Plan de continuidad del servicio

Carlos LoraEnsayo5 de Abril de 2018

2.913 Palabras (12 Páginas)167 Visitas

Página 1 de 12

[pic 1]

Versión 1.0

Departamento de TI

Plan de continuidad del Servicio

8 de Agosto 2015

Integrantes

Grupo 13

Fermín Peña 08-EIS6-1-012

Carlos Lora 11-EIST-6-048

Rogelio de Jesús 12-MISN-6-078

Jean Junior Adme Lessaul 09-EISN-6-080

Visión General

La Gestión de la Continuidad del Servicio se preocupa de impedir que una interrupción de los servicios TI, debido a desastres naturales u otras fuerzas de causa mayor, tenga consecuencias catastróficas para la empresa NC24.

La estrategia de la Gestión de la Continuidad del Servicio busca combinar equilibradamente procedimientos:

Proactivos: que buscan impedir o minimizar las consecuencias de una grave interrupción del servicio.
Reactivos: cuyo propósito es reanudar el servicio tan pronto como sea posible (y recomendable) tras el desastre.

Introducción y Objetivos

La Gestión de continuidad del servicio es la encargada de garantizar y gestionar que las operaciones de las empresas no se vean interrumpidas por un evento catastrófico natural o de otras fuerzas, así como evitar que negligencias de parte de empleados, errores, accidentes u otras causas de origen humano causen problemas a la continuidad del servicio.

Los objetivos principales de la Gestión de la Continuidad de los Servicios TI se resumen en:

Garantizar la pronta recuperación de los servicios (críticos) TI tras un desastre.
Establecer políticas y procedimientos que eviten, en la medida de lo posible, las perniciosas consecuencias de un desastre o causa de fuerza mayor.

Políticas y Alcance

Alcance

Estas políticas están dirigidas a los encargados del departamento de TI (Gerentes, Sub-Gerentes) miembros del comité De desastres (De ahora en adelante “El Comité”) y Miembros Directivos de la Empresa NC24. Estas políticas serán efectivas desde su aprobación por parte del Presidente de la empresa, Gerente del departamento de TI y Presidente del Comité, hasta su modificación o rechazo por parte de los miembros Directivos, Gerente del departamento de TI y Presidente del Comité.

Sanciones por incumplimiento

Todo el que se aleje a los alineamientos establecidos en estas políticas será sancionado de acuerdo a la gravedad de la falta y lo que decidan el encargado de seguridad física y presidente de la empresa.

Políticas

La empresa NC24 necesitara recursos para continuar ofreciendo sus servicios y poner en marcha su plan de continuidad del servicio tales como:

Humanos: Serán suministrados por un Comité Creado con los fines de actuar ante un evento catastrófico para la empresa y el departamento de TI, previa autorización del gerente de R.R.H.H y gerente de TI.
Tecnológicos: Serán suministrados por el departamento de TI (Entiéndase Hardware y Software).
Económicos: Serán suministrados por el Departamento de Contabilidad.

El uso de estos recursos será evaluado por el encargado del departamento de TI y aprobado por el gerente de contabilidad.

Los miembros del comité en caso de emergencia deberán de comunicarse por las vías disponibles en cualquier eventualidad tales como: Skype, E-Mail y/o Teléfono Celular
El análisis de riesgos ya realizado deberá ser reevaluado dependiendo al historial de incidentes catastróficos y hallazgos de vulnerabilidades y debilidades hechos por las auditorías al departamento de TI hechas 2 veces al año.
Las Auditorias deberán verificar que todas las políticas se están cumpliendo y aplicar sanciones a los empleados que se alejen de los procedimientos.
Se deberán aplicar las medidas establecidas en el análisis de riesgo para reducir las vulnerabilidades y amenazas, en el plazo establecido en el análisis de riesgo.
Los miembros del comité deberán transportarse en vehículos privados a los lugares de encuentro pautados con el objetivo de que estos se presenten lo antes posible a las reuniones.
El plan de continuidad será mostrado a toda la empresa con el fin de que todos los empleados tengan conocimiento del plan y sepan cómo actuar ante situaciones de emergencia.

Análisis de Impacto y Valoración de Riesgos sobre el negocio

Alcance

Este análisis pretende plantear los daños que pudiera sufrir la empresa NC 24 tras un paro de sus servicios de TI por un evento de origen Natural, Humano o Técnico, este es realizado en base a los controles actuales establecidos en la misma. Este análisis comprende desde su realización hasta su modificación.

Introducción

Se necesita conocer los servicios de TI de la empresa para determinar qué tan crítico es cada uno para la operatividad de la empresa, eso se logra mediante este análisis y así se sabrá que tan rápido debe de reactivarse el servicio tras una caída para no causar daños a la empresa y adoptar medidas que minimicen sus daños y probabilidad de ocurrencia.

Catálogo de Servicios de TI

Nombre del Servicio	Activos del Servicio	Recursos Necesarios	Descripción
Servicios del Negocio	Correo electrónico empresarial Software Farmacia Software gestión de la ARS y Subcontratación de servicios médicos Software Gestión Hospitales	Electricidad Capital Humano Computadoras Servicios de Datos Edificios	Estos servicios se encargan de proveer las herramientas para que la empresa pueda manejar sus operaciones diarias.
Servicio de datos	Bases de datos Acceso a la Red	Electricidad ISPs Capital Humano Routers, Switches y equipos de comunicaciones de datos.	Estos se encargan de suministrarle datos a los servicios de la empresa y a la vez guardarlos en una localización.
Servicio de Comunicaciones	Teléfonos Líneas Telefónicas Celulares	Operadoras de servicios telefónicos	Se encargan de comunicar a los empleados de la empresa.

Los servicios detallados anteriormente y clasificados por su función principal son los necesarios para que la empresa pueda operar con eficacia.

Para calcular el impacto de la ausencia de alguno de estos servicios y por consiguiente saber el riesgo que conlleva para la empresa, es necesario utilizar esta tabla que contiene las calificaciones de riesgo dependiendo del impacto para la empresa y la probabilidad de la ocurrencia del incidente.

[pic 2]

El riesgo se obtiene al multiplicar la probabilidad por el impacto.

[pic 3]

Tabla Análisis de riesgo e Impacto de la pérdida de los servicios de TI

Evento de Riesgo	Probabilidad y Detalle	Impacto para el Negocio y Detalle	Nivel de Riesgo
Pérdida Servicio de Datos	Caída proveedor ISP = 2 Pobre acceso a datos de parte de las aplicaciones, por no redundancia en servidores = 3 Caída de Servidor BDC en P.R. = 2 Caída servidor PDC en el salvador = 2	2.25	Pérdida de Servicios del Negocio = 18.33 Pérdida de Datos de la empresa = 20	19.17	43.12	Inaceptable Tomar medidas de prevención en menos de 72 horas
Pérdida de Servicios del Negocio	Pérdida Servicio de Datos = 2.25 Indisponibilidad de las aplicaciones por actualizaciones = 3 Por errores de programación = 2 Viruses Informáticos = 2	2.25	Mala imagen empresa = 15 Pérdida de clientes = 20 Pérdida Rentabilidad = 20	18.33	41.24	Inaceptable Tomar medidas de prevención en menos de 72 horas
Pérdida se Servicios de Comunicación	Indisponibilidad operadora telefónica = 1	1	Incomunicación de los miembros de la empresa = 5	5	5	Aceptable Aceptar el riesgo
Pérdida de personal Clave	Renuncia, Enfermedad o Muerte personal a cargo Inventario dispositivos de red y softwares = 2	2	Pérdida de Datos de la empresa = 20	20	40	Importante Tomar medidas de prevención en menos de 1 semana
Huracán	Huracán = 2	2	Pérdida parcial o total de los recursos de los servicios de TI = 20	20	40	Importante Tomar medidas de prevención en menos de 1 semana
Terremoto	Terremoto = 1	1	Pérdida parcial o total de los recursos de los servicios de TI = 20	20	20	Moderado Tomar medidas de prevención en menos de 2 Semanas
Incendio	Incendio = 1	1	Pérdida parcial o total de los recursos de los servicios de TI = 20	20	20	Moderado Tomar medidas de prevención en menos de 2 Semanas
Demanda	Demandas por patentes o Licencias de Software = 1	1	Pérdida de recursos monetarios = 20 Daños a la imagen de la empresa = 20	20	20	Moderado Tomar medidas de prevención en menos de 2 Semanas
Robo de Información	Por Empleados = 1 Por Espías Industriales = 1 Por Ciber-Criminales = 1 Por otros = 1 Interceptación de las líneas de datos = 1	1	Daños a los proyectos, documentos y confidencialidad de la empresa = 20	20	20	Moderado Tomar medidas de prevención en menos de 2 Semanas
Sabotaje Informático	Por empleados = 1 Por Ciber-Criminales = 1 Por otros = 1	1	Pérdida Parcial de los recursos de los servicios de TI = 20 Pérdida de Datos de la empresa =20	20	20	Moderado Tomar medidas de prevención en menos de 2 Semanas
Pérdida Suministro eléctrico	Perdida suministro eléctrico = 2		Pérdida Parcial de los recursos de los servicios de TI = 20	40	40	Tomar medidas de prevención en menos de 1 semana

...

Descargar como (para miembros actualizados) txt (20 Kb) pdf (258 Kb) docx (179 Kb)

Leer 11 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com