1. Plan de Recuperación de Desastres Informáticos (PRDI) TOYOGUAYANA. C. A.
Gerencia de Telecomunicaciones.
Introducción
Un desastre informático es un evento no planificado que inhabilita el centro de
datos de la organización, a prestar los servicios necesarios para seguir operando
de forma normal. Condiciones que podrían ser declaradas como desastres
incluyen eventos de la naturaleza como huracanes, inundaciones, terremotos,
incendios y otros. O eventos causados por el hombre como sabotaje, fraude,
terrorismo y ataques maliciosos, entre otros, que al final causen daños a la
infraestructura de cómputo.
Este documento es el plan de recuperación de desastres para TOYOGUAYANA.
C. A del departamento de telecomunicación. La información contenida es una
guía en la que se establecen las normas y los procedimientos que se utilizarán
en caso de emergencia. El empleo de éstas capacitará al personal técnico del
telecomunicación a responder asertivamente en caso de ocurrir un evento que
destruya todas o parte de los procesos de negocios del departamento de
telecomunicación. Además para reducir el impacto negativo de eventos que
puedan afectar a los Sistemas de Información, Computación y Comunicación del
departamento.. .
Objetivos del PRDI:
El objetivo del plan no es evitar los riesgos, sino minimizar el impacto que las
incidencias podrían producir en el departamento. Asegurando la capacidad de
supervivencia de la empresa, ante eventos que pongan en peligro su existencia,
protegiendo y conservando los activos de la empresa, de riesgos, desastres
naturales o actos mal intencionado.
Autor: Dulbairi Campero
2. Reducir al mínimo la interrupción de las operaciones comerciales minimizando el
riesgo de retrasos, Ayudando en la restauración de las operaciones con la
velocidad requerida garantizando un alto nivel de seguridad
Queremos asegurar que existan controles adecuados para reducir el riesgo por
fallas o mal funcionamiento tanto del equipo, como del software, de los datos, y
de los medios de almacenamiento, ya que nuestra función es comunicar a todo
el personal activo de la empresa los pasos a seguir en caso de cualquier riesgo.
Riesgos
Existen diferentes riesgos que pueden impactar negativamente las operaciones
normales de la empresa, para ver que constituye el desastre y a que riesgos es
susceptible la misma , incluyendo:
Catástrofes.
Fuego.
Fallos en el suministro eléctrico.
Interrupciones organizadas o deliberadas.
Sistema y/o fallos del equipo.
Error humano.
Virus, amenazas y ataques informáticos.
Cuestiones legales.
Huelgas de empleados.
3. Plan de Recuperación de Desastres Informáticos (PRDI) TOYOGUAYANA. C. A.
Gerencia de Telecomunicaciones.
Plan de Recuperación de Desastres Informáticos
Para asegurar la continuidad de la empresa, En un buen plan existen diferentes
factores que hay que tomar en cuenta. Los más importantes son:
1. El árbol telefónico: para notificar todo el personal clave del problema y
asignarles tareas enfocadas hacia el plan de recuperación.
2. Reservas de memoria: si las cintas de reserva son tomadas fuera de
sitio es necesario grabarlas. Si se usan servicios remotos de reserva se
requerirá una conexión de red a la posición remota de reserva (o
Internet).
3. Trabajadores con conocimiento. Durante desastre a los empleados se
les requiere trabajar horas más largas y más agotadoras. Debe haber
un sistema de apoyo para aliviar un poco de tensión.
4. La información de negocio. Las reservas deben estar almacenadas
completamente separadas de la empresa la seguridad y la fiabilidad de
los datos es clave en ocasiones como estas.
El primer enfoque para afrontar cualquier riesgo debe ser eliminar la amenaza
considerando las ubicaciones de negocios materiales para la construcción y la
duplicación de funciones clave en ubicaciones remotas. Un objetivo realista es
asegurar la supervivencia de una organización estableciendo una cultura que
identificará y gestionará esos riesgos que podrían causarle que sufra.
Autor: Dulbairi Campero
4. Algunos ejemplos de estos riesgos corporativos incluyen:
-Incapacidad de mantener los servicios críticos al cliente.
Daño en la participación de mercado, la imagen, reputación o marca.
No poder proteger los activos de la compañía, incluyendo propiedad
intelectual y personal.
Falla de control de negocio.
No poder cumplir los requerimientos legales o regulatorios.
Lo primero que hay que hacer para desarrollar un PRDI es identificar los
procesos de negocio de importancia estratégica, que son los procesos clave que
son responsables tanto del crecimiento permanente del negocio como del
cumplimiento de las metas del negocio. Idealmente el PRDI debe ser respaldado
por una política ejecutiva formal que establezca el objetivo general de la
organización y asigna poder a las personas que están involucradas en el
desarrollo, prueba y mantenimiento del plan.
Teniendo presente los procesos clave, el proceso de gestión de riesgos debe
comenzar con una valoración de riesgos. El riesgo es directamente proporcional
al impacto a la organización y la probabilidad de que ocurra la amenaza
percibida. El resultado de la valoración de riesgos debe ser la identificación de lo
siguiente:
Aquellos recursos humanos, datos, elementos de infraestructura y
otros recursos, incluyendo
aquellos suministrados por terceros que soportan los procesos clave.
Una lista de las vulnerabilidades potenciales, los peligros o amenazas
a la organización.
La probabilidad estimada de que ocurran estas amenazas.
5. Plan de Recuperación de Desastres Informáticos (PRDI) TOYOGUAYANA. C. A.
Gerencia de Telecomunicaciones.
La parte de operaciones del PRDI debe tratar todas las funciones y activos
requeridos para continuar como una organización viable. Aprovisionar al negocio
con instalaciones externas, algo que debería ser perseguido, es en última
instancia una decisión de negocio basada en la gestión de riesgos.
El centro de atención está en la disponibilidad de los procesos clave del negocio
para continuar operaciones si surgiera algún tipo de interrupción.
PRDI es principalmente una responsabilidad de alta dirección, ya que ella es la
encargada de salvaguardar tanto los activos como la viabilidad de la
organización y de soporte por igual, para proveer un nivel reducido pero
suficiente de funcionalidad de las operaciones del negocio, inmediatamente
después de que se produzca una interrupción, mientras se está llevando a cabo
la recuperación.
Este plan debe tratar todas las funciones y los activos que se requieren para
continuar como una organización viable. Esto incluye los procedimientos de
continuidad calificados como necesarios para sobrevivir y para minimizar las
consecuencias de la interrupción del negocio.
A continuación se presenta en la figura 01 esquema del plan de acción de
recuperación de desastre de los servicios del departamento de
telecomunicaciones
Figura ‘1. Plan de recuperación de desastre. Fuente Autor.
Autor: Dulbairi Campero
6. Fase de la recuperación
El esquema general del plan de contingencias de los sistemas de información,
está constituido por 3 grandes fases:
1. Fase de Reducción de Riesgos
2. Fase de Recuperación de Contingencia
3. Fase de Organización de un Sistema de Alerta contra Fallas
Matriz de planificación de contingencia y ejemplos
OPCIONES OPERACIÓN MANUAL REEMPLAZO EXTERNALIZACION DEL
SERVICIO
Reparación
rápida de la falla
Recurrir al proceso manual en
caso de clientes prioritarios.
Asegurando que se contara
con el personal necesario para
la actividad
Tener disponible software
que cumpla con los
requisitos
Usar personal
temporalmente para llenar la
brecha
Reparación
parcial
Usar hoja de calculo o base de
datos para ofrecer alguna
funacionalidades original del
sistema
Usar base de datos para
reemplazar la
funcionalidad del sistema
Hacer que el departamento
realice las funciones en su
propias instalaciones
Reparación total Ofrecer operaciones
totalmente funcionales a través
del proceso manual utilizando
personal adicioanle si es
necesario
Eliminar esfuerzos de
reparación en
implemente un sistema
comercia funcional
Entregar el manejo de los
procesos
.