plan de continuidad de tecnología de informaciónmonitor.cne.go.cr/sites/default/files/aresep -...

Autoridad Reguladora de los Servicios Públicos

Plan de Continuidad de Tecnología de Información Julio 2017

Información del documento

Nombre del documento: Plan de Continuidad de Tecnología de Información la Autoridad Reguladora de Servicios Públicos (ARESEP).

Versión: 0.1

Dueño del Plan: Érick Ramírez, Oficial de Seguridad de la Información, Dirección de Tecnología de Información.

Última fecha de revisión: 03 de agosto de 2017.

Aprobador: Rodolfo Zamora, Director de la Dirección de Tecnología de Información.

Fecha de aprobación:

Control de versiones

Versión

Fecha del Cambio

Modificado por:

Modificaciones

Aprobación

Nombre Dependencia Nombre Dependencia Puesto

0.1 24/07/2017 Deloitte Creación del documento.

Tabla de contenido

Información del documento 1

Control de versiones 1

1. Aspectos generales 1

1.1. Objetivos 1

1.2. Alcance 1

1.3. Supuestos 2

1.4. Actualización 2

1.5. Pruebas 2

2. Organización para la continuidad de TI 3

3. Esquema del Plan de Continuidad de TI 5

3.1 Activación 6

3.2. Recuperación 9

3.3. Retorno 12

3.4. Revisión 13

4. Anexos 15

Anexo 1: Plantilla de valoración del evento 15

Anexo 2: Valoración de eventos en el Plan de continuidad de negocio 15

Anexo 3: Matriz de Contacto 16

Anexo 4: Árbol de llamadas 16

Anexo 5: Procedimientos de recuperación 16

Índice de figuras

Figura 1. Organización para la gestión de continuidad de TI. 3 Figura 2. Esquema del plan de continuidad de TI. 5 Figura 3. Estructura de respuesta ante un evento, incidente o desastre de

continuidad de IT 6 Figura 4. Árbol de llamadas para activación del plan. 8 Figura 5. Medios de contacto a los involucrados. 8

Índice de tablas

Tabla 1. Responsabilidades en la gestión de continuidad de TI. 3 Tabla 3. Prioridades de recuperación. 10 Tabla 4. Recomendaciones para la comunicación interna y externa. 11

Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI

1

1. Aspectos generales

Esta sección presenta una serie de aspectos generales del Plan de continuidad

de TI. Se incluyen sus objetivos, el alcance del mismo y las premisas necesarias

para su implementación.

1.1. Objetivos

1.1.1. Objetivo general

Proporcionar un enfoque organizado, coordinado y consolidado para gestionar las

actividades de respuesta y recuperación ante un evento que afecte la continuidad

de los sistemas o servicios tecnológicos críticos de la Dirección de Tecnologías de

Información de la Autoridad Reguladora de los Servicios Públicos.

1.1.2. Objetivos específicos

Los objetivos específicos del Plan de Continuidad de TI son los siguientes:

• Definir la estructura y el accionar necesario para la gestión de la

continuidad de TI en la Autoridad Reguladora de los Servicios Públicos.

• Priorizar las actividades y procedimientos de recuperación para la

plataforma tecnológica.

• Proporcionar una respuesta rápida y apropiada a eventos de continuidad.

1.2. Alcance

El alcance de la recuperación de desastres descrita en este plan se limita a los

servicios, sistemas y aplicaciones; que son administrados por la Dirección de

Tecnologías de Información (DTI) de la Autoridad Reguladora de los Servicios

Públicos (ARESEP), los cuales soportan o forman parte de los procesos

institucionales definidos como críticos por las áreas usuarias durante el análisis

de impacto en el negocio (BIA).

Así mismo, se contemplan los servicios, aplicaciones y componentes internos de

la DTI que habilitan a esta dirección para ofrecer sus servicios críticos a la

Institución.


2

1.3. Supuestos

Los supuestos consisten en situaciones que se asumen como verdaderas, para la

construcción y ejecución del plan de continuidad de TI. Estas situaciones podrían

ser producto de acciones/proyectos realizados por la Institución, aplicación de

las estrategias de continuidad, adquisición previa de activos/talento, entre otras.

Los supuestos bajo los cuales se desarrolla este plan, se detallan en seguida:

• Se ha establecido el rol de Encargado de Continuidad, el Comité de

Continuidad, así como los respectivos equipos de recuperación para los

sistemas y servicios identificados como críticos por la Institución.

• ARESEP ha implementado una estrategia para garantizar la continuidad

de la tecnología de información.

• Los integrantes del Comité de Continuidad, así como, los equipos de

recuperación conocen los procedimientos para declarar un evento de

continuidad, sus responsabilidades en la recuperación ante un desastre

y se encuentran comprometidos y anuentes a colaborar.

• El plan ha sido probado y se han efectuado las modificaciones

correspondientes periódicamente o cuando se presentan cambios en la

estructura de los servicios y sistemas.

• Los procedimientos de los cuáles depende la recuperación, están

disponibles en la DTI, actualizados y accesibles para los involucrados.

• El personal involucrado en la gestión de continuidad, conoce el esquema

de continuidad del negocio y la interacción que este guarda con el plan

de continuidad de TI.

1.4. Actualización

La Dirección de Tecnología de Información de la ARESEP es responsable de la

actualización periódica del Plan de Continuidad de TI, garantizando la viabilidad

del mismo según el contexto de la Institución.

La DTI deberá realizar, como mínimo, una revisión completa del Plan de

Continuidad de TI y sus documentos asociados como mínimo una vez al año,

incorporando lecciones aprendidas.

1.5. Pruebas

La Dirección de Tecnologías de Información de la Autoridad Reguladora de los

Servicios Públicos es responsable de garantizar que los involucrados en la gestión

de la continuidad tengan el conocimiento adecuado sobre el Plan de Continuidad

de TI y los procedimientos de recuperación, los cuales deben ser probados

periódicamente, como mínimo, una vez al año.


3

2. Organización para la continuidad de TI

Una adecuada gestión de la continuidad de TI requiere estructuras de gobierno,

roles y responsabilidades, los cuales son necesarios para el correcto

funcionamiento del plan de continuidad.

Esta sección describe específicamente las funciones y responsabilidades de los

roles que darán soporte al Plan de Continuidad de TI antes de un evento de

continuidad, así como durante la recuperación de desastres.

A continuación, la Figura 1 representa de manera gráfica la estructura de

gobierno para la gestión de la continuidad de TI de la Dirección de Tecnología de

Información. Posteriormente, se describen en detalle los roles y sus

responsabilidades asociadas.

Figura 1. Organización para la gestión de continuidad de TI.

A continuación se presenta la Tabla 1 la cual incluye el detalle de las

responsabilidades que deberán ser ejecutadas por los roles descritos en la Figura

1.

Tabla 1. Responsabilidades en la gestión de continuidad de TI.

Rol Responsabilidades para la gestión de la Continuidad de TI

Comité de

continuidad.

• Supervisar los esfuerzos de la gestión de continuidad de TI.

• Garantizar la aplicación de las políticas para la gestión de la continuidad de TI.

• Proporcionar apoyo presupuestario para las actividades de la gestión de continuidad de TI.

• Preparar las declaraciones a emitir al público en caso de una interrupción de las operaciones de la Institución.

• Anticipar potenciales eventos, incidentes o desastres que podrían alterar la operación normal de la Institución.

Áreas funcionales DTI

Relación de comunicación Relación de dependencia

Encargado de Continuidad de TI

Comité de Continuidad

Equipos de

recuperación de DTI

• Supervisar los esfuerzos de la gestión de

continuidad.

• Actualizar los procedimientos de

recuperación ante desastres de

TI.

• Ejecutar las actividades de

recuperación y retorno.

• Planifica el proceso de gestión de

continuidad.

• Asegurar que los recursos necesarios

estén disponibles y se cumplan las

responsabilidades asignadas.

• Supervisar el desarrollo de las

actividades de continuidad.

• Se encarga de la comunicación y declaratorias de desastre y retorno.

• Realizar actualizaciones al plan de

continuidad de TI.

• Apoyar en la realización de los

procedimientos de recuperación.

• Participan en el desarrollo de

procedimientos de

recuperación y brindan

información insumo para la

gestión de continuidad de TI.


4

Rol Responsabilidades para la gestión de la Continuidad de TI

Encargado de

continuidad de

TI.

• Apoyar, al menos una vez al año, en la revisión del plan de continuidad de TI y aprobar las actualizaciones y mejoras necesarias.

• Asegurar que los recursos estén disponibles para mantener el plan de continuidad de TI.

• Coordinar con el encargado de continuidad de la ARESEP la evaluación de riesgos, el análisis de impacto de negocio y la generación de estrategias.

• Exigir a las áreas funcionales de TI contar con procedimientos de recuperación actualizados.

• Revisar y mejorar continuamente el Plan de Continuidad de TI.

• Desarrollar las políticas y procedimientos requeridos para la gestión de la continuidad de TI.

• Desarrollar las herramientas y plantillas requeridas para las actividades de la gestión de la continuidad de TI.

• Coordinar con el encargado de continuidad de la ARESEP un programa de capacitación sobre la gestión de continuidad de TI para los miembros de DTI.

• Coordinar con el encargado de continuidad de la ARESEP un plan de pruebas para el Plan de Continuidad de TI y los procedimientos de recuperación de DTI.

• Planificar, organizar y realizar pruebas periódicas para asegurar que el plan de continuidad de TI se encuentre actualizado y vigente en relación con la infraestructura y configuración actuales.

• Apoyar la implementación de estrategias de recuperación mediante la solicitud de financiamiento o la aceptación del riesgo por parte de la Institución.

• Registrar los resultados de la ejecución de las pruebas del Plan de Continuidad de TI.

• Valorar el resultado de la recuperación y retorno de los procesos críticos luego de la materialización de un evento que requiriera activar el Plan de Continuidad de TI.


Áreas

funcionales de

DTI.

• Apoyar la implementación del plan de continuidad de TI.

• Brindar información para la evaluación de riesgos de continuidad.

• Informar a los equipos de recuperación y al Encargado de Continuidad de TI sobre cambios que puedan requerir actualizaciones de los Procedimientos de recuperación o al Plan de continuidad de TI.

• Designar personal calificado para funciones de recuperación de TI.

Equipos de

recuperación de

desastres de TI.

• Desarrollar, actualizar y mantener copias de los procedimientos de recuperación de TI.

• Participar en la ejecución de las pruebas al plan y los procedimientos de recuperación de TI.



5

3. Esquema del Plan de Continuidad de TI

El Plan de Continuidad de TI se orienta a ser ejecutado con un enfoque de tres

fases: la activación, la recuperación de los sistemas, servicios o aplicaciones

tecnológicas críticos y el retorno a la normalidad luego del evento o desastre de

continuidad.

En algunos casos, se deberá realizar la respuesta inicial previo a la fase de

activación; el objetivo principal de esta actividad, consiste en proteger la vida y

la seguridad de los funcionarios y usuarios de la Institución. Esta actividad debe

seguir los lineamientos estipulados en el Plan de Continuidad de la ARESEP.

Una vez completada la respuesta inicial, se debe proceder con la ejecución de las

tres fases del plan de continuidad de TI descritas más adelante en esta sección.

A continuación, la Figura 2 presenta de manera gráfica el contenido de dichas

fases y posteriormente se describe cada una de ellas.

Figura 2. Esquema del plan de continuidad de TI.


6

3.1 Activación

La primera fase del Plan de Continuidad de TI sigue la estructura de respuesta

presentada en la Figura 3, el objetivo principal de esta etapa es activar las

acciones institucionales para recuperar la tecnología de información y

comunicación luego de ocurrido un desastre de TI. Esta fase contempla la

identificación y valoración del evento, así como la declaratoria de recuperación y

el contacto a los involucrados.

Figura 3. Estructura de respuesta ante un evento, incidente o desastre de continuidad de IT

Las principales actividades que deben efectuarse en la fase de activación, se

encuentran descritas en los siguientes apartados.

3.1.1. Identificación y valoración

Esta actividad se divide en dos grandes aspectos, la identificación y la valoración

del evento, incidente o desastre de continuidad.

La identificación, se refiere a anticipar o monitorear potenciales eventos,

incidentes o desastres que podrían interrumpir o afectar negativamente la

operación normal de la tecnología de información en la Institución. Los eventos,

incidentes o desastres de continuidad de TI, pueden ser identificados por el


7

personal de TI propiamente, o pueden ser reportados por otras dependencias de

la Institución.

El objetivo principal de la identificación, es recopilar la información necesaria

sobre el evento, como mínimo se deberá establecer el alcance del mismo, su

implicación en la prestación de los servicios críticos de TI, cantidad de usuarios

afectados e impactos que puedan existir en aspectos regulatorios o de imagen.

El segundo aspecto es la valoración. A partir de la información recolectada, el

Comité de Continuidad, debe evaluar el evento, incidente o desastre de

continuidad. Esto, con el fin de determinar su impacto y conocer el tiempo

estimado de solución del incidente. Para el desarrollo de esta evaluación se

incluye una plantilla en el Anexo 1 y adicionalmente, se puede solicitar apoyo a

los equipos de recuperación de TI.

Para llevar a cabo la valoración del evento, incidente o desastre de continuidad

de TI, se debe considerar los siguientes factores:

• El tiempo de recuperación objetivo o RTO del servicio afectado.

• La ausencia de personal crítico para la recuperación por el desastre.

• Las condiciones y la capacidad para recuperar el sistema o servicio.

• Daños en los equipos necesarios para la prestación del servicio.

• Terceras partes involucradas en el evento de continuidad o necesarias

para la recuperación.

• El tiempo estimado de recuperación alcanzable o RTA.

La valoración de eventos, incidentes y desastres de TI, se debe realizar,

principalmente, en función del impacto que se pueda causar a la Institución. Y

los niveles de tolerancia definidos por las diferentes dependencias de la ARESEP.

Esto, pues los servicios de TI son un soporte para el desarrollo de los procesos

de negocio. En el Anexo 2, se presentan los criterios para la valoración

propuestos en el Plan de continuidad de Negocio.

En los casos donde el tiempo estimado de recuperación, sea menor al RTO

establecido por el negocio, o bien, el evento no afecte ningún sistema o servicio

crítico de la DTI según se definió en el análisis BIA y en el alcance de este

documento; no se activarán las siguientes fases del plan de continuidad de TI y

la situación será atendida como un evento o incidente común, de acuerdo con el

proceso utilizado normalmente.

Por el contrario, si se trata de un incidente o desastre donde se ven afectados

los sistemas o servicios críticos de la DTI y alguno de los tiempos de recuperación

es mayor al tiempo límite establecido por el negocio o RTO, se debe levantar una

lista de los sistemas y servicios por recuperar, así como telecomunicaciones u

otros componentes de infraestructura que hayan sido afectados.

Una vez que el incidente o desastre de TI, es valorado como una situación que

ha afectado los servicios críticos de la DTI y que, por tanto, tendrá afectación

sobre la Institución; se debe proceder con la declaratoria de recuperación y la

consecuente activación de este Plan y de los respectivos procedimientos de

recuperación de tecnología.


8

3.1.2. Declaración de recuperación de TI

Cuando el Comité de Continuidad recibe la notificación de un evento, incidente o

desastre o identifica una situación anormal que ha afectado la operación normal

de la DTI, se procede con la valoración del evento según los criterios de activación

definidos en el Plan de Continuidad de Negocio (Anexo 2).

Una vez que el Comité de Continuidad haya dictaminado la clasificación final y

en caso de corresponder a un nivel 2 o 3, se declara la activación del Plan de

Continuidad de TI. El Encargado de Continuidad de TI convoca a los respectivos

equipos de recuperación para los sistemas o servicios que hayan sido afectados.

Al Líder de comunicaciones, le corresponde la comunicación con los altos mandos

institucionales y con las áreas usuarias. Los incidentes o eventos de continuidad

de TI, deberían ser reportados entregando la mayor cantidad de detalles posibles

de acuerdo con las circunstancias y la información disponible. Algunos datos a

incluir son: descripción del incidente, evaluación del impacto potencial, tiempo

estimado de resolución.

La Figura 4, muestra el árbol de llamadas o contacto que debe ejecutarse una

vez declarada la recuperación de desastre de TI.

Figura 4. Árbol de llamadas para activación del plan.

Del mismo modo, los medios que se debe utilizar para contactar a los

involucrados y responsables de las actividades de recuperación de TI, se

muestran en la Figura 5, por orden de prioridad.

Figura 5. Medios de contacto a los involucrados.

Los teléfonos celulares aparecen en primer lugar, pues están exentos de la

afectación por un desastre de TI institucional y brindan mayor agilidad al

momento de contactar a las personas. Si el teléfono celular no permite contactar

a los integrantes de los equipos necesarios, se deben utilizar otros teléfonos

disponibles y el envío de mensajes SMS o correos electrónicos.

Encargado de Continuidad de TI

Director y Jefe de DTIDirector general de

operaciones

Líderes de los equipos de

recuperación

Miembros de los equipos de

recuperación

Teléfono celular

Teléfono ARESEP

Mensaje de texto

Correo electrónico


9

3.2. Recuperación

La segunda fase del plan, involucra el desarrollo de las actividades principales

para recuperar la operación de los sistemas, servicios e infraestructura

tecnológica de la Autoridad Reguladora de los Servicios Públicos.

Esta fase contempla el diagnóstico de las posibles causas del evento, incidente o

desastre de continuidad de TI, la comunicación con los equipos de recuperación,

las actividades de recuperación, y la notificación de éxito.

3.2.1. Diagnóstico y recolección de datos

Los equipos de recuperación, utilizan la información que se encuentre accesible

para intentar determinar las causas de la interrupción presentada. Los datos a

utilizar, provendrán en primer lugar de herramientas de monitoreo y control con

las que cuenta la institución; de no estar disponibles las herramientas, se podrá

utilizar bitácoras de sistema operativo, equipos de red o aplicaciones, así como

comandos manuales como por ejemplo el comando “ping”. De ser necesario, se

realizará además una inspección física para determinar el estado de los equipos.

Las actividades de este diagnóstico varían dependiendo del escenario

presentado, por ello, no se cuenta con una guía específica para efectuarlas. Es

importante que el Comité de Continuidad y los equipos de recuperación valoren

cuánto tiempo invertir en el diagnóstico. Esto pues se debe cumplir con los

tiempos de recuperación solicitados por la Institución.

3.2.2. Recuperación de sistemas y servicios tecnológicos

Se debe ejecutar la secuencia de actividades definidas en los procedimientos de

recuperación para cada uno de los servicios y sistemas críticos. Debido a que

estas actividades varían en cada caso, la guía detallada de pasos a seguir se

encuentra en los diferentes procedimientos de recuperación y se define como

equipos de recuperación, a los expertos con el conocimiento necesario para

completar los distintos procedimientos.

La recuperación, en diferentes escenarios, puede variar dependiendo de la

naturaleza de los mismos y del impacto real que se identifique una vez ocurrido

el evento y valorada la afectación. Los procedimientos de recuperación de TI,

incluyen las actividades para un escenario de desastre parcial y para el escenario

de afectación completa o peor escenario.

El Comité de Continuidad y los equipos de recuperación deberán utilizar su juicio

experto para determinar cuáles de las actividades de cada procedimiento se

deben llevar a cabo para recuperar los diferentes sistemas y servicios críticos.

3.2.2.1. Prioridad de recuperación

Con base a las necesidades expuestas por las áreas usuarias de TI de la

Institución acerca del tiempo objetivo de recuperación (RTO) de los sistemas y

servicios de TI, se establece el orden de recuperación.

Además de los tiempos definidos por la ARESEP, un factor importante en la

priorización de la recuperación son las dependencias que se presentan entre


10

sistemas y servicios de TI. Por lo anterior, se creó un procedimiento de

recuperación para la infraestructura trasversal, el cual debe ser ejecutado en

primera instancia, para continuar con la recuperación de los demás sistemas y

servicios.

Los tiempos de recuperación objetivo definidos por las áreas usuarias de la

ARESEP se presentan en la Tabla 3, junto con los procedimientos de recuperación

en orden de prioridad. Los elementos marcados con color rojo, de alta prioridad,

deben recuperarse en menos de cuatro horas. Así mismo, los marcados con

amarillo, son de prioridad media y deben recuperarse en menos de un día.

Finalmente, los elementos marcados en color verde, tienen prioridad baja y

pueden recuperarse en más de un día.

Tabla 2. Prioridades de recuperación.

Procedimiento RTO Prioridad

Infraestructura Transversal < 2 horas

Página web 2 horas

Correo electrónico 2 horas

Telefonía 4 horas

PROMTU 4 horas

Sistema de control de Juicios 1 día

Sistema de presupuesto 1 día

INTRAN 1 día

Sharepoint 1 día

Sistema de Vacaciones 1 día

Sistema de Asistencia 1 día

Sistema de Acciones de Personal 1 día

Sistema Cánones Autobuses 1 día

Sistema contable (SIGMA) 3 días

Sistema de Digitalización 3 días

SAU 3 días

3.2.3. Pruebas de funcionamiento

Los profesionales de los equipos de recuperación, ejecutan pruebas para validar

la operación de los sistemas o servicios que se han recuperado, antes de

comunicar la recuperación exitosa al Encargado de Continuidad de TI.

Estas pruebas, se realizarán siguiendo la guía de pruebas de la DTI directamente

sobre los servicios recuperados y consisten en pruebas funcionales del sistema o

servicio crítico. Se debe considerar que el nivel de operación de estos sistemas o


11

servicios, no necesariamente es el mismo que se brinda durante la operación

normal.

Durante esta actividad, se identifica la necesidad de ejecutar acciones adicionales

de recuperación cuando las pruebas no arrojen resultados exitosos. En caso de

que las pruebas den resultados positivos, se procede a notificar la recuperación

exitosa.

3.2.4. Gestión de comunicación interna y externa

El líder de las comunicaciones será el único responsable de dar declaraciones

tanto a lo interno de la Institución como a nivel de prensa, proveedores,

contribuyentes y terceros en general.

La Tabla 4 presenta algunas recomendaciones para la gestión de comunicación

interna y externa que se debe llevar a cabo durante la ejecución de este plan.

Tabla 3. Recomendaciones para la comunicación interna y externa.

Recomendación Comunicación Interna

Comunicación Externa

Identificar rápidamente a los usuarios que serán impactados por la interrupción.

X

Proveer actualizaciones regulares y detalladas sobre

la interrupción al Comité de Continuidad o Negocio de acuerdo al impacto de la interrupción.

X X

Realizar un comunicado oficial mediante la dependencia de Comunicación Institucional explicando la situación.

X

Mantener el mensaje simple y conciso. X X

Si la interrupción es prolongada y los procedimientos de recuperación son activados se deberá comunicar al Comité de Continuidad explicando los pasos a seguir.

X X

3.2.5. Notificación de la recuperación exitosa

El Comité de Continuidad, luego de recibir la confirmación de los equipos de

recuperación, declara la recuperación exitosa para cada sistema, servicio

tecnológico

Para esto, dependiendo del área de la Institución que se haya visto afectada, se

apoya en el Encargado de Continuidad de TI, la Jefatura o en los demás miembros

del Comité de Continuidad.


12

3.3. Retorno

Una vez que ha cesado la situación de desastre y la institución cuenta con las

condiciones necesarias para regresar a la operación en modo normal, se deben

llevar a cabo las acciones necesarias para tal fin.

La declaratoria de desastre en TI se mantiene vigente hasta que el retorno a la

operación normal se haya completado. Esta fase contempla la valoración del

retorno, las actividades necesarias para el mismo y el levantamiento de la

declaratoria de desastre.

3.3.1. Valoración y programación del retorno

Luego de la recuperación de los sistemas o servicios tecnológicos, se debe

trabajar para volver a las condiciones normales, anteriores al evento. Los

profesionales de los equipos de recuperación, valoran las condiciones físicas y

lógicas del equipo, centro de datos, así como la disponibilidad de insumos para

aplicar el retorno.

En caso de requerir algún insumo o recurso, se debe gestionar que el mismo sea

provisto antes de iniciar con las actividades de retorno.

La preparación para el retorno, debe considerar:

• Fechas y horas programadas para el retorno y la duración del mismo.

• Convocatoria del personal interno necesario para el retorno.

• Convocatoria de proveedores y externos necesarios para el retorno.

• Una lista de previsiones y cuidados para los usuarios de la Institución.

De acuerdo con la valoración realizada, se debe efectuar el retorno a la operación

normal.

3.3.2. Pruebas y monitoreo del retorno

Los profesionales de los equipos de recuperación, ejecutan o conducen pruebas

para validar la operación normal de los sistemas o servicios antes de

comunicárselo al Comité de Continuidad. Adicionalmente, se debe monitorear el

correcto funcionamiento de las operaciones para prevenir alguna interrupción

causada por las condiciones del retorno.

3.3.3. Comunicación del retorno del servicio

Luego del retorno a la operación normal de cada sistema o servicio de la DTI, el

Encargado de Continuidad de TI comunica al Director de la DTI el regreso a la

normalidad del servicio. El Director de la DTI, apoyado de ser necesario en los

demás miembros del Comité de Continuidad, comunica al área usuaria el retorno

del sistema o servicio.

3.3.4. Levantamiento de la declaratoria de desastre en TI

Una vez que se haya retornado a la normalidad, la operación de todos los

sistemas y servicios definidos como críticos para la Institución y que se haya

controlado la situación de desastre por completo, el Comité de Continuidad,

comunica a toda la Institución el retorno a la normalidad.


13

3.4. Revisión

La fase de revisión luego de la activación del plan de continuidad de TI, tiene

como objetivo realizar una retrospectiva a las acciones ejecutadas y determinar

la necesidad de implementar acciones preventivas o correctivas para prevenir

problemas en las siguientes ejecuciones del plan de continuidad de TI.

Las acciones a ejecutarse en la fase de revisión se presentan a continuación.

3.4.1. Evaluación posterior al incidente

Posterior al levantamiento de la declaratoria del Plan de Continuidad de TI, el

Encargado de Continuidad de TI debe tomar las medidas necesarias para

garantizar que se documenten los resultados y las lecciones aprendidas del

proceso realizado con base en este plan.

Así mismo, una vez que se haya vuelto a la operación normal, el Encargado de

Continuidad de TI deberá iniciar la recopilación de información para la evaluación

posterior al evento, incidente o desastre de continuidad.

Se deben documentar todos los incidentes presentados y atendidos. Además, se

debe determinar el nivel de efectividad de las acciones tomadas para identificar

oportunidades de mejora. Es importante que el Encargado de Continuidad de TI

supervise las actividades que se desarrollen para evitar que, llegado el punto de

retorno, alguna se quede sin documentar o registrar.

Esta actividad, debería derivar en la aplicación de las actualizaciones y

modificaciones necesarias a los instrumentos y documentos relacionados con la

gestión de la continuidad en la Institución. Esto, siguiendo el esquema de

actualización propuesto en el Plan de continuidad de TI.

Se deberá realizar la evaluación posterior al incidente en conjunto con todo el

personal involucrado en la recuperación, para lo cual se solicitará completar la

plantilla “Evaluación post-evento” ubicada en la sección 8.3 del Plan de

Continuidad de la ARESEP.

3.4.3. Definición de planes de acción

A partir de los resultados obtenidos en las evaluaciones por parte de los

involucrados en la recuperación, posterior al evento de continuidad, el Encargado

de Continuidad de TI recopilará la información y se realizará una sesión con el

equipo de recuperación para establecer planes de acción a ejecutar a fin de

solventar las observaciones o mejoras identificadas en la evaluación.

Los planes de acción podrán considerar:

• Actualizaciones al plan de continuidad de TI.

• Actualizaciones al plan de capacitaciones por:

o Capacitaciones en el plan de continuidad de TI.

o Capacitaciones técnicas.


14

• Actualizaciones al plan de pruebas por:

o Ejecución de pruebas de continuidad.

• Disposición de recursos de recuperación en sitios alternos.

Se establecerán fechas límites para la implementación de estas tareas por parte

del Encargado de Continuidad de TI. La documentación de los planes de acción

se realizará por medio de la plantilla que se presenta en la sección 8.4 del Plan

de Continuidad de la ARESEP.

3.4.4. Ejecución de planes de acción

De acuerdo con la planeación realizada, el Encargado de Continuidad de TI

deberá velar por la ejecución de los planes de acción correspondientes producto

de las evaluaciones realizadas.


15

4. Anexos

Anexo 1: Plantilla de valoración del evento

Este documento, facilita la valoración de un evento ocurrido que pueda afectar

la continuidad de los sistemas y servicios críticos de TI. Permite identificar si es

necesario declarar el modo de recuperación de desastre y activar los

procedimientos de recuperación; o más bien se debe atender como un incidente

normal.

Valoración del

evento.docx

Anexo 2: Valoración de eventos en el Plan de continuidad de negocio

En seguida se presentan los criterios indicados por el Plan de Continuidad de

Negocio, para la valoración de eventos, incidentes y desastres de continuidad.

Cuando un evento de TI se presenta, la valoración debe contemplar la posible

afectación a la continuidad de negocio guiándose con estos criterios.

Regulatorio

Financiero

Incidente Impacto significativo.

Desastre Impacto grave.

Evento Impacto bajo.

Impacto

Impacto bajo o nulo en la

imagen de la Institución.

No es cubierto por los medios

de comunicación.

Impacto no duradero, en la

imagen de la Institución.

Cubierto parcialmente por los

principales medios de

comunicación nacionales.

Impacto financiero por costos

operativos menor a un $10 000.


operativos mayor a $10 000

pero menor de $50 000.


operativos mayor a $50 000.

No existe un impacto para los

usuarios o regulados.

Es posible continuar con la

operación normal de cara a los

visitantes.

Es posible continuar con la

operación normal.

Aumento en las quejas de

usuarios o visitantes.

Nivel 1 Nivel 2 Nivel 3

Reputación

Usuarios

Comité de Continuidad:

Notificado.


A la espera o activado.


Activado.

No existe un incumplimiento de

regulaciones o leyes aplicables a

la Institución.

Incumplimiento parcial de

regulaciones o leyes aplicables

a la Institución.

Incumplimiento de regulaciones

o leyes aplicables a la

Institución.

Afectación de los servicios a los

visitantes.

Grandes grupos de usuarios

afectados.

Impacto negativo en la imagen

de la Institución, cubierto por los

principales medios de

comunicación nacionales.


16

Anexo 3: Matriz de Contacto

En el siguiente apartado se presenta la matriz de contacto de los equipos de

recuperación de los sistemas o servicios críticos de la Dirección de Tecnologías

de Información.

Este documento contiene los números de teléfono y los correos electrónicos del

personal crítico encargado de la recuperación para todos los sistemas o servicios

críticos de la DTI.

Matriz de contacto -

DTI.xlsx

Anexo 4: Árbol de llamadas

En el siguiente apartado se presenta el árbol de llamadas general, para la

activación del Plan de Continuidad de TI.

Nombre Rol

Cascada de Nivel 1

Erick Ramírez. Encargado de Continuidad de TI

Cascada de nivel 2

Rodolfo Zamora Chaves. Director de DTI.

Jose Alberto Charpentier Díaz. Jefatura de DTI.

Marjorie Villalobos Arguedas. Líder Equipo de Infraestructura.

Manrique Rodríguez Pérez. Líder Equipo de Sistemas.

Cascada de nivel 3

Rodolfo González. Director General de Operaciones.

Equipos de recuperación respectivos.

Anexo 5: Procedimientos de recuperación

En el siguiente apartado se presentan los documentos correspondientes a los

procedimientos de recuperación de los servicios, sistemas e infraestructura

tecnológica de la DTI.

Sistema Procedimiento

Infraestructura Transversal.

DTI - Sistema de

Infraestrutura Tranversal.docx


17


Sistema de Acciones de Personal.

DTI - Sistema de

Acciones de Personal.docx

Sistema de Atención al Usuario.

DTI - Sistema de

Atención al Usuario.docx

Central Telefónica.

DTI - Central

Telefónica.docx

Sistema de Control de Asistencia.

DTI - Sistema de

Control de Asistencia.docx

Sistema de Control de Juicios.

DTI - Sistema de

Control de Juicios.docx

Correo electrónico.

DTI - Correo

Electrónico.docx

Sistema de Digitalización.

DTI - Sistema de

Digitalización.docx

Sistema INTRAN.

DTI - Sistema de

INTRAN.docx

Portal Electrónico.

DTI - Portal

Electrónico.docx

Sistema de Presupuesto.

DTI - Sistema de

Presupuesto.docx


18


Sistema de PROMPTU.

DTI - Sistema de

PROMPTU.docx

SharePoint.

DTI - Sistema de

Sharepoint.docx

Sistema SIGMA.

DTI - Sistema de

SIGMA.docx

Sistema de Vacaciones.

DTI - Sistema de

Vacaciones.docx


19

Deloitte se refiere a una o más Deloitte Touche Tohmatsu Limited, una

compañía privada de garantía limitada del Reino Unido ("DTTL"), y a su red

de firmas miembro, y sus entidades relacionadas. DTTL y cada una de sus

firmas miembro es una entidad legalmente separada e independiente. DTTL

(también conocida como "Deloitte Global") no provee servicios a clientes. Por

favor, consulte www.deloitte.com/about para una descripción detallada de la

estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro.

Deloitte provee servicios de auditoría, consultoría, asesoría financiera, gestión

de riesgo, impuestos y servicios relacionados a clientes públicos y privados

abarcando múltiples industrias. Deloitte atiende cuatro de cada cinco

compañías del Fortune Global 500® a través de una red global de firmas

miembro en más de 150 países brindando capacidades de clase mundial,

conocimiento y servicio de alta calidad para hacer frente a los desafíos de

negocios más complejos de los clientes. Para conocer más acerca de cómo

aproximadamente 225.000 profesionales de Deloitte generan un impacto que

trasciende, por favor contáctenos en Facebook, LinkedIn o Twitter.

Este documento sólo contiene información general y ni Deloitte Touche

Tohmatsu Limited, ni sus firmas miembro, ni ninguna de sus respectivas

afiliadas (en conjunto la “Red Deloitte”), presta asesoría o servicios por medio

de esta publicación. Antes de tomar cualquier decisión o medida que pueda

afectar sus finanzas o negocio, debe consultar a un asesor profesional

calificado. Ninguna entidad de la Red Deloitte, será responsable de la pérdida

que pueda sufrir cualquier persona que consulte este documento.

© 2017. Para más información, contacte a Deloitte & Touche, S.A. Member of

Deloitte Touche Tohmatsu Limited.

plan de continuidad de tecnología de informaciónmonitor.cne.go.cr/sites/default/files/aresep -...

Documents