Autoridad Reguladora de los Servicios Públicos
Plan de Continuidad de Tecnología de Información Julio 2017
Información del documento
Nombre del documento: Plan de Continuidad de Tecnología de Información la Autoridad Reguladora de Servicios Públicos (ARESEP).
Versión: 0.1
Dueño del Plan: Érick Ramírez, Oficial de Seguridad de la Información, Dirección de Tecnología de Información.
Última fecha de revisión: 03 de agosto de 2017.
Aprobador: Rodolfo Zamora, Director de la Dirección de Tecnología de Información.
Fecha de aprobación:
Control de versiones
Versión
Fecha del Cambio
Modificado por:
Modificaciones
Aprobación
Nombre Dependencia Nombre Dependencia Puesto
0.1 24/07/2017 Deloitte Creación del documento.
Tabla de contenido
Información del documento 1
Control de versiones 1
1. Aspectos generales 1
1.1. Objetivos 1
1.2. Alcance 1
1.3. Supuestos 2
1.4. Actualización 2
1.5. Pruebas 2
2. Organización para la continuidad de TI 3
3. Esquema del Plan de Continuidad de TI 5
3.1 Activación 6
3.2. Recuperación 9
3.3. Retorno 12
3.4. Revisión 13
4. Anexos 15
Anexo 1: Plantilla de valoración del evento 15
Anexo 2: Valoración de eventos en el Plan de continuidad de negocio 15
Anexo 3: Matriz de Contacto 16
Anexo 4: Árbol de llamadas 16
Anexo 5: Procedimientos de recuperación 16
Índice de figuras
Figura 1. Organización para la gestión de continuidad de TI. 3 Figura 2. Esquema del plan de continuidad de TI. 5 Figura 3. Estructura de respuesta ante un evento, incidente o desastre de
continuidad de IT 6 Figura 4. Árbol de llamadas para activación del plan. 8 Figura 5. Medios de contacto a los involucrados. 8
Índice de tablas
Tabla 1. Responsabilidades en la gestión de continuidad de TI. 3 Tabla 3. Prioridades de recuperación. 10 Tabla 4. Recomendaciones para la comunicación interna y externa. 11
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
1
1. Aspectos generales
Esta sección presenta una serie de aspectos generales del Plan de continuidad
de TI. Se incluyen sus objetivos, el alcance del mismo y las premisas necesarias
para su implementación.
1.1. Objetivos
1.1.1. Objetivo general
Proporcionar un enfoque organizado, coordinado y consolidado para gestionar las
actividades de respuesta y recuperación ante un evento que afecte la continuidad
de los sistemas o servicios tecnológicos críticos de la Dirección de Tecnologías de
Información de la Autoridad Reguladora de los Servicios Públicos.
1.1.2. Objetivos específicos
Los objetivos específicos del Plan de Continuidad de TI son los siguientes:
• Definir la estructura y el accionar necesario para la gestión de la
continuidad de TI en la Autoridad Reguladora de los Servicios Públicos.
• Priorizar las actividades y procedimientos de recuperación para la
plataforma tecnológica.
• Proporcionar una respuesta rápida y apropiada a eventos de continuidad.
1.2. Alcance
El alcance de la recuperación de desastres descrita en este plan se limita a los
servicios, sistemas y aplicaciones; que son administrados por la Dirección de
Tecnologías de Información (DTI) de la Autoridad Reguladora de los Servicios
Públicos (ARESEP), los cuales soportan o forman parte de los procesos
institucionales definidos como críticos por las áreas usuarias durante el análisis
de impacto en el negocio (BIA).
Así mismo, se contemplan los servicios, aplicaciones y componentes internos de
la DTI que habilitan a esta dirección para ofrecer sus servicios críticos a la
Institución.
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
2
1.3. Supuestos
Los supuestos consisten en situaciones que se asumen como verdaderas, para la
construcción y ejecución del plan de continuidad de TI. Estas situaciones podrían
ser producto de acciones/proyectos realizados por la Institución, aplicación de
las estrategias de continuidad, adquisición previa de activos/talento, entre otras.
Los supuestos bajo los cuales se desarrolla este plan, se detallan en seguida:
• Se ha establecido el rol de Encargado de Continuidad, el Comité de
Continuidad, así como los respectivos equipos de recuperación para los
sistemas y servicios identificados como críticos por la Institución.
• ARESEP ha implementado una estrategia para garantizar la continuidad
de la tecnología de información.
• Los integrantes del Comité de Continuidad, así como, los equipos de
recuperación conocen los procedimientos para declarar un evento de
continuidad, sus responsabilidades en la recuperación ante un desastre
y se encuentran comprometidos y anuentes a colaborar.
• El plan ha sido probado y se han efectuado las modificaciones
correspondientes periódicamente o cuando se presentan cambios en la
estructura de los servicios y sistemas.
• Los procedimientos de los cuáles depende la recuperación, están
disponibles en la DTI, actualizados y accesibles para los involucrados.
• El personal involucrado en la gestión de continuidad, conoce el esquema
de continuidad del negocio y la interacción que este guarda con el plan
de continuidad de TI.
1.4. Actualización
La Dirección de Tecnología de Información de la ARESEP es responsable de la
actualización periódica del Plan de Continuidad de TI, garantizando la viabilidad
del mismo según el contexto de la Institución.
La DTI deberá realizar, como mínimo, una revisión completa del Plan de
Continuidad de TI y sus documentos asociados como mínimo una vez al año,
incorporando lecciones aprendidas.
1.5. Pruebas
La Dirección de Tecnologías de Información de la Autoridad Reguladora de los
Servicios Públicos es responsable de garantizar que los involucrados en la gestión
de la continuidad tengan el conocimiento adecuado sobre el Plan de Continuidad
de TI y los procedimientos de recuperación, los cuales deben ser probados
periódicamente, como mínimo, una vez al año.
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
3
2. Organización para la continuidad de TI
Una adecuada gestión de la continuidad de TI requiere estructuras de gobierno,
roles y responsabilidades, los cuales son necesarios para el correcto
funcionamiento del plan de continuidad.
Esta sección describe específicamente las funciones y responsabilidades de los
roles que darán soporte al Plan de Continuidad de TI antes de un evento de
continuidad, así como durante la recuperación de desastres.
A continuación, la Figura 1 representa de manera gráfica la estructura de
gobierno para la gestión de la continuidad de TI de la Dirección de Tecnología de
Información. Posteriormente, se describen en detalle los roles y sus
responsabilidades asociadas.
Figura 1. Organización para la gestión de continuidad de TI.
A continuación se presenta la Tabla 1 la cual incluye el detalle de las
responsabilidades que deberán ser ejecutadas por los roles descritos en la Figura
1.
Tabla 1. Responsabilidades en la gestión de continuidad de TI.
Rol Responsabilidades para la gestión de la Continuidad de TI
Comité de
continuidad.
• Supervisar los esfuerzos de la gestión de continuidad de TI.
• Garantizar la aplicación de las políticas para la gestión de la continuidad de TI.
• Proporcionar apoyo presupuestario para las actividades de la gestión de continuidad de TI.
• Preparar las declaraciones a emitir al público en caso de una interrupción de las operaciones de la Institución.
• Anticipar potenciales eventos, incidentes o desastres que podrían alterar la operación normal de la Institución.
Áreas funcionales DTI
Relación de comunicación Relación de dependencia
Encargado de Continuidad de TI
Comité de Continuidad
Equipos de
recuperación de DTI
• Supervisar los esfuerzos de la gestión de
continuidad.
• Actualizar los procedimientos de
recuperación ante desastres de
TI.
• Ejecutar las actividades de
recuperación y retorno.
• Planifica el proceso de gestión de
continuidad.
• Asegurar que los recursos necesarios
estén disponibles y se cumplan las
responsabilidades asignadas.
• Supervisar el desarrollo de las
actividades de continuidad.
• Se encarga de la comunicación y declaratorias de desastre y retorno.
• Realizar actualizaciones al plan de
continuidad de TI.
• Apoyar en la realización de los
procedimientos de recuperación.
• Participan en el desarrollo de
procedimientos de
recuperación y brindan
información insumo para la
gestión de continuidad de TI.
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
4
Rol Responsabilidades para la gestión de la Continuidad de TI
Encargado de
continuidad de
TI.
• Apoyar, al menos una vez al año, en la revisión del plan de continuidad de TI y aprobar las actualizaciones y mejoras necesarias.
• Asegurar que los recursos estén disponibles para mantener el plan de continuidad de TI.
• Coordinar con el encargado de continuidad de la ARESEP la evaluación de riesgos, el análisis de impacto de negocio y la generación de estrategias.
• Exigir a las áreas funcionales de TI contar con procedimientos de recuperación actualizados.
• Revisar y mejorar continuamente el Plan de Continuidad de TI.
• Desarrollar las políticas y procedimientos requeridos para la gestión de la continuidad de TI.
• Desarrollar las herramientas y plantillas requeridas para las actividades de la gestión de la continuidad de TI.
• Coordinar con el encargado de continuidad de la ARESEP un programa de capacitación sobre la gestión de continuidad de TI para los miembros de DTI.
• Coordinar con el encargado de continuidad de la ARESEP un plan de pruebas para el Plan de Continuidad de TI y los procedimientos de recuperación de DTI.
• Planificar, organizar y realizar pruebas periódicas para asegurar que el plan de continuidad de TI se encuentre actualizado y vigente en relación con la infraestructura y configuración actuales.
• Apoyar la implementación de estrategias de recuperación mediante la solicitud de financiamiento o la aceptación del riesgo por parte de la Institución.
• Registrar los resultados de la ejecución de las pruebas del Plan de Continuidad de TI.
• Valorar el resultado de la recuperación y retorno de los procesos críticos luego de la materialización de un evento que requiriera activar el Plan de Continuidad de TI.
• Anticipar potenciales eventos, incidentes o desastres que podrían alterar la operación normal de la Institución.
Áreas
funcionales de
DTI.
• Apoyar la implementación del plan de continuidad de TI.
• Brindar información para la evaluación de riesgos de continuidad.
• Informar a los equipos de recuperación y al Encargado de Continuidad de TI sobre cambios que puedan requerir actualizaciones de los Procedimientos de recuperación o al Plan de continuidad de TI.
• Designar personal calificado para funciones de recuperación de TI.
Equipos de
recuperación de
desastres de TI.
• Desarrollar, actualizar y mantener copias de los procedimientos de recuperación de TI.
• Participar en la ejecución de las pruebas al plan y los procedimientos de recuperación de TI.
• Anticipar potenciales eventos, incidentes o desastres que podrían alterar la operación normal de la Institución.
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
5
3. Esquema del Plan de Continuidad de TI
El Plan de Continuidad de TI se orienta a ser ejecutado con un enfoque de tres
fases: la activación, la recuperación de los sistemas, servicios o aplicaciones
tecnológicas críticos y el retorno a la normalidad luego del evento o desastre de
continuidad.
En algunos casos, se deberá realizar la respuesta inicial previo a la fase de
activación; el objetivo principal de esta actividad, consiste en proteger la vida y
la seguridad de los funcionarios y usuarios de la Institución. Esta actividad debe
seguir los lineamientos estipulados en el Plan de Continuidad de la ARESEP.
Una vez completada la respuesta inicial, se debe proceder con la ejecución de las
tres fases del plan de continuidad de TI descritas más adelante en esta sección.
A continuación, la Figura 2 presenta de manera gráfica el contenido de dichas
fases y posteriormente se describe cada una de ellas.
Figura 2. Esquema del plan de continuidad de TI.
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
6
3.1 Activación
La primera fase del Plan de Continuidad de TI sigue la estructura de respuesta
presentada en la Figura 3, el objetivo principal de esta etapa es activar las
acciones institucionales para recuperar la tecnología de información y
comunicación luego de ocurrido un desastre de TI. Esta fase contempla la
identificación y valoración del evento, así como la declaratoria de recuperación y
el contacto a los involucrados.
Figura 3. Estructura de respuesta ante un evento, incidente o desastre de continuidad de IT
Las principales actividades que deben efectuarse en la fase de activación, se
encuentran descritas en los siguientes apartados.
3.1.1. Identificación y valoración
Esta actividad se divide en dos grandes aspectos, la identificación y la valoración
del evento, incidente o desastre de continuidad.
La identificación, se refiere a anticipar o monitorear potenciales eventos,
incidentes o desastres que podrían interrumpir o afectar negativamente la
operación normal de la tecnología de información en la Institución. Los eventos,
incidentes o desastres de continuidad de TI, pueden ser identificados por el
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
7
personal de TI propiamente, o pueden ser reportados por otras dependencias de
la Institución.
El objetivo principal de la identificación, es recopilar la información necesaria
sobre el evento, como mínimo se deberá establecer el alcance del mismo, su
implicación en la prestación de los servicios críticos de TI, cantidad de usuarios
afectados e impactos que puedan existir en aspectos regulatorios o de imagen.
El segundo aspecto es la valoración. A partir de la información recolectada, el
Comité de Continuidad, debe evaluar el evento, incidente o desastre de
continuidad. Esto, con el fin de determinar su impacto y conocer el tiempo
estimado de solución del incidente. Para el desarrollo de esta evaluación se
incluye una plantilla en el Anexo 1 y adicionalmente, se puede solicitar apoyo a
los equipos de recuperación de TI.
Para llevar a cabo la valoración del evento, incidente o desastre de continuidad
de TI, se debe considerar los siguientes factores:
• El tiempo de recuperación objetivo o RTO del servicio afectado.
• La ausencia de personal crítico para la recuperación por el desastre.
• Las condiciones y la capacidad para recuperar el sistema o servicio.
• Daños en los equipos necesarios para la prestación del servicio.
• Terceras partes involucradas en el evento de continuidad o necesarias
para la recuperación.
• El tiempo estimado de recuperación alcanzable o RTA.
La valoración de eventos, incidentes y desastres de TI, se debe realizar,
principalmente, en función del impacto que se pueda causar a la Institución. Y
los niveles de tolerancia definidos por las diferentes dependencias de la ARESEP.
Esto, pues los servicios de TI son un soporte para el desarrollo de los procesos
de negocio. En el Anexo 2, se presentan los criterios para la valoración
propuestos en el Plan de continuidad de Negocio.
En los casos donde el tiempo estimado de recuperación, sea menor al RTO
establecido por el negocio, o bien, el evento no afecte ningún sistema o servicio
crítico de la DTI según se definió en el análisis BIA y en el alcance de este
documento; no se activarán las siguientes fases del plan de continuidad de TI y
la situación será atendida como un evento o incidente común, de acuerdo con el
proceso utilizado normalmente.
Por el contrario, si se trata de un incidente o desastre donde se ven afectados
los sistemas o servicios críticos de la DTI y alguno de los tiempos de recuperación
es mayor al tiempo límite establecido por el negocio o RTO, se debe levantar una
lista de los sistemas y servicios por recuperar, así como telecomunicaciones u
otros componentes de infraestructura que hayan sido afectados.
Una vez que el incidente o desastre de TI, es valorado como una situación que
ha afectado los servicios críticos de la DTI y que, por tanto, tendrá afectación
sobre la Institución; se debe proceder con la declaratoria de recuperación y la
consecuente activación de este Plan y de los respectivos procedimientos de
recuperación de tecnología.
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
8
3.1.2. Declaración de recuperación de TI
Cuando el Comité de Continuidad recibe la notificación de un evento, incidente o
desastre o identifica una situación anormal que ha afectado la operación normal
de la DTI, se procede con la valoración del evento según los criterios de activación
definidos en el Plan de Continuidad de Negocio (Anexo 2).
Una vez que el Comité de Continuidad haya dictaminado la clasificación final y
en caso de corresponder a un nivel 2 o 3, se declara la activación del Plan de
Continuidad de TI. El Encargado de Continuidad de TI convoca a los respectivos
equipos de recuperación para los sistemas o servicios que hayan sido afectados.
Al Líder de comunicaciones, le corresponde la comunicación con los altos mandos
institucionales y con las áreas usuarias. Los incidentes o eventos de continuidad
de TI, deberían ser reportados entregando la mayor cantidad de detalles posibles
de acuerdo con las circunstancias y la información disponible. Algunos datos a
incluir son: descripción del incidente, evaluación del impacto potencial, tiempo
estimado de resolución.
La Figura 4, muestra el árbol de llamadas o contacto que debe ejecutarse una
vez declarada la recuperación de desastre de TI.
Figura 4. Árbol de llamadas para activación del plan.
Del mismo modo, los medios que se debe utilizar para contactar a los
involucrados y responsables de las actividades de recuperación de TI, se
muestran en la Figura 5, por orden de prioridad.
Figura 5. Medios de contacto a los involucrados.
Los teléfonos celulares aparecen en primer lugar, pues están exentos de la
afectación por un desastre de TI institucional y brindan mayor agilidad al
momento de contactar a las personas. Si el teléfono celular no permite contactar
a los integrantes de los equipos necesarios, se deben utilizar otros teléfonos
disponibles y el envío de mensajes SMS o correos electrónicos.
Encargado de Continuidad de TI
Director y Jefe de DTIDirector general de
operaciones
Líderes de los equipos de
recuperación
Miembros de los equipos de
recuperación
Teléfono celular
Teléfono ARESEP
Mensaje de texto
Correo electrónico
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
9
3.2. Recuperación
La segunda fase del plan, involucra el desarrollo de las actividades principales
para recuperar la operación de los sistemas, servicios e infraestructura
tecnológica de la Autoridad Reguladora de los Servicios Públicos.
Esta fase contempla el diagnóstico de las posibles causas del evento, incidente o
desastre de continuidad de TI, la comunicación con los equipos de recuperación,
las actividades de recuperación, y la notificación de éxito.
3.2.1. Diagnóstico y recolección de datos
Los equipos de recuperación, utilizan la información que se encuentre accesible
para intentar determinar las causas de la interrupción presentada. Los datos a
utilizar, provendrán en primer lugar de herramientas de monitoreo y control con
las que cuenta la institución; de no estar disponibles las herramientas, se podrá
utilizar bitácoras de sistema operativo, equipos de red o aplicaciones, así como
comandos manuales como por ejemplo el comando “ping”. De ser necesario, se
realizará además una inspección física para determinar el estado de los equipos.
Las actividades de este diagnóstico varían dependiendo del escenario
presentado, por ello, no se cuenta con una guía específica para efectuarlas. Es
importante que el Comité de Continuidad y los equipos de recuperación valoren
cuánto tiempo invertir en el diagnóstico. Esto pues se debe cumplir con los
tiempos de recuperación solicitados por la Institución.
3.2.2. Recuperación de sistemas y servicios tecnológicos
Se debe ejecutar la secuencia de actividades definidas en los procedimientos de
recuperación para cada uno de los servicios y sistemas críticos. Debido a que
estas actividades varían en cada caso, la guía detallada de pasos a seguir se
encuentra en los diferentes procedimientos de recuperación y se define como
equipos de recuperación, a los expertos con el conocimiento necesario para
completar los distintos procedimientos.
La recuperación, en diferentes escenarios, puede variar dependiendo de la
naturaleza de los mismos y del impacto real que se identifique una vez ocurrido
el evento y valorada la afectación. Los procedimientos de recuperación de TI,
incluyen las actividades para un escenario de desastre parcial y para el escenario
de afectación completa o peor escenario.
El Comité de Continuidad y los equipos de recuperación deberán utilizar su juicio
experto para determinar cuáles de las actividades de cada procedimiento se
deben llevar a cabo para recuperar los diferentes sistemas y servicios críticos.
3.2.2.1. Prioridad de recuperación
Con base a las necesidades expuestas por las áreas usuarias de TI de la
Institución acerca del tiempo objetivo de recuperación (RTO) de los sistemas y
servicios de TI, se establece el orden de recuperación.
Además de los tiempos definidos por la ARESEP, un factor importante en la
priorización de la recuperación son las dependencias que se presentan entre
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
10
sistemas y servicios de TI. Por lo anterior, se creó un procedimiento de
recuperación para la infraestructura trasversal, el cual debe ser ejecutado en
primera instancia, para continuar con la recuperación de los demás sistemas y
servicios.
Los tiempos de recuperación objetivo definidos por las áreas usuarias de la
ARESEP se presentan en la Tabla 3, junto con los procedimientos de recuperación
en orden de prioridad. Los elementos marcados con color rojo, de alta prioridad,
deben recuperarse en menos de cuatro horas. Así mismo, los marcados con
amarillo, son de prioridad media y deben recuperarse en menos de un día.
Finalmente, los elementos marcados en color verde, tienen prioridad baja y
pueden recuperarse en más de un día.
Tabla 2. Prioridades de recuperación.
Procedimiento RTO Prioridad
Infraestructura Transversal < 2 horas
Página web 2 horas
Correo electrónico 2 horas
Telefonía 4 horas
PROMTU 4 horas
Sistema de control de Juicios 1 día
Sistema de presupuesto 1 día
INTRAN 1 día
Sharepoint 1 día
Sistema de Vacaciones 1 día
Sistema de Asistencia 1 día
Sistema de Acciones de Personal 1 día
Sistema Cánones Autobuses 1 día
Sistema contable (SIGMA) 3 días
Sistema de Digitalización 3 días
SAU 3 días
3.2.3. Pruebas de funcionamiento
Los profesionales de los equipos de recuperación, ejecutan pruebas para validar
la operación de los sistemas o servicios que se han recuperado, antes de
comunicar la recuperación exitosa al Encargado de Continuidad de TI.
Estas pruebas, se realizarán siguiendo la guía de pruebas de la DTI directamente
sobre los servicios recuperados y consisten en pruebas funcionales del sistema o
servicio crítico. Se debe considerar que el nivel de operación de estos sistemas o
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
11
servicios, no necesariamente es el mismo que se brinda durante la operación
normal.
Durante esta actividad, se identifica la necesidad de ejecutar acciones adicionales
de recuperación cuando las pruebas no arrojen resultados exitosos. En caso de
que las pruebas den resultados positivos, se procede a notificar la recuperación
exitosa.
3.2.4. Gestión de comunicación interna y externa
El líder de las comunicaciones será el único responsable de dar declaraciones
tanto a lo interno de la Institución como a nivel de prensa, proveedores,
contribuyentes y terceros en general.
La Tabla 4 presenta algunas recomendaciones para la gestión de comunicación
interna y externa que se debe llevar a cabo durante la ejecución de este plan.
Tabla 3. Recomendaciones para la comunicación interna y externa.
Recomendación Comunicación Interna
Comunicación Externa
Identificar rápidamente a los usuarios que serán impactados por la interrupción.
X
Proveer actualizaciones regulares y detalladas sobre
la interrupción al Comité de Continuidad o Negocio de acuerdo al impacto de la interrupción.
X X
Realizar un comunicado oficial mediante la dependencia de Comunicación Institucional explicando la situación.
X
Mantener el mensaje simple y conciso. X X
Si la interrupción es prolongada y los procedimientos de recuperación son activados se deberá comunicar al Comité de Continuidad explicando los pasos a seguir.
X X
3.2.5. Notificación de la recuperación exitosa
El Comité de Continuidad, luego de recibir la confirmación de los equipos de
recuperación, declara la recuperación exitosa para cada sistema, servicio
tecnológico
Para esto, dependiendo del área de la Institución que se haya visto afectada, se
apoya en el Encargado de Continuidad de TI, la Jefatura o en los demás miembros
del Comité de Continuidad.
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
12
3.3. Retorno
Una vez que ha cesado la situación de desastre y la institución cuenta con las
condiciones necesarias para regresar a la operación en modo normal, se deben
llevar a cabo las acciones necesarias para tal fin.
La declaratoria de desastre en TI se mantiene vigente hasta que el retorno a la
operación normal se haya completado. Esta fase contempla la valoración del
retorno, las actividades necesarias para el mismo y el levantamiento de la
declaratoria de desastre.
3.3.1. Valoración y programación del retorno
Luego de la recuperación de los sistemas o servicios tecnológicos, se debe
trabajar para volver a las condiciones normales, anteriores al evento. Los
profesionales de los equipos de recuperación, valoran las condiciones físicas y
lógicas del equipo, centro de datos, así como la disponibilidad de insumos para
aplicar el retorno.
En caso de requerir algún insumo o recurso, se debe gestionar que el mismo sea
provisto antes de iniciar con las actividades de retorno.
La preparación para el retorno, debe considerar:
• Fechas y horas programadas para el retorno y la duración del mismo.
• Convocatoria del personal interno necesario para el retorno.
• Convocatoria de proveedores y externos necesarios para el retorno.
• Una lista de previsiones y cuidados para los usuarios de la Institución.
De acuerdo con la valoración realizada, se debe efectuar el retorno a la operación
normal.
3.3.2. Pruebas y monitoreo del retorno
Los profesionales de los equipos de recuperación, ejecutan o conducen pruebas
para validar la operación normal de los sistemas o servicios antes de
comunicárselo al Comité de Continuidad. Adicionalmente, se debe monitorear el
correcto funcionamiento de las operaciones para prevenir alguna interrupción
causada por las condiciones del retorno.
3.3.3. Comunicación del retorno del servicio
Luego del retorno a la operación normal de cada sistema o servicio de la DTI, el
Encargado de Continuidad de TI comunica al Director de la DTI el regreso a la
normalidad del servicio. El Director de la DTI, apoyado de ser necesario en los
demás miembros del Comité de Continuidad, comunica al área usuaria el retorno
del sistema o servicio.
3.3.4. Levantamiento de la declaratoria de desastre en TI
Una vez que se haya retornado a la normalidad, la operación de todos los
sistemas y servicios definidos como críticos para la Institución y que se haya
controlado la situación de desastre por completo, el Comité de Continuidad,
comunica a toda la Institución el retorno a la normalidad.
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
13
3.4. Revisión
La fase de revisión luego de la activación del plan de continuidad de TI, tiene
como objetivo realizar una retrospectiva a las acciones ejecutadas y determinar
la necesidad de implementar acciones preventivas o correctivas para prevenir
problemas en las siguientes ejecuciones del plan de continuidad de TI.
Las acciones a ejecutarse en la fase de revisión se presentan a continuación.
3.4.1. Evaluación posterior al incidente
Posterior al levantamiento de la declaratoria del Plan de Continuidad de TI, el
Encargado de Continuidad de TI debe tomar las medidas necesarias para
garantizar que se documenten los resultados y las lecciones aprendidas del
proceso realizado con base en este plan.
Así mismo, una vez que se haya vuelto a la operación normal, el Encargado de
Continuidad de TI deberá iniciar la recopilación de información para la evaluación
posterior al evento, incidente o desastre de continuidad.
Se deben documentar todos los incidentes presentados y atendidos. Además, se
debe determinar el nivel de efectividad de las acciones tomadas para identificar
oportunidades de mejora. Es importante que el Encargado de Continuidad de TI
supervise las actividades que se desarrollen para evitar que, llegado el punto de
retorno, alguna se quede sin documentar o registrar.
Esta actividad, debería derivar en la aplicación de las actualizaciones y
modificaciones necesarias a los instrumentos y documentos relacionados con la
gestión de la continuidad en la Institución. Esto, siguiendo el esquema de
actualización propuesto en el Plan de continuidad de TI.
Se deberá realizar la evaluación posterior al incidente en conjunto con todo el
personal involucrado en la recuperación, para lo cual se solicitará completar la
plantilla “Evaluación post-evento” ubicada en la sección 8.3 del Plan de
Continuidad de la ARESEP.
3.4.3. Definición de planes de acción
A partir de los resultados obtenidos en las evaluaciones por parte de los
involucrados en la recuperación, posterior al evento de continuidad, el Encargado
de Continuidad de TI recopilará la información y se realizará una sesión con el
equipo de recuperación para establecer planes de acción a ejecutar a fin de
solventar las observaciones o mejoras identificadas en la evaluación.
Los planes de acción podrán considerar:
• Actualizaciones al plan de continuidad de TI.
• Actualizaciones al plan de capacitaciones por:
o Capacitaciones en el plan de continuidad de TI.
o Capacitaciones técnicas.
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
14
• Actualizaciones al plan de pruebas por:
o Ejecución de pruebas de continuidad.
• Disposición de recursos de recuperación en sitios alternos.
Se establecerán fechas límites para la implementación de estas tareas por parte
del Encargado de Continuidad de TI. La documentación de los planes de acción
se realizará por medio de la plantilla que se presenta en la sección 8.4 del Plan
de Continuidad de la ARESEP.
3.4.4. Ejecución de planes de acción
De acuerdo con la planeación realizada, el Encargado de Continuidad de TI
deberá velar por la ejecución de los planes de acción correspondientes producto
de las evaluaciones realizadas.
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
15
4. Anexos
Anexo 1: Plantilla de valoración del evento
Este documento, facilita la valoración de un evento ocurrido que pueda afectar
la continuidad de los sistemas y servicios críticos de TI. Permite identificar si es
necesario declarar el modo de recuperación de desastre y activar los
procedimientos de recuperación; o más bien se debe atender como un incidente
normal.
Valoración del
evento.docx
Anexo 2: Valoración de eventos en el Plan de continuidad de negocio
En seguida se presentan los criterios indicados por el Plan de Continuidad de
Negocio, para la valoración de eventos, incidentes y desastres de continuidad.
Cuando un evento de TI se presenta, la valoración debe contemplar la posible
afectación a la continuidad de negocio guiándose con estos criterios.
Regulatorio
Financiero
Incidente Impacto significativo.
Desastre Impacto grave.
Evento Impacto bajo.
Impacto
Impacto bajo o nulo en la
imagen de la Institución.
No es cubierto por los medios
de comunicación.
Impacto no duradero, en la
imagen de la Institución.
Cubierto parcialmente por los
principales medios de
comunicación nacionales.
Impacto financiero por costos
operativos menor a un $10 000.
Impacto financiero por costos
operativos mayor a $10 000
pero menor de $50 000.
Impacto financiero por costos
operativos mayor a $50 000.
No existe un impacto para los
usuarios o regulados.
Es posible continuar con la
operación normal de cara a los
visitantes.
Es posible continuar con la
operación normal.
Aumento en las quejas de
usuarios o visitantes.
Nivel 1 Nivel 2 Nivel 3
Reputación
Usuarios
Comité de Continuidad:
Notificado.
Comité de Continuidad:
A la espera o activado.
Comité de Continuidad:
Activado.
No existe un incumplimiento de
regulaciones o leyes aplicables a
la Institución.
Incumplimiento parcial de
regulaciones o leyes aplicables
a la Institución.
Incumplimiento de regulaciones
o leyes aplicables a la
Institución.
Afectación de los servicios a los
visitantes.
Grandes grupos de usuarios
afectados.
Impacto negativo en la imagen
de la Institución, cubierto por los
principales medios de
comunicación nacionales.
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
16
Anexo 3: Matriz de Contacto
En el siguiente apartado se presenta la matriz de contacto de los equipos de
recuperación de los sistemas o servicios críticos de la Dirección de Tecnologías
de Información.
Este documento contiene los números de teléfono y los correos electrónicos del
personal crítico encargado de la recuperación para todos los sistemas o servicios
críticos de la DTI.
Matriz de contacto -
DTI.xlsx
Anexo 4: Árbol de llamadas
En el siguiente apartado se presenta el árbol de llamadas general, para la
activación del Plan de Continuidad de TI.
Nombre Rol
Cascada de Nivel 1
Erick Ramírez. Encargado de Continuidad de TI
Cascada de nivel 2
Rodolfo Zamora Chaves. Director de DTI.
Jose Alberto Charpentier Díaz. Jefatura de DTI.
Marjorie Villalobos Arguedas. Líder Equipo de Infraestructura.
Manrique Rodríguez Pérez. Líder Equipo de Sistemas.
Cascada de nivel 3
Rodolfo González. Director General de Operaciones.
Equipos de recuperación respectivos.
Anexo 5: Procedimientos de recuperación
En el siguiente apartado se presentan los documentos correspondientes a los
procedimientos de recuperación de los servicios, sistemas e infraestructura
tecnológica de la DTI.
Sistema Procedimiento
Infraestructura Transversal.
DTI - Sistema de
Infraestrutura Tranversal.docx
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
17
Sistema Procedimiento
Sistema de Acciones de Personal.
DTI - Sistema de
Acciones de Personal.docx
Sistema de Atención al Usuario.
DTI - Sistema de
Atención al Usuario.docx
Central Telefónica.
DTI - Central
Telefónica.docx
Sistema de Control de Asistencia.
DTI - Sistema de
Control de Asistencia.docx
Sistema de Control de Juicios.
DTI - Sistema de
Control de Juicios.docx
Correo electrónico.
DTI - Correo
Electrónico.docx
Sistema de Digitalización.
DTI - Sistema de
Digitalización.docx
Sistema INTRAN.
DTI - Sistema de
INTRAN.docx
Portal Electrónico.
DTI - Portal
Electrónico.docx
Sistema de Presupuesto.
DTI - Sistema de
Presupuesto.docx
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
18
Sistema Procedimiento
Sistema de PROMPTU.
DTI - Sistema de
PROMPTU.docx
SharePoint.
DTI - Sistema de
Sharepoint.docx
Sistema SIGMA.
DTI - Sistema de
SIGMA.docx
Sistema de Vacaciones.
DTI - Sistema de
Vacaciones.docx
Autoridad Reguladora de los Servicios Públicos | Plan de continuidad de TI
19
Deloitte se refiere a una o más Deloitte Touche Tohmatsu Limited, una
compañía privada de garantía limitada del Reino Unido ("DTTL"), y a su red
de firmas miembro, y sus entidades relacionadas. DTTL y cada una de sus
firmas miembro es una entidad legalmente separada e independiente. DTTL
(también conocida como "Deloitte Global") no provee servicios a clientes. Por
favor, consulte www.deloitte.com/about para una descripción detallada de la
estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro.
Deloitte provee servicios de auditoría, consultoría, asesoría financiera, gestión
de riesgo, impuestos y servicios relacionados a clientes públicos y privados
abarcando múltiples industrias. Deloitte atiende cuatro de cada cinco
compañías del Fortune Global 500® a través de una red global de firmas
miembro en más de 150 países brindando capacidades de clase mundial,
conocimiento y servicio de alta calidad para hacer frente a los desafíos de
negocios más complejos de los clientes. Para conocer más acerca de cómo
aproximadamente 225.000 profesionales de Deloitte generan un impacto que
trasciende, por favor contáctenos en Facebook, LinkedIn o Twitter.
Este documento sólo contiene información general y ni Deloitte Touche
Tohmatsu Limited, ni sus firmas miembro, ni ninguna de sus respectivas
afiliadas (en conjunto la “Red Deloitte”), presta asesoría o servicios por medio
de esta publicación. Antes de tomar cualquier decisión o medida que pueda
afectar sus finanzas o negocio, debe consultar a un asesor profesional
calificado. Ninguna entidad de la Red Deloitte, será responsable de la pérdida
que pueda sufrir cualquier persona que consulte este documento.
© 2017. Para más información, contacte a Deloitte & Touche, S.A. Member of
Deloitte Touche Tohmatsu Limited.