SlideShare una empresa de Scribd logo

T-ESPE-048273-D (1).pptx

Descargar como PPTX, PDF
M
MarcoVinicioRamonJim

tesis DRP

Servicios
1 de 27
Con este trabajo se dotó a la Unidad de Tecnología de la EPMAPAP de un DRP que sirva para afrontar desastres que puedan comprometer la continuidad de las operaciones en los procesos El trabajo de investigación se desarrolló en la Empresa Pública Municipal de Agua Potable y Alcantarillado de Portoviejo, creada mediante Ordenanza de 26 de noviembre de 1996. En virtud de la creciente dependencia que tienen las empresas a nivel mundial de la tecnología para realizar sus operaciones, se hace cada vez más necesario el contar con un plan de recuperación de desastres. En Ecuador este fenómeno se manifiesta en mayor proporción en el sector privado. En la provincia de Manabí muy pocas empresas cuentan con la protección de esta herramienta.
En la Unidad de Tecnología de la EPMAPAP no se dispone de un DRP, por lo que se incumple la norma de control interno 410-11Plan de Contingencias: “Corresponde a la unidad de tecnología de información la definición, aprobación e implementación de un plan de contingencias que describa las acciones a tomar en caso de una emergencia o suspensión en el procesamiento de la información por problemas en los equipos, programas o personal relacionado.” El Plan de Recuperación de Desastres se desarrolló para sustentar las operaciones de los principales servicios ofrecidos por la Unidad de Servicios Informáticos de la EPMAPAP.
Dada la recurrencia de eventos eléctricos discontinuos y de inundaciones presentadas en la ciudad de Portoviejo a causas de fuertes inviernos cada vez más frecuentes que amenazan la seguridad de los datos, los sistemas informáticos con los que cuenta la institución, sus consecuencias en la continuidad y calidad en la prestación de estos servicios, es evidente la necesidad de implementar un DRP que permita salvaguardar la integridad de los equipos informáticos, realizar una adecuada gestión y administración de los recursos El agua es un derecho Constitucional, según lo expresa la Constitución de la República del Ecuador en su Título II Derechos, Capítulo II Derechos del Buen Vivir, Sección Primera Agua y Alimentación, Art. 12: “El derecho humano al agua es fundamental e irrenunciable. El agua constituye patrimonio nacional estratégico de uso público, inalienable, imprescriptible, inembargable y esencial para la vida”.
Desarrollar un DRP para la Unidad de Tecnología de la EPMAPAP sobre la base de estándares y buenas prácticas, que permita afrontar desastres y mantener la continuidad de las operaciones del negocio. •Seleccionar los estándares y buenas prácticas aplicables a la recuperación de desastres en la Unidad de Tecnología de la EPMAPAP. •Aplicar los estándares y buenas prácticas seleccionados, para definir y probar, en forma piloto, el DRP •Realizar un análisis de factibilidad para la implementación del DRP.
Plan de contingencia, es un instrumento de gestión que contiene las medidas que garanticen la continuidad del negocio protegiendo al sistema de información de los peligros que lo amenazan o recuperándolo tras un impacto. Plan de Continuidad del Negocio, permite de modo planificado, sistemático y organizado resguardar la capacidad de la empresa de proveer un nivel aceptable de servicios en cualquier eventualidad que comprometa la continuidad de las operaciones. DRP – Plan de Recuperación de Desastres, es la estrategia que se seguirá para restablecer los servicios de TI después de haber sufrido una afectación de cualquier tipo, que atente contra la continuidad del negocio.
Estándares Son un conjunto de especificaciones técnicas o mejores prácticas, aprobadas por organismos reconocidos, aplicables a cualquier tipo de organización cuyo objetivo es la mejora continua de los procesos y su permanencia a través del tiempo. BS 25999  ISO 22301 - Seguridad de la sociedad – Sistemas de gestión de la continuidad de negocio  ISO 27001 - Tecnología de la Información – Técnicas de Seguridad – Sistema de la Seguridad de la Información (SGSI) Estándares sobre la continuidad del negocio: Los estándares, normas y buenas prácticas implementadas en diversas organizaciones a nivel mundial, surgen ante la necesidad de gestionar los riesgos y estandarizar las políticas de seguridad en las organizaciones
BS-25999 Es un estándar británico de mejores prácticas, para lograr la continuidad de las operaciones de negocio, considerando los riesgos a los que se enfrenta la organización ISO 22301“Seguridad de la sociedad – Sistemas de gestión de la continuidad de negocio Es la primera norma internacional para la gestión de la continuidad del negocio, desarrollada para ayudar a las organizaciones a minimizar el riesgo de las interrupciones que puedan presentarse. Cláusulas: 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Requerimientos generales 5. Liderazgo 6. Planeación 7. Soporte 8. Operación ISO 27001 – Tecnología de la Información – Técnicas de Seguridad – Sistema de la Seguridad de la Información (SGSI) Es una norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información. Permite adoptar a la organización un enfoque por procesos para establecer, implantar, operar,
• Constitución de la República del Ecuador Establece en su Título VII Régimen Del Buen Vivir, Capítulo Primero Inclusión y Equidad, Sección Novena, Gestión del Riesgo, que: “Art. 389.- El Estado protegerá a las personas, las colectividades y la naturaleza frente a los efectos negativos de los desastres de origen natural o antrópico mediante la prevención ante el riesgo, la mitigación de desastres, la recuperación…”. “Art. 390.- Los riesgos se gestionarán Normativa Es todo el cuerpo legal que en el marco de su jurisdicción es aplicable para cada organización de acuerdo a su actividad y lugar donde desarrollan sus actividades. • Normas de Control Interno En la norma de control interno 410-11de la Contraloría General del Estado dice que: “Corresponde a la unidad de tecnología de información la definición, aprobación e implementación de un plan de contingencias que describa las acciones a tomar en caso de una emergencia o suspensión en el procesamiento de la información por problemas en los equipos, programas o personal
Se realizó la selección de la norma que cumplió con los criterios establecidos y que mejor se ajustaba a la realidad y necesidad de la Unidad de Tecnología de la EPMAPAP a fin obtener mejores resultados durante su desarrollo y en su posterior implementación para mitigar en lo posible los riesgos a los que está expuesta la organización. Peso % Criterios de Selección Alternativas BS-25999 ISO 22301 ISO 27001 9,10% Contribución a la continuidad de negocio 100,00% 100,00% 40,00% 9,09% Flexibilidad de adaptación 100,00% 100,00% 90,00% 9,09% Norma Internacional 50,00% 100,00% 100,00% 9,09% Actualización disponible 80,00% 100,00% 90,00% 9,09% Escalabilidad 90,00% 100,00% 80,00% 9,09% Independencia 95,00% 97,00% 80,00% 9,09% Impacto 80,00% 80,00% 80,00% 9,09% Sostenibilidad 80,00% 100,00% 80,00% 9,09% Aplicabilidad sector público/ privado 100,00% 100,00% 90,00% 9,09% Certificable 100,00% 100,00% 100,00% 9,09% Experiencias exitosas de implementación 98,00% 95,00% 100,00% 100,00% TOTAL PONDERACIÓN 88,46% 97,45% 84,54%
DIRECTORIO AUDITORIA GERENTE DIRECCION TECNICA AGUA POTABLE VALVULAS Y REDES PLANTA POTABILIZADORA SANEAMIENTO DUCTOS Y COLECTORES PLANTAS Y ESTACIONES DE BOMBEO PLANIFICACION PROYECTO Y FISCALIZACION GESTION AMBIENTAL DIRECCION ADMINISTRATIVA TALENTO HUMANO - TRABAJO SOCIAL - SEGURIDAD OCUPACIONAL ACTIVOS ADQUISICIONES Y SUMINISTROS GUARDALMACEN PROVEEDURIA COMPRAS PUBLICAS SERVICIOS GENERALES DIRECCION COMERCIAL ATENCION AL CLIENTE AGENCIA CRUCITA AGENCIA FLORON FACTURACION Y CATASTRO CATASTRO DE CLIENTES Y MEDIDORES CARTERA Y COBRANZAS DIRECCION FINANCIERO CONTABILIDAD PRESUPUESTO PAGADURIA COMUNICACION SOCIAL SECRETARIA GENERAL INFORMATICA ASESORIA JURIDICA
La Unidad de Tecnología de la EPMAPAP, es un área de asesoría tecnológica que brinda servicios de soporte y administración de los sistemas informáticos a las áreas administrativas de la EPMAPAP, alineada siempre a los objetivos institucionales. JEFE SERVICIOS INFORMATICOS BASE DE DATOS Y SISTEMA TECNICO INFORMATICO REDES Y COMUNICACIONES La EPMAPAP cuenta con sistemas informáticos integrados dentro de sus principales áreas: Sistema informático comercial – ABILLING Sistema informático contable OLYMPO Sistema informático administrativo – Estructura Orgánica Diagrama de Red Organizacional
El DRP desarrollado consta de una serie de documentos formulados a partir de las necesidades y objetivos institucionales Ubicación del Documento Nombre del Documento ANEXO 1 Control de información documentada ANEXO 2 Requisitos legales, normativos y reglamentarios ANEXO 3 Lista de requisitos legales, normativos y reglamentarios ANEXO 4 Política de continuidad de los servicios tecnológicos ANEXO 5 Análisis del impacto en el negocio ANEXO 5.1 Cuestionario de análisis de impacto– Disponibilidad del servicio de comunicación ANEXO 5.2 Cuestionario de análisis de impacto– Disponibilidad del sistema comercial ANEXO 5.3 Cuestionario de análisis de impacto– Disponibilidad del sistema administrativo ANEXO 5.4 Cuestionario de análisis de impacto– Disponibilidad del sistema financiero ANEXO 6 Estrategia de continuidad de los servicios tecnológicos ANEXO 6.1 Lista de actividades ANEXO 6.2 Prioridades de recuperación ANEXO 6.3 Objetivos de tiempo de recuperación ANEXO 6.4 Escenarios de incidentes disruptivos ANEXO 6.5 Plan de preparación para la continuidad de los servicios tecnológicos ANEXO 6.6 Estrategia de recuperación - Disponibilidad del servicio de comunicación ANEXO 6.7 Estrategia de recuperación - Disponibilidad del sistema comercial ANEXO 6.8 Estrategia de recuperación - Disponibilidad del sistema administrativo ANEXO 6.9 Estrategia de recuperación - Disponibilidad del sistema financiero ANEXO 6.10 Cuestionario de evaluación de control interno ANEXO 6.11 Calificación de la evaluación de control interno ANEXO 6.12 Matriz de evaluación de riesgos ANEXO 6.13 Matriz de tratamiento de riesgos ANEXO 6.14 Plan de evacuación ANEXO 7 Plan de continuidad ANEXO 7.1 Plan de respuesta a incidentes generales ANEXO 7.2 Registro de incidentes ANEXO 7.3 Ubicaciones estratégicas de continuidad ANEXO 7.4 Plan de transporte ANEXO 7.5 Registro de contactos ANEXO 7.6 Plan de recuperación - Disponibilidad del servicio de comunicación ANEXO 7.7 Plan de recuperación - Disponibilidad del sistema comercial ANEXO 7.8 Plan de recuperación - Disponibilidad del sistema administrativo ANEXO 7.9 Plan de recuperación - Disponibilidad del sistema financiero ANEXO 8.2 Formulario de informe de pruebas ANEXO 9 Plan de capacitación ANEXO 10.1 Programa de auditoría ANEXO 10.2 Informe de auditoría ANEXO 11 Formulario de medidas correctivas ANEXO 12 Matriz RACI de responsabilidades
Control de Información documentada Este documento tiene como objetivo el de asegurar el control de la información documentada con respecto a la creación, actualización, distribución, acceso, recuperación y uso de los documentos utilizados en el plan de recuperación de desastres (DRP). Requisitos legales, normativos y reglamentarios El presente documento tiene como objetivo determinar las partes interesadas que son relevantes para la organización y los requisitos de estas partes interesadas, además de los requisitos legales, normativos y reglamentarios aplicables a la Lista de requisitos legales, normativos y reglamentarios En este documento se listan todos los requisitos legales, normativos, y reglamentarios que hacen necesario el desarrollo del plan de recuperación de desastres y su posterior implementación
Política de continuidad de los servicios tecnológicos El presente documento tiene como objetivo definir el alcance y reglas básicas para la gestión de la continuidad de los servicios tecnológicos Análisis de impacto en el negocio El objetivo de este documento es definir el proceso de evaluación que se aplicará a los principales servicios que ofrece la unidad de tecnología y determinar el impacto de interrupción en el negocio, para priorizar objetivos de recuperación Cuestionarios de análisis de impacto En este documento se detallan las tareas, recursos y datos necesarios para la recuperación de las principales actividades. Estrategia de continuidad de los servicios tecnológicos Este documento tiene como objetivo determinar una estrategia de recuperación apropiada para asegurar la protección de las actividades priorizadas, sus dependencias y el apoyo de recursos, sirviendo de base para la continuidad y recuperación de los servicios tecnológicos que sustentan el negocio
Lista de actividades Este documento detalla las actividades principales y complementarias de recuperación que garantizan la continuidad de las operaciones organizacionales que dependen de la Unidad de servicios informáticos Prioridades de recuperación Este documento define los períodos máximos tolerables de interrupción para cada actividad y establece prioridades en consecuencia Objetivos de tiempo de recuperación Este documento define los objetivos de tiempo de recuperación para cada actividad a recuperar considerada dentro del DRP Escenarios de incidentes disruptivos Este documento define escenarios comunes de incidentes disruptivos Plan de preparación para la continuidad de los servicios tecnológicos Este documento define los preparativos para cumplir con las condiciones para retomar en forma satisfactoria las actividades comerciales luego de un incidente disruptivo
Estrategia de recuperación Este documento define las responsabilidades claves, el tratamiento de los recursos y el procedimiento aplicable a las copias de seguridad de los datos para las principales actividades. Calificación de la evaluación de control interno Este documento contiene la evaluación realizada a la Unidad de servicios informáticos mediante el cuestionario de control interno Matriz de tratamiento de riesgos Este documento contiene la respuesta y las instrucciones de auditoría de cómo tratar los riesgos una vez identificados Matriz de evaluación de riesgo Este documento contiene la matiz de evaluación y respuesta a los riesgos luego de realizada la calificación mediante el cuestionario de control interno Cuestionario de evaluación de control interno Este documento describe el cuestionario de control interno realizado a la Unidad de servicios informáticos de la EPMAPAP para la evaluación y verificación de sus controles Plan de evacuación Este documento define el plan de evacuación del edificio y los procedimientos básicos a seguir en casos de emergencia.
Plan de continuidad Este documento tiene como objetivo determinar procedimientos documentados para responder a incidentes perturbadores y como continuar o recuperar sus principales actividades tecnológicas dentro de un marco de tiempo predeterminado Plan de respuesta a incidentes generales El objetivo de este documento es asegurar la protección y bienestar de los individuos ante la ocurrencia de desastres, así como contener el incidente, reduciendo al mínimo posible el daño sobre el negocio, sus empleados y sus partes interesadas Registro de incidentes Este documento clasifica los incidentes disruptivos y presenta un formato para el registro de estos cuando se presenten
Ubicaciones estratégicas de continuidad Este documento proporciona las ubicaciones disponibles alternativas para asegurar la continuidad de las operaciones tecnológicas en caso de incidentes disruptivos Plan de transporte Este documento presenta la forma en que se organizará el transporte en caso de que se activen los planes de recuperación Registro de contactos Este documento lista los principales datos de los empleados que se encuentran vinculados a las acciones de recuperación o involucrados dentro de las actividades del DRP Plan de recuperación Este documento define de forma precisa cómo la EPMAPAP recuperará sus actividades dentro de plazos establecidos ante el caso de un desastre o de un incidente disruptivo y terminar la recuperación de cada actividad dentro del objetivo de tiempo de recuperación establecido
Plan de capacitación Este documento detalla la capacitación necesaria para preparar al personal para que pueda cumplir su función dentro del plan de recuperación de desastres. Formulario de informe de pruebas Este documento es un formato que se usará para el registro de las pruebas y verificaciones periódicas o imprevistas con el fin de evaluar y detectar problemas que se presenten al momento de aplicar el DRP, para luego tomar las medidas correctivas necesarias Programa de auditoría Este documento es un formato para redactar el programa anual de auditoría interna sobre el marco de las normas ISO 22301:2012 Informe de auditoría Formato básico para el registro de las auditorías internas realizadas al DRP desarrollado luego de su implementación
Formulario de medidas correctivas Este documento es un formato para el registro de las acciones correctivas detectadas durante incidentes disruptivos al aplicar los procedimientos del DRP, con el objetivo de implementar al mejora continua al mismo. Matriz RACI de responsabilidades Es una matriz de asignación de responsabilidades, en la cual se especifica el rol de cada persona dentro de la gestión del DRP para la continuidad del negocio y de las responsabilidades que deben cumplir estos. Una vez desarrollado el documento del plan de continuidad del negocio como parte del DRP y siguiendo la norma ISO 22301:2012, se realizaron los simulacros o pruebas piloto a esta unidad de Servicios Informáticos con tres escenarios seleccionados para medir el grado de eficacia y aplicabilidad del plan desarrollado. Los escenarios fueron seleccionados de forma discrecional por el autor debido a que la actual tesis es una propuesta de diseño de un DRP pero el mismo no se encuentra implementado, por esta razón la falta de recursos materiales, humanos y logísticos impidieron probar escenarios de mayor complejidad. Pruebas piloto
Factibilidad Técnica Apellidos y Nombres Título de tercer nivel Experiencia Áreas # Años de experiencia José Iván Alcívar Moreira Ingeniero en sistemas informáticos  Seguridad y base de datos.  Telecomunicaciones  Desarrollo de software 3 Javier Hernán López Zambrano Ingeniero en sistemas computacionale s  Seguridad y base de datos.  Telecomunicaciones  Desarrollo de software 4 Eglice Renán Ross Villavicencio Técnico informático  Soporte técnico.  Instalación y mantenimiento de hardware y software 3 Aplicación Tipo de software Tipo licencia Plataforma WhatsUp Gold Monitoreo de red Propietario Windows Consolas de comandos integradas en el sistema operativo Consola de comandos GLP – Software libre Linux Existe la factibilidad técnica en la implementación del DRP, ya que se cuenta con los conocimientos y habilidades tanto de los niveles directivos para la gestión administrativa y de los niveles de gestión operativa de las tareas informáticas de la institución Así mismo se establece que se cuentan con las herramientas informáticas necesarias para la administración y recuperación de
Factibilidad Operativa La EPMAPAP posee una estructura orgánica funcional que permite la toma de decisiones de forma oportuna, esta efectiva operabilidad coordinada con los procesos definidos en el manual de procesos organizacionales de la EPMAPAP permite la viabilidad operativa del DRP desarrollado y el empoderamiento de los procesos organizacionales. El literal i del Reglamento de la Estructura Orgánica y Funcional de la EPMAPAP establece que es función del jefe del departamento de servicios informáticos: “Definir los procedimientos de contingencia o planes de recuperación de Factibilidad Legal En la norma de control interno 410- 11 “Corresponde a la unidad de tecnología de información la definición, aprobación e implementación de un plan de contingencias …” La Constitución de la República del Ecuador en sus Art. 389 y 390 menciona: “Art. 389.- El Estado protegerá a las personas, las colectividades y la naturaleza frente a los efectos negativos de los desastres de origen natural o antrópico mediante la prevención ante el riesgo, la mitigación de desastres, la recuperación…”. “Art. 390.- Los riesgos se gestionarán bajo el principio de descentralización subsidiaria, que implicará la
Factibilidad Económica De acuerdo al estudio realizado se estableció el costo de la caída concurrente de todos los sistemas informáticos y el costo a invertir en recursos para la recuperación de las actividades. Actividad Costo Semanal Incidente disruptivo Costo de Inversión Disponibilidad del servicio de comunicación 61000,00 20000,00 Disponibilidad del sistema comercial 21500,00 15000,00 Disponibilidad del sistema administrativo 13500,00 15000,00 Disponibilidad del sistema financiero 7000,00 15000,00 Total 103000,00 65000,00 0 10000 20000 30000 40000 50000 60000 70000 Disponibilidad del servicio de comunicación Disponibilidad del sistema comercial Disponibilidad del sistema administrativo Disponibilidad del sistema financiero Costo Semanal Incidente disruptivo Costo de Inversión
La norma ISO 22301:2012 se ajusta a las necesidades institucionales de la EPMAPAP debido a su flexibilidad de adaptación a cualquier organización sin importar su tipo, tamaño y naturaleza, lo que permitió la culminación del presente plan de recuperación de desastres. La norma ISO 22301:2012 aplicada en el presente trabajo, fue la mejor opción (solución) para desarrollar el plan de recuperación de desastres para la unidad de servicios informáticos de la EPMAPAP, quedando así demostrado mediante las pruebas pilotos que se realizaron con el objetivo de probar su eficacia y la flexibilidad de acoplamiento que brinda la norma. Después del análisis realizado se demuestra que existe la viabilidad técnica, operativa, legal y económica del DRP desarrollado, considerando los beneficios y prestaciones que motivan su implementación dentro de la Unidad de servicios informáticos de la organización. Las pruebas preliminares del DRP desarrollado corroboran el estudio de su factibilidad así como, permiten afirmar que es posible su implementación y operación en el marco organizacional de la EPMAPAP. El diseño desarrollado del DRP basado en la norma ISO 22301:2012, ha sido una solución demostrada mediante las pruebas pilotos y los estudios de factibilidad realizados que demuestran su viabilidad de implementación dentro del marco estructural y organizacional de la EPMAPAP.
Implementar el plan de recuperación de desastres desarrollado para la unidad de servicios informáticos de la EPMAPAP, para asegurar la continuidad de las operaciones tecnológicas y de los servicios informáticos que brinda este departamento, que son la base sustentable para llevar a cabo las principales actividades de la organización Realizar la socialización del presente plan de recuperación de desastres a todo el personal de la institución para concientizar las acciones y medidas correctivas que se puedan tomar sin haber implementado el mismo, además de brindar una idea más clara y de prevención ante desastres o incidentes disruptivos que se pudieran presentar. Acoger la norma ISO 22301:2012 en el resto de unidades organizativas de la EPMAPAP para asegurar la continuidad del negocio mediante un completo Sistema de Gestión de Continuidad del Negocio. Dotar al personal de la debida capacitación que ayude a adquirir las habilidades básicas necesarias para la integración del personal dentro del DRP desarrollado que complemente las habilidades y destrezas inmersas en el Realizar un convenio de alianza estratégica con la Empresa homónima de servicio básico de agua potable de la ciudad de Manta denominada Empresa de Aguas de Manta, a fin de unir esfuerzos y servir de centros de recuperación remoto de forma bilateral, tal como se especifica en el desarrollo
T-ESPE-048273-D (1).pptx

Recomendados

POLITICA DE SEGURIDAD E HIGIENE
POLITICA DE SEGURIDAD E HIGIENE POLITICA DE SEGURIDAD E HIGIENE
POLITICA DE SEGURIDAD E HIGIENE jorge24910
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestremcgavilanes
 
Tratamiento de riesgo cf
Tratamiento de riesgo cfTratamiento de riesgo cf
Tratamiento de riesgo cfAlexander Velasque Rimac
 
Definiciones
DefinicionesDefiniciones
DefinicionesPamela Quintuprai Muñoz
 
plan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticosplan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticosAllan Rayo
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionferd3116
 
Prdi francisco torres
Prdi francisco torresPrdi francisco torres
Prdi francisco torresfrankjtorres
 
informe de pasantias
informe de pasantiasinforme de pasantias
informe de pasantiasnatachameza22
 

Recomendados

POLITICA DE SEGURIDAD E HIGIENE
POLITICA DE SEGURIDAD E HIGIENE POLITICA DE SEGURIDAD E HIGIENE
POLITICA DE SEGURIDAD E HIGIENE jorge24910
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestremcgavilanes
 
Tratamiento de riesgo cf
Tratamiento de riesgo cfTratamiento de riesgo cf
Tratamiento de riesgo cfAlexander Velasque Rimac
 
Definiciones
DefinicionesDefiniciones
DefinicionesPamela Quintuprai Muñoz
 
plan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticosplan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticosAllan Rayo
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionferd3116
 
Prdi francisco torres
Prdi francisco torresPrdi francisco torres
Prdi francisco torresfrankjtorres
 
informe de pasantias
informe de pasantiasinforme de pasantias
informe de pasantiasnatachameza22
 
Tecnologias de lainformacion word
Tecnologias de lainformacion wordTecnologias de lainformacion word
Tecnologias de lainformacion wordLUIS ALBERTO VALLEJO NARVAEZ
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaAmbar Lopez
 
Analisis de riesgos parcial
Analisis de riesgos parcialAnalisis de riesgos parcial
Analisis de riesgos parcialAlexander Velasque Rimac
 
Sigsso resumen
Sigsso resumenSigsso resumen
Sigsso resumenhermescpy
 
Generalidades y fundamentos de la auditoria de sistemas
Generalidades y fundamentos de la auditoria de sistemasGeneralidades y fundamentos de la auditoria de sistemas
Generalidades y fundamentos de la auditoria de sistemasWillians Manganiello Cadenas
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJesenia Ocaña Escobar
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIOptimizaTI
 
PROCESAMIENTO DE DATOS FEB_2020
PROCESAMIENTO DE DATOS FEB_2020PROCESAMIENTO DE DATOS FEB_2020
PROCESAMIENTO DE DATOS FEB_2020Brayam Hernandez
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticaVanessa Castillo
 
Anteproyecto Elaboracion De Un Sistema De Informacion De Seguridad
Anteproyecto Elaboracion De Un Sistema De Informacion De SeguridadAnteproyecto Elaboracion De Un Sistema De Informacion De Seguridad
Anteproyecto Elaboracion De Un Sistema De Informacion De SeguridadDecimo Sistemas
 
Manual continuidad negocio
Manual continuidad negocioManual continuidad negocio
Manual continuidad negocioLeonardo Lenin Banegas Barahona
 
Generalidades de Auditoria de Sistemas Ana Rosa GT
Generalidades de Auditoria de Sistemas Ana Rosa GTGeneralidades de Auditoria de Sistemas Ana Rosa GT
Generalidades de Auditoria de Sistemas Ana Rosa GTAnaRosaGudiel
 
Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridadMichelleClap
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasKendyPea
 
Auditoria de la dirección y Auditoria de la Ofimatica
Auditoria de la dirección y Auditoria de la OfimaticaAuditoria de la dirección y Auditoria de la Ofimatica
Auditoria de la dirección y Auditoria de la OfimaticaKarenth M.
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
Pasantia
PasantiaPasantia
PasantiaJuan David Ceron
 
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...cgroportunidadestrategica
 
Victor lumania.auditoriainformat.ib
Victor lumania.auditoriainformat.ibVictor lumania.auditoriainformat.ib
Victor lumania.auditoriainformat.ibvhlumania
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaCastillo'S Legal Solutions
 

Más contenido relacionado

Similar a T-ESPE-048273-D (1).pptx

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaAmbar Lopez
 
Sigsso resumen
Sigsso resumenSigsso resumen
Sigsso resumenhermescpy
 
Generalidades y fundamentos de la auditoria de sistemas
Generalidades y fundamentos de la auditoria de sistemasGeneralidades y fundamentos de la auditoria de sistemas
Generalidades y fundamentos de la auditoria de sistemasWillians Manganiello Cadenas
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIOptimizaTI
 
PROCESAMIENTO DE DATOS FEB_2020
PROCESAMIENTO DE DATOS FEB_2020PROCESAMIENTO DE DATOS FEB_2020
PROCESAMIENTO DE DATOS FEB_2020Brayam Hernandez
 
Anteproyecto Elaboracion De Un Sistema De Informacion De Seguridad
Anteproyecto Elaboracion De Un Sistema De Informacion De SeguridadAnteproyecto Elaboracion De Un Sistema De Informacion De Seguridad
Anteproyecto Elaboracion De Un Sistema De Informacion De SeguridadDecimo Sistemas
 
Generalidades de Auditoria de Sistemas Ana Rosa GT
Generalidades de Auditoria de Sistemas Ana Rosa GTGeneralidades de Auditoria de Sistemas Ana Rosa GT
Generalidades de Auditoria de Sistemas Ana Rosa GTAnaRosaGudiel
 
Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridadMichelleClap
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasKendyPea
 
Auditoria de la dirección y Auditoria de la Ofimatica
Auditoria de la dirección y Auditoria de la OfimaticaAuditoria de la dirección y Auditoria de la Ofimatica
Auditoria de la dirección y Auditoria de la OfimaticaKarenth M.
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...cgroportunidadestrategica
 
Victor lumania.auditoriainformat.ib
Victor lumania.auditoriainformat.ibVictor lumania.auditoriainformat.ib
Victor lumania.auditoriainformat.ibvhlumania
 

Similar a T-ESPE-048273-D (1).pptx (20)

Tecnologias de lainformacion word
Tecnologias de lainformacion wordTecnologias de lainformacion word
Tecnologias de lainformacion word
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Analisis de riesgos parcial
Analisis de riesgos parcialAnalisis de riesgos parcial
Analisis de riesgos parcial
 
Sigsso resumen
Sigsso resumenSigsso resumen
Sigsso resumen
 
Generalidades y fundamentos de la auditoria de sistemas
Generalidades y fundamentos de la auditoria de sistemasGeneralidades y fundamentos de la auditoria de sistemas
Generalidades y fundamentos de la auditoria de sistemas
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TI
 
PROCESAMIENTO DE DATOS FEB_2020
PROCESAMIENTO DE DATOS FEB_2020PROCESAMIENTO DE DATOS FEB_2020
PROCESAMIENTO DE DATOS FEB_2020
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informática
 
Anteproyecto Elaboracion De Un Sistema De Informacion De Seguridad
Anteproyecto Elaboracion De Un Sistema De Informacion De SeguridadAnteproyecto Elaboracion De Un Sistema De Informacion De Seguridad
Anteproyecto Elaboracion De Un Sistema De Informacion De Seguridad
 
Manual continuidad negocio
Manual continuidad negocioManual continuidad negocio
Manual continuidad negocio
 
Generalidades de Auditoria de Sistemas Ana Rosa GT
Generalidades de Auditoria de Sistemas Ana Rosa GTGeneralidades de Auditoria de Sistemas Ana Rosa GT
Generalidades de Auditoria de Sistemas Ana Rosa GT
 
Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridad
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemas
 
Auditoria de la dirección y Auditoria de la Ofimatica
Auditoria de la dirección y Auditoria de la OfimaticaAuditoria de la dirección y Auditoria de la Ofimatica
Auditoria de la dirección y Auditoria de la Ofimatica
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Pasantia
PasantiaPasantia
Pasantia
 
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...
 
Victor lumania.auditoriainformat.ib
Victor lumania.auditoriainformat.ibVictor lumania.auditoriainformat.ib
Victor lumania.auditoriainformat.ib
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 

T-ESPE-048273-D (1).pptx

  • 1.
  • 2. Con este trabajo se dotó a la Unidad de Tecnología de la EPMAPAP de un DRP que sirva para afrontar desastres que puedan comprometer la continuidad de las operaciones en los procesos El trabajo de investigación se desarrolló en la Empresa Pública Municipal de Agua Potable y Alcantarillado de Portoviejo, creada mediante Ordenanza de 26 de noviembre de 1996. En virtud de la creciente dependencia que tienen las empresas a nivel mundial de la tecnología para realizar sus operaciones, se hace cada vez más necesario el contar con un plan de recuperación de desastres. En Ecuador este fenómeno se manifiesta en mayor proporción en el sector privado. En la provincia de Manabí muy pocas empresas cuentan con la protección de esta herramienta.
  • 3. En la Unidad de Tecnología de la EPMAPAP no se dispone de un DRP, por lo que se incumple la norma de control interno 410-11Plan de Contingencias: “Corresponde a la unidad de tecnología de información la definición, aprobación e implementación de un plan de contingencias que describa las acciones a tomar en caso de una emergencia o suspensión en el procesamiento de la información por problemas en los equipos, programas o personal relacionado.” El Plan de Recuperación de Desastres se desarrolló para sustentar las operaciones de los principales servicios ofrecidos por la Unidad de Servicios Informáticos de la EPMAPAP.
  • 4. Dada la recurrencia de eventos eléctricos discontinuos y de inundaciones presentadas en la ciudad de Portoviejo a causas de fuertes inviernos cada vez más frecuentes que amenazan la seguridad de los datos, los sistemas informáticos con los que cuenta la institución, sus consecuencias en la continuidad y calidad en la prestación de estos servicios, es evidente la necesidad de implementar un DRP que permita salvaguardar la integridad de los equipos informáticos, realizar una adecuada gestión y administración de los recursos El agua es un derecho Constitucional, según lo expresa la Constitución de la República del Ecuador en su Título II Derechos, Capítulo II Derechos del Buen Vivir, Sección Primera Agua y Alimentación, Art. 12: “El derecho humano al agua es fundamental e irrenunciable. El agua constituye patrimonio nacional estratégico de uso público, inalienable, imprescriptible, inembargable y esencial para la vida”.
  • 5. Desarrollar un DRP para la Unidad de Tecnología de la EPMAPAP sobre la base de estándares y buenas prácticas, que permita afrontar desastres y mantener la continuidad de las operaciones del negocio. •Seleccionar los estándares y buenas prácticas aplicables a la recuperación de desastres en la Unidad de Tecnología de la EPMAPAP. •Aplicar los estándares y buenas prácticas seleccionados, para definir y probar, en forma piloto, el DRP •Realizar un análisis de factibilidad para la implementación del DRP.
  • 6. Plan de contingencia, es un instrumento de gestión que contiene las medidas que garanticen la continuidad del negocio protegiendo al sistema de información de los peligros que lo amenazan o recuperándolo tras un impacto. Plan de Continuidad del Negocio, permite de modo planificado, sistemático y organizado resguardar la capacidad de la empresa de proveer un nivel aceptable de servicios en cualquier eventualidad que comprometa la continuidad de las operaciones. DRP – Plan de Recuperación de Desastres, es la estrategia que se seguirá para restablecer los servicios de TI después de haber sufrido una afectación de cualquier tipo, que atente contra la continuidad del negocio.
  • 7. Estándares Son un conjunto de especificaciones técnicas o mejores prácticas, aprobadas por organismos reconocidos, aplicables a cualquier tipo de organización cuyo objetivo es la mejora continua de los procesos y su permanencia a través del tiempo. BS 25999  ISO 22301 - Seguridad de la sociedad – Sistemas de gestión de la continuidad de negocio  ISO 27001 - Tecnología de la Información – Técnicas de Seguridad – Sistema de la Seguridad de la Información (SGSI) Estándares sobre la continuidad del negocio: Los estándares, normas y buenas prácticas implementadas en diversas organizaciones a nivel mundial, surgen ante la necesidad de gestionar los riesgos y estandarizar las políticas de seguridad en las organizaciones
  • 8. BS-25999 Es un estándar británico de mejores prácticas, para lograr la continuidad de las operaciones de negocio, considerando los riesgos a los que se enfrenta la organización ISO 22301“Seguridad de la sociedad – Sistemas de gestión de la continuidad de negocio Es la primera norma internacional para la gestión de la continuidad del negocio, desarrollada para ayudar a las organizaciones a minimizar el riesgo de las interrupciones que puedan presentarse. Cláusulas: 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Requerimientos generales 5. Liderazgo 6. Planeación 7. Soporte 8. Operación ISO 27001 – Tecnología de la Información – Técnicas de Seguridad – Sistema de la Seguridad de la Información (SGSI) Es una norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información. Permite adoptar a la organización un enfoque por procesos para establecer, implantar, operar,
  • 9. • Constitución de la República del Ecuador Establece en su Título VII Régimen Del Buen Vivir, Capítulo Primero Inclusión y Equidad, Sección Novena, Gestión del Riesgo, que: “Art. 389.- El Estado protegerá a las personas, las colectividades y la naturaleza frente a los efectos negativos de los desastres de origen natural o antrópico mediante la prevención ante el riesgo, la mitigación de desastres, la recuperación…”. “Art. 390.- Los riesgos se gestionarán Normativa Es todo el cuerpo legal que en el marco de su jurisdicción es aplicable para cada organización de acuerdo a su actividad y lugar donde desarrollan sus actividades. • Normas de Control Interno En la norma de control interno 410-11de la Contraloría General del Estado dice que: “Corresponde a la unidad de tecnología de información la definición, aprobación e implementación de un plan de contingencias que describa las acciones a tomar en caso de una emergencia o suspensión en el procesamiento de la información por problemas en los equipos, programas o personal
  • 10. Se realizó la selección de la norma que cumplió con los criterios establecidos y que mejor se ajustaba a la realidad y necesidad de la Unidad de Tecnología de la EPMAPAP a fin obtener mejores resultados durante su desarrollo y en su posterior implementación para mitigar en lo posible los riesgos a los que está expuesta la organización. Peso % Criterios de Selección Alternativas BS-25999 ISO 22301 ISO 27001 9,10% Contribución a la continuidad de negocio 100,00% 100,00% 40,00% 9,09% Flexibilidad de adaptación 100,00% 100,00% 90,00% 9,09% Norma Internacional 50,00% 100,00% 100,00% 9,09% Actualización disponible 80,00% 100,00% 90,00% 9,09% Escalabilidad 90,00% 100,00% 80,00% 9,09% Independencia 95,00% 97,00% 80,00% 9,09% Impacto 80,00% 80,00% 80,00% 9,09% Sostenibilidad 80,00% 100,00% 80,00% 9,09% Aplicabilidad sector público/ privado 100,00% 100,00% 90,00% 9,09% Certificable 100,00% 100,00% 100,00% 9,09% Experiencias exitosas de implementación 98,00% 95,00% 100,00% 100,00% TOTAL PONDERACIÓN 88,46% 97,45% 84,54%
  • 11. DIRECTORIO AUDITORIA GERENTE DIRECCION TECNICA AGUA POTABLE VALVULAS Y REDES PLANTA POTABILIZADORA SANEAMIENTO DUCTOS Y COLECTORES PLANTAS Y ESTACIONES DE BOMBEO PLANIFICACION PROYECTO Y FISCALIZACION GESTION AMBIENTAL DIRECCION ADMINISTRATIVA TALENTO HUMANO - TRABAJO SOCIAL - SEGURIDAD OCUPACIONAL ACTIVOS ADQUISICIONES Y SUMINISTROS GUARDALMACEN PROVEEDURIA COMPRAS PUBLICAS SERVICIOS GENERALES DIRECCION COMERCIAL ATENCION AL CLIENTE AGENCIA CRUCITA AGENCIA FLORON FACTURACION Y CATASTRO CATASTRO DE CLIENTES Y MEDIDORES CARTERA Y COBRANZAS DIRECCION FINANCIERO CONTABILIDAD PRESUPUESTO PAGADURIA COMUNICACION SOCIAL SECRETARIA GENERAL INFORMATICA ASESORIA JURIDICA
  • 12. La Unidad de Tecnología de la EPMAPAP, es un área de asesoría tecnológica que brinda servicios de soporte y administración de los sistemas informáticos a las áreas administrativas de la EPMAPAP, alineada siempre a los objetivos institucionales. JEFE SERVICIOS INFORMATICOS BASE DE DATOS Y SISTEMA TECNICO INFORMATICO REDES Y COMUNICACIONES La EPMAPAP cuenta con sistemas informáticos integrados dentro de sus principales áreas: Sistema informático comercial – ABILLING Sistema informático contable OLYMPO Sistema informático administrativo – Estructura Orgánica Diagrama de Red Organizacional
  • 13. El DRP desarrollado consta de una serie de documentos formulados a partir de las necesidades y objetivos institucionales Ubicación del Documento Nombre del Documento ANEXO 1 Control de información documentada ANEXO 2 Requisitos legales, normativos y reglamentarios ANEXO 3 Lista de requisitos legales, normativos y reglamentarios ANEXO 4 Política de continuidad de los servicios tecnológicos ANEXO 5 Análisis del impacto en el negocio ANEXO 5.1 Cuestionario de análisis de impacto– Disponibilidad del servicio de comunicación ANEXO 5.2 Cuestionario de análisis de impacto– Disponibilidad del sistema comercial ANEXO 5.3 Cuestionario de análisis de impacto– Disponibilidad del sistema administrativo ANEXO 5.4 Cuestionario de análisis de impacto– Disponibilidad del sistema financiero ANEXO 6 Estrategia de continuidad de los servicios tecnológicos ANEXO 6.1 Lista de actividades ANEXO 6.2 Prioridades de recuperación ANEXO 6.3 Objetivos de tiempo de recuperación ANEXO 6.4 Escenarios de incidentes disruptivos ANEXO 6.5 Plan de preparación para la continuidad de los servicios tecnológicos ANEXO 6.6 Estrategia de recuperación - Disponibilidad del servicio de comunicación ANEXO 6.7 Estrategia de recuperación - Disponibilidad del sistema comercial ANEXO 6.8 Estrategia de recuperación - Disponibilidad del sistema administrativo ANEXO 6.9 Estrategia de recuperación - Disponibilidad del sistema financiero ANEXO 6.10 Cuestionario de evaluación de control interno ANEXO 6.11 Calificación de la evaluación de control interno ANEXO 6.12 Matriz de evaluación de riesgos ANEXO 6.13 Matriz de tratamiento de riesgos ANEXO 6.14 Plan de evacuación ANEXO 7 Plan de continuidad ANEXO 7.1 Plan de respuesta a incidentes generales ANEXO 7.2 Registro de incidentes ANEXO 7.3 Ubicaciones estratégicas de continuidad ANEXO 7.4 Plan de transporte ANEXO 7.5 Registro de contactos ANEXO 7.6 Plan de recuperación - Disponibilidad del servicio de comunicación ANEXO 7.7 Plan de recuperación - Disponibilidad del sistema comercial ANEXO 7.8 Plan de recuperación - Disponibilidad del sistema administrativo ANEXO 7.9 Plan de recuperación - Disponibilidad del sistema financiero ANEXO 8.2 Formulario de informe de pruebas ANEXO 9 Plan de capacitación ANEXO 10.1 Programa de auditoría ANEXO 10.2 Informe de auditoría ANEXO 11 Formulario de medidas correctivas ANEXO 12 Matriz RACI de responsabilidades
  • 14. Control de Información documentada Este documento tiene como objetivo el de asegurar el control de la información documentada con respecto a la creación, actualización, distribución, acceso, recuperación y uso de los documentos utilizados en el plan de recuperación de desastres (DRP). Requisitos legales, normativos y reglamentarios El presente documento tiene como objetivo determinar las partes interesadas que son relevantes para la organización y los requisitos de estas partes interesadas, además de los requisitos legales, normativos y reglamentarios aplicables a la Lista de requisitos legales, normativos y reglamentarios En este documento se listan todos los requisitos legales, normativos, y reglamentarios que hacen necesario el desarrollo del plan de recuperación de desastres y su posterior implementación
  • 15. Política de continuidad de los servicios tecnológicos El presente documento tiene como objetivo definir el alcance y reglas básicas para la gestión de la continuidad de los servicios tecnológicos Análisis de impacto en el negocio El objetivo de este documento es definir el proceso de evaluación que se aplicará a los principales servicios que ofrece la unidad de tecnología y determinar el impacto de interrupción en el negocio, para priorizar objetivos de recuperación Cuestionarios de análisis de impacto En este documento se detallan las tareas, recursos y datos necesarios para la recuperación de las principales actividades. Estrategia de continuidad de los servicios tecnológicos Este documento tiene como objetivo determinar una estrategia de recuperación apropiada para asegurar la protección de las actividades priorizadas, sus dependencias y el apoyo de recursos, sirviendo de base para la continuidad y recuperación de los servicios tecnológicos que sustentan el negocio
  • 16. Lista de actividades Este documento detalla las actividades principales y complementarias de recuperación que garantizan la continuidad de las operaciones organizacionales que dependen de la Unidad de servicios informáticos Prioridades de recuperación Este documento define los períodos máximos tolerables de interrupción para cada actividad y establece prioridades en consecuencia Objetivos de tiempo de recuperación Este documento define los objetivos de tiempo de recuperación para cada actividad a recuperar considerada dentro del DRP Escenarios de incidentes disruptivos Este documento define escenarios comunes de incidentes disruptivos Plan de preparación para la continuidad de los servicios tecnológicos Este documento define los preparativos para cumplir con las condiciones para retomar en forma satisfactoria las actividades comerciales luego de un incidente disruptivo
  • 17. Estrategia de recuperación Este documento define las responsabilidades claves, el tratamiento de los recursos y el procedimiento aplicable a las copias de seguridad de los datos para las principales actividades. Calificación de la evaluación de control interno Este documento contiene la evaluación realizada a la Unidad de servicios informáticos mediante el cuestionario de control interno Matriz de tratamiento de riesgos Este documento contiene la respuesta y las instrucciones de auditoría de cómo tratar los riesgos una vez identificados Matriz de evaluación de riesgo Este documento contiene la matiz de evaluación y respuesta a los riesgos luego de realizada la calificación mediante el cuestionario de control interno Cuestionario de evaluación de control interno Este documento describe el cuestionario de control interno realizado a la Unidad de servicios informáticos de la EPMAPAP para la evaluación y verificación de sus controles Plan de evacuación Este documento define el plan de evacuación del edificio y los procedimientos básicos a seguir en casos de emergencia.
  • 18. Plan de continuidad Este documento tiene como objetivo determinar procedimientos documentados para responder a incidentes perturbadores y como continuar o recuperar sus principales actividades tecnológicas dentro de un marco de tiempo predeterminado Plan de respuesta a incidentes generales El objetivo de este documento es asegurar la protección y bienestar de los individuos ante la ocurrencia de desastres, así como contener el incidente, reduciendo al mínimo posible el daño sobre el negocio, sus empleados y sus partes interesadas Registro de incidentes Este documento clasifica los incidentes disruptivos y presenta un formato para el registro de estos cuando se presenten
  • 19. Ubicaciones estratégicas de continuidad Este documento proporciona las ubicaciones disponibles alternativas para asegurar la continuidad de las operaciones tecnológicas en caso de incidentes disruptivos Plan de transporte Este documento presenta la forma en que se organizará el transporte en caso de que se activen los planes de recuperación Registro de contactos Este documento lista los principales datos de los empleados que se encuentran vinculados a las acciones de recuperación o involucrados dentro de las actividades del DRP Plan de recuperación Este documento define de forma precisa cómo la EPMAPAP recuperará sus actividades dentro de plazos establecidos ante el caso de un desastre o de un incidente disruptivo y terminar la recuperación de cada actividad dentro del objetivo de tiempo de recuperación establecido
  • 20. Plan de capacitación Este documento detalla la capacitación necesaria para preparar al personal para que pueda cumplir su función dentro del plan de recuperación de desastres. Formulario de informe de pruebas Este documento es un formato que se usará para el registro de las pruebas y verificaciones periódicas o imprevistas con el fin de evaluar y detectar problemas que se presenten al momento de aplicar el DRP, para luego tomar las medidas correctivas necesarias Programa de auditoría Este documento es un formato para redactar el programa anual de auditoría interna sobre el marco de las normas ISO 22301:2012 Informe de auditoría Formato básico para el registro de las auditorías internas realizadas al DRP desarrollado luego de su implementación
  • 21. Formulario de medidas correctivas Este documento es un formato para el registro de las acciones correctivas detectadas durante incidentes disruptivos al aplicar los procedimientos del DRP, con el objetivo de implementar al mejora continua al mismo. Matriz RACI de responsabilidades Es una matriz de asignación de responsabilidades, en la cual se especifica el rol de cada persona dentro de la gestión del DRP para la continuidad del negocio y de las responsabilidades que deben cumplir estos. Una vez desarrollado el documento del plan de continuidad del negocio como parte del DRP y siguiendo la norma ISO 22301:2012, se realizaron los simulacros o pruebas piloto a esta unidad de Servicios Informáticos con tres escenarios seleccionados para medir el grado de eficacia y aplicabilidad del plan desarrollado. Los escenarios fueron seleccionados de forma discrecional por el autor debido a que la actual tesis es una propuesta de diseño de un DRP pero el mismo no se encuentra implementado, por esta razón la falta de recursos materiales, humanos y logísticos impidieron probar escenarios de mayor complejidad. Pruebas piloto
  • 22. Factibilidad Técnica Apellidos y Nombres Título de tercer nivel Experiencia Áreas # Años de experiencia José Iván Alcívar Moreira Ingeniero en sistemas informáticos  Seguridad y base de datos.  Telecomunicaciones  Desarrollo de software 3 Javier Hernán López Zambrano Ingeniero en sistemas computacionale s  Seguridad y base de datos.  Telecomunicaciones  Desarrollo de software 4 Eglice Renán Ross Villavicencio Técnico informático  Soporte técnico.  Instalación y mantenimiento de hardware y software 3 Aplicación Tipo de software Tipo licencia Plataforma WhatsUp Gold Monitoreo de red Propietario Windows Consolas de comandos integradas en el sistema operativo Consola de comandos GLP – Software libre Linux Existe la factibilidad técnica en la implementación del DRP, ya que se cuenta con los conocimientos y habilidades tanto de los niveles directivos para la gestión administrativa y de los niveles de gestión operativa de las tareas informáticas de la institución Así mismo se establece que se cuentan con las herramientas informáticas necesarias para la administración y recuperación de
  • 23. Factibilidad Operativa La EPMAPAP posee una estructura orgánica funcional que permite la toma de decisiones de forma oportuna, esta efectiva operabilidad coordinada con los procesos definidos en el manual de procesos organizacionales de la EPMAPAP permite la viabilidad operativa del DRP desarrollado y el empoderamiento de los procesos organizacionales. El literal i del Reglamento de la Estructura Orgánica y Funcional de la EPMAPAP establece que es función del jefe del departamento de servicios informáticos: “Definir los procedimientos de contingencia o planes de recuperación de Factibilidad Legal En la norma de control interno 410- 11 “Corresponde a la unidad de tecnología de información la definición, aprobación e implementación de un plan de contingencias …” La Constitución de la República del Ecuador en sus Art. 389 y 390 menciona: “Art. 389.- El Estado protegerá a las personas, las colectividades y la naturaleza frente a los efectos negativos de los desastres de origen natural o antrópico mediante la prevención ante el riesgo, la mitigación de desastres, la recuperación…”. “Art. 390.- Los riesgos se gestionarán bajo el principio de descentralización subsidiaria, que implicará la
  • 24. Factibilidad Económica De acuerdo al estudio realizado se estableció el costo de la caída concurrente de todos los sistemas informáticos y el costo a invertir en recursos para la recuperación de las actividades. Actividad Costo Semanal Incidente disruptivo Costo de Inversión Disponibilidad del servicio de comunicación 61000,00 20000,00 Disponibilidad del sistema comercial 21500,00 15000,00 Disponibilidad del sistema administrativo 13500,00 15000,00 Disponibilidad del sistema financiero 7000,00 15000,00 Total 103000,00 65000,00 0 10000 20000 30000 40000 50000 60000 70000 Disponibilidad del servicio de comunicación Disponibilidad del sistema comercial Disponibilidad del sistema administrativo Disponibilidad del sistema financiero Costo Semanal Incidente disruptivo Costo de Inversión
  • 25. La norma ISO 22301:2012 se ajusta a las necesidades institucionales de la EPMAPAP debido a su flexibilidad de adaptación a cualquier organización sin importar su tipo, tamaño y naturaleza, lo que permitió la culminación del presente plan de recuperación de desastres. La norma ISO 22301:2012 aplicada en el presente trabajo, fue la mejor opción (solución) para desarrollar el plan de recuperación de desastres para la unidad de servicios informáticos de la EPMAPAP, quedando así demostrado mediante las pruebas pilotos que se realizaron con el objetivo de probar su eficacia y la flexibilidad de acoplamiento que brinda la norma. Después del análisis realizado se demuestra que existe la viabilidad técnica, operativa, legal y económica del DRP desarrollado, considerando los beneficios y prestaciones que motivan su implementación dentro de la Unidad de servicios informáticos de la organización. Las pruebas preliminares del DRP desarrollado corroboran el estudio de su factibilidad así como, permiten afirmar que es posible su implementación y operación en el marco organizacional de la EPMAPAP. El diseño desarrollado del DRP basado en la norma ISO 22301:2012, ha sido una solución demostrada mediante las pruebas pilotos y los estudios de factibilidad realizados que demuestran su viabilidad de implementación dentro del marco estructural y organizacional de la EPMAPAP.
  • 26. Implementar el plan de recuperación de desastres desarrollado para la unidad de servicios informáticos de la EPMAPAP, para asegurar la continuidad de las operaciones tecnológicas y de los servicios informáticos que brinda este departamento, que son la base sustentable para llevar a cabo las principales actividades de la organización Realizar la socialización del presente plan de recuperación de desastres a todo el personal de la institución para concientizar las acciones y medidas correctivas que se puedan tomar sin haber implementado el mismo, además de brindar una idea más clara y de prevención ante desastres o incidentes disruptivos que se pudieran presentar. Acoger la norma ISO 22301:2012 en el resto de unidades organizativas de la EPMAPAP para asegurar la continuidad del negocio mediante un completo Sistema de Gestión de Continuidad del Negocio. Dotar al personal de la debida capacitación que ayude a adquirir las habilidades básicas necesarias para la integración del personal dentro del DRP desarrollado que complemente las habilidades y destrezas inmersas en el Realizar un convenio de alianza estratégica con la Empresa homónima de servicio básico de agua potable de la ciudad de Manta denominada Empresa de Aguas de Manta, a fin de unir esfuerzos y servir de centros de recuperación remoto de forma bilateral, tal como se especifica en el desarrollo