Sie sind auf Seite 1von 14

Plan de Contingencia

GESTIÓN DE SERVICIOS INFORMÁTICOS –


ATENCIÓN A USUARIOS

© MIES PROGRAMA DE PROTECCIÓN SOCIAL


Marzo, 2011

Ing. Christian Molina


Área de Gestión de Servicios
Dirección de Tecnologías de la Información

Este documento contiene información de propiedad exclusiva. La misma que se mantendrá de forma confidencial y reservada,
no pudiendo ser divulgada a personal interno o externo que no sean empleados o funcionarios autorizados del Programa de
Protección Social.
MANUAL DE TOTAL DE PÁGINAS:
PROCEDIMIENTO
ÁREA DE GESTIÓN DE CÓDIGO:
SERVICIOS MIES-PPS-DN-DTI-GS-001-2010
FECHA: SUB PROCESO: REVISIÓN:
QUITO, DICIEMBRE DE 2010 ATENCIÓN A USUARIOS VERSION 1.0 DIC/2010
ELABORADO: REVISADO: AUTORIZADO:

Ing. Christian Molina Ing. Fernando Rosero Eco. David Alomía Viver
Analista de Tecnologías de la Director de Tecnologías de la Director Nacional Programa de
Información Información Protección Social

TABLA DE CONTENIDO

TABLA DE CONTENIDO.................................................................................................... 1 
PLAN DE CONTINGENCIAS ............................................................................................... 3 
1. OBJETIVO GENERAL ..................................................................................................... 3 
1.1. OBJETIVOS ESPECIFICOS ......................................................................................... 3 
2. ALCANCE .................................................................................................................... 3 
3. RESPONSABILIDAD ....................................................................................................... 3 
4. BASE LEGAL ................................................................................................................. 4 
5. DEFINICIONES ............................................................................................................. 4 
5.1. CONTINGENCIA: ................................................................................................... 4 
5.2. PLAN DE CONTINGENCIAS: ..................................................................................... 4 
5.3. PLAN DE CONTINGENCIAS EN TECNOLOGÍAS DE LA INFORMACIÓN: .......................... 4 
DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN – PLAN DE CONTINGENCIAS

6. PLAN DE REDUCCIÓN DE RIESGOS ................................................................................. 4 


6.1. IDENTIFICACIÓN DE RIESGOS.................................................................................. 4 
6.2. SITUACIÓN ACTUAL............................................................................................... 5 
6.2.1. GENERALES:.................................................................................................... 6 
6.2.2. ROBO COMÚN: ............................................................................................... 6 
6.2.3. VANDALISMO: ................................................................................................. 6 
6.2.4. FALLA DE EQUIPOS: ......................................................................................... 6 
6.2.5. DAÑO POR VIRUS: ........................................................................................... 6 
6.2.6. EQUIVOCACIONES: ......................................................................................... 6 
6.2.7. TERREMOTO:.................................................................................................. 6 
6.2.8. ACCESO NO AUTORIZADO: .............................................................................. 6 
6.2.9. ROBO DE DATOS: ............................................................................................ 6 
6.2.10. FUEGO: ......................................................................................................... 7 
7. PLAN DE RECUPERACIÓN DE DESASTRES........................................................................ 7 
7.1. ACTIVIDADES PREVIAS AL DESASTRE ........................................................................ 7 
7.1.1. ESTABLECIMIENTO DEL PLAN DE ACCIÓN .......................................................... 7 
7.1.2. FORMACIÓN DE EQUIPOS OPERATIVOS ............................................................. 9 
7.1.3. FORMACIÓN DE EQUIPOS DE EVALUACIÓN ..................................................... 10 
7.2. ACTIVIDADES DURANTE EL DESASTRE ................................................................... 10 
7.2.1. PLAN DE EMERGENCIA ................................................................................... 10 

1
9. CONTROL DE CAMBIOS .............................................................................................. 12 

DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN – PLAN DE CONTINGENCIAS

2
PLAN DE CONTINGENCIAS

1. OBJETIVO GENERAL

El objetivo del presente Plan de Contingencia es establecer los procedimientos necesarios ante la
ocurrencia de eventos no favorables, para garantizar un nivel óptimo de disponibilidad de los sistemas de
información y/o la supervivencia del Programa de Protección Social, como institución, en caso de un
siniestro.

1.1. OBJETIVOS ESPECIFICOS

 Garantizar la continuidad de las operaciones de los elementos considerados críticos que


componen los Sistemas de Información y/o la Infraestructura Tecnológica con la cual cuenta el
Programa de Protección Social.

 Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que componen
un Sistema de Información y/o la Infraestructura Tecnológica con la cual cuenta el Programa de
Protección Social.

2. ALCANCE
DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN – PLAN DE CONTINGENCIAS

El presente Plan de Contingencia será de estricto cumplimiento y ejecución por todos los funcionarios
del Programa de Protección Social ante un evento inesperado que pudiese llegar a paralizar la ejecución
de las actividades computacionales que se encuentran actualmente instaladas en las dependencias de la
oficina matriz, en la ciudad de Quito, así como en las Unidades Operativas Provinciales a nivel nacional.

3. RESPONSABILIDAD

La Dirección de Tecnologías de la Información, con todas sus áreas internas, será responsable por el
buen y adecuado uso y puesta en marcha del Plan de Contingencias para salvaguardar los recursos y
servicios informáticos de los cuales dispone el Programa de Protección Social actualmente.

3
4. BASE LEGAL

La entrada en vigencia del presente Plan de Contingencias entra en vigencia desde el momento de su
aprobación por parte del Director Nacional del Programa de Protección Social y es de aplicación
universal y no hace excepciones de funcionario o nivel jerárquico. Debe indicarse de igual forma que el
desconocimiento de esta norma de ninguna manera exime de su cumplimiento a todos los funcionarios
del Programa de Protección Social.

5. DEFINICIONES

5.1. CONTINGENCIA: Puede definirse como un evento o suceso que ocurre en la mayoría de los
casos en forma repentina o inesperada, y causa alteraciones en los patrones normales de vida o actividad
humana.

5.2. PLAN DE CONTINGENCIAS: Un plan de contingencias establece un conjunto de acciones,


que permiten reaccionar eficazmente a cualquier interrupción del conjunto de procesos de un área
específica implantando soluciones reales para restablecer dichos procesos minimizando el impacto en las
actividades de toda la organización.
Los planes de contingencia no evitan los desastres sino que proveen alternativas para garantizar la
continuidad de los procesos afectados ante un siniestro o una interrupción prolongada de operaciones.
Los planes de contingencia conforman un subsistema de la administración de riesgos de la entidad, donde
se debe tener claro que los riesgos no se pueden eliminar, si no que se administran.

DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN – PLAN DE CONTINGENCIAS


5.3. PLAN DE CONTINGENCIAS EN TECNOLOGÍAS DE LA INFORMACIÓN: Su
finalidad es la de reducir el impacto que pueda provocar un desastre y posteriormente restablecer el
nivel de operación del ambiente tecnológico informático.
Igualmente establece controles y políticas, que minimizan los riesgos informáticos que generan
contingencias.

6. PLAN DE REDUCCIÓN DE RIESGOS

6.1. IDENTIFICACIÓN DE RIESGOS

A continuación, a nivel de seguridad informática, se identifican ciertos riesgos a los cuales podría verse enfrentado
el Programa de Protección Social.

4
a) Al fuego que puede destruir los equipos informáticos y archivos físicos y/o digitales de la institución.

b) Al robo común, llevándose los equipos informáticos y archivos físicos y/o digitales de la institución.

c) Al vandalismo, que dañen los equipos informáticos y archivos físicos y/o digitales de la institución.

d) A fallas en los equipos informáticos, que dañen los archivos digitales de la institución

e) A equivocaciones, que dañen los archivos físicos y/o digitales de la institución

f) A la acción de virus, que dañen los equipos informáticos y archivos digitales de la institución.

g) A terremotos que dañen los equipos informáticos y archivos físicos y/o digitales de la institución.

h) A acceso no autorizados, filtrándose datos no autorizados de la institución.

i) Al robo de datos, difundiendo los datos sin la autorización correspondiente por parte de la máxima
autoridad de la institución.

Para cada riesgo se ha determinado la probabilidad del factor de riesgo, de la siguiente manera:

TIPO DE RIESGO FACTOR DE RIESGO

Robo Medio

Vandalismo Bajo

Fallas en los equipos Medio

Acciones de virus Medio


DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN – PLAN DE CONTINGENCIAS

Equivocaciones Medio

Terremotos Bajo

Accesos no autorizados Medio

Robo de datos e información Bajo

Fuego Medio

Fugas de agua Alto

6.2. SITUACIÓN ACTUAL

Actualmente el Programa de Protección Social cuenta con las siguientes medidas de resguardo:

5
6.2.1. GENERALES: Se hace una copia diaria de los archivos y bases de datos que son de vital y
crucial importancia para la ejecución de las actividades diarias de la institución.

6.2.2. ROBO COMÚN: Se cierran las puertas de entrada y ventanas, de la Oficina Matriz y de las
Unidades Operativas Provinciales del Programa de Protección Social, y de forma general cada
funcionario es responsable de los activos que se encuentran asignados por parte de la institución.

6.2.3. VANDALISMO: Se cierra la puerta de entrada, de la Oficina Matriz y de las Unidades


Operativas Provinciales del Programa de Protección Social.

6.2.4. FALLA DE EQUIPOS: Se tratan con cuidado y se realiza, en forma regular, el


mantenimiento preventivo y/o correctivo de los equipos informáticos tanto de los equipos informáticos
ubicados en la Oficina Matriz como los ubicados en las Unidades Operativas Provinciales.

6.2.5. DAÑO POR VIRUS: Todo el software institucional así como los archivos digitales, de
clientes internos como externos, se analiza utilizado el software de antivirus adquirido por la institución.

6.2.6. EQUIVOCACIONES: Los funcionarios que prestan sus servicios para el Programa de
Protección Social tienen una formación y conocimientos informáticos acorde a las funciones que
desempeñan.

DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN – PLAN DE CONTINGENCIAS


6.2.7. TERREMOTO: El Programa de Protección Social deberá contar con los stickers de ZONA
SEGURA, los mismos que deben estar ubicados, en cada piso, EN CASOS DE SISMO en lugares
estratégicos designados por la Defensa Civil.

6.2.8. ACCESO NO AUTORIZADO: Cada uno de los usuarios tienen una clave de acceso única
para poder acceder tanto al computador, red, perfil personal por equipo asignado así como claves de
acceso para todos y cada uno de los aplicativos informáticos (sistemas de información) que necesitan para
realizar sus actividades laborales.

6.2.9. ROBO DE DATOS: Se cuenta con claves de acceso personales tanto al computador como a
los sistemas de información.

6
6.2.10. FUEGO: En la actualidad se cuenta con extinguidores instalados en sitios estratégicos y se ha
brindado entrenamiento al personal en forma periódica en el manejo de los mismos.

7. PLAN DE RECUPERACIÓN DE DESASTRES

Cuando ocurre una contingencia es esencial que se conozca al detalle el motivo que la origino y el daño
producido lo que permitirá recuperar en el menor tiempo posible el proceso perdido.
La elaboración de los procedimientos que se determinen como adecuados para un caso de emergencia
deben de ser planteados y probados fehacientemente, en estos procedimientos está involucrados todo el
personal de la institución. Los procedimientos de planes de recuperación de desastres deben de emanar
de la misma autoridad institucional, para garantizar su difusión y estricto cumplimiento.
Las actividades a realizar en un plan de recuperación de desastres se pueden clasificar en tres etapas:
a) Actividades previas al desastre.
b) Actividades durante el desastre.
c) Actividades después del desastre.

7.1. ACTIVIDADES PREVIAS AL DESASTRE

Son todas las actividades de planeamiento, preparación, entrenamiento y ejecución de las actividades de
DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN – PLAN DE CONTINGENCIAS

resguardo de la información, que nos aseguren un proceso de recuperación con el menor costo posible al
Programa de Protección Social. Podemos detallar las siguientes actividades generales:

7.1.1. ESTABLECIMIENTO DEL PLAN DE ACCIÓN

En esta fase de planeamiento se debe establecer los procedimientos relativos a:


a) Sistemas de Información
b) Equipos de Cómputo
c) Obtención y almacenamiento de los respaldos de información (Backups)
d) Políticas (Norma y Políticas de Backups)

7
7.1.1.1. SISTEMAS DE INFORMACIÓN

El funcionario encargado del Área de Desarrollo de Software debe de establecer como regla interna, que
debe dar a conocer a las personas encargadas de la utilización de los sistemas de información de trabajo
institucional cualquier tipo de actualización realizada a los sistemas. Esta relación debe contar con los
siguientes datos:

 Nombre del Sistema de Información

 Lenguaje o paquete con el que fue creado el sistema de información, detallando los diagramas,
programas fuente, objetos, rutinas, macros, etc.

 El nombre de la persona que generó la actualización de la información base.

 Las unidades o departamentos (internos / externos) que usan la información del sistema.

 El volumen de transacciones diarias, semanales y mensuales que maneja el sistema.

 El equipamiento necesario para un manejo óptimo del sistema, las fechas en las que la
información es necesitada con carácter de urgencia.

 El nivel de importancia estratégica que tiene la información de este sistema, para el Programa de
Protección Social (medido en horas o días que la institución puede funcionar adecuadamente sin
disponer de la información del sistema). Equipamiento mínimo necesario para que el sistema
siga funcionando.

 Actividades a realizar para volver a contar con el sistema de información (actividades de


restauración).

DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN – PLAN DE CONTINGENCIAS


En función de lo anteriormente descrito a continuación se lista, según prioridad, los sistemas de
información necesarios para que el Programa de Protección Social pueda recuperar su operatividad
perdida en el desastre.

SISTEMA DE INFORMACIÓN PRIORIDAD

Red de Protección Solidaria Alta

Cobertura de Protección Familiar Alta

Bono de Desarrollo Humano Media

Crédito de Desarrollo Humano Media

Asignación de Turnos CDH Media

Administración de Personal y Baja


Viáticos

8
Biblioteca Baja

Gestión Documental “Quipux” Baja

7.1.1.2. EQUIPOS DE CÓMPUTO

En este aspecto se deberá tener en cuenta lo siguiente: inventario actualizado de los equipos de manejo
de información (computadoras, escáner, impresoras, etc.), especificando su contenido y condición,
(software que usa, principales archivos que contiene), su ubicación y nivel de uso en el Programa de
Protección Social.

 Pólizas de seguros comerciales. Como parte de los activos institucionales, pero haciendo la
salvedad en el contrato, que en caso de siniestros, la restitución del computador siniestrado se
podrá hacer por otro de mayor potencia (por actualización tecnológica), siempre y cuando este
dentro de los montos asegurados.

 Señalización o etiquetado de los computadores, de acuerdo a la importancia de su contenido,


para ser priorizados en caso de evacuación. Por ejemplo etiquetar (colocar una etiqueta) de
color rojo a los servidores, color amarillo a las PC´s con información importante o estratégica, y
color verde a las PC´s de contenidos normales.

 Tener siempre actualizada una relación de Pc´s requeridas como mínimo para cada sistema
permanente de la institución (que por sus funciones constituyen el eje central de los sistemas
informáticos del Programa de Protección Social).
DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN – PLAN DE CONTINGENCIAS

7.1.2. FORMACIÓN DE EQUIPOS OPERATIVOS

En cada unidad operativa del Programa de Protección Social que almacena información y sirva para la
operatividad de la institución, se deberá designar un responsable de la seguridad de la información de su
unidad, pudiendo ser el jefe de dicha área operativa o su delegado, sus labores serán:

 Ponerse en contacto con los propietarios de las aplicaciones y trabajar con ellos.

 Supervisar procedimientos de respaldo y restauración.

 Supervisar la carga de archivo de datos de las aplicaciones y la creación de los respaldos


adicionales.

 Participar en las pruebas y simulacros de desastres.

9
7.1.3. FORMACIÓN DE EQUIPOS DE EVALUACIÓN

Esta función debe ser realizada de preferencia por personal de la Dirección de Tecnologías de la
Información, debiendo establecerse claramente sus funciones, responsabilidades y objetivos:

 Revisar que las normas y procedimientos con respecto a BACKUPS, seguridad de equipos y data
se cumpla.

 Supervisar la realización periódica de los BACKUPS por parte de los equipos operativos,
comprobando físicamente su relación, adecuando registro y almacenamiento.

 Informar de los cumplimientos e incumplimientos de las normas para las acciones de corrección
respectiva.

7.2. ACTIVIDADES DURANTE EL DESASTRE

7.2.1. PLAN DE EMERGENCIA

En este plan se establecen las acciones que deben realizar cuando se presente un siniestro, así como la
difusión de las mismas. Es conveniente prever los posibles escenarios de ocurrencia del siniestro:
a) Durante el día.
b) Durante la noche o madrugada.

DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN – PLAN DE CONTINGENCIAS


Este plan deberá incluir la participación y actividades a realizar por todas y cada una de las personas que
se pueden encontrar presentes en el área donde ocurre el siniestro, debiendo detallar:

 Vías de salida y de escape.

 Plan de evacuación del personal.

 Plan de puesta a buen recaudo de los activos (incluyendo los activos de información) del
Programa de Protección Social (si las circunstancias del siniestro lo posibilitan).

 Ubicación y señalización de los elementos contra el siniestro (extinguidores, cobertores contra


agua, etc.).

 Relación o lista de teléfonos de bomberos, ambulancia, seguridad, y del personal institucional


nombrados para este caso.

10
7.2.2. FORMACIÓN DE EQUIPOS

Establecer claramente cada equipo (nombres, puestos, ubicación, etc.), con funciones claramente
definidas a ejecutar durante el siniestro.
Deberán existir dos equipos de personas que actúen directamente durante el siniestro, un equipo para
combatir el siniestro y otro para el salvamento de los recursos informáticos de acuerdo a los
lineamientos para salvar los equipos señalados en establecimiento del plan de acción. (Equipos de
cómputo).

7.2.3. ENTRENAMIENTO

Establecer un programa de prácticas periódicas de todo el personal en la lucha contra los diferentes tipos
de siniestros de acuerdo a los roles que se les haya asignado en los planes de evacuación del personal o
equipos, para minimizar costos se puede aprovechar fechas de recarga de extinguidores, charlas de los
proveedores, etc.

7.3. ACTIVIDADES DESPUÉS DEL DESASTRE

Después de ocurrido el siniestro es conveniente realizar lo siguiente:


DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN – PLAN DE CONTINGENCIAS

7.3.1. EVALUACIÓN DE LOS DAÑOS

Inmediatamente después que el siniestro ha ocurrido se deberá evaluar la magnitud del daño que se a
producido, que sistemas se están afectando, que equipos han quedado no operativos, cuales e pueden
recuperar y en cuanto tiempo, etc.
Adicionalmente se debe lanzar un pre- aviso a la empresa o institución de seguros con la cual tengamos el
convenio de respaldo para ir avanzando en las labores de preparación de entrega de los equipos por dicha
institución.
Terminada la evaluación de resultados se deberá de optimizar el plan de acción original mejorando las
actividades que tuvieron algún tipo de dificultad y reforzando los elementos que funcionaron
adecuadamente y evaluar el costo que habría causado la contingencia de no haber contado con el plan de
contingencias y el entrenamiento adecuado.

11
7.3.2. PRIORIZACIÓN DE ACTIVIDADES DEL PLAN DE ACCIÓN

Toda vez que el plan de acción contempla una perdida total, la evaluación de daños reales y su
comparación contra un plan determinado nos dará la lista de las actividades que debemos realizar
siempre priorizándola en vista a las actividades estratégicas y urgentes de nuestra empresa.

DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN – PLAN DE CONTINGENCIAS


9. CONTROL DE CAMBIOS

NÚMERO DESCRIPCIÓN FECHA

Versión 1.0 Versión Inicial del Manual de Procedimiento Diciembre de 2010

12
DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN – PLAN DE CONTINGENCIAS

Digitally signed by CHRISTIAN RUBEN


MOLINA CAZA
Date: 2011.03.25 16:52:28 COT

13