plan de continuidad y contingencias para los … · y garantiza la continua operatividad de los...
TRANSCRIPT
PLAN DE CONTINUIDAD Y CONTINGENCIAS PARA LOS BIENES
INFORMÁTICOS
DIRECCION TECNICA DE INFORMATICA Y TELECOMUNICACIONES
MEDELLÍN
Diciembre 2015
Contenido INTRODUCCIÓN ............................................................................................................................................. 4
1. ASPECTOS GENERALES .......................................................................................................................... 5
2. CONFORMACIÓN DE GRUPOS AL INTERIOR DE LA UNIDAD DE SISTEMAS E INFORMÁTICA. ............... 6
3. INFRAESTRUCTURA ACTUAL .................................................................................................................... 9
4. ANÁLISIS DE RIESGOS. ............................................................................................................................... 9
5. PROCEDIMIENTOS PREVENTIVOS. .......................................................................................................... 15
LISTADO DE PROCEDIMIENTOS PREVENTIVOS ........................................................................................... 18
PROCEDIMIENTOS PARA EL SISTEMA DE ENERGÍA REGULADA .............................................................. 21
PROCEDIMIENTOS PARA EL CABLEADO ESTRUCTURADO HORIZONTAL ................................................ 22
PROCEDIMIENTOS PARA LOS SERVIDORES ............................................................................................. 23
PROCEDIMIENTOS PARA LOS SWICHES .................................................................................................. 26
PROCEDIMIENTOS PARA LOS ELEMENTOS DE LA RED WAN .................................................................. 27
PROCEDIMIENTOS PARA ESTACIONES DE USUARIOS Y TARJETAS DE RED ............................................. 28
PROCEDIMIENTOS PARA EL ENTORNO FÍSICO ........................................................................................ 29
PROCEDIMIENTO A DESARROLLAR ANTE UNA FALLA O CARENCIA DE UNO LOS SERVICIOS CORPORATIVOS QUE SE PRESTAN A TRAVÉS DE LA RED ........................................................................ 31
6. PROCEDIMIENTOS CORRECTIVOS ........................................................................................................... 35
LISTADO DE PROCEDIMIENTOS CORRECTIVOS ....................................................................................... 36
PROCEDIMIENTO ..................................................................................................................................... 36
INTRODUCCIÓN
La revolución tecnológica cobra cada vez mayor importancia al interior de las
Organizaciones, razón por la cual se hace necesario contar con un plan de continuidad
y contingencias que garantice el restablecimiento del correcto funcionamiento de la
plataforma tecnológica en el menor tiempo posible, ante cualquier eventualidad.
El procesamiento electrónico de datos ha cobrado un papel significativo dentro del
desarrollo de las operaciones normales de las Organizaciones. Así mismo, se ha
convertido en estrategia para lograr una mayor optimización de la gestión administrativa.
La tecnología informática debe ser vista como una arma estratégica que puede ayudar a
la Contraloría General de Antioquia a incrementar su efectividad, a mejorar la
productividad y eficiencia de su personal y a proveer un servicio eficaz, que marque la
diferencia clave en la atención a los usuarios, así como el continuo funcionamiento de su
red corporativa de datos.
El Plan de Contingencias es una guía en permanente desarrollo, su primera versión fue
formulada en el año 2001 y constantemente se deben realizar las actualizaciones
pertinentes de acuerdo con la novedades dadas en materia de tecnología informática al
interior de la Contraloría General de Antioquia, ha sido elaborado por la dirección técnica
de informática y telecomunicaciones, la cual es responsable de ejecutarlo y de garantizar
el cumplimiento de sus objetivos.
5
1. ASPECTOS GENERALES
OBJETIVO GENERAL
Proporcionar a la Contraloría General de Antioquia, un plan que le permita
garantizar el funcionamiento de la tecnología informática y la recuperación en el
menor tiempo posible de una falla que interrumpa el servicio.
OBJETIVOS ESPECÍFICOS
Definir los procedimientos preventivos y correctivos, que permitan prevenir las
eventualidades en las operaciones de los bienes informáticos y corregir en forma
oportuna cualquier anormalidad que afecte su correcto funcionamiento.
Determinar mediante un análisis de riesgo s de una manera precisa cuales son
los riesgos a los que se encuentra más expuesta la Red Corporativa.
Reevaluar los controles existentes que sean considerados poco efectivos ó no
sean aplicables.
Presentar recomendaciones que permitan disminuir la probabilidad de ocurrencia
de una eventualidad y definir los procedimientos preventivos resultantes de estas
recomendaciones.
Listar las posibles fallas que se pueden presentar en el funcionamiento del
hardware y software que conforman la plataforma tecnológica.
6
ALCANCE
El plan de contingencias define el marco general de los procedimientos preventivos y
correctivos que permiten reducir el impacto en las operaciones normales de la plataforma
tecnológica, (hardware o software) cuando estas sean interrumpidas parcial o totalmente
y garantiza la continua operatividad de los bienes informáticos, así como la de minimizar
el tiempo de recuperación y puesta a punto cuando se presenten imprevistos que
obliguen la reinstalación total o parcial, tanto de hardware como de software.
Adicionalmente define los procedimientos de actualización del Plan, bien por la
adquisición de nuevos recursos, la actualización tecnológica de los existentes y la adición
o modificación de los procedimientos preventivos y correctivos.
2. CONFORMACIÓN DE GRUPOS AL INTERIOR DE LA UNIDAD DE
SISTEMAS E INFORMÁTICA.
OBJETIVO DE LA ETAPA.
Definir dentro de la Unidad el grupo de personas que serán responsables de la
aprobación, implantación y promulgación del plan de contingencia, así como también
definir el personal que podrá tomar decisiones ante las necesidades que se presenten.
GRUPOS ADMINISTRATIVOS.
Para que el plan de contingencia tenga éxito se deben implementar los siguientes grupos
administrativos: el Comité de gobierno en línea, el Comité de Informática y el grupo de
trabajo de Informática.
Estos grupos tendrán unas funciones específicas tanto antes como durante la
contingencia, de esta manera el personal estará plenamente ubicado y sabrá cómo
actuar en caso de alguna emergencia que ponga en peligro el buen funcionamiento de
la plataforma tecnológica.
7
Para la aplicación del plan aquí desarrollado se sugiere la conformación del grupo de
trabajo con algunos de los funcionarios de la dirección técnica de informática y del
Comité de Informática, y el comité GEL será el rector en la toma de decisiones; se
plantean una serie de actividades ya que esta definición así como la de sus integrantes
es competencia del proyecto del Plan de Contingencia Corporativo dentro del cual se
enmarcará.
COMITÉ DE INFORMÁTICA
Definición: el comité técnico de informática será el encargado de realizar monitoreo
constante a análisis de reportes para presentar de manera periódica al comité GEL el
estado del plan de contingencia y serán los encargados de la toma de decisiones.
Integrantes:
Contralor Auxiliar
Professional especializado
Profesional universitario
Director Técnico de Informática y telecomunicaciones
Funciones:
Formular el Plan de continuidad informático para la Contraloría General de
Antioquia.
Aprobar nuevos proyectos informáticos, evaluar los que estén en ejecución y
asignar prioridades.
Actualización del plan de contingencias informático.
Generar proyectos de mejoramiento informático.
Proyectar los actos administrativos para institucionalizar la aplicación de los
sistemas de información en producción.
Evaluar las inquietudes de los usuarios con respecto a los requerimientos
informáticos.
Presentar informes escritos al comité GEL cada vez que se reúna el Comité.
8
GRUPO DE TRABAJO
El grupo de trabajo tendrá a cargo responder por la correcta implementación y desarrollo
del plan de contingencias, y estará conformado por funcionarios de la DTIT.
Integrantes:
Un Profesional Universitario
Un Profesional Especializado
Un Auxiliar Administrativo
Funciones:
Previas a la contingencia: Estudiar y evaluar las diferentes amenazas y riesgos
con que se cuentan en la organización, establecer prioridades ante probabilidad
de ocurrencia y conocer los procedimientos adecuados para cada eventualidad.
Diseñar el procedimiento para la implementación del plan de contingencias
en la red corporativa.
Tener conocimiento de las tecnologías de punta, para su implementación y
conseguir de esta forma mejoras en los controles preventivos y correctivos.
Plantear las modificaciones o ampliaciones al actual manual de contingencia.
Durante la Contingencia: Aportar todos los conocimientos acerca de los controles
correctivos para que en el menor tiempo y costo posible lograr superar la
situación.
Determinar grupos de recuperación y hacer sugerencias acerca de nuevo
personal que debe integrar el grupo en un momento determinado dependiendo
del caso.
Rendir un informe al Director técnico de informática y telecomunicaciones de las
causales del daño, su solución y llevar unas estadísticas de estas.
9
3. INFRAESTRUCTURA ACTUAL
La infraestructura actual de la CGA se encuentra descrita en el Plan Estratégico
Corporativo de la respectiva vigencia.
4. ANÁLISIS DE RIESGOS.
OBJETIVOS DE LA ETAPA
Determinar de manera precisa cuales son los riesgos a los que la Red
Corporativa de la Contraloría General de Antioquia se encuentra expuesta,
evaluar sus probabilidades de ocurrencia y de esta forma poder crear los
procedimientos correctivos.
Evaluar el nivel de importancia de los diversos elementos que conforman la Red
Corporativa.
Identificar los diferentes sistemas operativos y aplicaciones corporativas que se
ven afectados en caso de siniestro.
Presentar recomendaciones útiles para disminuir la probabilidad de ocurrencia
de un siniestro.
PROCEDIMIENTO
Para poder analizar los riesgos que afectan la Red Corporativa de una manera
organizada atacando su parte más sensible, se estudiará y se confrontarán primero los
elementos que conforman la totalidad de la Red Corporativa, estos se clasificarán según
su utilización logrando identificar de mayor a menor su grado de importancia dentro de
la red, esto servirá para comenzar a generar controles preventivos y correctivos a los
elementos más indispensables para la organización. De igual manera se estudiarán y
confrontarán los riesgos a los que se encuentra expuesta la Red Corporativa, se
clasificarán estos riesgos según sus características y se definirán cuales tienen más
probabilidad de ocurrencia.
Teniendo claros los elementos y los riesgos a que están sometidos se entrarán a diseñar
la matriz de control o confrontación de elementos contra riesgo y se estructurarán los
procedimientos para determinado caso.
10
MATRIZ DE ELEMENTOS
La matriz de elementos es una confrontación de todos los dispositivos, equipos y demás
componentes que conforman la Red Corporativa, esta confrontación permitirá
determinar cuáles de estos elementos son más importantes para el buen funcionamiento
de la Red Corporativa de la Contraloría General de Antioquia y construir procedimientos
que eviten cualquier problema que afecte su correcto funcionamiento. Se diseña una
matriz escalonada, y se compara elemento contra elemento asignando un puntaje para
determinar cuál elemento confrontado es más importante dentro de la conformación de
la red, esta evaluación se realiza por los integrantes del grupo de trabajo basados en
información recolectada al personal técnico encargado de la administración y
mantenimiento de la red. Después de confrontar todos los elementos, se hace una suma
de los puntos obtenidos por cada elemento, y se organizan en forma descendente
obteniendo cuales son más críticos en el funcionamiento de la red.
ELEMENTOS QUE CONFORMAN LA RED CORPORATIVA:
Después de un estudio con el personal a cargo de la administración, gestión y
mantenimiento de la Red Corporativa, se escogió una serie de equipos y elementos que
se consideran esenciales dentro de la conformación y perfecto estado de la red.
Estos elementos son los que se debe garantizar en todo momento su excelente
operación y todos los procedimientos estarán destinados a garantizar y corregir el
funcionamiento de dichos elementos tratando de mantener siempre la
intercomunicación entre las diferentes dependencias de la Contraloría General de
Antioquia.
Los elementos considerados esenciales en la conformación de la Red Corporativa son
los siguientes, su descripción se encuentra en el PETIC.
Servidores.
Switche 2960 Cisco.
TMG.
Sistema de Energía: Compuesto por la UPS y Cableado de Energía Regulada.
Cableado Estructurado Horizontal.
11
Estaciones de Usuario Final.
Entorno Físico.
En la Tabla 4-1 se presenta la Matriz de Elementos, mediante la cual se determina el
orden de importancia de los elementos de la Red.
SERVIDORES SERVIDORES
SWITCHE
3
SWITCHE
1
3 3
1 1
3 3
1 1 1
3 3 1 TMG 1 1 1 3 TMG
SISTEMA
ENERG
0 0 0 0 SISTEMA ENERGÍA 4 4 4 4 4
CABLEADO 3 2 1 1 4 CABLEAD
O
HORIZONTAL HORIZONT
A 1 2 2 3 3 0
ESTACIONES 3 4 0 1 4 2 ESTACIONES
1 0 0 4 3 0 2
ENTORNO 3 3 3 3 3 2 2 ENTORNO FÍSICO FISICO
1 1 1 1 1 1 2 2
22 19 17 9 11 31 15 12
Figura 4 -1 Clasificación de los elementos de la Red
CLASIFICACIÓN DE ELEMENTOS
La matriz de elementos se interpreta de la siguiente manera, el puntaje ubicado en la
parte izquierda inferior de cada cuadro corresponde a los elementos listados a la
izquierda y el puntaje ubicado en la parte superior derecha corresponde a los elementos
ubicados en la parte superior de la matriz. El puntaje total de cada elemento
corresponde a la sumatoria de los puntajes ubicados en la parte inferior de la fila y el
extremo superior derecho de la columna correspondiente.
Según los resultados de la matriz anterior en la Tabla 4-2 se muestran los elementos
12
que conforman la Red Corporativa en orden de importancia son:
ELEMENTOS DE LA RED
PUNTAJE 1. Sistema de Energía 31
2. Servidores 22
3. Switch 19
4. Switch capa 3 17
5. Cableado Estructurado 15
6. Estaciones de Usuario Final 12
7. TMG 11
8. Entorno Físico 10
9. OTROS 9
TABLA 4-1 Elementos de la Red en orden de importancia
Como se puede apreciar el elemento que se constituye como primordial para garantizar
la continua comunicación de la red de datos es el Sistema de Energía el cuál se
constituye en el corazón de la red, y en orden de importancia le siguen los servidores y
el Swich.
MATRIZ DE RIESGOS.
La matriz de riesgos es una confrontación analítica de los posibles riesgos a
los que se encuentra sometida la Red Corporativa, este análisis nos permitirá evaluar la
probabilidad de ocurrencia de los distintos riesgos para diseñar los controles preventivos
y correctivos a los que se considera más críticos y causan más impacto para la
administración.
ANÁLISIS DE RIESGOS
Los diferentes riesgos a los que puede encontrarse sometida la Red Corporativa se
pueden agrupar de la siguiente forma:
13
Riesgos Catastróficos: Se refiere a todos los riesgos que afectan totalmente los
dispositivos o elementos que conforman la red. Estos riegos conllevan a un paro
total en el procesamiento informático. Se destacan los siguientes: Incendio,
Explosión, Terrorismo, Desastres Naturales, Huelgas.
Riesgos por fallas técnicas: Hace referencia a todos aquellas que conllevan a un
daño parcial o total de los elementos, estos son propios según sea el elemento
en cuestión se pueden nombrar fallas en disco duro, fallos de dispositivos, fallos
en memoria, daños en procesador, desgaste de parte por obsolescencia.
Riesgos por fallas humanas: Trata sobre los riesgos debido a las manipulaciones
y decisiones del personal que tiene a cargo la vigilancia y operación de los
equipos o elementos de la red.
Riesgos por fallas en suministro de los servicios públicos: Hace acotación a los
riesgos ocasionados por la falta en algún momento de los servicios esenciales
públicos, como son la falta de energía, fallas en las líneas telefónicas o canales
de comunicación.
Riesgos por falta de seguridad: A este grupo pertenecen todos aquellos riesgos
que pueden presentarse en un momento dado por la falta de seguridad (en el
Centro Administrativo Departamental que puede afectar el piso séptimo, sede de
la red central) o en los sitios remotos (Auditorias delegadas). Se destacan:
Sabotaje, motines, hurto, retiro del personal, conflictos laborales.
14
Confrontación de los riesgos.
CATASTRÓFICOS CATASTRÓFICOS
FALLAS. TECNICAS
3
FALLAS 1 TECNICAS
FALLAS. HUMANAS 3 2 FALLAS
1 2 HUMANAS
SUMINISTRO.PÚBLICO 3 1 1 SUMINISTRO 1 3 3 PÚBLICO
SEGURIDAD 2 2 1 3 SEGURIDAD
2 2 3 1
11 6 5 10 8
Figura 4.2 Clasificación de riesgos
Clasificación de los riesgos: según los resultados arrojados en la matriz anterior, el
Orden de importancia de los riesgos queda de la siguiente manera:
Riesgos Catastróficos 11
Riesgos por Falla de Suministro P. 10
Riesgos por falta de Seguridad 8
Riesgos por Fallas Técnicas 6
Riesgos por Fallas Humanas 5
Como se puede apreciar los riesgos que causan más impacto dentro de la organización
son los riesgos clasificados dentro de los Catastróficos y por Fallas Suministro Publico,
ya que estos dejarían fuera de servicio la Red Corporativa.
15
5. PROCEDIMIENTOS PREVENTIVOS.
OBJETIVOS DE LA ETAPA
Realizar una serie de procedimientos destinados a prevenir los riesgos
anteriormente descritos.
Dar recomendaciones de cómo debe estar conformada la red corporativa,
donde deben estar ubicados los equipos, quienes pueden tener acceso a
ellos y otra serie de sugerencias.
Describir la seguridad que debe tener cada equipo para evitar actos mal
intencionado de terceros.
Enumerar las características esenciales que se deben conocer de los
dispositivos o elementos que conforman la red, que se constituirá en
información vital en caso de un siniestro.
PROCEDIMIENTO
Para la búsqueda de los controles preventivos a determinado elemento que
conforma la red corporativa de la Contraloría General de Antioquia, se desarrollarán
unas matrices de control, en las cuales se confrontarán cada elemento de la red
corporativa con determinado riesgo y se enumera el control preventivo
correspondiente, de esta manera se identifican rápidamente los controles
destinados a prevenir el riesgo que pueda afectar los diferentes recursos
informáticos. Para que la búsqueda sea más precisa y no sea solo buscando
prevenir determinado riesgo, se subdividirá el capítulo en los diferentes elementos
que constituyen la red corporativa en orden de importancia, de esta manera se
puede encontrar el elemento y hacerle todos los procedimientos para prevenirlo de
los diferentes riesgos a que está sometido.
16
MATRIZ DE CONTROL
Para la elaboración de dicha matriz se listan los principales elementos
anteriormente descritos que conforman la red corporativa y se confrontan con cada
grupo de riesgo al cual se le crea un control preventivo.
Se siguen los siguientes pasos:
Identificar la matriz (elementos vs grupo de riesgo).
Buscar el punto de intersección entre el elemento de interés y el riesgo que
se quiere prevenir.
En el cuadro de intersección entre el elemento y el riesgo se visualizan los
números que identifican los diferentes controles que se deben implementar
para prevenir dicho riesgo.
Los controles se encuentran separados por comas, cuando se encuentren
separados por un guion significa que cubre el rango de los controles
señalados por el número inicial y el final.
Luego se debe buscar el número correspondiente en la lista de
procedimientos que se encuentra por elemento y luego aplicar el
procedimiento correspondiente a realizar.
GRUPO DE RIESGOS
Se definieron cinco grupos de riesgos a los cuales se encuentran sometidos los
diferentes elementos que conforman la red corporativa, estos son los mismos
enumerados en el capítulo anterior de análisis de riesgos, aquí se considerarán
ciertos riegos y se añadirán otros para el caso preventivo.
Riesgos Catastróficos: Son aquellos riesgos que producen un paro total en la red,
los riesgos que se encuentran dentro de esta clasificación son:
o Incendio: Se refiere a toda clase de incendio provocado por falla
técnica del dispositivo mismo ó cualquier falla humana accidental ó
premeditada.
o Explosión: Cualquier detonación provocada por terroristas ó
producida por el mal uso de los elementos.
o Huelga: Abandono voluntario de las funciones laborales en forma de
17
presión a la decisión en torno de un tema.
o Desastres Naturales: Cualquier daño causado por efectos de la
naturaleza donde el hombre no puede hacer nada para prevenirlo,
como por ejemplo terremotos, temblores, huracanes, etc.
o Inundación: Cualquier daño ocasionado por rompimiento de una
tubería aledaña, activación de las regaderas.
Riesgos Técnicos: En esta clasificación se encuentran aquellos riesgos producidos
por el mal funcionamiento de los dispositivos, para el caso de los controles
preventivos se omiten todas las fallas propias del dispositivo, como fallas en disco,
daño en el puerto, etc., y se toman generalidades que se deben tener como:
Riesgo por falta de mantenimiento, que se refiere a la protección periódica
que se debe efectuar sobre cada dispositivo o elemento que conforma la red
de datos.
Riesgo por falta de estandarización: Los parámetros que hay que tener en
cuenta para la homogenización total en la red de datos.
Información vital: hace referencia a archivos, configuraciones de primera
mano que se debe disponer en caso de presentarse algún siniestro.
Riesgos por Fallas Humanas: Los riesgos que se han de tener en cuenta
son:
o Falta de Conocimiento: Errores presentados en los equipos debido al
insuficiente conocimiento de estos.
o Errores y Omisiones: Hace referencia a errores en la manipulación del
equipo u olvidos por parte del personal encargado de la
administración de la red.
o Falta de privacidad: Información que solo debe ser conocida por
determinada persona.
o Riesgos por fallas en el suministro público: A este grupo pertenecen
los siguientes riesgos:
o Falla de energía: Cuando el suministro de empresas públicas falla y
en determinado momento la planta también.
o Falta de agua: Cuando cesa el suministro de agua.
o Fallas en las comunicaciones: Cuando las líneas telefónicas, líneas
dedicadas a módems, tarjetas de red, presentan fallas.
18
Riesgos por falta de Seguridad.
o Sabotaje: Cualquier acto mal intencionado con el objeto de causar una
crisis a la organización.
o Motines: Rebelión de terceros produciendo daños en los recursos
informáticos.
o Hurto: Perdida de cualquier dispositivo o elemento que conforma la
red corporativa.
o Retiro masivo de personal: Daños causados por personas
desvinculadas a la organización y que poseen derechos en la red.
o Conflictos laborales: Problemas entre los dirigentes y los empleados.
DISEÑO DE LAS MATRICES DE CONTROL
A continuación se diseñaran las diferentes matrices de control para los
procedimientos preventivos. Sólo se diseñarán los procedimientos preventivos que
compete realizar a la Dirección Técnica De Informática Y Telecomunicaciones;
otros procedimientos que impliquen decisiones administrativas serán
contemplados en el Plan de Contingencia Corporativo.
LISTADO DE PROCEDIMIENTOS PREVENTIVOS
Procedimientos Generales: Son los procedimientos comunes a los diferentes
elementos que conforman la Red Corporativa. Son los siguientes:
No ubicar ni almacenar elementos inflamables como papel, gasolina, éter,
bebidas alcohólicas, alcohol, trapos, cerca de los bienes informáticos.
Se debe garantizar una temperatura adecuada para el buen funcionamiento
de los equipos.
No se deben ubicar papeleras de basura en el lugar destinado como centro
de cableado, ya que se pueden convertir en la causa de un posible incendio.
Se deben tener extintores de polvo químico seco y de bióxido de carbono en
lugares visibles y cercanos a donde se encuentran ubicados los equipos.
19
Se debe capacitar al personal sobre el manejo de los diferentes extintores
con que se cuenta.
Dar el adecuado uso a los diferentes elementos evitando siempre prácticas
inseguras.
No fumar en lugares donde se concentran los equipos y especialmente en el
centro de cableado.
Nunca consumir alimentos ni ingerir bebidas cerca de los equipos.
No manipular equipos en estado de embriaguez ni bajo efecto de sustancias
alucinógenas.
Controlar el acceso de paquetes al centro de cableado.
Tener una excelente distribución eléctrica, evitando conectar los equipos a
una misma fuente.
Evitar extensiones y cables sueltos cerca a los equipos.
Instalar alarmas de activación manual o automáticas en caso de presentarse
incendio, inundación o sobrecalentamiento de los equipos.
Evitar la acumulación de la energía estática, referenciando todos los equipos
a una misma tierra.
Todos los equipos deben tener protección contra cortocircuitos y sobre
voltaje ya sea interna o externa.
Usar siempre brazalete antiestático cuando se manipulen componentes
electrónicos.
No ubicar aparatos eléctricos dentro del centro de cableado y puntos de
energía regulada tales como grabadoras, hornos microondas, licuadoras,
televisores y demás.
Verificar diariamente el correcto funcionamiento de las lámparas y
tomacorrientes ubicados en el centro de cableado.
Colocar los equipos en un centro de cableado o centro de cómputo, donde
se concentre la mayoría de los equipos de comunicaciones.
Los equipos sólo deben ser manipulados por el personal que tenga los
suficientes conocimientos acerca de ellos.
Permitir solo el acceso al personal que realice labores de operación y
mantenimiento de los equipos.
Mantener información en archivos e impreso de los proveedores y garantías
vigentes de todos los equipos utilizados en la red.
20
Tener actualizada la información de los proveedores y empresas que brinden
soporte y mantenimiento de los diferentes equipos.
Mantener vigentes los contratos con las empresas que prestan soporte y
mantenimiento en informática.
Tener pólizas de los seguros vigentes de los bienes informáticos, que cubran
daños, actos mal intencionados, hurto y una póliza de transporte para
equipos móviles.
Guardar en un archivo tanto dentro como fuera de la Contraloría la
información sobre la configuración inicial de todos los equipos.
Destinar un sitio seguro y de acceso restringido para guardar manuales,
software de instalación (Cd´s, Disquetes), documentación de los equipos,
ejerciendo un estricto control sobre su uso.
Tener copia de respaldo de cada uno de los manuales y del software,
evitando al máximo el uso de originales. Estas deben ser guardadas en un
sitio seguro que garantice su protección.
Tener una copia de respaldo de todas las licencias de software existente en
la Entidad. Estas deben ser guardadas en un sitio seguro que garantice su
protección. Los originales de las licencias del software se encuentran en
custodia en la Unidad de Recursos Físicos y una copia en la Unidad de
Sistemas e Informática.
Definir un procedimiento claro para la actualización y migración del software.
Crear una base de datos que facilite la consulta de temas específicos
haciendo más eficiente la labor de los administradores, los desarrolladores y
del personal de soporte.
Hacer análisis de tráfico y con base en éste, realizar periódicamente políticas
de segmentación.
Capacitar continuamente al personal de sistemas para que tengan
conocimientos sobre la tecnología de punta.
No tener sistema de “regaderas” en lugares donde estén concentrados los
equipos.
Ubicar sensores de temperatura y humedad para regular las condiciones
ambientales óptimas para los equipos.
Cada elemento requerido para el soporte debe tener su respectivo estuche
para su cuidado y protección.
Tener un sistema automatizado, que permita el registro (de préstamos y
21
traslados de todos los equipos), control, administración, que permita manejar
una ficha u hoja de vida detallada de los equipos, que contenga además el
seguimiento de los mantenimientos preventivos y correctivos realizados y
programados de los equipos y que permita mantener actualizado el
inventario de hardware en forma permanente.
Tener un sistema automatizado, que permita el registro, control y
administración de todas las aplicaciones, programas y licencias adquiridos
por la Entidad, al máximo nivel de detalle posible y que permita mantener
actualizado el inventario de software en forma permanente.
PROCEDIMIENTOS PARA EL SISTEMA DE ENERGÍA REGULADA
Revisar periódicamente todos los mensajes y el menú de control de la UPS,
para precisar el estado general de la misma, sus parámetros de medición, el
estado de las baterías, alarmas y la configuración del sistema. Para luego
confrontarlo con los valores requeridos y recomendados por el proveedor.
Asegurar la buena ventilación, aislamiento y aireación de la UPS.
Definir una política de finalización de tareas con el objetivo de disminuir
gradualmente su carga, en el momento de una interrupción eléctrica, según
las necesidades identificadas y a la potencia de las baterías.
Emplear los tomas que estén conectados a la UPS sólo para conectar los
equipos de cómputo de misión crítica, en ningún momento pueden ser
conectados lámparas, ventiladores, hornos microondas, parrillas y otros.
La UPS contiene voltajes peligrosos, por lo tanto las reparaciones deben ser
realizadas por personal especializado.
La UPS tiene una fuente propia de energía (baterías), cuando no está
conectada a una fuente de corriente directa, pueden estar presentes altos
voltajes en los terminales 9 y 10 (terminales para conexión remota de la
batería), cuando la UPS está funcionando con las baterías.
Al des energizar completamente la UPS, disparar el breque de salida. Luego
disparar el breque de entrada y el breque de la batería.
Se corre el riesgo de una descarga eléctrica al instalar la batería, esta tarea
debe ser realizada por personal de servicio especializado.
22
No disponer de las baterías en caso de presentarse un incendio. Las baterías
pueden explotar al estar expuestas a las llamas.
Todos los gabinetes donde se encuentren equipos de comunicaciones
deben ser de seguridad.
Una batería puede presentar riesgo de una fuerte descarga eléctrica, por
esta causa puede quemarse o explotar. Se debe tener todas las
precauciones.
Proteger y colocar un mensaje en el botón Emergency Power – Off para
evitar que sea presionado por personal no autorizado.
PROCEDIMIENTOS PARA EL CABLEADO ESTRUCTURADO HORIZONTAL
El cableado horizontal debe ser capaz de manejar una amplia gama de
aplicaciones de usuario y debe facilitar el mantenimiento y relocalización de
áreas de trabajo.
Para el cableado horizontal se debe emplear cable trenzado de cuatro pares
UTP de nivel 5 para velocidades de hasta 100 Mbps.
UTP puede transportar cualquier tipo de información y ofrece excelente
inmunidad a interferencias y ruidos eléctricos.
No se deben realizar empates es decir múltiples apariciones del mismo par
de cable en diversos puntos de la distribución.
La distancia máxima del cable es de 90 metros independiente del cable
utilizado, distancia entre el área de trabajo y el centro de cableado.
El cable de empate del equipo y el punto de red llamado Path Cord debe ser
máximo de 3 metros.
Los conectores terminales deben ser RJ -45 bajo el código de colores de
cableado T568 A.
Las componentes adicionales como Baluns o adaptadores RS-232 no deben
instalarse como parte del cableado horizontal, sino que deben ser externo a
la salida del área de trabajo.
El destrenzado de pares individuales en los conectores y panales de empate
debe ser menor a 1,25 cm.
23
El radio de la curvatura del cable no debe ser menor a cuatro veces el
diámetro del cable, para el cable UTP categoría 5 el radio mínimo es de 2.5
cm.
En la ruta del cableado de los closets a los nodos se debe evitar el paso por
dispositivos eléctricos como equipos de soldaduras, aire acondicionado,
ventiladores, intercomunicadores, luces fluorescentes y balastos debe pasar
mínimo a una distancia de 12 cm.
El cableado debe pasar mínimo a 1,2 metros de los motores eléctricos
grandes o transformadores.
Debe estar distante de los cables de corriente alterna con 2 KVA o menos13
cm, de cables de 2 KVA a 5 KVA debe estar distante 30 cm y de cables de
5 KVA mínimo 91 cm.
Ubicar en el centro de cableado el diagrama de cableado de la red, éste debe
indicar claramente el diagrama de distribución, el puerto asignado a cada
toma de información, a cada servidor y en general a cada una de las
conexiones e interconexiones.
PROCEDIMIENTOS PARA LOS SERVIDORES
Para el software básico almacenado en los servidores, tener una relación
con los requerimientos de hardware mínimos necesarios para su instalación,
en caso de una eventualidad con uno de los servidores y deba ser instalado
en otra máquina para remplazar momentáneamente al servidor.
Tener identificados e inventariados otros equipos que puedan reemplazar a
los servidores en un momento dado teniendo en cuenta la información del
numeral anterior.
Mantener la configuración básica de los servidores respaldada en un archivo
e impreso tanto dentro como fuera de la Contraloría General de Antioquia.
Estructurar formatos donde se tenga de forma clara y concisa la siguiente
información para cada uno de los servidores: Discos Duros: cantidad,
capacidad, tecnología, nombre y número de volúmenes por disco,
cantidad de discos que se pueden adicionar, drivers que lo controlan.
Memoria: Marca, referencia, cantidad actual, posible expansión, tabla de
distribución de SIMM suministrada por el proveedor. Mainboard:
24
Arquitectura, procesador, velocidad, coprocesador, número y tipo de slots.
Tarjetas de Red: Tipo, drivers, tipo de bus, configuración (puerto,
interrupción, DMA), tipo de conector, topología. Unidades de
Almacenamiento: CD ROM (tecnología, velocidad, interno ó externo, drivers,
tipo de controladora), Floppy Drive (tipo, capacidad), Tape Backup (Tipo,
Capacidad, controladora).
Actualizar inventarios de suministros y formatos de información cada 2
meses.
La ubicación debe ser en un lugar cerrado de acceso restringido,
preferiblemente en el cuarto destinado a todos los equipos de comunicación
denominado centro de cableado.
Proteger los switches de encendido/apagado para que estos no sean
activados/desactivados accidentalmente.
Colocar contraseñas que no sean de fácil identificación a las consolas y a
los monitores.
Las contraseñas de administración deben ser conocidas por el administrador
y el grupo encargado de redes, y deben estar documentadas.
Mantener copia de los disquetes de licencia y de registro de los servidores.
Estructurar formatos del software instalado en los servidores como sistema
operativo, antivirus y aplicaciones en general.
Instalar un adecuado antivirus que sea residente en memoria y
configurarlo para que chequee continuamente todas las acciones
realizadas sobre los archivos.
Actualizar constantemente el antivirus ya sea través de Internet o a través
del distribuidor.
Verificar una vez por semana el espacio en disco de los diferentes
volúmenes.
Borrar semanalmente la información innecesaria.
Verificar en horas de alta demanda el porcentaje de utilización del servidor
mediante la utilización de la herramienta Monitor del Sistema.
El uso del procesador no debe exceder el 90% por un período de tiempo
prolongado, en caso tal determinar cuál es el proceso que lo está
acaparando para proceder a efectuar los correctivos requeridos. Y si es
necesario deshabilitar el login para evitar la entrada de más usuarios a la
red.
25
Semestralmente realizar limpieza al interior de los servidores, unidades de
CD, unidades de Tape Backup.
Para aquellos servidores que son críticos y no pueden estar por fuera de
servicio se recomienda implementar un sistema de tolerancia a fallas de
acuerdo con las posibilidades de la Entidad.
Definir políticas de respaldo que aseguren la integridad y la pronta
recuperación en caso de una posible pérdida total o parcial de la información.
Tener un estricto control sobre los usuarios, derechos sobre filesystem y
sobre los objetos.
En caso de retiro de algún funcionario, desactivar su usuario de la red, o
cambiar su contraseña, y borrar todos los datos que no se requieran en el
volumen de los servidores.
Mantener la estructura organizacional actualizada, eliminando objetos ó
unidades organizacionales que ya no existan.
Verificar a través de la utilidad Monitor del Sistema la utilización de memoria
y confirmar que esta no sobrepase el 80%, en caso tal se debe propender
por aumentar la memoria RAM del servidor.
Nunca bajar el servidor mientras haya usuarios conectados a éste.
Utilizar el Panel del Control para configurar los protocolos y tarjetas de red
de tal manera que se garantice la mejor administración de los dispositivos.
Definir un número máximo de conexiones simultáneas a la red por usuario.
Máximo 2 conexiones.
Restringir en lo posible el acceso a la red de un usuario a través de la misma
estación.
Limitar el número de conexiones simultáneas de usuarios a un recurso de
red.
Segmentar el tráfico en subredes, definiendo grupos de usuarios por
concentrador, para minimizar el tráfico que fluye a través del swiche
congestionando la red.
Crear tablas que relacionen características de los servidores contra
número máximo de usuarios, garantizando el rendimiento eficiente de cada
servidor.
Verificar periódicamente el funcionamiento del sistema de ventilación de los
equipos, evitando el sobrecalentamiento.
Implementar un sistema de seguridad para que los servidores no sean
26
abiertos fácilmente.
Las contraseñas e información crítica solo deben ser suministradas a
personal de alta confianza.
La administración de la red debe ser realizada por personal con
conocimientos de gestión de operación de la máquina y del sistema operativo
Windows NT.
Crear reglas generales para la creación de objetos en la red como
impresoras, servidores, usuarios que se apliquen de igual forma para todas
las dependencias.
Diseñar un estándar para la estructura de directorios (Filesystem) en los
servidores válidos para toda la organización.
Homogeneizar el acceso a la red mediante el uso de unidades lógicas a
todos los recursos de la red.
PROCEDIMIENTOS PARA LOS SWICHES
Instalar el swiche en un gabinete cerrado con seguro, para impedir el acceso
de personal no autorizado.
Marcar adecuadamente los puertos del swiche mediante un código que
tenga relación con la estructura de la red.
Todos los slots que no estén siendo usados deben de estar protegidos por
faceplate (tapa).
Al instalar un módulo en el swiche, con este encendido asegúrese de no
introducir objetos extraños dentro del slot.
Después de insertar un módulo verificar que el LED de encendido quede
finalmente en verde para garantizar su buena instalación.
Revisar periódicamente los LEDS ubicados en la parte frontal del switche,
que indican el estado de operación del mismo y de sus componentes. Estos
LEDS pueden ser muy útiles en determinados casos, especificando las
causas de determinados problemas.
Habilitar el protocolo RIP para que genere sus tablas de enrutamiento con
los Routers y los servidores que trabajan con dichos protocolos.
Habilitar el protocolo ARP para que el Swiche interactúe con los diferentes
Routers que se encuentran en la red.
27
Es recomendable configurar direcciones estáticas a los módulos y sus
puertos cómo una forma de dar seguridad a la red.
En caso de que existan segmentos que trabajen con protocolos que sólo se
requieran en dicho segmento se podrían habilitar filtros para evitar su tráfico
en otros segmentos.
Implementar filtros que eviten la comunicación de determinadas estaciones
segmentos con otros, con el objeto de dar mayor seguridad a la red.
PROCEDIMIENTOS PARA LOS ELEMENTOS DE LA RED WAN
Mantener con password el usuario administrador TMG y de conocimiento
exclusivo del personal de redes y comunicaciones.
Cambiar cada mes el password del usuario administrador. Debe ser de
conocimiento exclusivo de este.
Estar pendientes de las nuevas versiones del software y hardware para
realizar las actualizaciones pertinentes.
En caso de que un enlace sea crítico se puede configurar dos path a un solo
puerto, de tal forma que cuando uno falle el otro se active automáticamente.
Deshabilitar los protocolos que no se estén usando en la red, para no generar
tráfico innecesario.
Se debe establecer una contraseña de entrada al sistema para los usuarios
remotos, esta contraseña debe ser forzada a cambios periódicos.
Para mayor seguridad se debe exigir que la contraseña este formada por
caracteres alfanuméricos.
Codificar el software de manera que se puedan tener 3 intentos equivocados
de acceso al sistema, luego de esto el usuario es bloqueado.
Verificar semanalmente el estado de los puertos asincrónicos del servidor
como son: Estado de usuario, conexión, tiempo de login y tiempo de
desconectado. Estado de los paquetes que entran, errores.
Desbordamientos que se han presentado.
Guardar en un lugar seguro en disquete e impreso la configuración de los
puertos utilizados, tener claro y explicado el procedimiento en caso de
realizar algún cambio.
Las unidades no contienen fusibles ni otros componentes que el usuario
28
pueda cambiar o reparar. De producirse problemas cuya solución no está
contemplada en las guías de los equipos, se deben reportar los daños al
proveedor o personal competente
Los puertos de datos de par trenzado RJ-45, son enchufes blindados RJ -45
a los que sólo deben acoplarse conectores de datos RJ -45. No pueden
utilizarse como enchufes telefónicos.
PROCEDIMIENTOS PARA ESTACIONES DE USUARIOS Y TARJETAS DE RED
Para su mantenimiento deben seguirse los pasos y recomendaciones dadas
por los fabricantes y el proveedor.
Cuando no estén en uso deben almacenarse en un lugar seguro en
forma individual en bolsas antiestáticas.
Proteger el software de configuración para que no sea alterada.
Verificar periódicamente la conexión de las tarjetas (para cable) al Pathcord
con el punto de red.
El Pathcord no debe estar doblado, ni pisado, para evitar su deterioro e
interrupciones de conexión.
Mantener copias de discos de inicio y clientes específicos de la red de datos
Crear procedimientos claros y concisos para la instalación y configuración
del Cliente de Red.
Capacitar constantemente a los usuarios finales sobre la manera correcta
de entrar y salir de la red, conceptos básicos, manejo de los recursos, uso y
aprovechamiento de las ventajas del trabajo en red
Capacitar constantemente a los usuarios finales de la manera adecuada de
estructurar el árbol de directorio o FileSystem de las máquinas.
Tener definidos procedimientos claros sobre las diferentes operaciones a
realizar en las estaciones de trabajo y manejo de programas básicos, que
sirvan de guía para los usuarios finales y para otros funcionarios al interior
de la Unidad de Sistemas e Informática en caso de dar soporte a los
usuarios. En el Manual de Sistemas e Informática aparece todos los
procedimientos básicos para la configuración, el mantenimiento y solución
de fallas tanto de software como de hardware en las estaciones de trabajo.
Nunca consumir alimentos ni ingerir bebidas cerca de los equipos.
29
Mantener un stock de elementos como: teclad os, monitores, CPU, mouses
que puedan ser utilizados cuando se presente algún daño en los equipos.
Disponer de elementos de oficina adecuados (sillas, escritorios para las
estaciones de trabajo, mesas para impresoras, descansa pies y demás
elementos), de tal manera que se garantice la seguridad física de los equipos
y su correcto funcionamiento.
Realizar mantenimientos preventivos que incluyan revisión y limpieza lógica
y física de los equipos.
Todas las estaciones de trabajo deben tener instalado el software antivirus,
para prevenir daños en la información.
Mantener actualizada la versión del antivirus en los servidores, ya que
la actualización en cada estación de trabajo esta programada para
realizarse automáticamente a través de la red.
Capacitar a los usuarios sobre la importancia de no trabajar con disquetes
diferentes a los utilizados al interior de la entidad, en caso de ser necesario
deben ser revisados, para evitar que la red se infecte.
Hacer cumplir el procedimiento definido para solicitar el soporte por parte de
los usuarios de la red central como de los sitios remotos a la Unidad de
Sistemas e Informática.
Definir un Plan para el fomento de la cultura informática.
Todas las anomalías que se presenten en el funcionamiento de los equipos
deben ser informadas oportunamente al personal de soporte de la Unidad de
Sistemas e Informática, quienes tomarán las medidas respectivas.
PROCEDIMIENTOS PARA EL ENTORNO FÍSICO
Debe existir un cuarto de comunicaciones capaz de albergar equipos de
telecomunicación, terminales de cable y cableado de interconexión
asociado.
El cuarto de comunicaciones no debe ser compartido con instalaciones
eléctricas que no sean de telecomunicaciones, y se debe considerar la
incorporación de otros sistemas como televisión por cable, alarmas,
seguridad, audio y otros.
30
Se debe contar mínimo con un cuarto de comunicaciones y no existe algún
límite.
El cuarto de comunicaciones no debe tener acceso controlado y sólo
debe permitir el acceso al administrador de la red y de los servicios de
comunicación.
La altura mínima recomendada para un cuarto de comunicaciones es 2,6
metros.
La puerta de acceso debe ser de apertura completa con llave y al menos 91
cm de ancho y 2 metros de alto, debe abrir hacia afuera, o lado a lado, debe
ir a ras de piso y no poseer postes centrales.
Se debe evitar polvo y electricidad estática utilizando piso de concreto,
terraza, loza, o similar, nunca utilizar alfombra.
En cuartos que no posean equipos electrónicos la temperatura debe
mantenerse continuamente entre 10 y 33 grados centígrados y la humedad
relativa mantenerse en 85%.
En cuartos donde existen equipos electrónicos la temperatura debe
mantenerse entre 18º y 24º centígrados y la humedad relativa entre 30% y
55 %.
Se debe evitar el uso de techos falsos en los cuartos de comunicaciones.
No debe existir alguna tubería de agua pasando por, sobre o alrededor del
cuarto de comunicaciones.
Debe existir regaderas contra incendio e instalar una canoa para drenar un
posible goteo potencial de las regaderas.
Los pisos deben soportar una carga de 2.4 Kpa.
Se debe proporcionar un mínimo equivalente a 540 Lux medido a partir de
un metro del piso.
Las paredes deben estar pintadas de un color claro para mejorar la
iluminación.
Se recomienda mantener una distancia promedio en 46 metros o menos
(máximo 90 metros) para ubicar el cuarto de comunicaciones lo más cerca
posible al área de trabajo.
Debe existir un mínimo de 2 tomacorrientes dobles de 110 v corriente alterna
dedicados de 3 hilos, deben ser circuitos separados de 15 a 20 amperios, y
deben estar dispuestos a 1.8 metros mínimo de distancia de uno a otro.
31
Se debe contar con alimentación de emergencia de activación automática
(UPS)
Separado de los tomas anteriores se debe hacer otros tomas dobles para
herramientas, equipo de prueba, etc. deben situarse a 15 cm del nivel de
piso y en intervalos de 1.8 metros alrededor del perímetro de las paredes.
El cuarto debe tener una puesta a tierra que debe estar conectada mediante
un cable mínimo 6 AWG con aislamiento verde a sistema puesta a tierra
según recomendación EIA/TIA 607.
Se debe mantener el cuarto con llave en todo momento, asignando llaves al
personal que debe laborar allí.
Todos los sitios donde se encuentren ubicados equipos informáticos (Piso 7
y Auditorias delegadas), deben estar dotados de las medidas de seguridad
adecuadas que garanticen su protección.
Los cables de potencia separados del cable de datos. Los cables deben estar
debidamente canalizados, marcados y organizados a través de bandejas
porta cables, ductos o tubería metálica o PVC, de acuerdo con las normas
establecida as para esto.
Realizar mantenimientos preventivos a las instalaciones.
Colocar avisos de no fumar, no ingerir bebidas ni alimentos en todos los
lugares donde se encuentren ubicados equipos informáticos.
El entorno físico debe facilitar que los equipos sean ubicados en lugares
aireados, no muy cercanos a ventanas, que no reciban directamente los
rayos del sol o demasiado polvo.
PROCEDIMIENTO A DESARROLLAR ANTE UNA FALLA O CARENCIA DE UNO
LOS SERVICIOS CORPORATIVOS QUE SE PRESTAN A TRAVÉS DE LA
RED
Al interior de la red de datos de la Contraloría General de Antioquia, existen varios
servicios informáticos que soportan la gestión de la entidad y sus diferentes áreas
de gestión, actualmente estos servicios son:
Correo Electrónico
32
Intranet
Sistema de Información Kactus
Extranet
Conexión a internet
otros
El procedimiento a activar en caso de carencia de unos de estos servicios se define
a continuación.
Falta del Correo Electrónico:
Falta de Sistema de Correspondencia Mercurio: el procedimiento es similar al
automatizado así:
.
Falta de Software Aplicativo Adquirido ( Mejoramiso, SAP ERP, INTERNET)
33
Estos elementos de software fueron adquiridos por la entidad y su soporte también
es atendido por la firma proveedora o con quien se tenga contratado el soporte
técnico respectivo , los inconvenientes en su funcionamiento deben ser
atendidos por personal interno de la entidad cada vez que se deban a problemas
de tráfico o accesibilidad a la base de datos pero lo correspondiente a operación y
funcionalidad del mismo debe ser atendido directamente por la firma proveedora
Cuando se presente problemas que impidan el normal funcionamiento del software
adquir ido por problemas técnicos (disponibilidad) en los servidores se deben:
Instalar los productos de software en una estación de trabajo independiente,
siguiendo el procedimiento definido para cada producto.
Realizar el registro de la nueva instalación segú n los archivos de registro existentes
Pasar los datos digitalizados desde la copia de seguridad a la estación de trabajo
Configurar las opciones requeridas por el usuario particular
En caso que no sea posible la instalación del software en una estación de trabajo,
se deben realizar los procesos manualmente, separando debidamente la
documentación generada para luego ser procesada en el aplicativo una vez se
supere el problema.
Falta de Intranet: Dada que la Intranet es un servicio para divulgación de la
información, su carencia no genera mayores traumas al interior de la organización.
Al momento de presentarse problema con este servicio debe procederse así:
34
Tomar posesión de la máquina alternativa para restablecer el funcionamiento de
este servicio
Realizar la configuración necesaria en la máquina a fin de que los cambios no
generen prob lemas con los usuarios finales
Instalar todos los archivos necesarios para restablecer el servicio
En caso que no sea posible la instalación en una máquina alternativa, el servicio
deberá suspenderse hasta tanto se supere el problema.
Sistema de Información Kactus: Este software es proporcionado a la entidad por
convenio administrativo entre la Gobernación de Antioquia y la Contraloría General
de Antioquia, cualquier falla en la operación del mismo debe ser reportada
directamente a la Dirección de informática de la gobernación a fin de determinar las
acciones a seguir que permita restablecer su operación.
35
6. PROCEDIMIENTOS CORRECTIVOS
OBJETIVOS DE LA ETAPA:
Crear los procedimientos que se deben utilizar en caso de presentarse
alguna eventualidad en la Red Corporativa y que provean una solución para
mantener operativos los sistemas de información y todos los dispositivos
electrónicos que representan los bienes informáticos de la Entidad.
Listar de una forma organizada los procedimientos correctivos aplicables a
cada uno de los Equipos que componen la red corporativa.
Los procedimientos correctivos deben ser los más apropiados y económicos
para la Entidad.
PROCEDIMIENTO
El procedimiento a seguir para la elaboración del plan correctivo de la red
corporativa será el siguiente, se estudiaran las posibles fallas a las que se
encuentran sometidos cada uno de los elementos que conforman la red corporativa
analizados anteriormente (capítulo 4), se clasificarán según su síntoma, y se creara
el procedimiento a seguir para restaurar dicha falla.
Al igual que en el plan preventivo se enumeran los procedimientos para cada
elemento y estos se clasifican en orden de importancia, y también para agilizar la
búsqueda se construirán matrices de control para cada elemento.
MATRIZ DE CONTROL
Se diseñara una matriz de control, en donde se confrontará cada elemento contra
el síntoma propio de falla, la intersección de estos indicara los pasos a implementar.
36
GRUPOS DE RIESGOS
En el caso del plan correctivo se tendrá en cuenta los mismos grupos de riesgos
del plan preventivo pero de una forma generalizada, es decir se considerara como
catastrófico cuando el equipo ó dispositivo queda absolutamente inservible, y se
tratara de enfatizar en los riesgos técnicos propios de cada equipo como son daños
en disco duro, memoria, puertos, entre otros.
LISTADO DE PROCEDIMIENTOS CORRECTIVOS
No hay comunicación de una estación con la red de datos.
No hay servicio de Intranet.
No hay servicio de Correo Electrónico.
No hay comunicación con un servidor de otro segmento.
PROCEDIMIENTO
Verificar si es problema de estación, en tal caso remitirse a los
procedimientos relacionados con estación de trabajo (Tarjeta de Red, Patch
Cord, toma de datos, entre otros).
Verificar si el Switch al cual está conectado la estación está funcionando
correctamente.
Verificar si el Swiche está funcionando correctamente para tal fin ver
procedimientos del Swiche.
Verificar que los servidores estén encendidos.
Verificar que los servicios requeridos en cada uno de los servidor requeridos
estén iniciados y ejecutándose sin problema.
37
Verificar procedimientos relacionados con el TCP/IP de la estación de
trabajo.
Verificar el correcto funcionamiento del servidor CGANET, servidor de
Intranet, para tal fin verificar los procedimientos de Servidores.
Verificar el correcto funcionamiento del servidor de Correo Electrónico.
Para los componentes de Hardware, siempre se debe verificar que los Led
estén en color verde, lo que indica que el sistema viene funcionando bien y
no es una alerta del equipo. En caso de que el color de los Led sean rojos,
y éste color indique una alarma, se debe revisar el respectivo manual del
componente que presenta el problema. Los problemas de Hardware
generalmente se van escalando de un componente a otro hasta llegar al
componente que presenta la falla, por ejemplo en el caso de servidores, la
revisión puede iniciar desde el disco duro, memoria RAM, sistema de
ventladores, tarjetas de red, procesadores e ir escalando por los diversos
componentes, aunque existen herramientas diagnósticas propias de cada
fabricante que permite tener un diagnóstico más inmediato.