Вы находитесь на странице: 1из 24

PLAN

DE
CONTINGENCIAS

EQUIPO DE INFORMATICA
EMAPISCO S.A.
Empresa Municipal de Agua Potable y Alcantarillado de Pisco S.A
PRESENTACION

La Oficina de Informática de la Empresa Municipal de Agua Potable y Alcantarillado de


Pisco EMAPISCO S.A., considera que la información es el patrimonio principal de la
Institución, por lo que se deben aplicar medidas de seguridad para protegerla y estar
preparados para afrontar contingencias y desastres de diversos tipos.

Con el propósito de que la empresa proteja su información y asegure la continuidad del


procesamiento de la información necesaria para el adecuado desempeño de sus funciones
Institucionales, la Oficina de Informática presenta el documento "Plan de Contingencias
de la Oficina de Informática” para el correcto manejo de la seguridad de la Información.

A medida que la tecnología ha ido evolucionando y con ella, la envergadura de los


sistemas de información, la seguridad del entorno informático (hardware, software,
comunicaciones, etc.) se ha convertido en una de las grandes preocupaciones de los
profesionales de esta actividad. Esta preocupación debe ser adecuadamente comprendida
y compartida por los directivos, los cuales deben considerar a las inversiones en medidas
de seguridad informática, como un gasto necesario, que contribuye a mantener la
operatividad y rentabilidad de la Institución.

El presente documento pretende ayudar a comprender mejor la problemática implícita de


los sistemas de información soportados por computadoras, de las medidas de seguridad
adecuadas, tanto en su número como en su rigor y nivel de aplicación, ya que toda
institución debe estar preparada para el caso de ocurrencias imprevistas.

Participación de manera directa en la Elaboración del Plan de Contingencia de


Informática el Ing. Anival Jesús Salas Pérez Jefe de la Oficina de Informática EMAPISCO
S.A. con el apoyo del equipo de Informática.
I. INTRODUCCION
Los Sistemas de Información existentes y los que se implementarán a través de la Oficina de
Sistemas é Informática de la Empresa Municipal de Agua Potable y Alcantarillado de Pisco,
significan para la Institución un importante avance en materia de modernización de los
servicios ofrecidos al público usuario y a las áreas internas de la Institución.
Los Sistemas de Información tienen muchas cosas en común. La mayoría de ellos están
formados por personas, equipos y procedimientos. Al conjugar una serie de elementos como
hombres y computadoras se hace imprescindible tomar medidas que garanticen una
continuidad en la operatividad de estos sistemas, para no ver afectados los objetivos de las
mismas y no perder la inversión de costos y tiempos.
En el Plan de Contingencias se identifican los riesgos a los que están expuestos los sistemas
y se precisan las medidas de previsión para minimizarlos, así como los requerimientos
inmediatos para atenderlos cuando se produzcan.

II. OBJETIVOS
Definir y programar la implementación de las medidas de seguridad que garanticen el
funcionamiento continúo de los sistemas de información de la Empresa Municipal de Agua
Potable y Alcantarillado de Pisco.
Restaurar los sistemas en forma eficiente y con el menor costo y pérdidas posibles, en caso
se produzca un incidente. Para estos imprevistos se incluyen las medidas de previsión.

III. FINALIDAD
Disponer de un plan que permita atender de manera ordenada y prevista situaciones que
pongan en riesgo la operatividad de los Sistemas de Información y de comunicaciones en
Empresa Municipal de Agua Potable y Alcantarillado de Pisco, estableciendo procedimientos
que eviten interrupciones en su operación.

IV. ALCANCE
La presente Directiva es de observancia y estricto cumplimiento de todo el personal de
Empresa Municipal de Agua Potable y Alcantarillado de Pisco, sea cual fuere su régimen
laboral.

V. RESPONSABLE Y RESPONSABILIDADES
 Gerente General
 Jefe de la Oficina de Informática
 Asistente. Oficina Informática
 Gerencia Comercial
 Gerente Operacional - Gerencia administración
V.1. Responsabilidad en la ejecución del Plan de Contingencia
 Gerente General:
- Brinda el apoyo mediante coordinaciones del nivel que le compete,
(convenciones, solicitudes de apoyo extremo; etc.).
- Supervisa en coordinación con el Jefe de la Oficina de Informática la
ejecución de plan de contingencias
- Ordenar el apoyo lógico necesario para la ejecución del Plan de Contingencia

 Jefe de Oficina de Informática


- Dirección en la ejecución del Plan de Contingencias.
- Dirección del plan en Contingencia Menores
- Coordinar el apoyo lógico.

 Asistente Informático
- Apoyo total en la ejecución del plan de contingencias
- Mantener al día los backup de los sistemas, aplicativos, bases de datos,
archivos y otros.
- Mantener la día la documentación de los backup

VI. DE LA OFICINA DE SISTEMAS E INFORMATICA


Entiéndase a la Oficina de Sistemas é Informática como el órgano de la Empresa Municipal
de Agua Potable y Alcantarillado de Pisco, que administra, opera y supervisa los sistemas de
Informacion y de comunicaciones de la institución.

VII. DE VIGENCIA
La presente Directiva entrará en vigencia a partir de la fecha de su aprobación por el
Directorio General de la Empresa Municipal de Agua Potable y Alcantarillado de Pisco.

VIII. DE LOS RECURSOS


Se entiende por recursos a los recursos de Hardware y Software con los que cuenta la
Empresa Municipal de Agua Potable y Alcantarillado de Pisco.
VIII.1. SOFTWARE
La Institución cuenta con los siguientes Sistemas de Información (1):

Sistema Versión Lenguaje Sistema Módulos Área


desarrollo Operativo
SIINCO 3.0 Power Builder Windows - Consulta - Comercial
12 - Reclamos
- Catastro
- Medición
- Facturación
- Cobranza
- Reportes
- Administración
AVALON 11.5 FoxPro Windows - Contable - Catastro
- Costos - Contabilidad
- Finanzas - Logistica
- Logistica - Almacen
- Nomina - RR.HH
- Patrimonio - Tesoreria
- Planeamiento - Planeamiento

(1) Listado por orden de prioridad en una restauración masiva.

Las copias de seguridad de los sistemas se guardan incluso con sus ejecutables, índices,
directorios y ruta para una restauración rápida y una puesta en marcha más segura,

VIII.2. HARDWARE
Los equipos con los que cuenta la empresa distribuidas por áreas se encuentran como
sigue:

AREA EQUIPO CAPAC MEMOR MONITOR USB LECT RELEV


Auditoría Interna Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Rojo
Gerencia General Pentium D.C (Laptop) SI SI Rojo
SecretariaGerencia Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Azul
General
Asesoría Legal Pentium IV 40Gb. SI SI Amarillo
Relaciones Públicas Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Azul
Relaciones Públicas Pentium II Amarillo
Planeamiento Pentium IV Samsung 17” SI SI Rojo
Informática IBM Netfinity 5000 (1) 20 Gb. 256 Mb. Viewsonic 17” SI SI Rojo
Informática Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Rojo
Informática Pentium III Samsung 17” Si SI Azul
Administración Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Azul
Administración Pentium II Amarillo
Contabilidad Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Rojo
Contabilidad Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Azul
Contabilidad Pentium III Amarillo
Recursos Humanos Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Azul
Tesorería Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Amarillo
Logística Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Azul
Logística Pentium II 128 Mb. Samsung 17” SI SI Amarillo
Almacén Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Amarillo
Patrimonio Pentium I 32 Mb. Samsung 17” SI SI Azul
Calidad de agua Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Azul
Gerencia Comercial Pentium IV Samsung 14” SI SI Rojo
Catastro Pentium III 256 Mb. Samsung 17” SI SI Azul
Catastro (actualiza) Pentium II 128 Mb. Samsung 14” SI SI Amarillo
Catastro (planos) Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Azul
Operacional Pentium II Samsung 14” SI SI Amarillo
Medición Pentium IV 512 Mb. Samsung 17” SI SI Amarillo
Facturación Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Azul
Atención al público Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Amarillo
Atención al público Pentium IV Samsung 17” SI SI Amarillo
Recaudación Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Amarillo
Recaudación Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI SI Amarillo
Leticia Pentium Dual Core 80 Gb. 1 Gb. Samsung 17” SI DVD Rojo
Leticia Pentium IV Samsung 17” SI DVD Azul
Leticia Pentium III Samsung 17” SI DVD Amarillo

(1) Servidor de datos, con un disco rígido de datos (HD) de tipo hot swap (de arranque
en uso), es decir se puede retirar el disco de información en pleno uso de los sistemas y
sin necesidad de destapar el servidor.

Los equipos de mayor relevancia y que contienen información de importancia relevante


están marcados con un círculo rojo en la parte lateral del CPU, los de importancia
media están marcados con un círculo amarillo y los de trabajo cotidiano están marcados
con un círculo Azul.

En la Oficina de Informática se han etiquetado debidamente los cables de red indicando


la longitud de estos para reemplazar alguno dañado en caso de emergencia.

La configuración de las impresoras o periféricos de la empresa necesita de unos discos


de instalación que contienen los controladores (drivers), estos se han almacenado en
una caja única etiquetada como DRIVERS donde se encuentran los discos de
instalación que se proporciona en el momento de la adquisición.

IX. DETERMINACION DE RIESGOS


Los sistemas mecanizados están expuestos a distintas clases de riesgos, que pueden
afectar su normal funcionamiento, por lo que los problemas potenciales se han clasificado en
grupos que se detallan a continuación:

IX.1. Factores Naturales y/o Artificiales


Son originados por causas externas a la institución y cuyo grado de previsión es muy
reducido. Se consideran dentro de este grupo a los factores naturales como terremotos,
maremotos, entre otros similares; artificiales como incendios, inundaciones, robos y
problemas de terrorismo. Estos percances pueden generar pérdidas o daños físicos en
el local de la Empresa Municipal de Agua Potable y Alcantarillado de Pisco (equipos,
mobiliario, inclusive recursos humanos).
IX.2. Factores de Servicios
Los riesgos identificados en este grupo pueden generar la interrupción del
procesamiento de la información en línea, lo que afectaría seriamente la atención al
público; por ejemplo:
- Caídas en los circuitos dedicados de comunicaciones (switches, routers).
- Corte de energía eléctrica.
- Corte de las líneas dedicados de comunicaciones (Internet, telefonía).

IX.3. Factores de Sistemas


Estos riesgos están asociados con el funcionamiento de los equipos, cuyo deterioro o
mal uso puede implicar lo siguiente:
- Daños en componentes de hardware (discos duros, adaptadores de red, etc.).
- Fallas en dispositivos de comunicaciones (switches, routers).
- Desperfectos en las Equipos de Cómputo é impresoras de las áreas usuarias.
- Daños graves en los archivos del sistema por errores de hardware o software.
- Software corrupto o incompatible (copia sin licencia).
- Virus que dañen los archivos y hasta los equipos de cómputo.

IX.4. Factores de Recursos Humanos


Están relacionados con la ausencia o presencia insuficiente de las personas en el
mantenimiento de las aplicaciones. Podrían causar demoras en atención de
desperfectos; daños a archivos, equipos y otros dispositivos que requieren personal
entrenado para su operación. Estos riesgos pueden estar motivados por:
- Administradores no capacitados.
- Acceso de personas no autorizadas al cuarto de servidores.

IX.5. Factores Diversos


Se incluyen en esta clasificación otros riesgos que no se encuentren comprendidos en
las clasificaciones anteriores. Por ejemplo:
- Derrame de líquidos en los equipos.
X. MEDIDAS PREVENTIVAS

X.1. CONTROL DE ACCESOS


Éste es uno de los puntos principales del sistema de información y de las medidas de
seguridad preventivas que se puedan definir sobre el mismo. Los usuarios son la pieza
angular del las medidas de seguridad, sin su concurso la definición e implantación de
medidas se hace compleja y tediosa, sin embargo una pequeña implicación de los
mismos en la política de seguridad, augura un éxito casi completo a la misma.
Se ha de tener en cuenta en este punto que los usuarios son un elemento cambiante en
el sistema de información, sin embargo, no es difícil sintetizar las tareas comunes a un
grupo de usuarios para establecer un determinado perfil, que recogerá todos aquellos
puntos a destacar sobre el concurso de un determinado grupo de usuarios en el sistema
de información.
Se puede notar regularmente el cambio puestos en forma horizontal (rotación), se debe
tomar en cuenta la capacitación del usuario saliente al usuario entrante, actualizando la
información en forma conjunta en por lo menos 3 procesos cotidianos y especificados en
un documento los casos no comunes presentados durante su periodo en el puesto
anterior.
Se debe definir medidas efectivas para controlar los diferentes accesos a los activos
computacionales:
a) Acceso físico de personas no autorizadas.
b) Acceso a la Red de PC's y Servidor.
c) Acceso restringido a las librerías, programas, y datos.
Además un perfil será pues el conjunto de recursos y medios de acceso a los datos de
que dispone un determinado tipo de usuario para llevar a cabo sus funciones, es decir,
una agrupación de los diferentes elementos que el usuario tiene a su disposición para
llevar a cabo sus tareas.
Antes de definir un perfil, veamos los elementos que debe contener:
 Funciones del usuario, condicionarán el resto del perfil, se deben describir con
detalle quedando claramente documentadas y definidas.
 Recursos a los que accede, aplicando siempre la política más restrictiva, es decir,
un usuario solamente debe acceder a aquellos recursos que sean necesarios para
desarrollar sus funciones. Se clasificarán en Ficheros, Programas y Equipos.
En nuestro caso, existen diferentes perfiles de trabajo, personal de administración,
personal de ingeniería, personal de comercial, y demás áreas, vamos a definir el perfil
del personal de administración, cuyo contenido puede ser el siguiente:
Código de Perfil (PER01) Administración de Seguridad
FUNCIONES SISTEMAS
Utilización de los sistemas  ERP AVALON
Contabilidad, Suministros,  SIINCO
Caja, Recursos Humanos,
Costos.
Código de Perfil (PER02) Operación y Mantenimiento
Funciones Sistemas
Código de Perfil (PER03) Comercial
IDENTIFICACIÓN Y AUTENTICACIÓN
Ficheros Los mecanismos de Identificación y autenticación
creados sobre los ficheros a los que tienen acceso los
usuarios de este perfil son los compuestos por el acceso
al grupo de trabajo puede ser OGA / OPERACIONAL /
COMERCIAL, el acceso a los servidores de datos y la
ejecución de las aplicaciones correspondientes.
Equipos El acceso a los equipos se realiza iniciando una sesión
de trabajo, dicha sesión se compondrá de dos fases, en
primer lugar el acceso físico al equipo de trabajo, y en
segundo lugar la identificación como usuario
autorizado a través de la Red en los servidores de
datos.
El usuario dispone de un NOMBRE DE USUARIO
autorizado para iniciar la sesión, dicho nombre sirve a la
vez para el acceso a los datos del equipo, así como para
la identificación ante los servidores de trabajo.
El NOMBRE DE USUARIO suministrado, tiene asignada
una contraseña única, con la cual puede acceder al
grupo de trabajo asignado, pulsando ACEPTAR permite
el inicio de la sesión.
CONTROL DE ACCESO
Ficheros Una vez superados los mecanismos de identificación y
autenticación, el usuario tiene acceso a todos los
recursos del fichero.
Equipos Una vez cumplido el trámite de identificación y
autenticación, se puede acceder a todos los recursos que
el equipo tiene configurados, impresoras, programas y
aplicaciones y accesos a los servidores a través de la
red.
Programas y aplicaciones: El programa asignado a sus labores tiene dentro de sus
restricciones una autenticación más, solo podrán ingresar
los usuarios registrados en el sistema competente a su
labor.
Además de ello cada usuario del sistema esta restringido
por un nivel de acceso que le otorga el Supervisor del
sistema.
X.2. RESPALDOS (Backups)

La copia de seguridad se deberá obtener con las características siguientes:


 Para obtener la copia de seguridad de un sistema, aplicativo o información, se deberá
realizar mientras no exista usuario alguno que utilice el sistema o la data del aplicativo
referido.
 La copia de seguridad incluirá el aplicativo ejecutable, los índices correspondientes y
la ruta y directorios del aplicativo.
 La copia se realizará en un DVD ya que el tamaño sumado de las copias de los
aplicativos y datos de los sistemas sobrepasan la capacidad de un CD llegando a
ocupar 1 Gb. de información.
 Se guardará asimismo una copia de seguridad en una PC de la misma área o en una
de la oficina de informática, para una restauración rápida.
 Las copias de seguridad se realizarán los fines de cada mes así como también una
copia de la información comercial antes y después de cada facturación.
 Para el cierre de cada mes del sistema de suministros se realizará una copia antes del
cierre y otra después del mismo.
 En el caso del cierre de contabilidad anual se realizarán 3 copias, la primera antes de
la actualización de datos, antes de proceso de ACM (si así se considera), y otra
después del cierre del periodo y apertura de uno nuevo.

También se deberá obtener una copia de seguridad actualizable de los programas


fuentes toda vez que se encuentren debidamente compilados y puestos en marcha.

 Se guardará una copia de seguridad de los programas fuentes de los aplicativos,


módulos, de los sistemas y de las librerías que se utilizaron, deberán de incluirse
manuales de referencia, guía rápida y diseño de programas si hubieran.
 Se tendrá a la mano una copia del lenguaje de desarrollo utilizado como Visual Studio
6.0.
Asimismo para el caso de los Sistemas Operativos se deberá de tener en cuenta lo
siguiente:

 Una copia de los discos de instalación de los sistemas operativos Windows 7,


Windows XP y Windows NT y Windows server 2008R
 Una copia de los procesadores de texto Office 2007,Office 2010, Adobe Acrobat 7.0.
 Una copia de los utilitarios Winzip, Winrar, Antivirus Nod32, Antivirus Karpesky.
X.2.1. Políticas (Normas y Procedimientos de Backups).
Las copias de seguridad se deberán de realizar con una frecuencia mensual
(mínima) y/o semanal (máxima) según los procesos que se realizan en los
diferentes sistemas de información y del ámbito de austeridad que exista en la
empresa.

Las copias de seguridad estarán a cargo de la Oficina de Informática y es


responsabilidad de cada área solicitar se realice una copia de seguridad antes de
proceder a realizar un proceso de cierre, de apertura, de reproceso o de
actualización sin retorno de datos del sistema.

Se debe de considerar indispensablemente una copia adicional la cual será


almacenada en un local distinto a la sede central o principal de las oficinas de la
empresa, y la cual también será evaluada con la prueba de confiabilidad. La
periodicidad de las copias de seguridad es como sigue:
Mensual.
- Contabilidad.
- Activo Fijo.
- Contabilidad de Costos.
- Recursos Financieros.
- Suministros.
- Recursos Humanos.
- Presupuesto.
- Evaluación y Control.
- Documento de diseño de programas, diseño de base de datos, programas
fuente.
- Manuales de actualización, manual de proceso, manual de usuario,
requerimientos de hardware y software.

Variable.
- Sistema Comercial (antes y después de cada facturación).
Adicionales.
- Para el Sistema de Suministros se debe de considerar una copia antes de
realizar los enlaces correspondientes con el sistema de contabilidad, antes del
cierre del mes de proceso.
- Para el Sistema de Contabilidad se debe de considerar una copia de seguridad
antes de realizar el cierre del año, antes del proceso por ACM y considerar los
archivos SPL que son los reportes generados.
- Es recomendable conservar las copias de los últimos 5 años y para evitar el
deterioro de la información, ya sea por el lugar de almacenaje, el medio
ambiente, el medio magnético donde se guardan las copias, etc., es
recomendable que se reemplacen las copias más antiguas en nuevas copias.

Para una mayor seguridad se considera sacar copias temporales una vez por
semana, pudiendo ser los días sábados donde la carga laboral es menor y los
sistemas no se encuentran utilizados por los usuarios.

Prueba de confiabilidad.
Se deben de realizar por lo menos 2 veces al año la prueba de confiabilidad de
datos, restaurando la información de las copias de seguridad y comparando la
información contra resultados anteriores confiables.
Como procedimiento de comprobación, se ha realizado un proceso de
restauración completo de la Data de los sistemas, tomando como tiempo
aproximado 3 horas 45 minutos.

X.3. SISTEMA ANTIVIRUS


En cuanto a las medidas para combatir los ataques producidos por virus, la fundamental
es disponer de un software antivirus, que es básicamente un programa que se encarga
de detectar los virus antes de que puedan desencadenar su ataque al sistema y
proceden a su eliminación, en aquellos casos en los que es posible.
Disponer de un buen antivirus es fundamental, y para seleccionar uno, debemos tener
en cuenta que todos los días aparecen virus nuevos, y es muy difícil que la infección de
nuestro sistema provenga de un virus de hace años, la amenaza real la provocan los
últimos virus creados, así pues el antivirus que seleccionemos debe tener un
mecanismo de actualización ágil, y casi diario. En sus comienzos, actualizar versiones
de un antivirus era un proceso lento, y que requería la recepción de un soporte externo,
hoy en día la mayoría de los antivirus permiten su actualización a través de Internet, de
forma automática y sin interferir en las tareas que estamos realizando.
Para nuestro caso contamos actualmente con el Antivirus ESET NOD ANTIVIRUS END
POINT EMPRESARIAL ACTUALIZADO el cual cuenta con las siguientes premisas:
 Permite una protección global frente a virus para todo el sistema de información,
servidor, y equipos, adquiriendo licencias para instalarlo en todos los equipos que
puedan correr riesgo de infección.
 El proceso de actualización es sencillo, automático y ágil, a través de Internet.
 Protege todos los medios de acceso al sistema, tales como unidades externas
disquetes, cdroms o similares y también mediante telecomunicaciones, navegación
web, correo electrónico y todos los recursos que se utilicen.

X.4. Formación de Equipos Operativos


El Jefe de área de cada unidad operativa de la Institución deberá designar a una
persona que verifique el restablecimiento de datos, que evalúe lo faltante, que conozca
la operatividad de los sistemas de su área.

El personal de la Oficina de Informática tendrá las siguientes labores:


- Ponerse en contacto con los propietarios de las aplicaciones y trabajar con
ellos.
- Proporcionar soporte técnico para las copias de respaldo de las aplicaciones.
- Planificar y establecer los requerimientos de los sistemas operativos en cuanto
a archivos, bibliotecas, utilitarios, etc., para los principales sistemas y
subsistemas.
- Supervisar procedimientos de respaldo y restauración.
- Supervisar la carga de archivos de datos de las aplicaciones, y la creación de
los índices correspondientes.
- Coordinar líneas, terminales, modem, otros aditamentos para comunicaciones.
- Establecer procedimientos de seguridad en los sitios de recuperación.
- Organizar la prueba de hardware y software.
- Ejecutar trabajos de recuperación.
- Cargar y probar archivos del sistema operativo y otros sistemas almacenados
en el local alternante.
- Realizar procedimientos de control de inventario y seguridad del
almacenamiento en el local alternante.
- Establecer y llevar a cabo procedimientos para restaurar el lugar de
recuperación.
- Participar en las pruebas y simulacros de desastres.
X.5. Formación de Equipos de Evaluación (Auditoria de cumplimiento de los
procedimientos sobre Seguridad).

Esta función debe ser realizada de preferencia conjuntamente con el personal de control
interno, de no ser posible, la realizará el personal del área de Informática, debiendo
tener en cuenta lo siguiente:

- Revisar que las Normas y procedimientos con respecto a Backups y seguridad de


equipos y data se cumpla.
- Supervisar la realización periódica de los backups, por parte de los equipos
operativos, comprobando físicamente su realización, adecuado registro y
almacenamiento.
- Revisar la correlación entre la relación de Sistemas e Informaciones necesarios para
la buena marcha de la Institución los backups realizados.
- Informar de los cumplimientos e incumplimientos de las Normas, para las acciones
de corrección respectivas.

XI. MEDIDAS DE CONTINGENCIA


A continuación se detallan las medidas que deberán ser aplicadas para minimizar los riesgos
de interrupción de los sistemas mecanizados.
Adicionalmente, se explican los impactos de los riesgos, así como su probabilidad de
ocurrencia, de acuerdo a las cinco categorías siguientes:
- Muy Alta
- Alta
- Mediana
- Baja
- Muy Baja
Se detallan los riesgos clasificados en las categorías antes especificadas:
Factores naturales y/o Artificiales
Riesgo Desastres naturales (terremotos, maremotos, etc) y/o artificiales
(incendio, inundación, terrorismo, robo, vandalismo, etc.)
Probabilidad de ocurrencia Mediana
Efecto  Posible deterioro/inutilización del local de Emapisco S.A.
 En casos muy graves, inutilización total de servidores de
aplicación y equipos de comunicación.
 Incapacidad temporal para utilizar sistemas mecanizados,
servidores y equipos
Medidas de Previsión  Entrenamiento del personal para asumir funciones alternas en
caso de desastre.
 Sistemas de detección y extinción de fuego (alarma de humo,
y extinguidores).
 Mobiliario especial (racks) para los equipos críticos
(servidores, equipos de comunicaciones).
 Mantener contacto con proveedores y/o instituciones que
provean equipos de características similares a los de
Emapisco S.A., con capacidad de alquiler o préstamo en caso
de quedar inutilizada totalmente la capacidad operativa.
 Retiro o reemplazo de todo tipo de objetos que en caso de
incendio puedan ayudar a la expansión del fuego
 Revisión continua del estado de la cablería de energía
eléctrica.
 En lo posible, los tomacorrientes deben ser instalados a un
nivel razonable de altura.
 Para prevenir los corto circuitos, asegurarse de que no existan
fuentes de líquidos cerca de las conexiones eléctricas.
 El Cuarto de Servidores, debe contar con una caja principal de
corriente.
 Prohibición total de fumar en el área sensible.
 Contar con vigilancia las 24 horas al día
Acciones de Recuperación  En ese momento cualquiera sean los procesos que se estén
ejecutando se deberá enviar un mensaje (si el tiempo lo
permite) de "Salir de Red y Apagar Computador".
 Seguidamente apagar los servidores.
 Proveer cubiertas protectoras para cuando el equipo esté
apagado.
 Se apagará (poner en OFF) la caja principal de corriente del
cuarto de servidores.
 Si se trata de un incendio de mediana magnitud, se debe
tratar en lo posible de trasladar el servidor fuera del local.
 Una vez obtenido el equipo de características similares al
servidor instalar los programas y servicios por medio de los
Backups de los sistemas necesarios.
 Contar con una Localidad Alterna, donde puedan reiniciarse
las acciones laborales en caso de inhabilitación del local
institucional

Factores de Servicios
Riesgo Corte Prolongado de la energía eléctrica
Probabilidad de ocurrencia Mediana
Efecto  Paralización total de las actividades de la Emapisco S.A.
 Servicio restringido, se mantendría la operatividad con
equipamiento mínimo.
Medidas de Previsión  Contar con un grupo electrógeno capaz de suministrar energía
a todos los equipos involucrados.
 Otorgar mantenimiento preventivo mensual de todo el equipo
relacionado.
Acciones de Recuperación  Poner en funcionamiento una fuente de energía alternativa
para la alimentación de equipos del cuarto de servidores.
 Distribuir la energía eléctrica que provee el grupo electrógeno
por áreas, de acuerdo a lo crítico de su actividad.

Riesgo Caídas de circuitos integrados


Probabilidad de ocurrencia Mediana
Efecto  Se produciría una paralización de los servicios de
telecomunicaciones.
 Interrupción del servicio de correo electrónico.
 Imposibilidad de acceso a internet.
Medidas de Previsión  De acuerdo al tipo de equipo contar como mínimo con un
equipo de backup para su reemplazo, en caso de que sea
necesario.
 Contar con un UPS exclusivo para el cuarto de servidores.
Acciones de Recuperación  Realizar los procedimientos establecidos para verificar si el
corte es producido por la empresa de telecomunicaciones o
fallas en los equipos de comunicaciones.
 Coordinar con la empresa de telecomunicaciones la reposición
del servicio o enmendar la falla del equipo de comunicaciones.

Factores de Sistemas

Riesgo Falla en componentes de la red de comunicación de datos


Probabilidad de ocurrencia Mediana
Efecto  Fallas en switches principales paralizarían la red totalmente,
hasta su reemplazo.
 Fallas en las controladoras de redes de estaciones de trabajo
é impresoras paralizarían el trabajo de la estación de la
controladora de red afectada, hasta su reemplazo (hardware).
Medidas de Previsión  Contar con mantenimiento preventivo para equipos de
comunicaciones. Se deberá estar en capacidad de reemplazar
temporalmente un dispositivo afectado hasta su reparación.
 Mantener un stock mínimo de controladores de red y
dispositivos de comunicaciones que garanticen el reemplazo
inmediato de los equipos afectados.
 Mantenimiento periódico del circuito de toma a tierra
 Contar con un UPS exclusivo para los equipos de
comunicaciones.

Riesgo Desperfectos en estaciones de trabajo y/o impresoras de las áreas


Usuarias
Probabilidad de ocurrencia Mediana
Efecto Imposibilidad de disponer de información en forma oportuna.
Medidas de Previsión  Si son fallas pequeñas el usuario deberá estar capacitado
para darle solución en tal caso.
 Se deberá contar con mantenimiento preventivo y correctivo
para los equipos de cómputo (por la misma institución u
outsorcing). Se deberá estar en capacidad de reemplazar
temporalmente el equipo averiado hasta su reparación.
 Las áreas usuarias deberán respetar estrictamente el
calendario de mantenimiento preventivo, lo cual servirá para
evaluar el estado de los dispositivos.
 Durante el mantenimiento, se recomienda la permanencia del
personal de la Oficina a cargo, para el asesoramiento
respectivo.
Riesgo Fallas en los Servidores
Probabilidad de ocurrencia Mediana
Efecto Paralización de atención a usuarios internos y externos, que
utilicen las aplicaciones de los servidores.
Medidas de Previsión  Contar con mantenimiento de hardware y software tanto
preventivo como correctivo (preferentemente outsorcing).
 El proveedor del servicio de mantenimiento deberá estar en la
capacidad de tener un tiempo de respuesta máximo de 1 hora,
producida la llamada de reporte de falla
 El proveedor deberá tener un tiempo máximo de reparación de
5 horas.
 Contar con un equipo que tenga características suficientes
para reemplazar el equipo afectado por otro, con las
condiciones mínimas para mantener la operatividad.
 Los servidores contarán con UPS con una autonomía de 2
horas, lo que protegerá de fallas producidas por
anormalidades en la provisión de energía eléctrica.
 Contar con una política de backup para recuperar la
información, de ser el caso.

Riesgo Daños en los archivos de los sistemas mecanizados producido por


fallas de hardware
Probabilidad de ocurrencia Mediana
Efecto  La pérdida total o parcial de datos ocasionaría problemas en
la atención en línea y en la disponibilidad de la información.
 Paralización temporal en la atención de usuarios internos y
externos.
Medidas de Previsión  Implementar una política de respaldo de información, teniendo
en consideración el volumen de ésta, frecuencia de
actualización, frecuencia de consulta, usuarios.
 Realizar mantenimiento periódico a los dispositivos para las
copias de seguridad, reemplazando las unidades defectuosas.
 Almacenar los cartuchos de backup en un lugar que reúna las
 condiciones mínimas para su conservación
 Contar con almacenamiento externo para copias de
seguridad.

Riesgo Daños en los archivos por virus informáticos


Probabilidad de ocurrencia Alta
Efecto  Paralización de los servidores y estaciones de trabajo al
atacar el virus al sistema operativo.
 Destrucción y alteración de archivos causando paralización
temporal de las actividades.
Medidas de Previsión  Restringir el uso libre de CDs y dispositivos usb, al ser los
principales medios de contaminación.
 Contar con Software Antivirus, instalando en cada servidor de
aplicación y estación de trabajo.
 Contar con una política de actualización continua de Antivirus.
 Tener como norma la revisión con Software Antivirus de todos
los archivos provenientes desde el exterior de Emapisco S.A.,
vía diskette, Cd, dispositivo USB, correo electrónico, internet,
etc.

Factores de Recursos Humanos

Riesgo Ausencia de personal


Probabilidad de ocurrencia Mediana
Efecto  En el caso que el personal encargado del adecuado
funcionamiento del sistema no pudiera presentar a laborar, se
podría ver afectada la operatividad del mismo y no se daría
una adecuada atención a los usuarios.
 El manejo de los sistemas por personal no capacitado podría
causar daños a los archivos, equipos y otros dispositivos que
requieren entrenamiento para su operación.
Medidas de Previsión  Implementación de manuales de operaciones y
procedimientos en los que se señalen claramente todas las
labores diarias que se llevan a cabo por cada proceso
operativo del sistema.
 Aplicación de políticas de rotación para que cada persona esté
familiarizada con las distintas labores que se llevan a cabo en
cada área.
 Contar con el número adecuado de personal encargado del
funcionamiento del sistema (de tal manera que si una persona
no se presenta, las labores no se verían afectadas en alto
grado).
 El personal a contratarse, así como el personal practicante,
deberá en lo posible tener disponibilidad para presentarse al
centro de trabajo fuera del horario establecido como laborable,
en caso sea necesario.

Riesgo Acceso de personas no autorizadas a los sistemas implementados


Probabilidad de ocurrencia Mediana
Efecto  La manipulación del sistema por personas no autorizadas
puede generar graves problemas, desde causar desperfectos
en el funcionamiento hasta incluir modificaciones al mismo.
Medidas de Previsión  Cuando un empleado renuncie o salga de vacaciones, su
clave de acceso deberá ser desactivada del sistema para
evitar que en su ausencia otra persona pueda acceder al
mismo y manipular los dispositivos.
 Toda modificación de la estructura de la información en las
bases de datos deberá ser autorizada por el jefe de la Oficina
 de Sistemas de Emapisco S.A.
 El uso de passwords personales para la operación de los
sistemas será responsabilidad y uso exclusivo del dueño del
password, puesto que cada acceso será grabado en una
bitácora.
 Política mensual de expiración de password a usuario.
 Se recomienda que todo password tenga una longitud mínima
de seis caracteres alfanuméricos.
 El acceso al cuarto de servidores de Emapisco S.A., debe
estar restringido sólo al personal autorizado por la Jefatura de
la Oficina de Sistemas de Emapisco S.A.

XII. PLAN DE PRUEBAS Y MANTENIMIENTO


Tiene por objetivo probar que el Plan de Contingencias funcione, pues “Probar es convertir el
Plan de Contingencias de la empresa, de un concepto planeado a una realidad”

XII.1. Generalidad de la prueba


- La prueba simulara una “caída total” del servidor de la red y de algunos periféricos
de tal manera que en nuestro supuesto desastre quedaran inutilizados los siguientes
equipos:
- Servidor de la Red
- Estaciones de Trabajo de Facturación
- Estaciones de trabajo de Recaudación y Cobranza
- Estaciones de trabajo de Contabilidad General

XII.2. Recursos
- Se Verificara que el tiempo de los procesos este dentro de lo esperado por el área
usuaria.
- Para ejecución la prueba se deberá de seleccionar aquellos equipos de computo que
tenga las características mas similares posibles a los computadores supuestamente
inutilizados.
- Se contara con los dispositivos de almacenamiento de las copias de respaldo
XII.3. Actividades
- Anotación de los tiempos de inicio y final de la prueba
- Instalación del Servidor de la Red.
- Conexión de las Estaciones de Trabajo
- Instalación de software, aplicativos y base de datos.
- Prueba lo que instalado funciona
- Conclusiones y recomendaciones para mejorar y actualizar el Plan de contingencia
- Generar un documento con el resultado de la persona

XIII. EJECUCION DEL PLAN CONTINGENCIAS


XIII.1.En Contingencia Menores
- Comunicación inmediata al Jefe de la Oficina de Informática.
- Se identifica la emergencia y luego los procesos y archivos críticos que son
afectados.
- El analista programador o técnico informático adoptara las decisiones para el uso de
los recursos internos y/o ejecución de backups.
- Se realizara un informe para que en lo posible se corrija y/o evidente las
contingencias menores presentadas.

XIII.2.En Contingencias Mayores


- Comunicación inmediata al jefe de informática y al Gerente General.
- El jefe de la oficina de Informática tomara la dirección del plan de Contingencias y se
procederá a hacer uso de la instalación de la ¨Localidad Alterna¨.
- El jefe de la Oficina de Informática identificara el problema y realizara una evaluación
de la magnitud de la contingencia.
- Se adoptara todas las medidas de seguridad en emergencia.
- Una vez superada la emergencia se realizara un informe para luego proceder a una
recuperación local.

PLAN DE MANTENIMIENTO PREVENTIVO A EQUIPOS


INFORMÁTICOS 2013

Teniendo en cuenta que el objetivo del proceso de Gestión de


Tecnologías de Información y Comunicaciones es desarrollar,
implementar, mantener y gestionar la plataforma tecnológica existente
en la institución y asesorar la adquisición e implementación de nuevas
tecnologías de información y Comunicaciones que brinden soluciones
eficaces a las necesidades de los procesos académicos y administrativos
de la comunidad universitaria y servicios a la comunidad en general y el
objetivo del procedimiento de Soporte Técnico a equipos informáticos y
puntos de red es asegurar que los equipos informáticos y puntos de red
de la institución operen en óptimas condiciones con el propósito de
garantizar el normal desarrollo de las actividades de la comunidad
universitaria y en aras del mejoramiento continuo, se hace necesario
elaborar e implementar del Plan de mantenimiento preventivo a los
equipos informáticos de la institución.
Es importante destacar que el no realizar mantenimientos preventivos a
los equipos de cómputo puede ocasionar daños irreversibles
ocasionando altos costos a la institución, por lo que se vuelve necesario
e indispensable mantener una programación como mecanismo de
prevención a posibles daños

1. OBJETIVO

Realizar mantenimiento preventivo a los equipos informáticos con el


propósito de determinas las condiciones de operación de los mismos y
disminuir posibles daños ocasionados por factores de falta de limpieza y
atención de fallos.

2. BENEFICIOS DE LOS MANTENIMIENTOS PREVENTIVOS

Ampliar la vida útil y mantener en óptimas condiciones de operatividad


los equipos de cómputo y así mejorar su rendimiento.

Disminuir costos, aumentar eficiencia y eficacia en el soporte técnico


de los equipos.

Realizar y mantener actualizado el inventario de los equipos.

3. ALCANCE:

Se realizará mantenimiento preventivo a todos los equipos de cómputo


de la Empresa.

4. PLAN DE MANTENIMIENTOS PREVENTIVOS

La Gerencia de Tecnología de Información planificará el mantenimiento


preventivo tomando como base el inventario actualizado de los equipos
de cómputo activos con que cuenta la Empresa.
Responsable del Plan
Jefe de Informática

Responsable de la Ejecución del Plan

Coordinador de Área de Soporte Técnico

4.1 Actividades a Realizar

1. Verificar que el equipo tenga su respectivo código de inventario que


compruebe que es de propiedad de Emapisco S.A.

2. Verificar los equipos de cómputo que tengan vigentes las garantías


para en caso de ser necesario gestionar ante el proveedor

3. Verificar el estado actual del equipo, al momento de realizar el


mantenimiento

4. Iniciar el proceso de limpieza eliminando residuos de polvo de cada


una de las partes de los equipos de cómputo e impresoras.

5. Comprobar el estado del Antivirus, instalar y/o actualizarlo con el


licenciamiento de la empresa. Luego eliminar virus y malwares alojados
en el equipo.

6. Desinstalar todo software que no esté debidamente licenciado por la


Empresa y dejar constancia de su desinstalación debidamente informado
por el responsable del equipo de cómputo.

7. En caso de encontrar un daño o desperfecto que amerite remplazo o


compra de partes, en la ejecución del mantenimiento preventivo, será
necesario realizar un mantenimiento correctivo. Para esto el personal de
soporte técnico levantará el reporte técnico de diagnóstico que justifique
dicho cambio.

4.2 Recomendaciones Usuarios Finales

Una vez terminada la parte técnica del mantenimiento, el Técnico


realizará a los usuarios finales, unas recomendaciones mínimas que
contribuyen a la conservación del estado de los equipos:

1. No ingerir alimentos y bebidas en el área donde utilice equipo de


cómputo
2. No apagar el equipo, sin antes salir adecuadamente del sistema
3. Hacer buen uso de los recursos de cómputo
4. Realizar respaldos de información crítica periódicamente
5. Consultar con el personal del área de soporte técnico cualquier duda o
situación que se presente relacionada con los equipos informáticos.
6. Cuidar las condiciones físicas de limpieza donde se encuentre el
equipo
7. Ningún usuario puede instalar ningún tipo de software en los equipos
de propiedad de Emapisco. Esta actividad es competencia únicamente
del equipo de soporte técnico previa verificación de la existencia del
licenciamiento.

4.3 Tiempo de Operación

Como el trabajo que se realiza en cada equipo de cómputo es detallado,


se estima el tiempo en promedio 45 min por equipo. Los mantenimientos
se realizarán teniendo en cuenta las fechas establecidas en el presente
plan y será previamente comunicado a los usuarios del servicio.

4.4 Cronograma de ejecución

SEMESTRE B DE 2013

AREA FECHA
Secretaria de Gerencia Del 01 al 03 de Agosto
Logística Del 05 al 07 de Agosto
Recursos Humanos Del 08 al 10 de Agosto
Planeamiento Del 12 al 14 de Agosto
Informática Del 15 al 17 de Agosto
Contabilidad y Administración Del 19 al 21 de Agosto
Asesoría legal e Imagen Del 22 al 24 de Agosto
Catastro Del 25 al 27 de Agosto
Laboratorio Del 29 al 31 de Agosto
Operacional Del 01 al 03 de Septiembre
Comercial Del 05 al 07 de Septiembre
Atención al cliente Del 08 al 10 de Septiembre

SEMESTRE C DE 2013

AREA FECHA
Secretaria de Gerencia Del 01 al 03 de Octubre
Logística Del 04 al 05 de Octubre
Recursos Humanos Del 08 al 10 de Octubre
Planeamiento Del 11 al 12 de Octubre
Informática Del 16 al 17 de Octubre
Contabilidad y Administración Del 19 al 21 de Octubre
Asesoría legal e Imagen Del 23 al 24 de Octubre
Catastro Del 25 al 26 de Octubre
Laboratorio Del 30 al 31 de Octubre
Operacional Del 01 al 03 de Noviembre
Comercial Del 05 al 07 de Noviembre
Atención al cliente Del 08 al 10 de Noviembre
AREA FECHA
Secretaria de Gerencia Del 02 al 03 de Diciembre
Logística Del 05 al 07 de Diciembre
Recursos Humanos Del 09 al 10 de Diciembre
Planeamiento Del 12 al 14 de Diciembre
Informática Del 16 al 17 de Diciembre
Contabilidad y Administración Del 19 al 21 de Diciembre
Asesoría legal e Imagen Del 23 al 24 de Diciembre
Catastro Del 25 al 26 de Diciembre
Laboratorio Del 30 al 31 de Diciembre
Operacional Del 01 al 03 de Enero 2014
Comercial Del 05 al 07 de Enero 2014
Atención al cliente Del 08 al 10 de Enero 2014

XIV. CONCLUSIONES
Un Plan de Contingencia considera una "Planificación de la Contingencia" así como un
conjunto de "Actividades" las que buscan definir y cumplir metas que permitan a cada
Departamento de Emapisco S.A. controlar el riesgo asociado a una contingencia.
Agradecemos la diligencia que la Gerencia General y el Directorio de Emapisco S.A.
Invertirá en este aspecto tan importante del manejo de contingencias informáticas, el que
sabemos valorará en la eventualidad de una contingencia mayor.

ING. ANIVAL SALAS PEREZ


JEFE DE INFORMATICA

Вам также может понравиться