Procedimientos de Planes de Contingencia

Todas las áreas de informática de los departamentos del ITSM cuentan con un plan de contingencia que incluye al menos los siguientes puntos:

  • Continuar con la operación de los recursos y procesos del área con procedimientos alternos manuales mientras el servicio es restablecido.
  • Tener los resguardos y/o respaldos de información en un lugar seguro, fuera del lugar en el que se encuentran los equipos;
  • La dirección general y el jefe de tecnologías de información son los únicos autorizados para contar con accesos a todos los sistemas de información.
  • Tener el apoyo por medios magnéticos o en forma documental, de los procedimientos y operaciones necesarias para reconstruir los archivos dañados y/o sus medios físicos;
  • Consultar el manual operación para la detección de posibles fallas, para que toda acción correctiva se efectúe con la mínima degradación posible de los datos;
  • Solicitar el directorio del personal interno y del personal externo de soporte, al cual se pueda recurrir en el momento en que se detecte cualquier anomalía.

Procedimientos de Resguardo de Información (Back-up System):

Los archivos magnéticos de información se deben realizar inventario, anexando la descripción y las especificaciones de los mismos, clasificando la información en tres categorías de acuerdo a su tipo de prioridad:

Sistemas Críticos: Información vital para el funcionamiento del ITSM:

En caso de información vital para el funcionamiento del ITSM, se deberá tener procedimientos concomitantes, así como tener el respaldo diario de las modificaciones efectuadas, rotando los dispositivos de respaldo y guardando respaldos históricos semanalmente.

Estos respaldos podrán estar en un servidor o en medios magnéticos y tendrán una duración de acuerdo a lo que establezca el proveedor y las instancias relacionadas al uso de esta información.

 

Sistemas No-críticos: Información necesaria, pero no indispensable:

La información necesaria, pero no indispensable, se deberá respaldar con una frecuencia mínima de una semana, rotando los dispositivos de respaldo y guardando respaldos históricos mensualmente.

 

Sistemas Eventuales: Información que no es necesaria:

El respaldo de la información ocasional o eventual queda a criterio de las dependencias. Los archivos magnéticos de información, de carácter histórico quedarán documentados como activos de la dependencia y estarán debidamente resguardados.

 

Sistemas Propios: Información de uso personal:

El respaldo de la información contenida en cada uno de los equipos asignados al personal es responsabilidad del usuario y debe ser respaldada con una periodicidad no menor a 3 meses en medios magnéticos y conteniendo la leyenda RESPALDO y la fecha del mismo, en este medio se deben guarda archivos ya carpetas relevantes para el desempeño de sus funciones pero que no están catalogadas como sistemas críticos o no críticos.

 

Backups de servidores y Copias de Seguridad:

Será necesario realizar un análisis Costo/Beneficio para determinar qué información será almacenada, y catalogarla en los puntos anteriores de sistemas críticos, no críticos o eventuales y asignarlas a los espacios de almacenamiento destinados a tal fin dentro de DTI.

  • 1.- Respaldo de los sistemas operativos por medio de imágenes del sistemas almacenados en una partición lógica denominada RESTORE  y de la información de los usuarios, para poder reinstalar fácilmente en caso de sufrir un accidente.
  • 2.- Las herramientas correctas para realizar las copias, basándose en análisis de espacios, tiempos de lectura/escritura, tipo de backup a realizar podrá realizarse con el sistema denominado ACRONIS o en su caso NORTON GHOST, esto queda a consideración de acuerdo al tipo de información y el nivel de seguridad.
  • 3.- El almacenamiento de los Backups debe realizarse en locales diferentes de donde reside la información primaria. De este modo se evita la pérdida si el desastre alcanza todo el edificio o local.
  • 4.- Se debe verificar, periódicamente, la integridad de los respaldos que se están almacenando.
  • 5.- Se debe de contar con un procedimiento para garantizar la integridad física de los respaldos, en previsión de robo o destrucción.
  • 6.- Para garantizar la privacidad de la información que se respalda en medios de almacenamiento secundarios, se debe encriptar antes de respaldarse.
  • 7.- El procedimiento para borrar físicamente la información de los medios de almacenamiento, antes de desecharlos esta en base a como lo designen los involucrados en el uso, manipulación y control de la información de acuerdo a sus lineamientos y políticas internas.
  • 8.- Mantener equipos de hardware, de características similares a los utilizados para el proceso normal, en condiciones para comenzar a procesar en caso de desastres físicos.
  • 9.- En caso de contar con servidores o equipos de modelos iguales se puedo optar por mantener una imagen para poder montarla en caso de que el primer servidor falle al ocurrir una contingencia, mientras se busca una solución definitiva al siniestro producido.
  • 10.- En caso de contar el servidor con espejo o sistemas RAID  se optara por el reemplazo físico y el uso de espejos para poder asegurar la disponibilidad de la información.
  • 11.- Se debe asegurar reproducir toda la información necesaria para la posterior recuperación sin pasos secundarios.