Vous êtes sur la page 1sur 36

Código: PL-GT-12-02

Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 1 de 36

Firma de Autorizaciones

Elaboró Revisó Aprobó

Profesional Especializado Jefe Oficina Asesora de Representante para la Alta


222-04 Oficina Asesora de Planeación Dirección del Sistema
Planeación Integrado de Gestión

Control de Cambios

Fecha Descripción

Mayo de 2010 Actualización del Documento

Diciembre de 2013 Actualización del Documento

Julio de 2015 Actualización del Documento

Aprobado por el Comité Interno de Sistemas mediante Acta No. 03 de 2015

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 2 de 36

CONTENIDO

1. OBJETIVO ............................................................................................................. 4
1.1. Objetivo General ............................................................................................. 4
1.2. Objetivos Específicos ..................................................................................... 4
2. ALCANCE.............................................................................................................. 4
3. DEFINICIONES TÉCNICAS .................................................................................. 5
4. REFERENCIA NORMATIVAS ............................................................................... 7
ANÁLISIS DE LA SITUACIÓN ACTUAL DE LOS SISTEMAS DE INFORMACIÓN ...... 8
1.1 PRESENTACIÓN ................................................................................................ 8
1.2 PREMISAS DE PARTIDA ................................................................................... 8
1.3 FUNCIONES DE LA DIRECCIÓN ....................................................................... 9
1.3.1. Informe a Dirección.................................................................................. 9
ANÁLISIS DE IMPACTO ............................................................................................ 11
2.1. IMPACTO Y TIEMPOS DE RECUPERACIÓN ............................................. 11
2.1.1. Impactos más comunes y tiempos de recuperación ................................... 11
2.2. RESUMEN PARA LA DIRECCIÓN ............................................................... 13
2.2.1. Objetivos del análisis ............................................................................. 13
2.2.2. Alcance del Análisis ............................................................................... 13
ESTRATEGIA DE CONTINGENCIA ........................................................................... 17
3.1. EMPRESAS DE SERVICIO........................................................................... 17
3.2. COMUNICACIONES ALTERNATIVAS ............................................................. 17
3.3. PROCEDIMIENTO DE BACKUP O COPIA DE SEGURIDAD .......................... 17
3.4. CENTRO DE ALMACENAMIENTO EXTERNO ................................................ 18
3.4.1. Solución propia .......................................................................................... 18
EQUIPOS DE RECUPERACIÓN ................................................................................ 20
4.1. COMPOSICIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS ...... 20
4.2. FUNCIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS ................. 21
PLAN DE ACCIÓN ..................................................................................................... 22
5.1. DEFINICIÓN DE DESASTRE ....................................................................... 22
5.2. ACTIVACIÓN DE PROCEDIMIENTOS DE EMERGENCIA .......................... 23
5.2.1. Notificación de primera alerta ................................................................ 23

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 3 de 36

5.2.2. Escalado de problemas ......................................................................... 24


INFORME DE EMERGENCIA ................................................................................. 27
5.2.3. Evaluación de daños ............................................................................. 28
5.3. PROCEDIMIETOS DE RESPUESTA ........................................................... 29
PRUEBAS Y ACTUALIZACIÓN .................................................................................. 32
6.1. PRUEBAS Y ENTRENAMIENTO DEL PLAN ................................................... 32
6.1.1. Revisiones periódicas ................................................................................ 32
6.1.2. Pruebas técnicas ...................................................................................... 32
6.2. MANTENIMIENTO DEL PLAN ......................................................................... 33
6.2.1. Actualizaciones .......................................................................................... 33
LISTA DE DISTRIBUCIÓN ......................................................................................... 35
BIBLIOGRAFÍA ........................................................................................................... 36

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 4 de 36

1. OBJETIVO

1.1. Objetivo General

Aumentar la probabilidad de recuperación en la continuidad de las operaciones en los


sistemas de información que el IDEP tiene en producción en el menor tiempo y
reduciendo el impacto en las operaciones del Instituto.

1.2. Objetivos Específicos

 Proporcionar un enfoque organizado y consolidado para dirigir actividades de


respuesta y recuperación ante cualquier incidente o interrupción de trabajo
imprevista, evitando confusión y reduciendo la situación de tensión.
 Proporcionar una respuesta rápida y apropiada a cualquier incidente imprevisto,
reduciendo así los impactos resultantes de interrupciones de trabajo a corto
plazo.
 Aumentar la probabilidad de continuidad del servicio informático de la
organización en caso de que un incidente interrumpa sus operaciones
normales.
 Reducir el tiempo de recuperación, y como consecuencia, las pérdidas
económicas, directas e inducidas, como resultado de un desastre.
 Realizar la recuperación de las funciones críticas, mediante el desarrollo de los
procedimientos necesarios para:
o Reducir la duración de la recuperación.
o Minimizar el coste de la recuperación.
o Evitar la confusión y reducir el riesgo de errores.
o Evitar la duplicación de esfuerzos.

2. ALCANCE

El Plan de Contingencia de los Sistemas de Información del IDEP está diseñado para
crear una situación de preparación que proporcione una respuesta inmediata diseñada
en función de una serie de posibles escenarios previamente definidos.

Es necesario definir las áreas del IDEP que van a estar relacionadas y deben ser
incluidas en el plan. Adicionalmente se debe distinguir las amenazas más probables y
descartar aquellas que, aún siendo posibles, su probabilidad de ocurrencia es muy
bajo.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 5 de 36

Se consideran los siguientes tipos de incidentes:


 Cualquier incidente externo o interno que pudiera potencialmente causar una
interrupción de las operaciones del negocio, tales como la pérdida de los
servicios de suministro eléctrico o de telecomunicaciones.
 Cualquier incidente que afecte al funcionamiento del hardware o del software y
que suponga una interrupción superior a las 24 horas.
 Cualquier incidente interno que pudiera potencialmente causar o afectar la
interrupción de las operaciones de los sistemas de información, como son la
falla en los servidores o puntos de conexión.
 Cualquier incidente que suponga la paralización de actividades de la
organización por motivos ajenos a la tecnología, tales como problemas
laborales propios o del sector o problemas laborales que afecten al área
geográfica donde se encuentra ubicada la organización.

Se descartan o son poco probables de suceder los siguientes tipos de incidentes:


 Los que causen un daño físico en las instalaciones o equipos, como fuego,
humo o daños por agua.
 Los que afecten de forma indirecta la posibilidad de acceso a las instalaciones,
como evacuación de emergencia por amenaza de bomba, o amenazas
externas tales como incendios en instalaciones cercanas, fuga de gases
tóxicos, etc.
 Desastres regionales no previstos o inesperados, que puedan causar daños en
las instalaciones y equipos e impedir el acceso normal al personal encargado o
quien haga sus funciones de las operaciones informáticas, aunque las
instalaciones estén intactas, tales como inundaciones, huracanes etc.

3. DEFINICIONES TÉCNICAS

Copias de seguridad (Backup): una copia de seguridad o backup (su nombre en


Inglés) en tecnología de la información o informática es una copia de seguridad - o el
proceso de copia de seguridad - con el fin de que estas copias adicionales puedan
utilizarse para restaurar el original después de una eventual pérdida de datos.

Disco duro: en informática, un disco duro o disco rígido (en inglés Hard Disk Drive,
HDD) es un dispositivo de almacenamiento de datos no volátil que emplea un sistema
de grabación magnética para almacenar datos digitales. Se compone de uno o más
platos o discos rígidos, unidos por un mismo eje que gira a gran velocidad dentro de
una caja metálica sellada. Sobre cada plato se sitúa un cabezal de lectura/escritura
que flota sobre una delgada lámina de aire generada por la rotación de los discos.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 6 de 36

Enrutador (router) : el enrutador (calco del inglés router), direccionador, ruteador o


encaminador es un dispositivo de hardware para interconexión de red de ordenadores
que opera en la capa tres (nivel de red). Un enrutador es un dispositivo para la
interconexión de redes informáticas que permite asegurar el enrutamiento de paquetes
entre redes o determinar la mejor ruta que debe tomar el paquete de datos.

Hardware: corresponde a todas las partes físicas y tangibles de una computadora: sus
componentes eléctricos, electrónicos, electromecánicos y mecánicos; sus cables,
gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento físico involucrado.

Hub: Concentrador. Dispositivo capaz de enlazar físicamente varios ordenadores de


forma pasiva, enviando los datos para todos los ordenadores que estén conectados,
siendo éstos los encargados de discriminar la información.

LAN: (Local Area Network - Red de Área Local). Interconexión de computadoras y


periféricos para formar una red dentro de una empresa u hogar, limitada generalmente
a un edificio.

Módem : Un módem es un dispositivo que sirve para enviar una señal llamada
moduladora mediante otra señal llamada portadora. Se han usado módems desde los
años 60, principalmente debido a que la transmisión directa de las señales
electrónicas inteligibles, a largas distancias, no es eficiente, por ejemplo, para
transmitir señales de audio por el aire, se requerirían antenas de gran tamaño (del
orden de cientos de metros) para su correcta recepción. Es habitual encontrar en
muchos módems de red conmutada la facilidad de respuesta y marcación automática,
que les permiten conectarse cuando reciben una llamada de la RTPC (Red Telefónica
Pública Conmutada) y proceder a la marcación de cualquier número previamente
grabado por el usuario. Gracias a estas funciones se pueden realizar automáticamente
todas las operaciones de establecimiento de la comunicación.

Plan de Contingencia: Conjunto de estrategias, acciones, procedimientos


planificados y responsabilidades definidas para minimizar el impacto de una
interrupción imprevista de las funciones críticas y conseguir la restauración de las
mismas, dentro de unos límites de tiempo establecidos. Sin que sea una regla general,
se suele aplicar al plan circunscrito a las actividades de los departamentos de
Sistemas de Información.

Red: Una red de computadoras, también llamada red de ordenadores o red


informática, es un conjunto de equipos informáticos conectados entre sí por medio de
dispositivos físicos que envían y reciben impulsos eléctricos, ondas electromagnéticas
o cualquier otro medio para el transporte de datos para compartir información y
recursos . Este término también engloba aquellos medios técnicos que permiten
compartir la información.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 7 de 36

Software: se conoce como software al equipamiento lógico o soporte lógico de una


computadora digital; comprende el conjunto de los componentes lógicos necesarios
que hacen posible la realización de tareas específicas, en contraposición a los
componentes físicos del sistema, llamados hardware.

Servidores: una aplicación informática o programa que realiza algunas tareas en


beneficio de otras aplicaciones llamadas clientes. Algunos servicios habituales son los
servicios de archivos, que permiten a los usuarios almacenar y acceder a los archivos
de una computadora y los servicios de aplicaciones, que realizan tareas en beneficio
directo del usuario final. Este es el significado original del término. Es posible que un
ordenador cumpla simultáneamente las funciones de cliente y de servidor.

S.O. (Sistema Operativo): un Sistema operativo (SO) es un software que actúa de


interfaz entre los dispositivos de hardware y los programas de usuario o el usuario
mismo para utilizar un computador. Es responsable de gestionar, coordinar las
actividades y llevar a cabo el intercambio de los recursos y actúa como intermediario
para las aplicaciones que se ejecutan.

Servidor espejo: con ese nombre se conoce a un procedimiento de protección de


datos y de acceso a los mismos en los equipos informáticos. Este sistema se
implementa en la tecnología de RAID 1.

Consiste en la idea básica de tener dos discos duros conectados. Uno es el principal y
en el segundo se guarda la copia exacta del principal, almacenando cualquier cambio
que se haga en tiempo real en las particiones, directorios, etc., creando imágenes
exactas, etc.

Telecomunicaciones: es una técnica consistente en transmitir un mensaje desde un


punto a otro, normalmente con el atributo típico adicional de ser bidireccional. El
término telecomunicación cubre todas las formas de comunicación a distancia,
incluyendo radio, telegrafía, televisión, telefonía, transmisión de datos e interconexión
de computadoras a nivel de enlace.

4. REFERENCIA NORMATIVAS

Resolución 305 de 2008: Por la cual se expiden políticas públicas para las entidades,
organismos y órganos de control del Distrito Capital, en materia de Tecnologías de la
Información y Comunicaciones respecto a la planeación, seguridad, democratización,
calidad, racionalización del gasto, conectividad, infraestructura de Datos Espaciales
y Software Libre.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 8 de 36

CAPÌTULO 1

ANÁLISIS DE LA SITUACIÓN ACTUAL DE LOS SISTEMAS DE INFORMACIÓN

1.1 PRESENTACIÓN

El Plan de Contingencia de Sistemas de Información implica un análisis de los posibles


riesgos a cuales pueden estar expuestos nuestros equipos de cómputo y sistemas de
información en el IDEP. Corresponde a la Oficina Asesora de Planeación y al equipo
de operaciones tecnológicas aplicar medidas de seguridad para proteger y estar
preparados para afrontar contingencias y desastres de diversos tipos.

El Plan de Contingencia de los Sistemas de Información del IDEP está orientado a


establecer un adecuado sistema de seguridad lógica en previsión de desastres, para
establecer medidas destinadas a salvaguardar la información contra los daños
producidos por hechos naturales, técnicos, organizacionales, proveedores, soporte,
falla de hardware, errores humanos, entre otros.
La información como uno de los activos más importantes del Instituto, es el
fundamento más importante de este Plan.

1.2 PREMISAS DE PARTIDA

Es necesario precisar y delimitar una seria de supuestos sobre los cuales basar todas
las actualizaciones en las que se fundamenta el plan, dependiendo del
comportamiento de los factores se analizarán si son aplicables o no; también cabe
mencionar los supuestos para que la dirección determine si los resultados son
positivos o negativos y se requiera de corregir el plan.

El Plan se ha desarrollado sobre los siguientes supuestos:


 Sólo el área habitual de trabajo ha sido afectada por el incidente; todos los
lugares alternativos predesignados están intactos.
 Los almacenes externos de archivos críticos de Backup e información están
intactos y accesibles.
 El personal cualificado en cantidad suficiente está disponible para realizar los
trabajos de recuperación.
 Las copias de seguridad y su correspondiente rotación (incluyendo papel, fichas,
películas, y soportes electrónicos) se han realizado correctamente, y se ha
corregido cualquier riesgo identificado.
 El Backup de las telecomunicaciones y las estrategias de recuperación
identificadas en otros capítulos del presente plan, están completamente
realizadas y comprobadas.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 9 de 36

 Las estrategias de recursos y soluciones de recuperación (por ejemplo:


soluciones de reposición de estaciones de trabajo) están disponibles, realizadas
y comprobadas satisfactoriamente.
 Las organizaciones externas como proveedores y organismos públicos,
cooperarán razonablemente durante el periodo de los trabajos de recuperación.
 Se han realizado adecuadamente los programas de pruebas del Plan y las
modificaciones pertinentes como consecuencia de su resultado.
 La revisión del Plan, mantenimiento, y actualizaciones están realizadas con
periodicidad para asegurar que responde a las necesidades de cada momento.

1.3 FUNCIONES DE LA DIRECCIÓN

Las funciones de la Dirección del IDEP se limitan a la revisión y aprobación de


cualquier acción que exceda de las estrategias de respuesta y recuperación
planificadas y previamente aprobadas.

Solo en los casos en que el incidente haya sobrepasado las previsiones se precisa la
intervención directa de la Dirección.

En esos casos, el responsable de reportar los incidentes debe preparar informes para
la Dirección para ayudar a la gestión de cada día y a la toma de decisiones acerca de
cuestiones no previstas en el plan.

1.3.1. Informe a Dirección

En el supuesto de suceder cualquier incidente, la persona encargada de reportar, una


vez atendidas las decisiones más urgentes descritas en el Plan de Contingencia,
emitirá un informe a la Dirección con el siguiente contenido:

1. Estado de las actividades de respuesta a la emergencia:


 Evaluación de los daños a los sistemas de información.
 Respuesta de los organismos públicos.
2. Descripción del incidente:
 ¿Qué ocurrió?.
 Localización del suceso.
 Hora del suceso.
 Supuesta causa.
3. Informe de daños a los servidores (si los hay):
 Descripción del servidor.
 Nombre y estado de los daños al sistema del servidor.
 Daños potenciales adicionales.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 10 de 36

4. Áreas afectadas:
 Áreas afectadas.
 Estado actual.
 Posibilidad de acceso a corto plazo a los sistemas de información.
 Impacto en las operaciones del negocio.
5. Plan de Acción:
 Localización del Centro de Control.
 Situación de las comunicaciones con los sistemas de información.
 ¿Qué se ha hecho hasta ahora?.
 Planes a corto plazo.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 11 de 36

CAPITULO 2

ANÁLISIS DE IMPACTO

2.1. IMPACTO Y TIEMPOS DE RECUPERACIÓN

Los impactos normalmente aumentan de forma acelerada dependiendo del tiempo que
lleve la restauración del servicio, los tiempos de respuesta se pueden organizar dentro
de los siguientes intervalos:
 El mismo día (Día 0).
 El día siguiente (Día 1).
 Día 2.
 Días 3 – 7.
 Más de 7 días.

El gráfico siguiente ilustra un comportamiento típico de impacto en función del tiempo:

9
8
7
6
5
IMPACTO
4
3
2
1
0
Mismo día Día 1 Día 2 Días 3-7 > 7 Días

2.1.1. Impactos más comunes y tiempos de recuperación

Recuperación en el mismo día

Solamente unas pocas funciones de negocio requieren una respuesta o recuperación


en el mismo día. En el caso del IDEP no se considera que existan funciones críticas
que requieran una respuesta en un término inmediato, so pena de consecuencias
graves que afecten la estabilidad del Instituto.

Se debe tener en cuenta que pueden ocurrir fallos en la comunicación de la


información de un evento o desastre, trayendo como resultado reacciones negativas
graves, esto puede ser causado por situaciones tales como:
 Falta de compresión por parte de los funcionarios, contratistas, practicantes y
docentes investigadores sobre los acontecimientos.
 Sensación de incompetencia de la dirección percibida por usuarios externos,
funcionarios, contratistas y practicantes.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 12 de 36

1 – 2 días

Para el caso del IDEP el negocio puede sobrevivir durante un día de interrupción sin
que haya consecuencias amenazadoras para el Instituto, (por ejemplo, la interrupción
producida por un apagón). Sin embargo, después de uno o dos días, empiezan a
sentirse los impactos siguientes:
 La comunicación con los diferentes usuarios (proveedores, profesores,
investigadores, representantes de diferentes entidades, entre otros), comienza
a deteriorarse sensiblemente.
 Retraso de datos dentro de los sistemas de información que se encuentran en
producción del Instituto.
 La comunicación y la información con las diferentes áreas que requieran de
retroalimentación de los datos, se deteriora progresivamente.

3 – 7 días

En el IDEP el impacto reportado en el marco de 3 – 7 días incluye:


 Retraso de actividades financieras que se deben reportar a entidades
reguladoras Distritales.
 Problemas contractuales graves (plazos incumplidos, cláusulas de
penalización, pleitos).
 Información desarticulada de las áreas que requieran de continuidad (por
ejemplo, el área financiera tendrá información diferente a la de contabilidad)

Más de una semana

Es mucho menos común que exista información sobre impactos de interrupciones de


los servicios del servicio por plazos tan largos (por ejemplo, superior a una semana).

La mayor parte de las organizaciones no pueden predecir exactamente los impactos


de interrupciones gastarán todos los recursos que sean necesarios, para recuperar un
cierto nivel de servicio, dentro del plazo de una semana.

Incluso después de una recuperación con éxito de las funciones del negocio críticas,
los impactos negativos continuarán haciéndose notar las organizaciones que no
estaban preparadas:
 La reconstrucción de la información, cuando es posible, es enormemente
costosa y demorada.
 La pérdida permanente de información, impacta la competitividad a largo plazo
con entidades del mismo sector, (por ejemplo, pérdida de información histórica,
credibilidad de la entidad, entre otras).

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 13 de 36

 La desmotivación y altas tasas de rotación del personal son frecuentes


después de que ocurra una interrupción demasiado prolongada.

2.2. RESUMEN PARA LA DIRECCIÓN

En el momento de realizar un análisis de impacto formal para el IDEP, si bien habrá de


ser realizado de forma exhaustiva, es favorable preparar un resumen para la dirección
general, anotando los elementos básicos del análisis, tanto desde el punto de vista del
planteamiento, como de sus resultados, conclusiones y propuestas a la dirección.

2.2.1. Objetivos del análisis

El objetivo del Análisis de Impacto es proporcionar a la dirección general del Instituto la


información necesaria para que pueda tomar decisiones en el desarrollo de su
estrategia de recuperación.

Para ello, el Análisis de Impacto debe establecer el grado de criticidad de dichas


funciones en la razón de ser del IDEP y el tiempo máximo a partir del cual la
interrupción de cada una de ellas es inaceptable.

Los objetivos básicos son:


 Definir los tipos de impacto que se deberían considerar, (económico,
operacional, de cumplimiento, etc.).
 Identificar las funciones críticas del IDEP.
 Identificar el impacto causado al Instituto por la interrupción de cada una de
ellas.
 Informar a la Dirección General de los resultados anteriores para que pueda
fijar prioridades, definiendo cuáles son las funciones consideradas prioritarias y
establecer los umbrales máximos de recuperación para cada una de dichas
funciones.
 Posibilitar la identificación de los recursos mínimos necesarios para una
recuperación satisfactoria de las funciones definidas como críticas y justificar
su adquisición.

2.2.2. Alcance del Análisis

El análisis de Impacto realizado se refiere exclusivamente a los efectos, tanto tangibles


como intangibles, que podrían causar entorpecimiento de las siguientes funciones
consideradas críticas por la dirección y subdirecciones del Instituto:

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 14 de 36

DIRECCION GENERAL

 Celebrar los contratos, acuerdos y convenios que se requieran para los


cumplimientos de las funciones del Instituto.

SUBDIRECCIÓN ADMINISTRATIVA FINANCIERA Y DE CONTROL DISCIPLINARIO

 Programar, dirigir, controlar y evaluar todas las actividades financieras y


administrativas del Instituto
 Asegurar la funcionalidad de las actividades para la ejecución eficaz del
presupuesto del Instituto.
 Informes consolidados que se soliciten dentro o fuera de la Institución.

TESORERÍA

 Administrar y manejar el portafolio de inversiones de la entidad y garantizar que


los procesos relacionados con los ingresos de capital y pagos a cargo de la
entidad, cumplan a cabalidad con la normatividad vigente.
 Elaborar los comprobantes de egreso para los correspondientes pagos.
 Registrar los ingresos propios y las transferencias en los libros auxiliares de
caja y bancos.
 Realizar todos los procedimientos de causación órdenes de pago,
programación anual mensualizada de caja PAC, pagos generales con orígenes
presupuestal y sin orígenes presupuestales.

PRESUPUESTO

 Formular, organizar, coordinar, ejecutar, evaluar y controlar el manejo integral


de los recursos administrativos y financieros y el desarrollo de las actividades
presupuestales requeridas para su funcionamiento, dentro de una política de
mejoramiento continuo y calidad total.
 Elaborar y mantener procedimientos que faciliten la gestión presupuestal.
 El manejo de la programación presupuestal con sus actividades necesarias,
continúa con la modificación, ejecución y por último el cierre que debe
realizarse al final de cada año.

CONTABILIDAD

 Administrar, coordinar, ejecutar y controlar el manejo integral de los recursos


financieros para el desarrollo de las actividades contables y presupuestales
requeridas para el funcionamiento de la institución.
 Colaborar con el contador en la causación de las órdenes de pago.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 15 de 36

 Los archivos físicos y electrónicos se mantienen actualizados y ordenados para


el soporte de informes y auditorías.

TALENTO HUMANO

 Realiza la interventoría a los contratos que le asignan, de acuerdo con los


términos de referencia y las políticas impartidas por las Directivas.
 Ejercer control sobre el sistemas integrado de información.

SERVICIOS GENERALES

 Manejar la caja menor de acuerdo con las normas establecidas, cuando así lo
requiera la Dirección General.
 Realiza la interventoría a los contratos que le asignan, de acuerdo con los
términos de referencia y las políticas impartidas por las Directivas.
 Rendir la cuenta semestral correspondiente al movimiento del almacén, ante
las autoridades competentes.
 Presentar informes periódicos sobre el control de consumos y rotación de
inventarios y presentar a Contabilidad el informe mensual de Almacén.
 Administrar el Sistema Integrado del aplicativo SIAFI correspondiente al área
del Almacén.
 El inventario y los libros reglamentarios se llevan en los módulos de almacén y
compras del sistema de información integrado SIAFI, de acuerdo con las
normas vigentes.

CONTROL INTERNO

 Verificar los procesos relacionados con el manejo de los recursos, bienes y los
sistemas de información de la entidad y recomendar los correctivos que sean
necesarios.
 Elaboración, ejecución y seguimiento del Plan de Acción de área.

OFICINA ASESORA JURÍDICA

 Elaborar o revisar y aprobar los contratos con formalidades plenas,


contratación de mínima cuantía, convenio, resoluciones y demás actos
administrativos que deban suscribir la Dirección General u otras instancias del
Instituto autorizadas para ellos o dependencias de la Administración del Distrito
Capital, previa solicitud de la Dirección General o del área que así lo requiera.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 16 de 36

OFICINA ASESORA DE PLANEACIÓN

 Coordinar con las áreas de la Subdirección Académica la elaboración del


anteproyecto de inversión.
 Elaborar los reportes de seguimiento a la ejecución a la ejecución física y
financiera solicitados periódicamente por el Departamento Administrativo de
Planeación Distrital.
 Coordinar con el área de Presupuesto las modificaciones presupuestales de
inversión que sean necesarias para el normal funcionamiento de la entidad.
 Realizar estudios sobre aspectos financieros y de costos de los planes y
proyectos del Instituto.
 SISTEMAS. Apoyar, administrar, controlar y evaluar el desarrollo de los
procesos y procedimientos que requiera la entidad en el área de sistemas de
información.

SUBDIRECCIÓN ACADÉMICA

SEGUIMIENTO Y EVALUACIÓN A LA POLÍTICA EDUCATIVA

 Elaborar los proyectos de términos de referencia de las investigaciones que


deba realizar el Instituto en forma directa o mediante contratación.
 Efectuar la interventoría a los contratos de investigación que realice el Instituto,
de acuerdo con los términos de referencia o mediante contratación.
 Realiza la interventoría a los contratos que le asignan, de acuerdo con los
términos de referencia y las políticas impartidas por las Directivas

COMUNICACIÓN, DIVULGACIÓN Y SOCIALIZACIÓN

 Efectuar la interventoría que se le solicite, sobre los contratos que tengan por
objeto la divulgación y comunicación de las actividades del IDEP.
 Desarrolla medios institucionales de comunicación para la mejor interacción de
la organización internamente y con el entorno.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 17 de 36

CAPITULO 3

ESTRATEGIA DE CONTINGENCIA

Para que exista la continuidad del negocio en el IDEP, deben tener presente todas las
posibles alternativas reales, en costo y geográficamente.

Para el Instituto aplican:

3.1. EMPRESAS DE SERVICIO

Las empresas de servicios pueden ofrecer una copia de seguridad pasajera muy
ventajosa, es similar a usar el centro de cómputo del proveedor que está colaborando.
Para aplicar este tipo de alternativas se debe tener presente la capacidad suficiente de
hardware incluyendo la compatibilidad. Adicionalmente, no se puede dejar a un lado
todas las características lógicas, de espacio y hardware de la empresa que está
prestando el servicio.

Cualquiera que sea el caso, se debe tener en cuenta el tiempo contratado y en lo


posible el máximo estipulado en el contrato.

También deben tener presente las condiciones de uso de ocurrencia por otros clientes
que tenga la empresa prestadora del servicio, de la existencia de respaldo del centro
alternativo al centro principal en caso de presentarse una falla.

Por último la evaluación de los costos y la revisión de los servicios adquiridos, con el
fin de revisar que no sea otro tipo de contrato.

3.2. COMUNICACIONES ALTERNATIVAS

Determinado la magnitud del incidente, se puede optar por un centro alternativo


remoto. Al momento de los usuarios requieran acceder, lo pueden realizar en cualquier
punto interno o externo del Instituto. Para esto requiere de una red de comunicaciones
que tenga este servicio de conexión.

3.3. PROCEDIMIENTO DE BACKUP O COPIA DE SEGURIDAD

El área que se encarga del proceso de las copias de seguridad tanto de los
computadores y servidores que se encuentran en producción del IDEP, realiza esta
actividad con el único objetivo de respaldo en caso de presentarse una emergencia;
esto incluye las bases de datos de cada uno de los sistemas existentes y la
información que tiene cada funcionario del Instituto.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 18 de 36

Para una protección más tangible, estas se deben almacenar en un lugar fuera del
centro de cómputo en condiciones ambientales que permita la seguridad de la
información. Para tener un registro del Backup, se tiene los formatos aprobados.

3.4. CENTRO DE ALMACENAMIENTO EXTERNO

Una medida que se debe tener en cuenta es un armario ignífugo en un sótano, cuarto
alejado o sitio en donde no es admisible todo el público. Como primera medida, este
armario solamente protege contra el incendio y aún así, durante un tiempo limitado
(aproximadamente unos 120 minutos). Pasado este tiempo ya se empieza a notar el
deterioro de componentes plásticos.

Aún teniendo presente este medio de seguridad para el almacenamiento de la


información de las copias de seguridad, es necesario acudir a otras alternativas.

3.4.1. Solución propia

Es la solución más accesible e inmediata, sin embargo, no suelen mantener las


condiciones de seguridad mínimas exigibles, sobre todo por la dejadez y costes. Es
una solución costosa, si se quiere realizar con un mínimo de garantía, debido a la
necesidad de ocupación de un espacio dedicado y acondicionado, por la logística de
traslado y sobre todo tener personal dedicado a la gestión del almacenamiento
externo. Si se sumasen estos costos internos, se vería que una solución cara.

A parte de todos estos inconvenientes, está el más grave, la dejadez. El realizarlo uno
mismo hace relajarse en los respaldos, en los envíos, y en sobre todo en el control de
la información almacenada, con lo que se crean archivos estáticos, y lo que es más
grave, muchas veces no se sabe si la información salvada y almacenada se encuentra
completa. Si se plantea realizar este servicio de una forma interna a continuación se
recomienda una serie de consejos para tener una cámara de almacenamiento en
condiciones.

Accesibilidad: Las 24 horas del día, 365 días del año.

Resistencia al fuego: La resistencia al fuego de los muros, paredes, o paneles


exteriores de la cámara de seguridad, debe ser de 120 minutos (RF-120) cómo
mínimo.

Temperatura contralada: Aunque la temperatura en la cual los soportes magnéticos


empezaría a sufrir consecuencias irreparables es de aproximadamente 55 grados, por
degradación y mantenimiento se hace necesario mantener la temperatura de 20
grados.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 19 de 36

Ello obliga a sistemas de acondicionamiento de aire redundantes, con toma de aire


fresco externo, con energía eléctrica alternativa y dotados de sensores de alarma y de
activación de acciones de emergencia, por ejemplo llamadas telefónicas automáticas a
personas del servicio de mantenimiento.

Humedad controlada: Los soportes magnéticos se deterioran a partir de una


humedad relativa del aire superior al 85%, pero para un mantenimiento continuo se
recomienda una humedad relativa del 50%. Ello obliga a un control de humedad por el
sistema acondicionamiento de aire descrito anteriormente, dotado también de
sensores y activación de alarma.

Resistentica al aplastamiento: La cámara debe ser capaz de aguantar el derrumbe


de las estructuras superiores, con lo cual su construcción resulta cara y compleja.

Hermeticidad ante gases: Si la zona que la rodea, emite gases corrosivos en caso de
incendio, la cámara debe contar con estanqueidad ante la penetración de dichos
gases, es decir, sus ventanas y puertas deben ser CORTAFUEGOS y no
PARALLAMAS, que es lo que habitualmente se monta.

Una puerta cortafuegos se diferencia de una parallamas es que la primera impide el


paso de gases y la segunda no, aún siendo las dos resistentes al fuego. Esto se
consigue normalmente con el sellado de ventanas y cierres a base de siliconas
intumescentes, es decir, que se hinchan en caso de fuego, sellando todos los escapes.

Hermeticidad ante agua: En el caso de actuación de los bomberos en la zona


circundante, de rotura de cañerías, desagües, inundación externa, etc., la cámara
debe tener propios desagües y la puerta debe elevada con una rampa de acceso.

Medidas de seguridad adicionales

 Sistema de detección
Deben existir detectores de humo iónicos, no son necesario detectores de calor
y humedad si ha sido instalado un sistema de control de temperatura y de
humedad.
 Sistema de extinción
Debe existir un sistema de extinción no de agua, con detección y disparo
autónomo.
 Cierre rápido: En el caso de que se produjera un desastre súbito mientras se
está en la cámara, es normal salir corriendo dejando la puerta abierta.
La puerta debe tener cierre automático inbloqueable y, eso sí, contar con
medidas de emergencia para que no se quede atrapada ninguna persona
dentro; por ejemplo, con una puerta pequeña de escape, telefónico interior e
iluminación de emergencia.
 Protección contra el robo. La puerta, cerradura, etc., deben ser resistentes a la
agresión.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 20 de 36

CAPITULO 4.

EQUIPOS DE RECUPERACIÓN

Los equipos de recuperación son grupos de personas que se encargan de una serie
de actividades para conseguir un proceso de recuperación efectivo. Cada equipo
puede constar de una sola persona, y una persona puede pertenecer a más un
equipo, dependiendo de las circunstancias.

Como es de importancia, el Comité de Sistemas, Informática y de Seguridad de la


Información deberá coordinar la conformación de tales equipos y quedar registrado
mediante acta, para dejar evidencia de la aplicación del presente documento.

Esta elección será de libre nombramiento con el nivel de personal necesario para su
ejecución, teniendo presente la información necesaria que será ubicada en los cuadros
correspondiente a cada grupo.

Por último, se deberá entrenar constantemente a cada miembro de los equipos ya que
al momento de presentarse una emergencia de nivel grave, puedan entrar a liderar y
mantener la calma de los empleados públicos y continuar con las labores diarias.

4.1. COMPOSICIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS

Este equipo será responsable de la rápida y efectiva reimplementación de las


instalaciones informáticas después del desastre. Cuando se pide el servicio de
recuperación, el suministrador de los servicios de respaldo pondrá a disposición del
usuario un técnico auxiliar que será capaz de responder a la petición de servicio.

Las funciones básicas serán:


 Instalación de la solución de recuperación.
 Aviso a la empresa de respaldo o soluciones propias.
 Petición de las copias de seguridad adecuadas de programas y datos.
 Prueba de la máquina de respaldo o servidores en producción.
 Restauración de las comunicaciones locales.
 Restauración de las comunicaciones remotas.
 Obtención de soportes magnéticos nuevos para Backup, material preimpreso y
suministros.
 Recuperación de las copias de seguridad del sistema operativo, programas y
datos.
 Restauración del sistema operativo, software de aplicaciones y datos.
 Realizar las pruebas de comprobación de la calidad de las aplicaciones
restauradas.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 21 de 36

4.2. FUNCIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS

Cada actividad de este plan está identificada por un número de suceso. Durante una
crisis, el equipo recibirá una lista de acciones a realizar y reportar al coordinador del
proceso de respuesta y continuidad de las operaciones del Instituto.

Las funciones que se relacionan a continuación son las básicas que se deben cumplir
al momento de presentarse una emergencia:

FUNCIONES DEL EQUIPO DE OPERACIONES INFORMÁTICAS


Ref. Descripción de la función
4.2.1 Restaurar las comunicaciones locales
4.2.2 Obtener soportes digitales nuevos
Dar instrucciones, cuando proceda, a la empresa proveedora del servicio de
4.2.3
Backup para desencadenar los procedimientos correspondientes.
Si se trata de reposición de máquinas, decidir el lugar adecuado para su
4.2.4 instalación. Si es el traslado a un centro fijo, comunicarlo al suministrador del
servicio para realizar el traslado en el tiempo acordado
4.2.5 Probar máquinas de respaldo
Comprobar si hay energía disponible. De no ser así, poner en marcha el
4.2.6
sistema de alimentación alternativo
Recuperar las copias de seguridad si están custodiadas en un almacenamiento
4.2.7
externo a la sala de sistemas
4.2.8 Instalar y configurar el sistema operativo en la máquina de respaldo
4.2.9 Restaurar las aplicaciones y datos en la máquina de respaldo
4.2.10 Probar y verificar las aplicaciones
4.2.11 Determinar cuántas estaciones de trabajo es necesario sustituir
Implementar nuevos procedimientos de registro y procedimientos de Backup de
4.2.12
emergencia
4.2.13 Identificar las necesidades de soportes y suministros de Backup.
Si está dañada la línea telefónica, prever el uso de teléfonos móviles y la
4.2.14
sustitución de la línea telefónica
4.2.15 Restaurar las comunicaciones de la red de datos
Coordinar el arranque de los sistemas y mantener informados del progreso a
4.2.16
los usuarios

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 22 de 36

CAPITULO 5.

PLAN DE ACCIÓN

El aspecto más importante de la continuidad del negocio es la inmediata notificación al


responsable apropiado de cualquier suceso que pueda causar una interrupción en las
operaciones informáticas, con independencia de su dimensión. El enemigo más
grande de combatir es el tiempo, por ello, las acciones a realizar deben estar
perfectamente definidas así como los responsables de llevarlas a cabo y el momento
de realizarlas.

Cualquiera que sea el inconveniente presentado, se le debe dar aviso al coordinador


de las acciones de respuesta o contingencia o al que haga sus veces.

Al momento de recibir la notificación de un incidente, el coordinador del Plan tomará


acción según se especifica en la lista de actividades del la gestión del mismo,
poniendo en marcha los procedimientos correspondientes.

Para ser más claros en los conceptos que se manejarán, se definirán a continuación
tres grandes familias con denominación genérica.

Procedimientos de emergencia. Son actuaciones inmediatas al incidente que tratan


de proteger la integridad de la infraestructura y la información, atajar la progresión del
incidente y pararlo en la medida de lo posible, realizando la correspondiente
evaluación de daños.

Procedimientos de respuesta. Son actuaciones de cada área o servicio que tienden


a sustituir los procedimientos habituales de trabajo por otros alternativos que, aunque
no reproduzcan totalmente las funcionalidades de cada área o servicio, permiten
atender las necesidades más inmediatas y críticas de los mismos.

Procedimientos de recuperación. Normalmente referidos a actividades de los


sistemas de información, como son los procedimientos que permiten volver a utilizar
datos, aplicaciones, sistemas operativos, etc.

5.1. DEFINICIÓN DE DESASTRE


Se deben observar las directrices siguientes teniendo en cuenta el nivel de gravedad
en función del periodo de la interrupción previsto. Esto se hará para establecer el nivel
de la activación del plan.
Las categorías son las siguientes:
 Desastre menor.
 Desastre mayor.
 Desastre catastrófico.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 23 de 36

Desastre menor

Se puede definir como desastre menor aquel que provoca una parada que no
sobrepase las cuatro horas.

Desastre mayor

Se puede definir como desastre mayor aquel que provoca una parada de más de
cuatro horas y que no sobrepase un día.

El daño aquí puede ser ligeramente mayor que en el caso anterior, por ejemplo, el
causado por inundación de la sala o apagón de los servidores por una descarga
eléctrica.

Desastre catastrófico

Cuando el sistema informático vaya a estar fuera de servicio más de un día y que no
sobrepase una semana, se puede calificar como desastre catastrófico.

La severidad del daño de un desastre catastrófico pude incluir la destrucción total del
centro informático, que puede suponer la sustitución completa de hardware, software y
una renovación significativa de la instalación.

5.2. ACTIVACIÓN DE PROCEDIMIENTOS DE EMERGENCIA

El Líder de grupo de emergencia evalúa la emergencia y determina si el plan de


contingencia debe ser activado. El plan de contingencia de los sistemas de
información debe ser activado si una o más de las siguientes condiciones son
verdaderas:

 Interrupción total de las operaciones del Centro de Cómputo ubicado en la


oficina 402B del Centro Empresarial Arrecife por un periodo mayor a 4 horas.
 No disponibilidad total de los Sistemas de Información soportados en el Centro
de Cómputo ubicado en la oficina 402B del Centro Empresarial Arrecife por un
periodo mayor a 4 horas, debido a daños en hardware y/o software de los
equipos servidores o pérdida de conectividad.
 Otro criterio que se considere apropiado.

5.2.1. Notificación de primera alerta

Dependiendo de la naturaleza del incidente, el día, hora y ubicación, la notificación


será descrita en estos ambientes. La respuesta inicial se dará con los procedimientos
que tengan en el Instituto y las prácticas operativas estándar.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 24 de 36

Los procedimientos siguientes muestran un flujo típico de las notificaciones y acciones


iniciales del aviso de emergencia.

Al momento de ser avisado o ser testigo del incidente, los pasos a seguir son los
siguientes:
 Dar aviso de lo sucedido a la persona encargada de sistemas, por vía escrita.
 Esto debe contener lo siguiente:
o Nombre completo;
o Descripción del incidente;
o Informe preliminar de los daños presentados;
o Información acerca de cualquier intento de notificación anterior;
o Número de teléfono, correo o cualquier medio en donde pueda ser
ubicado.
 Al momento de realizar el paso anterior, la persona encargada de sistemas
deberá avisar al jefe del equipo de Gestión de Incidentes o quien haga las
veces.
 El jefe del equipo de Gestión de Incidentes decidirá las acciones a tomar,
pudiendo convocar al resto de los miembros del equipo para poner en marcha
el Plan de Contingencia o permanecer en alerta hasta nueva orden.

5.2.2. Escalado de problemas

Un aspecto crítico en la recuperación de desastres es la inmediata notificación al


personal apropiado, para que las operaciones de detención de la emergencia, o el
activado del Plan de Acción, sean iniciadas lo antes posible.

Los objetivos de esta actividad son:


 Determinar QUIÉN debe ejecutar la acción.
 Determinar el TIEMPO MÁXIMO permitido para la ejecución de la acción.
 En caso de no tener éxito en la acción, determinar QUIÉN debe ser avisado a
continuación para hacerse cargo del problema y de su resolución.
 Si el tiempo pasa y las acciones de resolución del problema no tienen éxito,
determinar en qué nivel de gravedad se encuentra la organización, por medio
de un sistema de graduación de alertas.

Resumiendo, el procedimiento de Escalado del Problema pretende evitar que una


emergencia menor pueda llegar a convertirse en un desastre:
 Tardando demasiado tiempo en solucionarla.
 No informando a niveles superiores, para que aporten su experiencia,
autoridad, o medios extraordinarios, en la solución.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 25 de 36

RESPONSABILIDAD

Una emergencia debe ser tratada en su origen por:


 Personal designado para ello en el Plan de Acción.
 Personal no designado pero entrenado, o informado de los procedimientos de
notificación.
 Si no hay nadie de los anteriores, cualquier persona que se encuentre con el
problema.

ACCIONES A EJECUTAR

Esta persona deberá:


 Detenerlo y solucionarlo si es su responsabilidad.
 Si no es su responsabilidad, intentar detenerlo si lo cree posible y no puede
causar daños mayores o correr riesgos innecesarios.
 Informar A LA MAYOR BREVEDAD, al personal implicado en el Plan de
Acción, y si no lo conoce, a sus superiores o al departamento que le
corresponda.

TIEMPO

En la detección del problema y activación de medidas resolutorias son piezas


fundamentales:
 El conocimiento y entrenamiento en las acciones a realizar.
 El tiempo MÁXIMO a invertir en ellas.
 En las guías de escalado que se acompañan, se ha asignado un tiempo
máximo de realización para cada tarea. Este tiempo, deberá ser objeto de
revisión continua a lo largo de la vida del Plan de Acción y se modificará como
consecuencia del entrenamiento, de las pruebas y de la inclusión / supresión /
modificación de acciones.

NOTIFICACIÓN

Uno de los aspectos peor resueltos de los planes de contingencia, está referido a la
notificación:
 A QUÍEN notificar. (Superior, coordinador del Plan de Acción).
 CUÁNDO notificar. (Al momento de presentarse la situación con denotación de
emergencia).
 CÓMO notificar. (De manera escrita u oral).
 DÓNDE y CÚANDO celebrar la primera reunión. (En la oficina de la Dirección
General).

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 26 de 36

En las guías de escalado del problema de esta sección, quedan especificados los dos
primeros puntos. En cuanto a la mecánica de notificación, se seguirá en principio la
forma general, esto es:
 Se avisará al jefe del equipo de Recuperación. Si no es posible localizarle, se
avisará a su suplente.
 El jefe del equipo avisará a los miembros de su equipo.
 En ambos casos se utilizarán los teléfonos de localización en caso de
emergencia. Esta lista obrará en poder del jefe a cargo y del responsable del
plan.

En la notificación se indicará:
 Tipo de desastre ocurrido.
 Daños que se estiman de forma muy general.
 Lugar previsto para la reunión de equipos afectados.
 Hora límite de comienzo de la reunión.

A partir de aquí se pondrán en funcionamiento los procedimientos de respuesta y


recuperación de cada equipo.

Guía de escalado de problema


A las __.__ horas, del __.__.__ se ha producido una interrupción de las operaciones
Minutos Tiempo
Paso Acción a realizar Resultado
permitidos acumulado
Si el problema está resuelto
El responsable de la ir al paso 'Final de
operación, Dr. Emergencia'
1
______________ se Si no lo está, se avisará al
hace cargo del problema. Jefe que siga en el conducto
regular
Si el problema queda
resuelto, ir al paso 'Final de
El Jefe, Dr. _________ Emergencia'
2 se hace cargo del
Si no lo está, se avisará al
problema
Jefe que continúe con el
conducto regular

Si el problema queda
resuelto, ir al paso 'Final de
Emergencia'
El Jefe de Explotación,
3 Dr. _____ se hace cargo Si no lo está, informará de
del problema. ello al Jefe del Equipo de
Gestión de Incidentes. La
organización se encuentra en
Alerta 1

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 27 de 36

El Jefe del Equipo de


Gestión de Incidentes
El Plan queda activado y los
convocará a los
4 equipos de recuperación
miembros del equipo
entran en acción
para celebrar la reunión
de activación del Plan

Este formato es una propuesta para el momento de presentarse una emergencia que
justifique su uso.

A partir de aquí, y dependiendo de las funciones de cada equipo, se establecerá


igualmente una lista de chequeo de actividades y tiempos previstos de forma que el
total de tiempos necesarios para el conjunto de actividades de todos los equipos,
hasta conseguir la continuidad de las operaciones, unido al tiempo acumulado
indicado en la tabla anterior. Se ajuste a las necesidades marcada por los umbrales de
recuperación indicados al inicio del documento.

INFORME DE EMERGENCIA

Una vez que el Plan de Contingencia haya sido puesto en práctica y se hayan
recuperado las funciones críticas, el jefe del equipo de Gestión de Incidentes elaborará
un informe con el siguiente formulario:

INFORME DE EMERGENCIA
EMERGENCIA NUMERO: DETECTADA DPTO.
_____ POR:_________ __________
ACCIONES REALIZADAS HORA FECHA

EMERGENCIA DETECTADA
ACCIÓN REALIZADA:
_______________________
PRIMERA ACCION TERMINADA SIN ÉXITO
JEFE DE TURNO AVISADO
1
JEFE DE TURNO EN EL CPD
ACCIÓN REALIZADA:
_______________________
SEGUNDA ACCION TERMINADA SIN ÉXITO

1
Referencia de internet: http://bit.ly/1OcfoB0 . Centro de proceso de datos, ubicación de los recursos necesarios
para el procesamiento de información de una organización.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 28 de 36

JEFE EXPLOTACION AVISADO

JEFE EXPLOTACION EN EL CPD


ACCIÓN REALIZADA:
_______________________
TERCERA ACCION TERMINADA SIN ÉXITO
RESPONSABLE DEL PLAN AVISADO

RESPONSABLE DEL PLAN EN EL CPD


ACCIÓN REALIZADA:
_______________________
CUARTA ACCION TERMINADA SIN ÉXITO

CENTRO EN ALERTA 1
ACCIÓN REALIZADA:
_______________________
LA EMERGENCIA FUE RESUELTA A LAS

5.2.3. Evaluación de daños

Se celebrará una reunión del equipo de Gestión de Incidentes para estudiar las
necesidades de evaluación, revisando:
 Procedimientos de valoración.
 Necesidades de información y formularios.
 Revisiones de seguridad de personas e instalaciones.
 Cualquier información especial relacionada con seguros.
NOTA: El acceso a las instalaciones después de un fuego, será probablemente
denegado durante un periodo de 24 horas o mayor.

 Una vez sea permitido el acceso al edificio, se realizará una inspección in situ
de las áreas afectadas para evaluar el daño de:
.1. Equipos electrónicos (destrucción, recuperación a corto plazo, o
posibilidad de uso inmediato – no recuperación de contenidos).
.2. Archivos esenciales – copias impresas (archivos, manuales, discos
duros, instaladores, documentación, etc.) y datos en otros soportes
(datos en estaciones de trabajo, etc.) – para ayudar en las necesidades
más urgentes de recuperación y permitir el establecimiento de un plan
general de restauración/recuperación.

 Obtener una evaluación de los daños de los siguientes elementos realizada por
los miembros del equipo de Gestión de Incidentes:

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 29 de 36

.1. Tiempo de reparación de los equipos electrónicos y de


telecomunicaciones (ordenadores personales, terminales, equipos de
comunicaciones);
.2. Instalaciones físicas (edificio, salas instalaciones de suministro de
energía, aire acondicionado, etc.)

 Inmediatamente después de la inspección del lugar, los miembros del equipo


se ocuparán de recopilar la información siguiente:
.1. Documentación de los resultados de la evaluación de daños usando un
impreso similar al que se describe a continuación:

FORMULARIO DE EVALUACIÓN DE DAÑOS

Equipo de recuperación :

Área afectada:

Elemento Restaurable (SI/NO) Tiempo estimado de restauración

.2. Identificación de las prioridades de restauración de los elementos


dañados, informando qué registros vitales y equipos electrónicos
necesarios para las actividades de recuperación podrían ser
restaurados rápidamente, o los que tienen el mayor impacto negativo en
las operaciones de la organización.

5.3. PROCEDIMIETOS DE RESPUESTA

Los procedimientos de respuesta pueden ser activados muy rápidamente, pero


usualmente son solo medidas de emergencia y, por lo general, no son suficientes para
las operaciones del negocio a más largo plazo. Los procedimientos de respuesta están
basados típicamente en equipos y facilidades utilizadas específicamente para ese fin.
Son a menudo lo único que se requiere durante las interrupciones breves del negocio.

Los servicios informáticos y de comunicación serán responsables de la valoración de


hardware dañado, así como la reubicación de dichos equipos. Además, esta área
ayudará a las otras áreas afectadas en la recuperación de sus datos, estaciones de
trabajo y red de comunicaciones.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 30 de 36

1. Presentarse en la Dirección General según instrucciones recibidas durante la


alerta.
2. Participar en la reunión de activación dirigida por el equipo de Gestión de
Incidentes.
3. Conseguir todos los detalles posibles en relación a lo siguiente:
Detalles específicos relacionados con el suceso, como tipo de suceso,
lugar, duración, causa.
Espacio físico potencialmente afectado, acceso al edificio y acceso
potencial a corto plazo.
Cualquier instrucción especial.
4. Contactar inmediatamente con el equipo de proveedores para obtener apoyo
en la evaluación del daño y actividades de restauración.
5. Coordinar las siguientes actividades de evaluación del daño en las
instalaciones:
Recopilar los datos necesarios de los siguientes elementos:
Servidores.
Estaciones de trabajo.
Equipos de comunicaciones y líneas.
Impresoras
Computadores personales.
Otros equipos.
6. Coordinar con el equipo de Gestión de Incidentes, la estimación del tiempo
necesario para la reconstrucción del centro de proceso de datos.
7. Revisar posibles alternativas de trabajar en centros alternativos.
8. Coordinar los datos en el centro de almacenamiento externo, regularizando la
entrega de los datos de recuperación a las áreas afectadas.
9. Si se quiere un espacio físico alternativo para alojar un nuevo centro de
proceso de datos, asegurarse de que las necesidades particulares de la
instalación son conocidas por los responsables de su contratación. Tener en
cuenta los requisitos particulares siguientes:
Alimentación de energía eléctrica
Cableado
Aire acondicionado.
Otros.
10. Coordinar con el área Financiera, Servicios Generales, Planeación y Jurídica la
adquisición de computadores personales y servidores, además del software
adecuado, según se especifica en la lista de recursos mínimos necesarios de
cada área.
11. Pedir estimación de costos y disponibilidad de los principales proveedores
potenciales.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 31 de 36

12. Una vez se reciban los primeros ordenadores personales, asignar personas
que se ocupen de configurar los equipos de acuerdo con las necesidades
definidas en la lista de recursos críticos de cada equipo.
13. Coordinar el cableado de nuevo centro y los suministradores externos.
14. Ayudar a los departamentos afectados en la recuperación de sus datos
utilizando sus copias de seguridad.
15. Coordinar la retirada de los elementos recuperables con vendedores y
representantes de la compañía de seguros.
16. Restablecer el acceso a la red de datos.
17. Contactar inmediatamente con el proveedor de telecomunicaciones para
obtener soporte presencial en el sitio para la evaluación de los daños y
actividades de recuperación.
18. Coordinar las actividades de evaluación de daños con Servicios Generales
para evaluar la extensión del daño a telecomunicaciones de voz y datos:
Sistemas y periféricos de la sala de sistemas.
Instalaciones de entrada de cables.
Cableado del edificio y armarios de telefonía.
Posibilidades de re-direccionamiento.
Equipos y líneas de comunicación de datos.
Coordinación en estimación del marco de tiempo para la reconstrucción de
las comunicaciones normales.
19. Coordinar actividades de soporte para la recuperación de voz y datos.
20. Revisar el listado de recursos mínimos necesarios a las áreas afectadas para
obtener las necesidades inmediatas de telecomunicaciones de las unidades
operativas que inician actividades inmediatas de recuperación.
21. Coordinar con el área de Servicios Generales la adquisición de teléfonos.
22. Pedir al proveedor de telecomunicaciones que re-direccione las líneas
telefónicas y conexiones de internet de la organización al lugar donde estén
ubicados.
23. Recuperar los circuitos de datos.
24. Cableado necesario para la recuperación de las comunicaciones del IDEP.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 32 de 36

CAPITULO 6.

PRUEBAS Y ACTUALIZACIÓN

6.1. PRUEBAS Y ENTRENAMIENTO DEL PLAN

El programa de pruebas y entrenamiento debe constar, como mínimo, de tres


elementos:
 Revisiones periódicas.
 Ejercicios de entrenamiento.
 Pruebas técnicas.

Es aconsejable establecer una programación anual de estos tres ejercicios para


asegurar su ejecución.
Después de cada revisión o ejercicio, los diversos componentes del plan deben ser
actualizados, si procede, con las experiencias obtenidas de los mismos.

6.1.1. Revisiones periódicas

Las revisiones deben comprobar los siguientes puntos:


 ¿Siguen siendo válidas las premisas de partida sobre las que se construyó el
plan?
 ¿Se han transformado en críticas, funciones de negocio que antes no lo eran?
 ¿Están todavía disponibles los recursos de recuperación, incluyendo las copias
de seguridad actualizadas en el almacenamiento externo?
 ¿Son todavía apropiados, en cantidades y umbrales de recuperación, los
recursos críticos que se han definido?
 ¿Ha habido algún cambio en la criticidad de alguna información, que ahora la
haga esencial para la recuperación?
 ¿Son todavía apropiados los umbrales de recuperación de las funciones de
negocio identificadas como críticas?

6.1.2. Pruebas técnicas

Una buena parte del funcionamiento del plan se basa en el buen funcionamiento de la
tecnología. Algunos elementos del plan requieren pruebas reales para asegurarse que
todo funcionará según lo previsto. Se recomienda una prueba anual de determinados
elementos tecnológicos y logísticos del plan. Estas recomendaciones están basadas
en la experiencia de muchos ejercicios de recuperación y en dificultades surgidas,
tanto en pruebas como en casos reales de recuperación.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 33 de 36

 Restaurar todos los servicios de copias de seguridad de computadores y red de


datos.
 Comprobar la idoneidad de las copias de seguridad de bases de datos,
aplicaciones, instaladores de los aplicativos en producción, archivos en
general, existentes en el almacenamiento externo y su posibilidad de lectura.
Igualmente con toda la información almacenada en otros soportes.
 Verificar la disponibilidad de los proveedores de recursos críticos.
 Recuperar los elementos custodiados en el almacenamiento externo utilizando
la logística descrita en el plan.
 Efectuar algunas transacciones y procesos reales utilizando los recursos y
registros identificados en el plan.

6.2. MANTENIMIENTO DEL PLAN

El Plan de Contingencia debe estar al día si queremos que sea útil en el momento de
la recuperación. El equipo de Gestión de Incidentes tiene como responsabilidad
primaria el mantener el plan actualizado. Además, deben ser consideradas algunas
cuestiones aparte de los planes de recuperación individuales. Revise estas cuestiones
para asegurar que se han establecido los procedimientos adecuados, tanto dentro
como fuera del plan.

Cuando sea necesario realizar cambios, se enviará copia de los cambios requeridos a
la persona a cargo del Plan de Contingencia para su revisión. La persona responsable
debe:
 Revisar los cambios propuestos y verificar que se ha recibido la
correspondiente aprobación de la Dirección General para el cambio propuesto.
 Si el cambio es de naturaleza técnica, refleja un cambio en la logística de
recuperación de negocio, o afecta a diferentes equipos de recuperación, el
responsable del plan debe enviar las revisiones propuestas a todos los equipos
afectados para su conocimiento y aprobación, si tal aprobación es necesaria.
 Distribuir las copias necesarias del plan a los miembros del equipo de Gestión
de Incidentes.

6.2.1. Actualizaciones

El responsable del plan deberá:


 Mantener una copia actualizada de su Plan de Contingencia en su casa y en la
oficina.
 Asegurar que todos los miembros del equipo y el personal alternativo tienen
una copia actualizada de este Plan en su casa.
 Asegurarse que todo el personal del equipo de recuperación considera las
actividades de recuperación como una parte de sus actividades diarias.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 34 de 36

 Asegurarse que las actividades de copias de seguridad y almacenado de los


registros vitales, incluyendo los correspondientes a PCs, están siendo
ejecutadas.
 Mantener al día el Plan de Contingencia, incluyendo todos los procedimientos,
listado y registros del equipo actualizados. Actualizar este plan en cualquiera
de las siguientes circunstancias:
o Cambios en el personal del área incluido en el informe de composición
del equipo.
o Cambios significativos en las necesidades de la recuperación del
negocio, que supongan cambios en cualquier umbral de recuperación o
en los informes de recursos críticos.
o Cambios significativos en los procedimientos de la recuperación del
negocio, como la incorporación de nuevas características del negocio o
cambios en el instituto.
 Participar en el Programa de Pruebas del Plan de Contingencia.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 35 de 36

CAPITULO 7.

LISTA DE DISTRIBUCIÓN

El Plan de Contingencia debe ser distribuido al personal que deba participar en


cualquier fase del proceso de recuperación o deba estar informado del mismo. Nadie
ajeno a la organización debe poder leer, revisar, copiar o verificar el plan, sin previa
autorización escrita.

Del plan se harán, por tanto, tantas copias como sea necesario, pero éstas deben
estar numeradas y relacionadas en una lista que figurará como un capítulo más del
plan, siguiendo un modelo similar al siguiente:

EJEMPLAR No. Asignado a Cargo

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP
Código: PL-GT-12-02
Versión: 4
PLAN DE CONTINGENCIA
Fecha Aprobación:
TECNOLÓGICA IDEP
27/07/2015
Página 36 de 36

BIBLIOGRAFÍA

 Gaspar Martínez Juan, 2006. EL PLAN DE CONTINUIDAD DE NEGOCIO,


Guía práctica para su elaboración. Editorial Díaz de Santos.2

 Internet
http://www.alegsa.com.ar
http://www.google.com

2
Nota aclaratoria: el presente documento fue desarrollado y en algunas secciones transcrito del libro original en
donde se aplicó y enfocó al IDEP. Resalto el trabajo y originalidad del documento utilizado para tal fin del autor Juan
Gaspar Martínez.

Se garantiza su vigencia solo si corresponde a la versión oficial publicada en el Sistema Integrado de Gestión del
Instituto para la Investigación Educativa y el Desarrollo Pedagógico IDEP