

6. Referencias Bibliográficas ............................................................................. 32

Índice de Tablas

TABLA 1. DETALLE DE LOS COMPROMISOS DE ALTA DIRECCIÓN ..................................... 4

TABLA 2. DETALLE DE LOS COMPONENTES DE LA POLÍTICA DE CONTINUIDAD ................ 5

TABLA 3. ACTIVIDADES .................................................................................................. 8

TABLA 4. CRONOGRAMA BCP RELACIONES PÚBLICAS ................................................ 16

TABLA 5. TABLA UNIDAD DE NEGOCIOS ........................................................................ 18

TABLA 6. TIEMPO EN RESTABLECER LAS OPERACIONES ................................................ 19

TABLA 7. EVALUACIÓN DEL EVENTO ............................................................................ 21

TABLA 8. PERSONAL DEL EQUIPO DE RECUPERACIÓN ................................................... 25

TABLA 9. CONTROL DE RESTAURACIÓN DE INFORMACIÓN ........................................... 29

iv
 Índice de Figuras

FIGURA 1. DCD. EL DATA CENTER, COMPONENTE CRÍTICO DE LA CONTINUIDAD DE

NEGOCIO. .............................................................................................................. 11

FIGURA 2. ORGANIGRAMA DEL COMITÉ DE CRISIS....................................................... 12

FIGURA 3. ORGANIGRAMA DEL EQUIPO DE RECUPERACIÓN ......................................... 13

FIGURA 4. ORGANIGRAMA DEL EQUIPO DE LOGÍSTICA ................................................ 14

FIGURA 5. ORGANIGRAMA UNIDAD DE NEGOCIO ......................................................... 18

FIGURA 6. FLUJO DE PLAN ............................................................................................ 21

v
 Introducción

Hoy en día las empresas sin importar su tipo apoyan sus procesos críticos en el área

de TI, dejando en ella la salvaguarda de la información que manejan, para evitar riesgos de

pérdida de información o riesgos de suspensión de servicios por fallas técnicas.

A continuación, se presenta el documento Plan de Contingencias de TI de Data Center

el cual hace parte del modelo de seguridad y privacidad de la información.

vi
 1. Análisis del negocio y evaluación de riesgos (Fase I)

1.1. Introducción

La Continuidad de Negocio, (europea, 2016) es un proceso de gestión holístico que

identifica las amenazas potenciales de una organización y los impactos que pueden causar

en las operaciones del negocio si esas amenazas se materializan, Además proporciona un

marco de trabajo para construir una organización más resistente con capacidad para

responder de forma efectiva y proteger los intereses de las partes interesadas clave, su

reputación, imagen de marca y actividades de valor añadido.

(ISOTools, 2012) Mejora la organización pro activa de resistencia contra la

interrupción de su capacidad de lograr sus objetivo clave, además proporciona un método

ensayado para restaurar la capacidad de una organización para garantizar el suministro de

sus productos y servicios después de una interrupción, proporcionando una capacidad

demostrada para gestionar una interrupción del negocio y proteger la reputación de la

organización en conformidad con las necesidades y los requisitos de las partes interesadas.

1.2. Fases de la normativa para el desarrollo del plan

1.2.1. Compresión de la Organización y su contexto.

Se determina los problemas externos e internos que son relevantes para su propósito

y que afecta a su capacidad para lograr el resultado deseado, se conoce las funciones,

servicios y actividades de la empresa, vincular los objetivos, las políticas, las estrategias para

definir el propósito y el alcance de la gestión de continuidad de negocios.

1
 1.2.2. Análisis de impacto en el negocio.

Esta actividad permite que una organización identifique los procesos críticos que

apoyan a sus productos y servicios claves, las interdependencias entre procesos y recursos

requeridos para operar los procesos en un nivel mínimamente aceptable.

1.2.3. Evaluación de riesgos.

La meta de este requisito es establecer, implantar y mantener un proceso formal

documentado de valoración de riesgos que identifique, analice y evalué sistemáticamente el

riesgo de incidentes que generen interrupciones en la organización.

1.2.4. Estrategia de continuidad de negocio.

Las estrategias son desarrolladas para identificar disposiciones que permitan que la

organización proteja y recupere actividades críticas, basadas en la tolerancia de riesgo

organizacional y dentro de objetivos de tiempo de recuperación definidos.

1.2.5. Procedimiento de continuidad de negocio.

La organización debe documentar los procedimientos (incluyendo las disposiciones

necesarias) para asegurar la continuidad de las actividades, los procedimientos establecen un

protocolo adecuado de comunicaciones internas y externas, son específicos y, flexibles para

responder a amenazas no anticipadas a condiciones internas y externas cambiantes.

1.3. Evaluación de resultados

1.3.1. Documentación del plan.

En base a la normativa seleccionada se desarrolló́ el plan de continuidad de negocios

aplicado al centro de datos, cuyo contenido documental se enlista a continuación:

2
 ● Política de Continuidad de Negocio.

● Material que contenga los términos de referencia para que el personal identifique los

términos claves.

● Análisis de riesgos de la Asociación.

● Análisis de Impacto al Negocio

● Programa de Capacitación para que cada persona tenga perfectamente definidas las

tareas que debe realizar una vez declarada la contingencia.

● Plan de Evacuación. El Plan debe tener los detalles sobre la forma en que los equipos

deben trasladarse al sitio alterno. Los números de contacto de las instituciones que se

necesite contactar en un escenario de contingencia.

● Plan de Recuperación de Tecnología en caso de Desastre (DRP por sus siglas en

ingles). Para la Continuidad de Negocio es importante contar con un Plan para la

recuperación de tecnología actualizado al día, pues es el soporte principal del BCP.

● Plan de vuelta a la normalidad.

1.3.2. Liderazgo.

Se refiere al compromiso de la alta dirección de las obligaciones y responsabilidades

que adquiere en la implementación del plan.

3
 Tabla 1. Detalle de los compromisos de alta dirección

COMPROMISOS COORDINACION DE PLAN

Asegurarse que las políticas y objetivos son Habilidades de Liderazgo, para desarrollar
establecidos un ambiente participativo y cooperativo.
Asegurar la integración del Plan con los Buenas relaciones interpersonales.
procesos de negocio. Asegurar que los Capacidad analit́ ica.
recursos necesarios para el plan estén
disponibles. Comunicar la importancia del Buena comunicación verbal y escrita.
plan. Orientación al logro.
Asegurar que se logre el resultado esperado. Trabajo en equipo.
Nombrar las personas competentes para ser
responsables de la implementación del Plan Capacidad de delegar autoridad y toma de
y dotarlas de la autoridad apropiada. decisiones.
Direccionar y dar soporte a las personas que Capacidad de autogestión.
contribuyen a la efectividad del plan.
Promover la mejora continua.
Definir los criterios de aceptación del riesgo
y los niveles aceptables de riesgo.
Participar activamente en los ejercicios y
pruebas.
Asegurar que las auditorías internas del BCP
son realizadas. Conducir las revisiones
administrativas del BCP

Nota: Se detalla los compromisos que adoptaran la alta dirección y el equipo que se

conformara para la coordinación del plan.

Fuente: Fuente: EDU.EC. https://repositorio.espe.edu.ec/bitstream/21000/10448/2/T-

ESPE-049549-R.pdf. Extraída el 06 de febrero de 2020.

1.4. Políticas de Continuidad de Negocios

El objetivo global de la Continuidad de Negocio es realizar los preparativos

necesarios y planificar un conjunto suficiente de procedimientos para responder de forma

adecuada ante un incidente, desde el momento en que se declare el desastre hasta la vuelta a

la normalidad, de forma que se reduzca al mínimo su impacto.

4
 Tabla 2. Detalle de los componentes de la política de continuidad

Detalle de los componentes de la política de continuidad

Alcance Aplicará para todo el personal que labore dentro del área de software
y control del proyecto para la Asociación

Objetivo Evitar interrupciones a los procesos críticos del negocio como

consecuencia de fallas o desastres.

Enunciado Es responsabilidad de las directivas de la organización aprobar un

plan de continuidad de negocio (BCP)

Elementos Protección y seguridad del personal, La Asociación se responsabiliza

y garantiza la gestión de continuidad, su actualización, mejora,
cambios, socializar y capacitar al personal sobre el plan.

Roles y Ser aprobada por los directivos de la Asociación, luego de un estudio

Responsabilidades previo y detallado de sus posibles consecuencias.

Violaciones Se compromete a desarrollar este plan, será responsabilidad de ellos,

no faltar a este compromiso.

Revisión Realizar cambios, de no haber cambios, se debe realizar su revisión

anualmente.

Nota: Se describe cada uno de los elementos del plan de continuidad

Fuente: EDU.EC. https://repositorio.espe.edu.ec/bitstream/21000/10448/2/T-ESPE-

049549-R.pdf. Extraída el 06 de febrero de 2020.

1.5. Estrategia de Continuidad

De las alternativas existentes y dado que la opción de subcontratar espacios y soporte

a terceros resultaría muy cara para la Asociación, la estrategia para la continuidad del negocio

seria adecuar un centro de datos en la oficina central de la Asociación como alternativa en

caso de incidencia grave, de esta forma la Asociación podría seguir dando servicio, sin que

el impacto de un incidente tuviera consecuencias catastróficas. Para ello, se requiere:

5
 ● Espacio fiś ico para 3 servidores, los mismos se ubicaran dentro de un rack, adicional

a esto instalaciones de energía, puntos de red, detector de humo y demás señales de

seguridad.

● Se requerían licencias de sistemas operativos de acorde a la necesidad de cada

servidor.

Adicional es necesario que:

● Los respaldos que se generen sean más periódicos.

● Que los discos duros sean transportados a las oficinas de la ciudad de Quito en el

departamento de TI, para su alojamiento y resguardo físico.

● El transporte de los respaldos de información deberán ser transportados por una

persona ajena a la Asociación, puede ser una empresa de servicios de seguridad.

● Se deberá realizar Acuerdos de Nivel de Servicios con la empresa que transporta los

respaldos, además asegurarse que reciban un salario digno.

Se considera también los siguientes recursos para la continuidad:

1.5.1. El Personal.

Con el fin de mantener el conocimiento y las capacidades del personal con funciones

y responsabilidades en actividades críticas, se ejecutará un plan de capacitación y formación,

se determinará las tareas claves a realizarse y se debe realizar simulacros con el personal a

cargo de poner en funcionamiento el sitio alterno, y pruebas de los servicios.

1.5.2. Información.

6
 Se verificará que se posea la información necesaria para dar continuidad a las

operaciones del negocio, deben estar integras, disponibles y confidencialidad, aunque se esté́

en las instalaciones alternas. Como parte de las estrategias de información, y siendo este tema

muy sensible, es necesario elaborar respaldos de la información. También como medida se

seguridad adicional, los respaldos pueden resguardarse en una bóveda especial.

1.6. Estrategia de Recuperación de Servidores

La recuperación de los servidores debe ser inmediata para poder seguir con las

actividades, teniendo en cuenta esto debemos tener un lugar donde poder levantar los

servidores, de manera que los servicios con los que cuenta la empresa sean levantados uno

por uno de manera correcta y seguir obteniendo los productos correspondientes.

El impacto es menor al tener servidores de replica que se levanten cuando el principal

se cae y es recomendable tenerlo en otro sitio alejado del principal, aunque implica un alto

costo.

Para tener en cuenta el tipo de recuperación de medios físicos es importante tener en

cuenta la magnitud del impacto que se tendrá al producirse el incidente.

1.7. Fase de vuelta a la normalidad / fin de la emergencia

Una vez con los procesos críticos en marcha y solventada la contingencia, debemos

plantearnos las diferentes estrategias y acciones para recuperar la normalidad total de

funcionamiento. Para ello vamos a dividir esta fase en diferentes procedimientos:

1.8. Procedimiento de vuelta a la normalidad

1.8.1. Análisis del impacto.

7
 En función de los riesgos identificados se debe analizar el impacto que generará en

el negocio para realizar una propuesta para disminución de la afectación a la continuidad y

los servicios que presta la empresa no se vean afectados por largo tiempo y las actividades

de los colaboradores no se interrumpan.

El BIA (Bussiness Impact Analysis) debe definir los riesgos y tiempos de

recuperación al menos de proceso o procesos principales identificando y clasificando el nivel

de costo y riesgo que representa una recuperación en función a los desastres.

Es importante tener en cuenta las actividades a las que se remite la empresa y sus

procesos dando valoraciones o cuantificando la prioridad de dichas actividades para

considerar el impacto al ser dañadas o en última instancia completamente pérdidas.

1.8.2. Valoración de Riesgos

Tabla 3. Actividades

Amenazas Probabilida Valoració Impact Valoració Riesg Valoració

d de n o n o n del
ocurrencia Riesgo

Riesgo Altamente 5 Muy 10 Muy 50

Operacional Probable Alto Alto

Terremoto Probable 4 Muy 10 Muy 40

Alto Alto

Incendio Posible 3 Alto 8 Alto 30

Robo Posible 3 Alto 8 Medio 24

Falla Eléctrica Posibles 3 Alto 6 Medio 24

Falla de Red Probable 4 Medio 8 Medio 24

8
 Ataques al Posible 3 Alto 10 Medio 24
sistema de
información
computacional

Erupción de Poco Posible 2 Muy 10 Medio 20

Volcán Alto

Nota: Valoración de los Riesgos

Fuente: Propuesta un plan de continuidad del negocio (BCP). Caso de aplicación.

Betancourt, Erika y Salguero, Francisco

1.9. Procedimientos de vuelta a la normalidad

Al analizar las necesidades de recuperación de los sistemas desde la vista del negocio,

es necesario establecer el Tiempo de tolerancia (RPO) a la interrupción que poseen

los procesos de Negocios y los Tiempos de Recuperación (RTO) que poseen los

sistemas tecnológicos que soportan al mismo. Por ello es importante establecer los Objetivos

de Tiempo de Recuperación y Tiempo de Tolerancia.

Esta sección del plan de recuperación de los servicios será puesta en marcha cuando

haya ocurrido un incidente que requiera el uso del sitio alternativo, o el daño es tal que las

operaciones se pueden restaurar, pero sólo en modo parcial en el sitio central en un tiempo

razón.

1.9.1. Generación de informes y evaluación.

Se trabajaría en base a un checklist donde se va a reportar los daños causados para

tomar las decisiones correctas y poder solucionar los más pronto posible los inconvenientes

y seguir trabajando normalmente.

9
 Toda la información recopilada servirá para evaluar si el plan ha funcionado según

todo lo que se planteado, de igual manera corregir fallos si en dado caso existieran para

tomarlos en cuenta si llegara pasar algún inconveniente de la misma magnitud entonces

ayudaría que el plan sea más efectivo.

2. Estrategia de Respaldo (Fase II)

2.1. Estrategia para Backup de la Información Operación Continua.

La información ha tomado una relevante participación en la empresa, ya que a partir

de ella se extraen reportes para análisis de datos, realización de informes y toma de

decisiones, es por ello que forma parte de los activos más importantes de la organización y

hay que asegurar la disponibilidad, seguridad y confiabilidad de la misma.

Es importante considerar la operación continua para que el servicio no se pierda

cuando el backup se active. Es relevante programar los mantenimientos de las bases de datos

en el horario y día en donde se opere el menor porcentaje de tiempo o en un escenario ideal

que no existan usuarios afectados.

10
 Figura 1. DCD. El data center, componente crítico de la continuidad de negocio.

Fuente: https://media.datacenterdynamics.com/media/images/Continuidadnegocio7.width-

880.jpp. Extraída el 05 de febrero de 2020

3. Desarrollo del Plan de Continuidad (Fase III)

3.1. Organización de los Equipos

3.1.1. Equipo director o Comité de Crisis.

En este equipo participa el nivel operativo, acatando las instrucciones de la Alta

Dirección, quienes a través de análisis previos realizan la toma de decisiones, con el fin de

buscar el bien común de la organización. Cuentan con el apoyo de los gerentes de cada área

para la correcta toma de decisiones, a su vez lo acompaña un equipo de gestión, quienes se

encargan de velar que las instrucciones se cumplan y se obtengan los resultados esperados.

11
 La estructura cuenta con un equipo operativo y un equipo de apoyo, tal y como se

muestra en el siguiente organigrama:

Figura 2. Organigrama del Comité de Crisis

Fuente: Elaboración Propia

3.1.2. Equipo de Recuperación.

Se trabajará con el coordinador de IT, quien realiza la lista de procedimientos a

cumplir el apoyo de los técnicos de sistemas, para revisar la infraestructura en caso de que

se presente una anomalía en el hardware (caída de enlaces, corte de energía eléctrica, falla

en conexión a servidores, entre otros) o corregir errores en el software.

12
 Figura 3. Organigrama del Equipo de Recuperación

Fuente: Elaboración Propia

3.1.3. Equipo Logístico.

Se requiere el apoyo de los siguientes departamentos:

3.1.3.1. Logística Operaciones. para validar que las herramientas que se adquieran

con proveedores locales (nacionales) se transporten de forma segura y legal.

3.1.3.2. Logística Comercial. Se convierten en un cliente, ya que reportan fallas del

sistema y colaboran con las pruebas necesarias para el correcto funcionamiento

de las aplicaciones.

3.1.3.3. Logística Internacional. Para las exportaciones e importaciones necesarias

(equipos de hardware y herramientas utilizadas en los planes de recuperación).

13
 Figura 4. Organigrama del Equipo de Logística

Fuente: Elaboración Propia

3.1.4. Equipo de relaciones públicas y atención a clientes

3.1.4.1. Breve descripción de las relaciones públicas y atención a clientes

Las relaciones públicas y atención a clientes están orientada en función de una

directiva de gobierno corporativo bien organizada, por de la cual las organizaciones e

instituciones tanto públicas como privadas buscan mantener la simpatía o apoyo del público

con los que están vinculados. En rol de mantener dicha organización de captación del

público se trabajan estrategias o mecanismos constantes y no esporádicos para mantener esta

atención de los clientes.

La definición dada por la Internacional Public Relations Association que define: "Las

Relaciones Públicas son una función directiva de carácter continuativo y organizado, por

medio de la cual organizaciones e instituciones públicas y privadas tratan de conquistar y

14
mantener la comprensión, la simpatía y el apoyo de aquellos públicos con los que están o

deberán estar vinculados a través de la evaluación de la opinión pública sobre la obra propia,

a fin de concordar en todo lo posible las orientaciones y procedimientos propios y obtener

por medio de una información amplia y difundida, una cooperación productiva y una

realización más eficaz de los intereses comunes".

3.1.4.2. Funcionalidad principal

Mantener informados a todas las áreas interesados de la compañía como también a

los clientes, los proveedores, los empleados, y la comunidad local. (Stakeholders) sobre el

plan de continuidad de negocios.

3.1.4.3. Comité de manejo de crisis

La responsabilidad de la declaración del desate recae sobre el vocero oficial o del

suplente. Una vez declarado el desastre se activará el plan de acuerdo con la estrategia.

El comité de manejo de crisis (CMC) es el único facultado para decidir si se declara

en desastre por lo tanto se activa el plan. El vocero oficial (Director General /Directores de

Área) serán quienes den aviso sobre la decisión tomada. Inmediatamente después de la

declaración se puede iniciar una fase de recuperación, con los procedimientos de notificación

y se activará el plan total o parcialmente según se requiera la delegación dentro de la

estructura de un vocero principal que pueda comunicar.

3.1.4.4. Estrategias del Plan de Relaciones Públicas BCP

3.1.4.4.1. Estrategia 1. Plan general de acción de manejo de crisis del data center.

● Comité decide la situación de la continuidad del negocio.

15
 ● Personas empleadas, clientes y proveedores no ser es notifica nada hasta que

se tome la decisión de la data center.

● Vocero Oficial notifica la decisión tomada por dirección.

3.1.4.5. Estrategia 2. Plan general de acción mediante el cual el data center busca

alcanzar sus objetivos.

● Establecer vínculos de comunicación constante entre los clientes ya

habituales y los clientes potenciales, mediante la exposición de

información sobre las acciones que se realicen en el data center.

● Mantener una interacción ardua y continúa con colaboradores, proveedores

y soporte ante estas eventualidades tener una relación directa con los

clientes potenciales.

● Proyectar, consolidar y fomentar entre los colaboradores de la compañía

los objetivos y la misión de la empresa. De esta manera, se ofrece a los

colaboradores una unidad de sentido que trascienda las necesidades

particulares

3.1.5. Cronograma BCP Relaciones Públicas

Tabla 4. Cronograma BCP Relaciones Públicas

16
 Actividad Descripción Semanal Cada 2 Mensua Semestral
Semanas l

Reuniones Internas Comunicación sobre X

nuevas tecnologías
en data center

Fiestas o eventos En caso de situación X

especializados para especial.
los clientes

Notificación sobre Cuando surja X

innovaciones
tecnológicas

Cursos de Capacitaciones X
capacitación a nivel periódicas de las
nacional e nuevas tecnologías
internacional que maneja el data
center

Fuente: Elaboración propia.

3.2. Equipos de Unidad de Negocio

3.2.1. Procedimientos y responsabilidades del plan.

La gerencia de Recursos Humanos es responsable de asegurar que el personal

que llevará a cabo el Plan de Continuidad del Negocio lo conozca y que es instruido

periódicamente sobre los detalles del plan. Esto se puede lograr de varias maneras al incluir

ejercicios de práctica, la participación en pruebas y programas de sensibilización. Listado de

la distribución del plan: Para el caso en que se deba activar el plan de continuidad, se deberá

referir al cuadro 1, en donde se indican los responsables de los departamentos o unidades de

negocio con el objetivo de alertarlos en caso de la ocurrencia de algún siniestro.

17
 Figura 5. Organigrama Unidad de Negocio
Fuente: Elaboración propia

3.2.2. Matriz responsables unidad de negocios.

Listado de los responsables de departamentos o unidades de negocio, a los que se

deberá contactar en caso se active el Plan de Continuidad.

Tabla 5. Tabla unidad de negocios

Departamento o Unidad Correo Electrónico

1 Gerencia General [email protected]

2 Gerencia de Tecnología de Data Center [email protected]

3 Gerencia Operaciones [email protected]

4 Gerencia RRHH [email protected]

5 Gerencia Administrativo [email protected]

6 Gerencia Mercadeo [email protected]

Fuente: Elaboración Propia.

18
3.3. Estrategias de Recuperación

Al analizar las necesidades de recuperación de los sistemas desde la vista de los

negocios, es necesario establecer el tiempo de toleración RPO a las interrupciones que poseen

los procesos de Negocios y los tiempos de recuperación RTO que poseen los sistemas

tecnológicos que soportan al mismo. Por ello es importante establecer los objetivos de tiempo

de Recuperación y Tiempos de Tolerancia.

En la siguiente tabla se muestra el tiempo en el que se deben reestablecer las

operaciones dependiendo de la organización y las políticas establecidas en las mismas. Para

marcar las opciones seleccionadas en la siguiente tabla se utilizará una X.

Tabla 6. Tiempo en restablecer las operaciones

0 – 30 30 Min - 2 – 6 6 - 12 12 - 24 24 - 48 48 - X
RTO
Minutos 2 Horas Horas Horas Horas Horas Horas

Recuperación de correo
X
electrónico

Recuperación de

Información Digital de X

los clientes

Recuperación de
X
Servidores

19
Recuperación de

Equipos Operativos de X

prioridad alta

Recuperación de

Equipos Operativos de X

prioridad baja

Fuente: Erika Betancourt, Francisco Salguero

3.3.1. Estrategia de Recuperación de Correo Electrónico

El impacto que genera la perdida de correo electrónico es alto, considerando que se

puede perder la comunicación con el cliente y perjudica la imagen y de igual manera la

interrelación con el mismo se verá afectada.

El servicio de correo estará activo en un 99% considerando que se maneja correo

externo en Gmail por lo que las comunicaciones e información que se tenga en el correo está

prácticamente a salvo en caso de producirse algún incidente en la empresa, aunque no queda

exenta de pérdida, pero prácticamente el riesgo es mínimo.

3.4. Fase de alerta

Cuando se presenta una emergencia, hay que tener en cuenta que se debe gestionar la

notificación de la misma con el ánimo de iniciar con el proceso de activación del Plan de

Continuidad del Negocio (BCP). Esta notificación corresponde a una gestión para la

activación del plan la cual se describe a continuación:

20
 D I A E N A

Figura 6. Flujo de plan

3.4.1. Notificación del evento

Cualquier colaborador de la empresa podrá acudir con cualquier integrante del

departamento de TI por medio de llamada telefónica o de forma personal para notificar algún

evento considerado como riesgoso para la evaluación correspondiente.

3.4.2. Evaluación del evento

Posterior a la notificación recibida en el Área de TI, el personal asignado para la

evaluación del riesgo deberá realizar el estudio respectivo para determinar la gravedad del

evento, según los siguientes indicadores:

Tabla 7. Evaluación del Evento

COLOR NIVEL DE RIESGO

Morado Pérdida total del centro de operación e infraestructura de la empresa.

Rojo Incidentes graves en curso que afectan los procesos críticos de la empresa.

Amarillo Incidentes graves en proceso bajo control.

El incidente ya no está en progreso o el incidente se realiza bajo procedimientos

Verde operativos normales.

Nota: Valoración de eventos divididos por colores

21
 Fuente: Propuesta un plan de continuidad del negocio (BCP). Caso de aplicación.

Betancourt, Erika y Salguero, Francisco

En los demás casos, a la evaluación se le asignara el código de color amarillo, así

mismo, después de la evaluación de los daños, el código se pude cambiar a rojo o verde,

dependiendo del resultado.

3.4.3. Ejecución del plan correspondiente

Una vez evaluado el evento de riesgo, es necesario que el responsable de la

evaluación haga el informe respectivo al encargado de iniciar o no con el plan de continuidad

del negocio, esto se basara de acuerdo con el color de la evaluación asignado.

La decisión para desarrollar este plan, se basó en las características de la operación

actual de la entidad, así como el nivel de dependencia de tecnología de información y

comunicaciones.

3.4.3.1. Incidencia Menor. En caso de presentarse una incidencia menor, esta podrá

ser subsanada o corregida rápidamente por medio de los mecanismos de

detección, diagnóstico y reparación de fallas, activando los procedimientos de

atención de problemas utilizados día a día por el personal de la empresa.

3.4.3.2. Incidencia Mayor. De presentarse una incidencia mayor en los equipos y

sistemas del centro de cómputo principal que impida la función general de la

entidad, esta deberá ser identificada y corregida a la brevedad. Si el tiempo

estimado de reparación que determinen los equipos de recuperación

responsables de las aplicaciones o recursos técnicos críticos, es superior al

22
 tiempo identificado para que este operativo, el encargado del BCP tomará la

decisión de activar o no el Plan de Continuidad del Negocio.

3.4.3.3. Incidencia Catastrófica. Si se presenta un incidente que provoque una

contingencia catastrófica evidente y que por consiguiente interrumpa las

operaciones las instalaciones, siendo importante recalcar que la declaración de

contingencia es responsabilidad del negocio.

3.5. Fase de transición

3.5.1. Procedimiento de concentración y traslado de personal y equipos.

Para iniciar con el Plan de Continuidad del Negocio se deberá contar con todo lo

necesario para iniciar con las tareas priorizadas de alto impacto, y será necesario determinar

la magnitud del evento ocurrido, de ser un evento menor que no implique la movilidad de

todas las operaciones hacia el centro de contingencia, únicamente será necesario tomar las

medidas necesarias y correspondientes para solventar y mitigar el riesgo, las cuales las

determinara el comité correspondiente.

En caso contrario, al obtener una evaluación de alto impacto tras la caída del Data

Center principal, será necesario movilizarse al Data Center alterno ubicado en Complejo

Zona Pradera, Boulevard Los Próceres 24-69, Zona 10, Guatemala. Este Data Center tiene

clasificación TIER III de acuerdo con las especificaciones requeridas por la norma NFPA75.

El Data Center está ubicado a una distancia lineal de 22,61 km respecto al Centro de Datos

Principal.

3.5.2. Procedimiento de puesta en marcha del centro de recuperación.

La infraestructura del centro de datos provista para el alojamiento de los componentes

de Hardware que hacen parte de la solución alterna es la siguiente:

23
  Suministrar toda la infraestructura tecnológica de servidores.

 Suministrar mínimo 20 TB de almacenamiento.

 Monitoreo y administración en contingencia.

 Replicación en línea y dos canales de datos L2L de 50 Mbps para redundancia

 Solo se contempla la implementación de los servidores replicando, mas no pruebas

reales para la fase de implementación.

3.6. Fase de recuperación de desastres

Se recogen en este apartado las principales estrategias alternativas de recuperación y

los tiempos estimados de restauración de los servicios prestados. La restauración de copias

de seguridad de datos conforme a la política correspondiente y los procedimientos aprobados

por la Dirección, las alianzas y los acuerdos de colaboración.

Con proveedores alternativos para la sustitución de componentes o elementos de

hardware fallidos, la utilización y mantenimiento de grupos eléctricos y sistemas de

alimentación ininterrumpidos (UPS) que cubran eventuales cortes de suministros de energía

eléctrica y la flexibilidad para utilizar la sede alternativa del negocio, ubicada

geográficamente con capacidad para la recuperación de procesos críticos.

3.6.1. Prioridades de Recuperación.

De acuerdo a la clasificación de funciones del Data Center, las prioridades de

recuperación durante el plan de contingencia son:

 Prioridad Alta

o Canales de comunicación

o Canales de Internet Local

24
 o Infraestructura de Red Local

o Herramientas de Gestión de Servicios y su infraestructura de apoyo

(Servidores y Bases de Datos).

o Infraestructura de apoyo (Telefonía/Telecomunicaciones y aplicaciones)

o Aplicaciones de negocio

 Prioridad Media

o Correo Electrónico

o Servidores PROXY

3.6.2. Personal del equipo de recuperación

En caso de producirse un fallo, un desastre natural o alguna incidencia operacional

que perjudique el funcionamiento correcto de los servicios prestados, se tendrá que utilizar

la lista de llamadas para emergencias. El encargado del plan de continuidad del negocio, está

definidos en el área de TI y las obligaciones generales dadas, el líder del equipo hará la

asignación de personal responsable, así como las tareas específicas durante la etapa de

recuperación.

Tabla 8. Personal del equipo de Recuperación

NOMBRE CARGO TELEFONO EXTENSION

José Contreras Morales Gerente de TI 2220-9698 741

Mauro Fernández Director de Infraestructura 2220-9698 852

25
Oscar Alfredo Mejía

Quiroga Coordinador de Infraestructura 2220-9698 963

Jorge Vinicio Menéndez Coordinador de

Gómez Telecomunicaciones 2220-9698 489

Fuente: Elaboración Propia

Las estrategias y planes de acción considerados para la recuperación de los procesos

del negocio, han sido orientados a cubrir cualquier contingencia mayor o catastrófica que

inhabilite el acceso del personal al edificio donde se ubica el Data Center o bien a los

servicios de cómputo y telecomunicaciones en que se apoyan las todas aplicaciones críticas

de la entidad, las cuales se definieron como:

 Servidores FTP

 Servidores WEB

 BD Oracle Enterprise 11 GR2

 Servidor de Correo

 POSGRESS SQL

 Seguridad de Correo

 Espacio de almacenamiento

4. Pruebas y Mantenimiento

4.1. Pruebas

Realizar auditoria Interna, debiendo establecerse claramente sus funciones,

responsabilidades y objetivos.

26
  Revisar que las Normas y procedimientos con respecto a Backups y seguridad de

equipos y data se cumpla.

 Supervisar la realización periódica de los backups, por parte de los equipos

operativos, comprobando físicamente su realización, adecuado registro y

almacenamiento.

 Restauración del ultimo backup de datos de los sistemas en producción

4.2. Backup

Las copias de seguridad completas y contiene todos los datos de las carpetas y

archivos que se seleccionan para ser respaldados, se realizan solo una vez y a la semana o

mensual

Realizar pruebas de seguridad completa e incremental preserva los activos de

información corporativa y se realiza de forma regular para registros y archivos que sean

insustituibles, tienen un alto costo de reposición, o se consideran críticos.

Servidor PERIODICIDAD PERIDO DE POOL TIPO DE HORA

RETENCION BACKUP PARA
BACKUP

Mensual 1 MES Netbackup- FULL Sabado

Mensual 2:00 a.m.

Pruebas de enfriamiento

4.3. Pruebas de conectividad

Realizar pruebas semanal o mensual el cual utilizamos varios

proveedores de servicios de internet que se conectan siguiendo diversas rutas de

entrada a instalaciones ubicadas en lugares físicamente separados y seguros. Permite

reflejar un diseño de redundancia.

27
4.4. Pruebas de restauración de backup

Las pruebas de Recuperación se realizan cada semestre y se ha definido los siguientes

periodos:

 En la primera semana de Julio se hace la prueba de recuperación para las bases de

datos de la fecha 30 de junio, en un servidor de pruebas.
 En la primera semana de enero se hace la prueba de recuperación para las bases de
datos del 31 de diciembre del año anterior.

Se verificará posteriormente que el respaldo a cinta se esté ejecutando de forma

correcta y/o que la restauración de la información se haya ejecutado, revisando el log que

genera la restauración de información en bases de datos, para verificar que se haya ejecutado

satisfactoriamente, en caso de no restaurar correctamente, se deberá tomar el backup anterior

a la fecha del restaurado.

Con el fin de verificar las copias de respaldo cada semestre, se realizarán pruebas de

restauración de la información almacenada en las cintas. Se escogerá de forma aleatoria una

cinta de backup de bases de datos y se restaurará para validar que la información almacenada

se registre de forma correcta en un servidor de pruebas para tal fin, posteriormente será

validada por el responsable funcional.

En cuanto a la Copia Diaria Full de las aplicaciones web, esta copia todos los archivos

seleccionados que han sido modificados en el día que se haya realizado, permitiendo que la

copia este sincronizada con los aplicativos de producción, en caso de que estos presenten

algún inconveniente técnico, se activa la copia de los aplicativos sin interrumpir el servicio.

En caso de presentarse inconvenientes se debe revisar directamente el servidor desde

el que se realizó el backup.

4.4.1. Detalle de la Actividad

28
 Seleccionar de forma aleatoria una cinta.

 Se identifica desde la plataforma el backup que se quiere restaurar en caso de ser

bases de datos, en cuanto a la copia diaria de las aplicaciones web se debe revisar que
la información almacena en el servidor de backups sea exactamente la misma
información que el servidor de producción.
 Con la herramienta Software de Gestión de Backups, se verifica la cinta a restaurar y
se procede a realizar la restauración de la información en el servidor destinado para
esta prueba.
 Una vez se verifique que la restauración se hizo de forma exitosa y sea avalada por
el responsable funcional, se borra la información del servidor donde se restauró la
copia.

Los resultados de las pruebas de restauración serán verificadas una vez revisado el

log que genera el sistema, luego se registraran los datos que se reportan en el log, en el

formato de Control de Restauración de Información.

Tabla 9. Control de Restauración de Información

29
Fuente:https://www.secretariajuridica.gov.co/sites/default/files/planeacion/5.%20Manual%
20de%20Política%20de%20Copias%20de%20Seguridad%20y%20Recuperación_V2.pdf.
Extraída el 06 de febrero de 2020

5. Mantenimiento

5.1. Mantenimiento Programado

Esta actividad se programará cada día después de las 00:00 horas, finalizando a las

6:00 a.m. del siguiente día. El fin de semana, se agregará un mantenimiento correctivo

iniciando el domingo en la madrugada y finalizando el domingo por la tarde, si no se presenta

ningún incidente en el transcurso, se estima un período de tiempo de dos horas por cada base

de datos. Es importante reducir el impacto en la operación y realizar esta actividad, cuando

exista el menor porcentaje de usuarios en la operación.

5.2. Mantenimiento Reactivo

No se contaba con las herramientas necesarias para el respaldo de la información,

pero se observa en las revisiones que los cambios no se están actualizando constantemente

ni se aplicó el respaldo correcto.

5.3. Mantenimiento Evolutivo

Es importante realizar los cambios conforme a las necesidades de cada organización.

Por ejemplo, si se crea una base de datos es importante asegurar que la información se

respalde correctamente y el servidor cuente con el espacio necesario para completar esta

acción.

30
5.4. Mantenimiento Preventivo

La pérdida de información puede generar grandes costes a la organización, ya que es

unos de los activos más importantes. Es necesario aplicar reglas y el procedimiento correcto

para evitar fugas incidentes.

31
 6. Referencias Bibliográficas

Monster. (14 de 11 de 2019). https://www.monster.es. Obtenido de

https://www.monster.es/orientacion-laboral/articulo/amenazas-informaticas:

https://www.monster.es/orientacion-laboral/articulo/amenazas-informaticas

Wikipedia. (10 de 2018). https://es.wikipedia.org. Obtenido de

https://es.wikipedia.org/wiki/Ciberataque.

Europea, E. (2016). https://www.escuelaeuropeaexcelencia.com/2016/07/gestion-de-

riesgos-identificacion-analisis/. Obtenido de

https://www.escuelaeuropeaexcelencia.com/2016/07/gestion-de-riesgos-identificacion-

analisis/: https://www.escuelaeuropeaexcelencia.com/2016/07/gestion-de-riesgos-

identificacion-analisis/

ISOTools. (2012). https://www.isotools.org/normas/riesgos-y-seguridad/iso-22301/.

Obtenido de https://www.isotools.org/normas/riesgos-y-seguridad/iso-22301/:

https://www.isotools.org/normas/riesgos-y-seguridad/iso-22301/

32