Deerview Business

Solutions

Plan de Recuperación de Desastres

Enero 31, 2024

Tabla de Contenido
1. OBJETIVO.................................................................................................................................3
2. ALCANCE..................................................................................................................................3
3. DEFINICIONES..........................................................................................................................3
4. NORMATIVIDAD.......................................................................................................................4
5. CONTENIDO.............................................................................................................................5
5.1. Política general de plan de recuperación de desastres..............................................................5
5.2. Objetivos....................................................................................................................................6
5.3. Alcance/Aplicabilidad................................................................................................................6
5.4. Nivel de cumplimiento...............................................................................................................6
6. ANÁLISIS AL IMPACTO (BIA)..............................................................................................................7
7. ÁMBITOS DE ADVERSIDAD................................................................................................................8
9. NIVELES DE CONTINGENCIA...........................................................................................................11
10. DESCRIPCION DE LA INFRAESTRUCTURA TECNOLOGICA..............................................................12
11. ADMINISTRACIÓN DE SITUACIONES EN EMERGENCIA.................................................................14
11.1 Planificación Ante los Sucesos de Crisis Tecnológica...............................................................14
11.2 Componentes de Información integrados a los planes de DRP...............................................14
11.4 Escenarios del Plan de Recuperación de Desastres.................................................................15
11.5 Guía de activación DRP...........................................................................................................15
11.6 Lineamiento de Aviso del DRP................................................................................................16
12. CONFORMACIÓN DE EQUIPOS DEL DRP.......................................................................................17
13. CONTROL DE CAMBIOS.................................................................................................................17

www,Deerviewint.com Fecha: 31-01-

2024- V:2
 1. OBJETIVO
Establecer el plan de recuperación de desastres tecnológicos (DRP) de Sistemas de Información y
Tecnología del Deerview Business Solutions, en caso de la ocurrencia de un evento que impacte los
servicios tecnológicos de la compañía, que afecte la Confidencialidad, Integridad y Disponibilidad
de la información con el propósito de reestablecer dichas propiedades de la información.
Responsable: Grupo de crisis

2. ALCANCE

Comprende desde despliegue de las metodologías utilizadas para la recuperación y estabilidad de

los servicios y sistemas de información, a pesar de desastres que perturben los procesos del
Deerview Business Solutions. En consecuencia, poder estar prevenidos para enfrentar los
incidentes y poder reintegrar las funciones y servicios con eficacia y eficiencia, es decir, atenuando
el impacto de los eventos no deseados.

3. DEFINICIONES
TÉRMINO DEFINICIÓN

Activo de información Es el activo que contiene o está relacionado con la información y

tiene valor para la compañía: personas, sistemas, edificios, nube,
etc.
Análisis del impacto al Marco conceptual sobre el cual las compañías deben planear
negocio integralmente los alcances y objetivos, que permiten proteger la
información, en todas sus áreas críticas.

Continuidad del negocio Entrega de productos y servicios de manera óptima después de

ocurrido un evento.

DRP Información documentada que define los procedimientos,

metodologías, funciones y responsabilidades establecidos para
recuperar y mantener el servicio de tecnología ante un evento de
perturbación. Sigla en Inglés, Disaster Recovery Plan (Plan de
Recuperación ante Desastres)

www,Deerviewint.com Fecha: 31-01-

2024- V:2
Interrupción Incidente anticipado o no, que afecte el normal curso de las
operaciones de la compañía, ejemplo: ataques a la infraestructura
o al sistema, fallas de potencia, huracanes, etc.

TÉRMINO DEFINICIÓN

Plan de continuidad de Procedimientos que orientan a la compañía para declarar,

negocio recuperar, restablecer y reintegrar la operación de forma óptima
tras la interrupción.

Plan de contingencia Define los procedimientos y las rutas que se deben tomar para
que la compañía pueda continuar funcionando en caso de un
evento de desastre.

Plataforma tecnológica Sistemas de Información vitales para apoyar los servicios y

crítica procesos: bases de datos, equipos, enlaces, servidores, etc.…

RAS Texto que plantea las diversas alternativas y soluciones viables

para recuperar y reintegrar el sistema de tecnología ante un
evento adverso. Sigla en inglés, Response Alternative and
Solutions.
(Soluciones y Alternativas de Respuesta)
RTO Tiempo de recuperación para un proceso, servicio, sistema o
plataforma tecnológica, después de ocurrido un evento de
emergencia. Sigla en Inglés, Recovery time Objetive. (Objetivo de
Tiempo de Recuperación)

RPO Masa de Información que puede perder un proceso o servicio por

un evento de crisis. Sigla en Inglés, Recovery Points Objetive.
(Objetivo de Punto de Recuperación)

4. NORMATIVIDAD
ISO 27031 – DE198-13 Tecnología de la Información, Técnica de Seguridad, Directrices para la
continuidad del negocio. Proporciona orientación a los profesionales de la continuidad
empresarial y la recuperación ante desastres de TI sobre cómo planificar la continuidad y la
recuperación de TI como parte de un sistema de gestión de la continuidad empresarial (BCMS)
más integral.
 NTC/ISO 22301:2019 Seguridad y resiliencia — Sistemas de gestión de la continuidad del
negocio — Requisitos. Es una norma internacional que establece los requisitos para la gestión
de la continuidad del negocio (SGCN) de una organización. Esta norma ayuda a las
organizaciones a planificar, establecer, implementar, y mantener un sistema de gestión que les
permita protegerse de incidentes disruptivos.

NTC/ISO 27001:2013. Sistemas de la Información. Técnicas de seguridad. Sistemas de Gestión

de la Seguridad de la Información. Requisitos.

5. CONTENIDO

5.1. Política general de plan de recuperación de desastres

La política general del plan de recuperación de desastres está encaminada a garantizar la
conservación, la confidencialidad y la recuperación de todo el sistema de información del Deerview
Business Solutions, asegurando que los controles de los sistemas de información tengan
persistencia ante eventos no deseados en la operación de TI, manteniendo su eficacia y
oportunidad en la protección de datos y la funcionalidad de los servicios en los sistemas de
información.

Objetivos estratégicos de la política

1. Identificar la infraestructura crítica de los servicios tecnológicos de Deerview Business

Solutions que debe recuperarse ante una pérdida o daño a las instalaciones y servicios.

2. Definir los roles y responsabilidades para la ejecución del Plan de recuperación de

desastres.

3. Restaurar las actividades, procesos, servicios y sistemas de información en Deerview

Business Solutions.

4. Ofrecer respuestas oportunas y apropiadas a cualquier incidente no planeado, reduciendo

así el efecto de una interrupción de los servicios tecnológicos de Deerview Business
Solutions.

Políticas específicas de Operación

 1. El responsable del Plan de Recuperación de desastres es el líder del Proceso de Gestión de
Sistemas de Información y Tecnología, quien debe definir el equipo técnico encargado de la
ejecución del Plan.

2. Una vez al año se debe poner a prueba la metodología del DRP para determinar su
efectividad, esta debe ser documentada y socializada a los colaboradores y a los patners y
clientes de Deerview Business Solutions.

3. Se debe socializar como mínimo una vez al año el Plan de Recuperación de Desastres a
todos colaboradores, patners y clientes de Deerview Business Solutions en el marco del
Plan de Capacitaciones.

4. Es deber de los colaboradores y patners que tengan roles definidos en el DRP participar de
manera activa en las capacitaciones y actividades de divulgación del plan.

5.2. Objetivos

Deerview Business Solutions en su propósito de dar cumplimiento a la política de seguridad y

privacidad de la información establece los siguientes objetivos:

1. Identificar y valorar los activos de información de Deerview Business Solutions.

2. Gestionar de manera eficaz los riesgos de seguridad y privacidad de la información
identificados.
3. Sensibilizar a los colaboradores, patners y clientes que tengan acceso a la información de
Deerview Business Solutions, sobre el manejo seguro de la información.
4. Cumplir con los criterios y requisitos de seguridad atendiendo el marco normativo y buenas
prácticas.

5.3. Alcance/Aplicabilidad
Esta política aplica a todos colaboradores, patners y clientes que tengan acceso a la información del
Deerview Business Solutions, en particular a los procesos, gestión documental y gestión de
sistemas de información y tecnología.

5.4. Nivel de cumplimiento

Todas las personas cubiertas por el alcance y aplicabilidad deberán dar cumplimiento a la presente
política.
 6. ANÁLISIS AL IMPACTO (BIA)

A continuación, se analizan los servicios al proceso críticos de TI y el impacto al negocio.

Tiempo de
Categoría Procesos Identificación de recursos Tiempo de
Recuperación
(Función Crítica Críticos críticos de Recuperación
de Trabajo –
del Negocio) (Servicios) Sistemas TI Objetivo – RTO
WRT

Control de operaciones de
Servidores. 1 día 1 día
Sistemas de
Centro de Datos Centro de Datos Almacenamiento. 0.5 días 0.5 días
Sistemas de Backups. 1.5 días 1 día
Aire Acondicionado 1 día 0.5 días
Acometida Eléctrica 0.5 días 0.5 días
Internet y Red
Comunicaciones Local Switches 1 día 0.5 días
Router 1 día 0.5 días
Firewall 1 día 0.5 días
Orfeo Servidores 1 día 2 días
Mesa de ayuda Servidores 1 día 3 días
Directorio
Sistemas de Activo Servidores 1 día 0.5 días
Información Antivirus Servidores 1 día 0.5 días
2 días (Sistema
File Server Servidores de Backup) 1 día
Página Web Hosting 2 días 1 día
ANS – Alta
ANS – Alta disponibilidad
disponibilidad de de servicios
Correo servicio con el con el
electrónico Contratos con proveedores proveedor proveedor
Fluido Eléctrico Red eléctrica UPS 1 hora 1 hora
 regulada
Servicio Saas ANS – Alta
ANS – Alta disponibilidad
disponibilidad de de
servicio con el servicio con el
Nube Contratos con Proveedores proveedor proveedor

7. ÁMBITOS DE ADVERSIDAD

A continuación, se explican algunas situaciones a las que se puede ver enfrentada Deerview
Business Solutions:

1. Pérdida total o parcial de información por fallas en infraestructura de bases de datos,

almacenamiento y respaldo.
2. Problemas de los servicios.
3. Pérdida total o parcial de servicios informáticos por fallas en los servidores
4. Indisponibilidad de la información.

ESCENARIO CAUSAS POTENCIALES SOLUCIONES OPERATIVAS

Fallas causadas en servicios críticos:
Interrupción en el servicio de fluido
eléctrico.
Plan del DRP
Ausencia del servicio de
No disponibilidad de los comunicaciones UPS
servicios críticos Desastres naturales: Canales de Backup
Incendio
Inundación
Terremoto
Fallas tecnológicas en:
Redes
No disponibilidad de los
Hardware Plan del DRP
servicios tecnológicos
Software
Bases de datos
 Establecimiento de los
Periodo de vacaciones no planificado responsables de los procesos
Ausencia del personal Retiro inesperado y sus sustitutos.
responsable del proceso Fallecimiento
Enfermedad

Desastres naturales
Servicios críticos
Plan del DRP
Fallas tecnológicas en:
Plataforma de Backup
Comunicaciones
VPS
Indisponibilidad de la Hardware
Google Drive
información Software
Plataforma Antivirus
Bases de datos
Uso planes Alternos
Fuga de información
(Nube/Premisa)
Secuestro de datos Ciberterrorismo
Error humano
Incendio
Problemas de los Terrorismo
Plan del DRP
servicios críticos Desastres naturales.

Fallas en equipos esenciales:

Centro de Datos Weston, Florida
Switch Core Fibras ópticas
Plataforma de almacenamiento
Router Plan del DRP
Pérdida total o parcial de Switches
Enlace Satelital
servicios TIC Enlaces de comunicación
Satelital
Firewall

Pérdida total o parcial de

información por fallas en Perdida de integridad en las bases de
infraestructura que datos
soporta las aplicaciones, Pérdida de datos Plan del DRP
bases de datos, Falla total o parcial de sistema de
almacenamiento, almacenamiento
respaldo VPS Falla total o parcial del servidor

Pérdida total o parcial de Falla total o parcial de servidor Plan del DRP
servicios informáticos por Evadir controles de seguridad Falta
fallas en los servidores de actualizaciones en los sistemas
que soportan la infraestructura de
TI.
Falla de los servicios en la Caída global de los proveedores de Plan del DRP
Nube Servicios en la Nube

8. IDENTIFICACIÓN DE RECURSOS CRÍTICOS

Categoría (Función Identificación de recursos
Crítica del Negocio) Procesos Críticos críticos de Sistemas TI
Configuración de Firewall
Hardware - Dispositivo
Seguridad Perimetral Firewall
Appliance
Diagrama de Cableado
Consola de antivirus y agente
Antivirus Protección Antimalware
endpoint cliente
Wsus permite a los
administradores de
tecnologías de la
información implementar Actualizaciones en los sistemas que
Servidor Virtualizados
las actualizaciones de soportan la infraestructura de TI
productos de Microsoft
más recientes.
Control de identificación
usuarios con doble
Servicio de Internet autenticación.

Comunicaciones
Servicio de VPN
Servicio de VPN Configuración de Firewall
Configuración de Switches
Infraestructura de Servidores Servidores Físicos de Cluster
 Servidores Físicos
Virtualizados
Configuración de Firewall
Unidad de Almacenamiento
Servidores
Configuración de Unidad de
Almacenamiento
Configuración de Switches

Configuración de Carpetas
Compartidas

Servidores Servicio de Carpetas Compartidas Servidor Windows 2019

(Sistema Operativo)
Servidor de Dominio

Servidor, en caso de falla, el

usuario puede utilizar el
Mesa de ayuda Gestión de Requerimientos
correo institucional para
registrar los Requerimientos
Configuración de Servidor de
Dominio
Servidor de Dominio Principal
Servidores Servidor de Dominio
Servidor de Dominio
Respaldo: servicios

Nube Programas fuentes Repositorios de Programas

fuentes y control de cambios

9. NIVELES DE CONTINGENCIA

Una contingencia es un suceso o evento que tiene posibilidad de ocurrencia, especialmente un

problema que se presenta de forma imprevista.

Cada situación de contingencia tiene un procedimiento de recuperación que debe ser

formalizado por los responsables de los diversos sistemas de información. Cuando exista una
 situación de mayor gravedad, el Presidente de la empresa debe convocar el grupo de crisis y
activar el plan de recuperación de desastres.

NIVELES DE CONTIGENCIA

ESTADO DE ALERTA DEFINICION

Generada por eventos que afectan los servicios por un tiempo

MENOR
superable al tiempo de caída a 1 hora.
Provocada por incidentes que afectan el acceso a los sistemas de
MAYOR información, interrumpiendo la operación normal por un periodo
mayor a 4 horas continuas.
Interrupción total al máximo tolerable afectando los procesos de
CATASTROFICA
desarrollo y actividades por más de 48 horas.

10. DESCRIPCION DE LA INFRAESTRUCTURA TECNOLOGICA

La Arquitectura de Referencia de los servicios tecnológicos del Deerview Business Solutions, la cual
está conformada por cinco capas (centro de datos, Infraestructura de almacenamiento y
procesamiento, redes y comunicaciones, gestión de servicios, seguridad lógica y servicios en la
nube) que se detallan a continuación:
Los Servicios Tecnológicos constituyen uno de los dominios del marco de referencia de
arquitectura de TI que define estándares y lineamientos para la gestión de la infraestructura
tecnológica que soporta los sistemas y los servicios de información, así como los servicios
requeridos para su operación. De este modo, la situación actual de la arquitectura de servicios
tecnológicos, consolida las vistas y artefactos relacionados con las necesidades que el Deerview
Business Solutions busca solucionar por medio de la definición de la arquitectura empresarial. En
este sentido, esta comprende la definición de la infraestructura tecnológica, la gestión de la
capacidad de los servicios de TI, la gestión de la operación, así como la gestión de los servicios de
soporte.

Actualmente se cuenta con un esquema de virtualización en alta disponibilidad con una unidad
de almacenamiento central y Fileover en la Nube para la mayoría de los servicios.
11. ADMINISTRACIÓN DE SITUACIONES EN EMERGENCIA
11.1 Planificación Ante los Sucesos de Crisis Tecnológica
Determinar los métodos para contrarrestar las diversas circunstancias de emergencia y
desastres. En el contexto del Deerview Business Solutions, se obliga a atender las sucesivas
acciones:

● Elaborar informes diagnosticando los riesgos, sobre los sucesos críticos acontecidos en el
pasado o en el presente.

● Sensibilizar a los colaboradores en los planes de contingencia de TI.

● Seguir revisando las actualizaciones de las normas para aplicar las mejores prácticas.

11.2 Componentes de Información integrados a los planes de DRP

Subsistemas de TI

1. Router de acceso a Internet.

2. Canal de acceso a servicios de Internet.
3. Switches de Core.
4. Equipos de seguridad perimetral como Firewall y concentrador de VPN
5. Servicios de mensajería electrónica.
6. Servidores virtuales y físicos que soportan sistemas de información.
7. Sitio web.
8. Intranet institucional.
9. Sistema de gestión documental.
10. Sistema de almacenamiento compartido de archivos.
11. Sistema de Administración de Procesos.
12. Sistema de Administración de Colas.
13. Servicios en la Nube.
14. Sistemas de almacenamiento.
15. Sistema de virtualización de servidores.
16. Subsistemas de aire acondicionado.
17. Sistema de energía eléctrica, sistema de UPS, bancos de baterías.

11.3 Reconocimiento de Emergencias.

Para el reconocimiento de emergencias se debe tener en cuenta lo siguiente:

1. Planificar y organizar la metodología de desastre a partir del diagnóstico.

2. Definir las responsabilidades y sus funciones
3. Establecer los sitios de riesgo inminente.
4. Construir tácticas para enfrentarse a los eventos contingentes.
5. Evaluar los equipos y su idoneidad al enfrentarse a circunstancias críticas.
6. Reforzar las relaciones entre los patners para la respuesta de desastres tecnológicos.
7. Se debe especificar los mecanismos y normas de comunicación, alerta y alarma para que
todos los colaboradores, patners y clientes, tengan conocimiento de cómo actuar ante una
situación de crisis.

11.4 Escenarios del Plan de Recuperación de Desastres

Los escenarios de activación de DRP alcance de este plan, son aquellos eventos y circunstancias
reconocidas en la operación de TI, los cuales, impactan de forma no deseada la prestación de los
servicios de TI al IDPC.

Para poner en marcha el plan de recuperación de desastres, se debe seguir los siguientes pasos:

1. Localización del Evento.

2. Análisis del caso.
3. Puesta de marcha del Plan (DRP).
4. Monitoreo.

11.5 Guía de activación DRP

1. Evaluación del alcance e inventario de eventos críticos.
2. Confirmar el tipo de nivel de contingencia de acuerdo con el nivel de alerta (menor, mayor
o catastrófico).
3. Comunicar permanentemente a todos los equipos conformados internos y externos sobre
los eventos de emergencia.
4. Poner en marcha las alertas concertadas y acordadas en el plan de desastres (menor,
mayor o catastrófico).
5. Iniciar el DRP, el plan de recuperación y accionar los procedimientos correspondientes en
cada área.
6. Informar y supervisar continuamente desde el principio los eventos críticos.
7. Inicio a la normalidad y comienzo del plan de retorno de contingencia indicado en los
procedimientos técnicos de cada plataforma de IT en particular.
8. Comunicado de fin de eventos de emergencia.
9. Ajustes del DRP y de metodologías de prueba.
 10. Documentar los eventos aprendidos y formalizar el cierre de incidente de circunstancias
críticas.

11.6 Lineamiento de Aviso del DRP

Es de vital importancia tener en cuenta que, al interior de los procedimientos de Deerview Business
Solutions, debe estar establecido las diferentes causas de circunstancias críticas, por la cual se debe
avisar a los grupos encargados del DRP.

Para poder distinguir cuando se ha presentado un incidente de emergencia, es porque se sabe

claramente que la situación va a provocar una paralización del sistema de información de la
compañía. En ese momento es cuando la respuesta, la acción de recuperación, el aviso y la puesta
en marcha del DRP son perentorios.

En ese sentido, se podría decir que los pasos a seguir para informar sobre un evento o circunstancia
de emergencia y así poder poner en marcha el DRP son:

1. Localización del Evento.

2. Avisar sobre la existencia del caso.
3. Diagnóstico del caso.
4. Informar a los colaboradores responsables del área y a los colaboradores responsables del
DRP.
5. Analizar los criterios para poner en marcha del Plan (DRP).
6. Dar inicio al DRP.

11.7 Diagnóstico del Caso de Emergencia.

Este diagnóstico lo hace el Equipo de Coordinación y es escalado al presidente (responsable del
DRP), una vez declarado un evento de crisis, el colaborador debe comunicar a las áreas
comprometidas, con el fin, de hacer un examen y dar la alerta de impacto, detallar el incidente,
elaborar información sobre el evento, valorar los daños y delimitar los sitios perjudicados.

11.8 Protocolo de llamadas.

1. Ante un evento de crisis, corresponde llevar a cabo los siguientes pasos:
2. Se debe informar al responsable de Director regional.
3. El Director regional de debe llamar al presidente de Deerview Business Solutions.
4. El presidente se encargará de convocar al grupo de crisis de Deerview Business Solutions.
Los comunicados pueden ser:
a. Personalmente.
b. Vía telefónica.
 c. Vía correo electrónico.
d. Grupos de mensajería instantánea.

11.9 Terminación de la Crisis.

Para considerar que se ha llegado a esta fase, hay que tener en cuenta:

1. Fecha de regularización de las funciones.

2. Reflexiones a tener en cuenta en el inicio a la normalidad.
3. Observaciones con respecto a la recuperación de la información, defendiendo la integridad
de los datos.

El Director Regional debe definir el retorno a la normalidad, definiendo los siguientes aspectos: día,
fecha y hora de la activación de los sistemas de información; valoración explicando si hubo daños y
afectaciones de los equipos físicos y virtuales; sincronización de sistemas de telecomunicaciones
actualización de la matriz de riesgos y gestión de incidentes.

12. CONFORMACIÓN DE EQUIPOS DEL DRP

Las funciones y compromisos deberán ser ejercidos por personal seleccionado. El equipo Grupo de
Crisis: verifica el incidente, analiza las consecuencias e impactos potenciales, decide la iniciación o
no del DRP y avisa al Coordinador del plan de Continuidad del negocio. Esta conformado por
Director Regional Latinoamérica, Gerente de Calidad, Gerente de Infraestructura, Los lideres de
Squad de los productos, Gerente de Base de Datos y el Patner de Comunicación y seguridad.

13. CONTROL DE CAMBIOS

Fecha Versi Cambios Simplificación o Origen
ón Introducidos mejora

25-07-2023 1.0 Creación del Mejora Implantación

documento

31-01-2024 2.0 Modificación Mejora Revisión programada