Plan BCP y DRP

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 16

POLÍTICAS DE SEGURIDAD.

Con la finalidad de prevenir, manejar y minimizar los posibles riesgos en


cuanto al tema de seguridad de la información e instalaciones, es importante crear
políticas claras en relación a todos los elementos involucrados, hay que detallar
las responsabilidades de cada uno de los servicios informáticos, describir los
requerimientos mínimos de seguridad que deben de cumplir los sistemas, es
necesario definir responsabilidades a los usuarios y las sanciones respectivas al
no cumplir las políticas.

Se entiende por seguridad de la información a todas aquellas medidas


preventivas y reactivas del hombre, de las organizaciones y de los sistemas
tecnológicos que permitan resguardar y proteger la información buscando
mantener la confidencialidad, la disponibilidad e integridad de la misma.

Objetivo
Proteger los recursos de información y la tecnología utilizada en su
procesamiento, frente a amenazas, internas o externas, deliberadas o
accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y confiabilidad de la información.

Alcance
En general aplica a todo el personal de la organización, pero recaerá
principalmente en la alta gerencia, encargados de unidad y en el área técnica en el
administrador de los servidores de base de datos y todo aquel personal que tenga
acceso a la infraestructura de Informática.

Instalación de equipo de cómputo.

 El equipo de cómputo y accesorios del departamento de informática como


en el resto de las unidades será debidamente inventariado.
 Todo dispositivo de cómputo que sea conectado a la Red de la
Infraestructura, debe de ser instalado por Técnico de Instalación o persona
que el delegue.

 Si es necesario el movimiento o reubicación de equipos, los responsables


de cada departamento deberán de notificar al departamento de Redes para
cumplir con las normas de instalación mediante el apoyo del Técnico de
Instalación de equipos.

 La protección física de los equipos corresponde a quienes se les asigna, y


es responsable de notificar los movimientos en caso de que existan, a las
autoridades correspondientes en este caso a la persona encargada del
departamento de TI.

Mantenimiento de equipo de cómputo.

 El el departamento de TI contempla un departamento para tal fin, a quien


corresponde la realización del mantenimiento preventivo y correctivo de
los equipos, la verificación de la seguridad física, y su acondicionamiento
específico. Debe emitir las normas y procedimientos respectivos.

 En el caso de los equipos sean atendidos por terceros deberán en primer


lugar ser autorizados por el encargado del centro de datos y segundo
deberá de apegarse a los requerimientos establecidos en las normas y
procedimientos del departamento.

 Es responsabilidad del departamento de TI dar a conocer las listas de las


personas, que puedan tener acceso a los equipos y brindar los servicios
de mantenimiento básico, a excepción de los atendidos por terceros.
 Estrictamente prohibido dar mantenimiento a equipo de cómputo que no
es propiedad de la institución.

Control de acceso al equipo de cómputo.

 Todos y cada uno de los equipos son asignados a un responsable, por lo


que es de su competencia hacer buen uso de los mismos.

 Los responsables de capa equipo serán asignados por el administrador


del departamento de TI.

 Las personas responsables de sus equipos tendrán las llaves de los


gabinetes y contraseñas a los equipos.

 El administrador del departamento de TI podrá acceder a cualquier equipo


de cómputo que no estén bajo su supervisión.

 En caso de ausencia de personal responsable de equipos, será


responsabilidad del administrador del centro de datos supervisar por el
tiempo correspondiente de dichos equipos.

Acceso al Departamento de TI

 La gerencia con recomendaciones del Administrador de TI debe


proporcionar la lista de las personas que tendrán acceso al departamento.

 Se registra la huella digital de las personas autorizadas al departamento.


 Revisar y actualizar trimestralmente los derechos de acceso a las áreas
protegidas

Acceso local a la red.

 El Administrador de Red, es el responsable de proporcionar a los usuarios


el acceso a los recursos informáticos, y de crear el reglamento para el uso
de la red.

 Recursos humanos es el responsable de difundir el reglamento para el


uso de la red.

 El Administrador de red verificará el uso responsable, de acuerdo al


Reglamento para el uso de la red.

 Acceso a equipo especializado de cómputo (servidores, enrutadores,


switch, etc) solo pueden ser instalados por el equipo de trabajo que
integra el departamento de TI.

 Todo el equipo de cómputo que esté o sea conectado a la Red, o aquellas


que en forma autónoma se tengan y que sean propiedad de la institución,
debe de sujetarse a las especificaciones técnicas del Administrador de
Red.

Control de acceso remoto.


 El Administrador de Red será el responsable de proporcionar el servicio
de acceso remoto y las normas de acceso a los recursos informáticos
disponibles.

 Para el caso especial de los recursos a terceros deberán ser autorizados


por la alta gerencia.

 El acceso remoto que realicen personas ajenas a la institución deberán de


ser monitoreadas por el Administrador de Red.

Control de acceso a la WWW.

 En concordancia con la legislación federal y de común acuerdo con las


políticas generales de informática, el departamento encargado del
departamento de TI es el responsable de instalar y administrar el o los
servidor(es) WWW. Es decir, sólo se permiten servidores de páginas
autorizados por el encargado del centro de datos.

 El departamento de TI deberá emitir las normas y los requerimientos para


la instalación de servidores de páginas locales, de bases de datos, del uso
de la Intranet institucional, así como las especificaciones para que el
acceso a estos sea seguro.

 Los accesos a las páginas de web a través de los navegadores deben


sujetarse a las normas que previamente se manifiestan en el Reglamento
de acceso a la Red

 Los responsables de los servidores Web les corresponde la verificación de


respaldo y protección adecuada.
 El material que aparezca en la página de oficial de la empresa deberá ser
aprobada por la alta gerencia.

 La Dirección de Telemática tiene la facultad de llevar a cabo la revisión


periódica de los accesos a los servicios de información, y conservar
información del tráfico.

Adquisición de software.

 En concordancia con la política de la institución, el Administrador de TI


establece los mecanismos de adquisición de sistemas informáticos.

 Deberá de proporcionarse un presupuesto anual para la adquisición de


software con licencia.

 Cualquier adquisición de licencias deberá de tener un dictamen técnico


por parte del departamento del centro de datos

 El departamento de centro de datos verificara que la adquisición de


software de dominio público provenga de sitios oficiales y seguros.

 El departamento de centro de datos deberá promover el uso de sistemas


programáticos que redunden en la independencia de la institución con los
proveedores.

Instalación de software.

 Solo podrá ser instalado por los técnicos del departamento de TI.

 En los equipos de cómputo, de telecomunicaciones y en dispositivos


basados en sistemas de cómputo, únicamente se permitirá la instalación
de software con licenciamiento apropiado y de acorde a la propiedad
intelectual.

 La instalación de software que desde el punto de vista del departamento


del centro de datos pudiera poner en riesgo los recursos de la institución
no está permitida.

 Todos los equipos de la institución deberán de tener antivirus y ser


actualizados diariamente o cuando el antivirus lo permita.

 La adquisición y actualización de software para equipo especializado de


cómputo y de telecomunicaciones se llevará a cabo de acuerdo a una
calendarización anual la cual será realizada por el administrador de TI

 El departamento de auditoría interna de la institución es el responsable de


realizar revisiones periódicas para asegurar que sólo software con licencia
esté instalado en las computadoras de la institución.

Software e información propiedad de la institución.

 Todo software adquirido por la institución sea por compra, donación o


cesión es propiedad de la institución y mantendrá los derechos que la ley
de propiedad intelectual le confiera.

 El departamento de TI en coordinación con el departamento de contabilidad


deberá tener un registro de todo el software propiedad de la empresa.

 Todos los sistemas de software (programas, bases de datos, sistemas


operativos, interfaces) desarrollados con o a través de los recursos de la
institución se mantendrán como propiedad de la institución respetando la
propiedad intelectual del mismo.
 Es obligación de todos los usuarios que manejen información masiva,
mantener el respaldo correspondiente de la misma ya que se considera
como un activo de la institución que debe preservarse.

 Los datos, las bases de datos, la información generada por el personal y los
recursos informáticos de la institución deben estar resguardados.

 Es responsabilidad del departamento de TI promover y difundir los


mecanismos de respaldo y salvaguarda de los datos y el software.

 Solo la alta gerencia es capaz de la gestión de patentes y derechos de


creación de software propiedad de la institución.

 Todo el software propiedad de la institución deberá ser usado


exclusivamente para asuntos relacionados con las actividades del
departamento de TI.

Supervisión y evaluación

 Las auditorías de cada actividad donde se involucren aspectos de


seguridad lógica y física deberán realizarse periódicamente y deberá
sujetarse al calendario que por el encargado del departamento y deberá
de ser supervisada por el área de auditoría interna.
 Para efectos de que la institución disponga de una red con alto grado de
confiabilidad, será necesario que se realice un monitoreo constante sobre
todos y cada uno de los servicios que las tecnologías de la Internet e
Intranet disponen.

 Los sistemas considerados críticos, deberán estar bajo monitoreo


permanente.

Suministro de energía y control ambiental:

 Disponer de múltiples enchufes o líneas de suministro para evitar un único


punto de falla en el suministro de energía.

 Contar con un suministro de energía ininterrumpible (UPS) para asegurar


el apagado regulado y sistemático o la ejecución continua del
equipamiento que sustenta las operaciones críticas del Organismo.

 Contar con generador de respaldo para los casos en que el procesamiento


deba continuar ante una falla prolongada en el suministro de energía.

 Realizar un análisis de impacto de las posibles consecuencias ante una


interrupción prolongada del procesamiento, con el objeto de definir qué
componentes será necesario abastecer de energía alternativa.

 Asimismo, se procurará que los interruptores de emergencia se ubiquen


cerca de las salidas de emergencia de las salas donde se encuentra el
equipamiento, a fin de facilitar un corte rápido de la energía en caso de
producirse una situación crítica. Se proveerá de iluminación de
emergencia en caso de producirse una falla en el suministro principal de
energía. Se implementará protección contra descargas eléctricas en todos
los edificios y líneas de comunicaciones externas de acuerdo a las
normativas vigentes.

Sanciones.

 Cualquier violación a las políticas y normas de seguridad deberá ser


sancionada de acuerdo al reglamento emitido por el departamento del
centro de datos. Las sanciones pueden ser desde una llamada de
atención o informar al usuario hasta la suspensión del servicio
dependiendo de la gravedad de la falta y de la malicia o perversidad que
ésta manifiesta.

 Corresponderá al departamento encargado de TI hacer las propuestas


finales sobre las sanciones a quienes violen las disposiciones en materia
de informática de la institución.

 Todas las acciones en las que se comprometa la seguridad de la Red y


que no estén previstas en esta política, deberán ser revisadas por la alta
gerencia y ellos emitir la sanción conveniente.

PLAN DE CONTINUIDAD DEL NEGOCIO


BUSINESS CONTINUITY PLAN
La Información es el activo de mayor importancia para la organización, por
ende los sistemas de información y su disponibilidad son indispensables para la
continuidad de un negocio, por lo que es importante contemplar el plan “BCP” con
la finalidad de mantener en funcionamiento de la organización ante la eventualidad
de una suceso o catástrofe que impacte en el funcionamiento del departamento de
TI, por lo que es necesario listar las medidas preventivas y de recuperación para
hacer frente a las situaciones que afecten el negocio.
A continuación, se describen los posibles riesgos y propuestas de solución
a los que se encuentra expuesta la institución.

Fallas en la Energía Eléctrica:


Se cuenta con UPS redundantes 2(N+1) y se dispone de generadores
Diésel además de contar con generación propia a base de energía solar,
hidráulica y eólica.

Fallas en el Equipo de RED:


Se cuenta con dos equipos de cada tipo configurados listos para
reemplazar

Temperatura Incorrecta:
Se monitorea en cada cambio de turno de personal la temperatura, y se
cuenta con equipos móviles ante el posible fallo de los dos equipos existentes.
Incendios:
Se cuenta con Sistema de detección y extinción, edificio con cubierta
resistente, puertas y conductos anti expansión, salida de emergencia, sistema de
señalización de desastres, centro de datos alterno y con backup de respaldo.

Terremotos:
Diseño antisísmico del módulo, sistema de señalización de desastres,
centro de datos alterno y con backup de respaldo.

Pérdida de Información:
Diariamente se crean copias de seguridad de la base de datos,
aplicaciones, se replican en el centro de datos alterno y se almacenan en la nube
corporativa. Los usuarios deben de crear copias de sus archivos.
Fallas en el equipo de cómputo:
Mantenimiento preventivo periódico, se debe de reportar fallas
oportunamente, personal calificado para reparación.

Renuncia de Personal:
Crear manuales de funciones y atribuciones de cada puesto de trabajo.
Calendarizar trimestralmente las actividades para facilitar la continuidad. Todos
los procesos debidamente documentados.

PLAN DE RECUPERACION DE DESASTRES


DISASTER RECOVERY PLAN POLICY
Sabemos que la probabilidad de que sucedan desastres naturales es
latente, aunque ocurren raramente, es importante contar con políticas y planes
que permitan recuperarse de este tipo de daños en el menor tiempo posible,
recordando que los desastres no solamente se limitan a la naturaleza, cualquier
evento que cause daños en el servicio se considera desastre, por lo que ante
cualquier eventualidad se propone lo siguiente.

PLAN DE CONTINGENCIA

Respuesta a emergencias Informáticas


Cuando se presente un suceso que limite el funcionamiento del
departamento de TI, se debe de contactar al Gerente de TI vía telefónica a su
número corporativo y de ser necesario al personal.

Previo a informar al Gerente de TI, es importante realizar ciertas acciones


dependiendo del suceso, a continuación, se listan algunos posibles percances y su
respectiva respuesta.

Vandalismo Activar la alarma correspondiente y notificar


inmediatamente a las Fuerzas de Seguridad vía telefónica y
a la empresa de seguridad privada.
Incendio Activar el sistema de extinción de incendios, en caso de falla del
sistema automático e Informar inmediatamente al
departamento de bomberos local.
Terremoto Evacuar inmediatamente el departamento hacia el punto de
reunión seguro.
Corte de Verificar el funcionamiento del generador.
Energía Informar vía telefónica al proveedor del servicio.
Eléctrica Luego de 8 horas de ausencia en el servicio informar al gerente
TI.

Inundacione Verificar el funcionamiento de la bomba de extracción de agua.


s Notificar a los cuerpos de socorro local.
Dependiendo de la magnitud del percance evacuar el
departamento
Estudio de datos

El STAFF local o remoto, debe validar la confiabilidad de los datos hasta el último
momento previo al percance, en caso de pérdida de información se debe de acudir
al último backup disponible y restaurar la información.

Lista de servicios Críticos

Para que el centro de Datos continúe funcionando luego de un percance es


necesario verificar la disponibilidad de los siguientes servicios

 Energía eléctrica.
 Sistema Generador Eléctrico Propio
 Infraestructura red Interna
 Conexión a Internet
 Líneas Telefónicas
 Sistema de CTVV
 Sistema Detección y Extinción de Incendios

Si el daño físico es mínimo en el departamento de TI se dispone de un plazo de 12


horas para restablecer su funcionamiento. Si el daño es mayor dependerá del
nivel del mismo. En ambos casos se dispone de 24 horas máximo para para
restaurar el funcionamiento mediante el acceso al respaldo remoto.

Copia de seguridad de datos y Plan de Restauración

Se genera backup de la información diariamente la cual se almacena en


servidores espejo ubicados en Honduras, los cuales se puede recuperar
replicando nuevamente la información hacia el departamento de TI.

Plan de reemplazo de equipos


Verificar el funcionamiento de los equipos en el siguiente orden.

Generador eléctrico
ATS
UPS
Servidores
Swithces, Routers, Firewall

En caso de ser necesario el reemplazo contactar a VIDAGUATE para la


adquisición de nuevos equipos.

Gestión de Medios de Comunicación


El Gerente de IT, es la persona designada para brindar información a los medios
de comunicación sobre los daños y el estado del departamento de TI, limitándose
a informar respecto de daños físicos y materiales sin incurrir a detalles en cuanto a
la información que se maneja.

Con la finalidad de que todo el personal del departamento de TI posea los


conocimientos adecuados de cómo actuar en caso de desastres, es necesario
realizar simulacros por lo menos una vez al año, de esta manera se pueden
detectar posibles fallas en la planificación que no se han tomado en cuenta y
corregirlas a tiempo para brindar una respuesta oportuna al momento de
necesitarse.

Es importante la observación de los procesos, instalaciones, funcionamiento de los


distintos equipos y sistemas, así como también prestar atención a las auditorias y
modelo del negoció, con la finalidad de recabar información que ayude a prevenir
posibles fallas en el departamento de TI y a cómo afrontarlas de la mejor manera.
Es importante que todos los empleados conozcan el procedimiento, ya que el no
cumplir con estas normas puede generar sanciones disciplinarias o resultar en la
terminación del empleo.

También podría gustarte