KELA Presentacion Costa Rica 2024 - evento Protégeles
Plan contingencia IUTEB
1. PLAN ESTRATEGICO DE SEGURIDAD PARA CONTIGENCIAS APLICADAS
AL INSTITUTO UNIVERSITARIO DE TECNOLOGIA DEL ESTADO BOLIVAR
(IUTEB)
Prof. Ing. Juan Martínez, Msc. Maestrante:
Rodríguez Yesika
C.I.: 11.175.485
Ciudad Bolívar, junio 2016
UNIVERSIDAD NACIONAL EXPERIMENTAL DE GUAYANA
COORDINACION GENERAL DE INVESTIGACION Y POSTGRADO
MAESTRIA EN TECNOLOGIA DE LA INFORMACION
2. Plan Estratégico de Seguridad para Contingencias
Instituto Universitario de Tecnologia del Estado Bolívar
Introducción
Propósito
Este informe es el plan de recuperación de desastres para el Instituto Universitario
de Tecnologia del Estado Bolívar (IUTEB) en el departamento de Telemática. La
información contenida es un esquema que establece normas y procedimientos
que se utilizarán en caso de emergencia. El empleo de éstas capacitará al
personal administrativo, docente y obrero que allí se desempeñan. Tomando en
atención específicamente al personal técnico de mencionado departamento en
caso de ocurrir un evento que destruya todas o parte de la facilidades del centro
de cómputos en el IUTEB. Además para reducir el impacto negativo de eventos
que puedan afectar a los Sistemas de Información, Computación y Comunicación
del IUTEB.
Alcance
En la actualidad el departamento de telemática ofrece servicios de computación,
tanto al área administrativa como a la académica. Es importante señalar que parte
de un Plan de Recuperación de Desastres es identificar aquellas áreas que tienen
prioridad y que por su naturaleza pueden afectar el funcionamiento administrativo
de la institución si no se cuenta con el servicio que las mismas ofrecen. Este plan
identifica como prioridad el área administrativa y todos los sistemas que operan
bajo ésta, actualmente.
3. Plan Estratégico de Seguridad para Contingencias
Instituto Universitario de Tecnologia del Estado Bolívar
Objetivos:
1. Presentar las concepciones básicas sobre
contingencias y continuidad.
2. Puntualizar las diferentes tácticas para
abordar las contingencias informáticas.
3. Detallar la metodología general para la
elaboración de un Plan de Contingencias.
Los servicios informáticos benefician a
toda la organización. Dotarlos de las
medidas suficientes para mantener su
disponibilidad, confidencialidad e
integridad garantiza la continuidad de
los servicios.
Las contingencias afectan a las personas y
los medios con los que estas desarrollan
su actividad, su trabajo.
4. Plan Estratégico de Seguridad para Contingencias
Instituto Universitario de Tecnologia del Estado Bolívar
Conceptos Generales de Contingencias
1. Con relativa frecuencia, aparecen noticias sobre los daños y perjuicios
ocasionados a las empresas e instituciones, debidos a los cortes de suministro o a
los daños en las infraestructuras, fruto de desastres naturales o intencionados. A
este tipo de situaciones, se les suele denominar CONTINGENCIAS.
2. En bastantes ocasiones, ese daño proviene, de forma indirecta, porque se ven
afectados elementos de la informática, de las comunicaciones o de las
infraestructuras que soportan a ambas.
3. Teniendo en cuenta el uso, cada vez más elevado, de las tecnologías de la
información y de las comunicaciones como un apoyo para la realización de las
tareas propias de su naturaleza, se producen interrupciones de la actividad en
aquellas instituciones que se ven afectadas por una situación de contingencia.
4. No se trata de sembrar el alarmismo. Se trata tan solo de fijar el contexto en el
que se producen las contingencias: existen una serie de acciones, a veces
provocadas por la naturaleza, otras por accidentes y algunas veces intencionadas,
que pueden ocasionar y, de hecho, lo hacen, perjuicios en la informática propia y,
por tanto, en el desarrollo normal de las actividades que se apoyan total o
parcialmente en la utilización de esos medios informáticos.
5. Por ello, como medida preventiva, cualquier institución, organismo público o
empresa, debe establecer la formación de pensar qué ocurriría si alguna acción
(un incendio, un desastre natural, un atentado terrorista, por poner algunos
ejemplos) perturbase su cotidiano quehacer por un periodo de tiempo variable,
cómo y en qué medida se vería alterada la forma de trabajo y, sobre todo, de
medidas alternativas para continuar la operatividad se dispone.
6. De todo lo expuesto en estos conceptos se resume que un plan de recuperación
de desastres informáticos son tácticas planificadas con una serie de instrucciones
que facilitan tener opciones para restituir rápidamente los servicios de la institución
ante cualquier eventualidad, ya sea de forma parcial o total.
5. Plan Estratégico de Seguridad para Contingencias
Instituto Universitario de Tecnologia del Estado Bolívar
Para la elaboración de este plan se debe establecer cinco (5) etapas que se
enfocan en los componentes preventivos y ejecución de planes para solventar en
caso de ocurrir el siniestro.
Servidores
Cant
.
Equipos Servicios que prestan Ubicación
01
Servidor de Gama baja :
Procesador intel core
2.53GHZ
Memoria RAM 4GB
Disco Duro 250 GB
Tarjeta de Red Giga
Ethernet
*Sistema de inscripción para estudiantes
del IUTEB.
*Resguardar la data de egresos, ingresos
de estudiantes.
Departamento
de Control de
Estudios
01 Servidor de Gama alta
*Administrar las aplicaciones informáticas
para automatizar los procesos que se
ejecutan en telemática.
*Instalar y administrar aplicaciones
informáticas desarrolladas por los
estudiantes del PNF en informática para
automatizar procesos administrativos.
*Dirigir los servicios de correo, de
impresión, entre otros.
*Gestionar la base de datos del Complejo
Educativo Virtual.
Departamento
De Telemática
01
Servidor de gama media:
Servidor HP Proliant G8
M1310
*Gestionar las datas del personal
administrativo, docente y obrero.
*Dirigir los procesos comprobantes de
cobro del personal de IUTEB.
Administrar la Instalación y configuración
del Sistema Unificado de Gestión
Administrativa Universitaria (SUGAU)
Departamentos
administrativo
Web mail DHCP (siete - uno por segmento) Intranet Web Server SQL Server
Fuente: Departamento de Telemática
Recursos de Computación
6. Plan Estratégico de Seguridad para Contingencias
Instituto Universitario de Tecnologia del Estado Bolívar
Personal
El establecimiento de un equipo organizado de personas, preparado para
actuar en caso de que se active el Plan. Se debe considerar la organización
de contingencias informáticas como una unidad de apoyo, cuya estructura
no tiene vigencia real permanente, y sólo se activa ante un caso de
contingencia informática o bien para realizar las pruebas de respaldo
planificadas. Personal a cargo de activar el plan
Depto. Telemática
Coordinador
Administrador de la
Red
Operador de
Procesamiento de Datos
Especialista en Sistemas
operativos
Ing. Pedro Aparicio
Tel. Ofi.
0285- 7070181
Tel. Cel.
0416- 4869603
Ing. Jocenh Blanco
Tel. Ofi.
0285- 6324041
Tel. Celular. 0416-
6342701
Ing. Poyo Joel
Tel. Ofi. (0285) 850 9366
Tel. Celular.
(0416) 7210717
Ing. Jorge Núñez
Tel. Ofi. 0285 - 356 7894
Tel. Celular.
0414 1851358
Personal externo que prestara colaboracion
Director
Control de
Estudios (Jefe)
División de Programas
Nacionales de
Formación y Currículo
(Jefe)
Subdirección
Académica
(Subdirector)
Subdirección
Administrativa
(Subdirector)
Luisa López
Tel. Ofi.
0285- 6324181
Tel. Cel.
0416- 4867786
Pedro Rojas
Tel. Ofi.
0285- 6327799
Tel. Cel.
0416- 3093568
María Bastado
Tel. Ofi.
0285- 6348799
Tel. Cel.
0426- 4869603
Luis Castro
Tel. Ofi.
0285- 4070181
Tel. Cel.
0416- 1852658
Ulises Mora
Tel. Ofi.
0285- 6349478
Tel. Cel.
0416- 6347789
Servicios
Generales (Jefe)
Planta Física
(Jefe)
Recursos Humanos
(Jefe)
Planificación y
Desarrollo (Jefe)
Relaciones
Publicas (Jefe)
Irene Sifontes
Tel. Ofi.
0285- 6327854
Tel. Cel.
0416- 3955667
Ricardo Meléndez
Tel. Ofi.
0285- 6348856
Tel. Cel.
0414-2997845
Sonia García
Tel. Ofi.
0285- 6348523
Tel. Cel.
0414-1854000
Manuel Cordova
Tel. Ofi.
0285- 6347718
Tel. Cel.
0416- 3901930
Joel Pérez
Tel. Ofi.
0285- 6511515
Tel. Cel.
0416- 2859675
Fuente: Departamento de Telemática
7. Plan Estratégico de Seguridad para Contingencias
Instituto Universitario de Tecnologia del Estado Bolívar
Una vez determinado el personal para activar el plan de contingencias donde se
incorpora los departamentos de la institución los cuales deben colaborar, en la
responsabilidad del diseño y aplicación de estos. Se procede a elaborar el diseño,
¿Cómo se hará? En tal sentido debe tomarse en cuenta cinco (05) etapas que
permiten que lleve a cabo un excelente plan.
Evaluación, Planificación y Pruebas de viabilidad
En esta primera etapa se establecen los puntos críticos que requerían mayor
seguridad en la institución; pero claro importante estudiar factores como el
tiempo (situación al límite) y el coste (mínimas perdidas). El Director del o persona
designada por éste declarará la emergencia y contactará al director/a de la
institución y a su vez al Subdirector académico, administrativo o persona
designada por ésta para activar el Plan de Recuperación de Desastres. Este plan
se activará en conjunto con el de la institución.
Se considerarán eventos críticos entre otros:
Fallas en el funcionamiento del Servidor HP Proliant G8 M1310
Hay que tomar especial atención a las siguientes aplicaciones que componen los
sistemas Administrativos:
1. Sistema Unificado de Gestión Administrativa Universitaria (SUGAU)
2. Sistema Estudiantil (SIS)
3. Sistema de Recursos Humanos (HRS)
4. Sistema MOODLE, completamente desarrollado en Software Libre, el
Campus Virtual del IUTEB.
5. Sistema de Control Administrativo de la Sala de Computación Alma Mater
(SCA-SCAM) para llevar el control administrativo y las estadísticas de uso
de la sala.
En caso de fracase y se extienda, el personal encargado de los sistemas críticos
se reunirán para determinar si es necesario utilizar las instalaciones de la Oficina
de Sistemas de Información en la Oficina del director.
Paralización prolongada de electricidad
La falta de energía eléctrica en toda la institución por un periodo mayor de
24 horas.
8. Plan Estratégico de Seguridad para Contingencias
Instituto Universitario de Tecnologia del Estado Bolívar
Medidas a considerar en caso de esta eventualidad
1. Sustituir la energía eléctrica mediante sistemas de emergencia (UPS y
generador).
2. En sus instalaciones, se determinara sitios de trabajo temporales para
realizar las funciones esenciales.
Complicaciones en el funcionamiento de uno de los discos magnéticos
donde se almacenan las aplicaciones y datos de producción.
De surgir algún problema con algún disco que se afecten alguna aplicación o
datos se tomará la acción de:
1. identificar el disco disponible para estos casos.
2. Se restaura con el resguardo más reciente.
3. Las cinco aplicaciones críticas presenta un sistema de reguardo de
transacciones en línea. De tal manera que rehabilita hasta la última
transacción afectada antes de ocurrir un daño al disco magnético. Se
recomienda aplicar Recuva (recuperar datos borrados accidentalmente).
4. Una vez recuperado el disco se renombra el directorio afectado.
5. El departamento de Operaciones tiene como objetivo principal realizar la
restauración de las aplicaciones y datos.
Desastre limitado al Departamento de Telemática
Una catástrofe que impida la operación del Departamento de Telemática por más
de 48 horas, pero que no afecte el funcionamiento del resto del IUTEB.
Medidas a considerar en caso de esta eventualidad
1. Efectuar trabajos administrativos y académicos del IUTEB que requieran
uso del computador en otras sedes.
2. En esta situación, se emitirán transferencias de nóminas de empelados y
cheques de estudio, trabajo becas, de acuerdo con sus respectivas fechas.
3. Se reintegrarán actividades administrativas digitalizadas, en un tiempo
limitado.
Inundación dentro de un espacio reducido del Departamento de telemática
1. El coordinador establecerá comunicación con la Sección de Servicios
Generales del IUTEB, para crear jornadas de limpieza en el área
afectada.
2. Se renovarán las actividades tan pronto se efectué la limpieza.
9. Plan Estratégico de Seguridad para Contingencias
Instituto Universitario de Tecnologia del Estado Bolívar
3. El departamento de telemática presenta un sistema de sensores que
detectan la humedad en la sala de servidores.
Fuego
El Departamento de Telemática tiene detectores de humo, que al momento de
detectar una situación de incendio, se activará en forma automática. Este
sistema rocía el área donde se encuentra el equipo con una sustancia que
evita el daño de los equipos.
Medidas a considerar en caso de esta eventualidad
1. El coordinador plantea al Comité de emergencias del IUTEB la
activación del plan de limpieza en el sitio afectado.
2. Se evaluara los daños ocasionados por este evento por parte del
personal establecido por el departamento de Telemática. De tal manera
que se pueda definir el estatus de los equipos de computación,
mobiliario entre otras cosas. Si necesario adquirir nuevos equipos o se
evaluará la garantía, seguros, etc.
3. En caso de extenderse este evento, se deberá ponerse en contacto con
el personal encargado de las situaciones críticas con la finalidad de
identificar la necesidad de traslado hacia otras sedes.
4. En cuanto se regularice la situación debe efectuarse un resguardo de
los datos procesados en esa instalación.
Ejecución y Recuperación
El plan de contingencia no buscas resolver las causas del problema, sino
asegurar la continuidad de las tareas críticas de la institución. En su ejecución se
toma una serie de opciones para probar los estudios alcanzados.
Comité en caso de eventos críticos
Esea
Seguridad Laboral
Yasil Ascanio
N° celular: 0416-2970496
Servicios Generales
Enrique Infante
N° celular: 0416-7230496
Depto. de Telemática
Carlos Castillo
N° celular: 0416-7258790
Especialista en SO
Javier Mujica
N° celular: 0416-3902096
Supervisor de Operaciones
Teresa Parra
N° celular: 0416-3902096
Planta Física
Carlos Afanador
N° celular: 0416-2096327
10. Plan Estratégico de Seguridad para Contingencias
Instituto Universitario de Tecnologia del Estado Bolívar
El comité presentado tiene como objetivo crear un vínculo de comunicación
permanente con los miembros de la institución a fin de establecer una rápida
respuesta ante algún evento.
Sistemas Críticos del IUTEB
1. SUGAU se utiliza para correr todos los procesos del Sistema Financiero.
2. SIS se utiliza para correr todos los procesos del Sistema Estudiantil.
3. HRS se utiliza para correr todos los procesos del Sistema Recursos Humanos.
Una vez establecidos los procesos
Recursos Informáticos para mantener la comunicación y operación de toda la
institución
Hardware:
1. Disco duro Portátil TOSHIBA 1 Terabyte.
2. Impresora portable inalámbrica.
3. Fotocopiadora Canon MF-4770.
4. Quemadora Portátil Samsung.
5. Computador portable inalámbrico (Laptop)
6. Teléfonos celulares
7. DVD regrabables
8. Libreta de notas
Software (Archivos y Programas)
1. Programa TestDisk (especialmente recomendado cuando hay particiones
dañadas, no reconoce la partición, etc.)
2. System Rescue CD (distribución Linux en Live CD,)
3. Nessus (herramienta de auditoría de sistemas de información para la
búsqueda de fallas críticas de seguridad)
4. PartImage (aplicación para copia y recuperación de particiones completas y
almacenadas en un único archivo.
Requerimientos de recuperación para la Normalización de las operaciones
después del Desastre:
1. Efectuar un resguardo de los procesos ocurridos en los eventos adversos.
2. Actualizar archivos y restaurar los datos en la unidad permanente de
trabajo.
3. Establecer responsabilidades a los comités y grupos de trabajos en áreas
de seguridad y los procesos para el manejo de respuestas a incidentes.
11. Plan Estratégico de Seguridad para Contingencias
Instituto Universitario de Tecnologia del Estado Bolívar
4. Emplear metodologías, herramientas y técnicas que permitan identificar las
Recuperación
En esta última etapa se determinan recuperan los datos afectados por el siniestro,
deben corregirse usando procedimientos ya definidos una vez finalizado el plan
conviene elaborar un informe final con los resultados ejecución cuyas
conclusiones sirvan para mejorar futuras nuevas eventualidades.
Plan de contingencias para estos siniestros:
Implementar Programas de mantenimiento para suministro alterno de
electricidad:
1. Pruebas semanales al generador de electricidad.
2. Programa de mantenimiento del equipo y de las instalaciones eléctricas.
3. Registro de pruebas efectuadas con resultados y observaciones.
Respaldo y recuperación
1. Seleccionar el medio de almacenamiento secundario.
2. Comprobar la frecuencia de realización de copias de seguridad.
3. Probar el volumen de la información a respaldar.
4. Determinar días y horario en que deben realizarse los respaldos.
5. Ejecutar simulacros del plan de contingencia.
6. Elaborar un manual de contingencia, y Retroalimentar el plan.
Diseñar una guía
1. Para generar procedimientos de recuperación antes desastres naturales o
inducidos para el sistema informático.
2. Tal que pueda ser usado por el personal técnico externo en el sitio del
evento.
Conclusiones
1. Aumentar las medidas para garantizar la disponibilidad de los servicios
informáticos genera confianza y acerca a los usuarios a la informática.
2. La institución debe asumir el Plan de Contingencias Informáticas, analizarlo
y determinar su idoneidad, con el fin de ponerlo en marcha en un tiempo
razonable.
3. Adoptar un Plan de Contingencias impacta en la organización, en las
funciones y en las responsabilidades.
4. El Plan de Contingencias Informáticas debe ser un elemento vivo, que se
mantenga, pruebe y actualice periódicamente.
5. Cuando una institución va creciendo gracias al apoyo de la tecnología y va
tomando las medidas necesarias para proteger su información (su bien más
preciado) y establece las estrategias pertinentes mediante un plan de
recuperación en caso de alguna contingencia, podrá asegurar la
12. Plan Estratégico de Seguridad para Contingencias
Instituto Universitario de Tecnologia del Estado Bolívar
continuidad de sus servicios y asegurar la atención de sus clientes,
manteniéndose al día con la exigencia de su mercado.
Referencias Bibliograficas
Villacís Ruiz, V. M. (2006). Auditoria Forense: Metodología, Herramientas y
Técnicas Aplicadas en un siniestro informático de una empresa del sector
comercial.
Andrade Calderón, L. X., & Bucheli Verduga, G. F. (2003). Plan de minimización
de riesgos en caso de ocurrencia de desastres que afecten el procesamiento
informático en la PUCE a través de los servicios que presta el Centro de
Informática.
Universidad de Puerto Rico. Formación Plan de contingencias (2007) disponible
enhttps://www.incibe.es/extfrontinteco/es/pdf/Formacion_Plan_Contingencias_Info
maticas.pdf
José Villalobos (2008). Guía para crear un plan de recuperación en caso de
desastre en el sistema informático del centro de datos de un grupo financiero.
Disponible en http://www.uci.ac.cr/Biblioteca/Tesis/PFGMAP505.pdf.
Randall Cruz, Partner Systems Engineer, CCA (2015) Recuperación de desastres
informáticos: Diseñe deseando lo mejor, en función de esperar lo peor. Disponible
en: https://blogs.vmware.com/latam/2015/08/recuperacion-de-desastres-
informaticos-disene-deseando-lo-mejor-en-funcion-de-esperar-lo-peor.html