PLAN DE RECUPERACIN DEL DESASTRE Y RESPALDO DE LA INFORMACIN

El costo de la Recuperacin en caso de desastres severos, como los de un terremoto que destruya completamente el interior de edificios e instalaciones, estar directamente relacionado con el valor de los equipos de cmputo e informacin que no fueron informados oportunamente y actualizados en la relacin de equipos informticos asegurados que obra en poder de la compaa de seguros. El Costo de Recuperacin en caso de desastres de proporciones menos severos, como los de un terremoto de grado inferior a 07 o un incendio de controlable, estar dado por el valor no asegurado de equipos informticos e informacin ms el Costo de Oportunidad, que significa, el costo del menor tiempo de recuperacin estratgica, si se cuenta con parte de los equipos e informacin recuperados. Este plan de restablecimiento estratgico del sistema de red, software y equipos informticos ser abordado en la parte de Actividades Posteriores al desastre. El paso inicial en el desarrollo del plan contra desastres, es la identificacin de las personas que sern las responsables de crear el plan y coordinar las funciones. Tpicamente las personas pueden ser: personal del CIT, personal de Seguridad. Las actividades a realizar en un Plan de Recuperacin de Desastres se consideran en tres etapas: Actividades Previas al Desastre. Actividades Durante el Desastre. Actividades Despus del Desastre.

3.1. Actividades previas al desastre Se considera las actividades de planteamiento, preparacin, entrenamiento y ejecucin de actividades de resguardo de la informacin, que aseguraran un proceso de recuperacin con el menor costo posible para la institucin. 3.1.1. Establecimientos del Plan de Accin a. b. c. d. e. f. En esta fase de planeamiento se establece los procedimientos relativos a: Sistemas e Informacin. Equipos de Cmputo. Obtencin y almacenamiento de los Respaldos de Informacin (BACKUPS). Polticas (Normas y Procedimientos de Backups). Sistemas de Informacin

La Institucin deber tener una relacin de los Sistemas de Informacin con los que cuenta, tanto los de desarrollo propio, como los desarrollados por empresas externas (detallada en el anexo V). Los Sistemas y Servicios crticos para la empresa, son los siguientes: Lista de Sistemas Sistema de ventas: ventas realizadas durante el da generando ingresos.

Lista de Servicios que requiere: Servicio de Monitoreo de la red: monitorea los equipos de comunicacin. Servicios de telefona Principal: telfonos IP Servicio de Antivirus

b. Equipos de Cmputo Se debe tener en cuenta el catastro de Hardware, impresoras, lectoras, scanner, ploters, modems, fax y otros, detallando su ubicacin (software que usa, ubicacin y nivel de uso institucional). Se debe emplear los siguientes criterios sobre identificacin y proteccin de equipos: Plizas de seguros comerciales, como parte de la proteccin de los activos institucionales y considerando una restitucin por equipos de mayor potencia, teniendo en cuenta la depreciacin tecnolgica. Sealizacin o etiquetamiento de las computadoras de acuerdo a la importancia de su contenido y valor de sus componentes, para dar prioridad en caso de evacuacin. Por ejemplo etiquetar de color rojo los servidores, color amarillo a los PC con informacin importante o estratgica, y color verde a las dems estaciones (normales, sin disco duro o sin uso). Mantenimiento actualizado del inventario de los equipos de cmputo requerido como mnimo para el funcionamiento permanente de cada sistema en la institucin.

c. Obtencin y almacenamiento de Copias de Seguridad (Backups) Se debe contar con procedimientos para la obtencin de las copias de seguridad de todos los elementos de software necesarios para asegurar la correcta ejecucin de los sistemas en la institucin. Las copias de seguridad son las siguientes: Backup del Sistema Operativo: o de todas las versiones de sistema operativo instalados en la Red. Backup de Software Base: (Lenguajes de Programacin utilizados en el desarrollo de los aplicativos institucionales). Backup del software aplicativo: backups de los programas fuente y los programas ejecutables. Backups de los datos (Base de datos, passsword y todo archivo necesario para la correcta ejecucin del software aplicativos de la institucin). Backups del Hardware, se puede implementar bajo dos modalidades:

Modalidad Externa: mediante el convenio con otra institucin que tenga equipos similares o mejores y que brinden la capacidad y seguridad de procesar nuestra informacin y ser puestos a nuestra disposicin al ocurrir una continencia mientras se busca una solucin definitiva al siniestro producido. En este Caso se debe definir claramente las condiciones del convenio a efectos de determinar la cantidad de equipos, periodos de tiempo, ambientes, etc., que se puede realizar con la entidad que cuente con equipo u mantenga un Plan de Seguridad de Hardware. Modalidad Interna: si se dispone de ms de un local, en ambos se debe tener sealado los equipos, que por sus capacidades tcnicas son susceptibles de ser usados como equipos de emergencia. Es importante mencionar que en ambos casos se debe probar y asegurar que los procesos de restauracin de informacin posibiliten el funcionamiento adecuado de los sistemas. d. Polticas (Normas y Procedimientos) Se debe establecer procedimientos, normas y determinacin de responsabilidades en la obtencin de los Backups o Copias de Seguridad. Se debe considerar: Periodicidad de cada tipo de backup: los backups de los sistemas informticos se realizan de manera diferente: Sistema de Ventas: backup interdiario.

Respaldo de informacin de movimiento entre los periodos que no se sacan backups: das no laborales, feriados, etc. en estos das es posible programar un backup automtico. Uso obligatorio de un formulario de control de ejecucin del programa de backups diarios, semanales y mensuales: es un control a implementar, de tal manera de llevar un registro diario de los resultados de las operaciones del backups realizados y su respectivo almacenamiento. Almacenamiento de los backups en condiciones ambientales optimas, dependiendo del medio magntico empleando. Reemplazo de los backups, en forma peridica, antes que el medio magntico de soporte se pueda deteriorar. No se realiza reemplazos pero se realiza copias de las mismas, considerando que no se puede determinar exactamente el periodo de vida til del dispositivo donde se ha realizado el backup. Almacenamiento de los backups en locales diferentes donde reside la informacin primaria (evitando la prdida si el desastre alcanzo todo el edificio o local). Esta norma se cumple con la informacin histrica, es decir se tiene distribuidos los backups de la siguiente manera: una copia reside en las instalaciones del , y una segunda copia reside en la Oficina que genera la informacin (Area). Pruebas peridicas de los backups (Restore), verificando su funcionalidad, a travs de los sistemas comparando contra resultados anteriormente confiables. Esta actividad se realizara haciendo una comparacin entre el contenido de la primera y segunda copia realizada o con el contenido de la informacin que se encuentra el Servidor de informacin histrica.

Proceso de planeacin de la recuperacin en caso de desastre

El objetivo del proceso de planeacin de la recuperacin en caso de desastre es disminuir el impacto de un desastre en las operaciones de la institucin. En ocasiones no es posible evitar un desastre natural, sin embargo s podemos disminuir su impacto y definir las actividades de recuperacin que permitan reanudar las actividades normales en el tiempo ms corto posible. Es mejor tener un procedimiento preestablecido que improvisar en caso de un desastre porque cuando se acta bajo presin se cometen ms errores. En la siguiente figura mostramos un diagrama del procedimiento que puede establecerse: