Plan de Recuperación ante Desastres de los Servicios Críticos del Centro de Datos de la DGTIC
Enviado por ex.fenix • 11 de Mayo de 2023 • Tutorial • 6.822 Palabras (28 Páginas) • 66 Visitas
[pic 1] UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO SECRETARÍA DE DESARROLLO INSTITUCIONAL Dirección General de Cómputo y de Tecnologías de Información y Comunicación | Manual: Plan de Recuperación ante Desastres de los Servicios Críticos del Centro de Datos de la DGTIC | Código: CD-MAN-TI-DRP |
Fecha de Elaboración: 21 de mayo de 2021 | ||
Fecha de Aprobación: XX de XXXXX de 2021 | ||
Revisión: 01 | ||
Elaborado por: Ing. Pedro Bautista | Revisado por: | Aprobado por: |
INTRODUCCIÓN
La implementación de un proceso de preservación de información ante situaciones disruptivas, permite minimizar el impacto y recuperación por perdida de activos de información de entidades y dependencias Universitarias con servicios en el Centro de Datos, hasta un nivel aceptable mediante la combinación de controles preventivos y de recuperación.
En este proceso es conveniente identificar los procesos críticos para aplicar protocolos de gestión de seguridad de la información y de continuidad de operaciones con otros requisitos de continuidad relacionados con aspectos tales como personal, materiales, transporte e instalaciones, sistemas, etc.
Las consecuencias de eventos disruptivos (desastres, fallas de seguridad, perdida del servicio y disponibilidad de los servicios) se deberán someter a un análisis del impacto del negocio (BIA). Se debe desarrollar e implementar un plan de continuidad que permita garantizar la restauración oportuna de las operaciones de los servicios críticos.
La correcta implementación de la gestión de la continuidad del negocio disminuirá el impacto al presentarse incidentes disruptivos y en caso de producirse, el Centro de Datos estará preparado para responder de forma adecuada y oportuna, de esa manera se reduce de manera significativa un daño potencial que pueda ser ocasionado por incidentes.
1. Términos y definiciones
El apartado de términos y definiciones se elabora para lograr entendimiento de forma clara y unificación de la terminología, definiciones y abreviaturas que tengan lugar en el presente documento.
Actividades prioritarias: Actividades a las que se les debe dar prioridad después de un incidente con el objetivo de mitigar los impactos.
Nota: Los términos que comúnmente se utilizan para describir las actividades dentro de este grupo son: critico, esencial, vital, urgente y principal.
Amenaza: Percepción de la posibilidad de ocurrencia de algún hecho dañino sobre los recursos involucrados en el desarrollo de un proceso (humano, financiero, medio ambiente, información e imagen corporativa), representando pérdidas para los sistemas o entidad.
Análisis de riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
Árbol de llamadas: Documento que describe gráficamente las responsabilidades y el orden en que deben producirse las llamadas a los diferentes niveles, así como a los usuarios y proveedores y otros contactos clave en caso de que se produzca una emergencia, catástrofe o situación de indisponibilidad grave.
Continuidad del Negocio: Capacidad de la entidad para continuar con la entrega de sus productos o servicios a niveles aceptables predefinidos luego de un incidente disruptivo.
Crisis: Situación anormal e inestable que amenaza los objetivos estratégicos, la reputación o la viabilidad de una organización.
Desastre: Un evento repentino, no planeado y catastrófico que causa daño o pérdida no aceptable a una organización.
- Un evento que pone en peligro la capacidad de una organización para proporcionar funciones críticas, procesos o servicios por un cierto período de tiempo inaceptable.
- Un evento en el que la gestión de una organización invoca sus planes de recuperación.
Ejercicio: Proceso para entrenarse, prepararse, practicar y mejorar el desempeño de una organización.
Emergencia: Un evento o incidente imprevisto que sucede repentinamente y demanda acción e intervención inmediata para minimizar pérdidas potenciales de vidas, destrucción de propiedades o la pérdida o interrupción de las operaciones de negocio hasta el punto, que puede representar una amenaza.
Estrategia de continuidad del negocio: Curso de acción definido previamente (y aprobado por el Comité Directivo - Dirección) con el fin de proteger la viabilidad de la empresa y reanudar sus actividades críticas en los plazos establecidos. Las estrategias seleccionadas deben cubrir los RTOs identificados en el BIA.
Evento: Hecho o suceso imprevisto. Es la ocurrencia o cambio de un conjunto particular de circunstancias.
Nota 1: Un evento puede ser una o más ocurrencias, y puede tener varias causas.
Nota 2: Un evento puede consistir en algo que no está sucediendo.
Nota 3: Un evento puede ser algunas veces referido o conocido como incidente o accidente.
Nota 4: Un evento sin consecuencias puede ser referido como “evento fallido”, “incidente”, “evento cercano”, “evento de aviso”.
Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.
Infraestructura: Sistema de instalaciones, equipos y servicios necesarios para el funcionamiento de una organización.
Impacto: Efecto, aceptable o no, que un evento tiene en una organización. Los tipos de impactos al negocio son normalmente descritos como financieros y no financieros, y posteriormente se dividen en tipos específicos, dependiendo del sector.
Incidente: Suceso que tiene el potencial para generar una interrupción, alteración, pérdida, emergencia, crisis, desastre o catástrofe
Mitigación: Implementación de medidas para disminuir o eliminar la ocurrencia o impacto de un evento.
...