Story Transcript
PLAN DE CONTINUIDAD Y CONTINGENCIAS PARA LOS BIENES INFORMÁTICOS
DIRECCION TECNICA DE INFORMATICA Y TELECOMUNICACIONES MEDELLÍN
Diciembre 2015
Contenido INTRODUCCIÓN ............................................................................................................................................. 4 1.
ASPECTOS GENERALES .......................................................................................................................... 5
2.
CONFORMACIÓN DE GRUPOS AL INTERIOR DE LA UNIDAD DE SISTEMAS E INFORMÁTICA. ............... 6
3. INFRAESTRUCTURA ACTUAL .................................................................................................................... 9 4. ANÁLISIS DE RIESGOS. ............................................................................................................................... 9 5. PROCEDIMIENTOS PREVENTIVOS. .......................................................................................................... 15 LISTADO DE PROCEDIMIENTOS PREVENTIVOS ........................................................................................... 18 PROCEDIMIENTOS PARA EL SISTEMA DE ENERGÍA REGULADA .............................................................. 21 PROCEDIMIENTOS PARA EL CABLEADO ESTRUCTURADO HORIZONTAL ................................................ 22 PROCEDIMIENTOS PARA LOS SERVIDORES ............................................................................................. 23 PROCEDIMIENTOS PARA LOS SWICHES .................................................................................................. 26 PROCEDIMIENTOS PARA LOS ELEMENTOS DE LA RED WAN .................................................................. 27 PROCEDIMIENTOS PARA ESTACIONES DE USUARIOS Y TARJETAS DE RED ............................................. 28 PROCEDIMIENTOS PARA EL ENTORNO FÍSICO ........................................................................................ 29 PROCEDIMIENTO A DESARROLLAR ANTE UNA FALLA O CARENCIA DE UNO LOS SERVICIOS CORPORATIVOS QUE SE PRESTAN A TRAVÉS DE LA RED ........................................................................ 31 6. PROCEDIMIENTOS CORRECTIVOS ........................................................................................................... 35 LISTADO DE PROCEDIMIENTOS CORRECTIVOS ....................................................................................... 36 PROCEDIMIENTO ..................................................................................................................................... 36
INTRODUCCIÓN
La revolución tecnológica cobra cada vez mayor importancia al interior de las Organizaciones, razón por la cual se hace necesario contar con un plan de continuidad y contingencias que garantice el restablecimiento del correcto funcionamiento de la plataforma tecnológica en el menor tiempo posible, ante cualquier eventualidad.
El procesamiento electrónico de datos ha cobrado un papel significativo dentro del desarrollo de las operaciones normales de las Organizaciones. Así mismo, se ha convertido en estrategia para lograr una mayor optimización de la gestión administrativa.
La tecnología informática debe ser vista como una arma estratégica que puede ayudar a la Contraloría General de Antioquia a incrementar su efectividad, a mejorar la productividad y eficiencia de su personal y a proveer un servicio eficaz, que marque la diferencia clave en la atención a los usuarios, así como el continuo funcionamiento de su red corporativa de datos.
El Plan de Contingencias es una guía en permanente desarrollo, su primera versión fue formulada en el año 2001 y constantemente se deben realizar las actualizaciones pertinentes de acuerdo con la novedades dadas en materia de tecnología informática al interior de la Contraloría General de Antioquia, ha sido elaborado por la dirección técnica de informática y telecomunicaciones, la cual es responsable de ejecutarlo y de garantizar el cumplimiento de sus objetivos.
5
1.
ASPECTOS GENERALES
OBJETIVO GENERAL
Proporcionar a la Contraloría General de Antioquia, un plan que le permita garantizar el funcionamiento de la tecnología informática y la recuperación en el menor tiempo posible de una falla que interrumpa el servicio.
OBJETIVOS ESPECÍFICOS
Definir los procedimientos preventivos y correctivos, que permitan prevenir las eventualidades en las operaciones de los bienes informáticos y corregir en forma oportuna cualquier anormalidad que afecte su correcto funcionamiento.
Determinar mediante un análisis de riesgo s de una manera precisa cuales son los riesgos a los que se encuentra más expuesta la Red Corporativa.
Reevaluar los controles existentes que sean considerados poco efectivos ó no sean aplicables.
Presentar recomendaciones que permitan disminuir la probabilidad de ocurrencia de una eventualidad y definir los procedimientos preventivos resultantes de estas recomendaciones.
Listar las posibles fallas que se pueden presentar en el funcionamiento del hardware y software que conforman la plataforma tecnológica.
6
ALCANCE
El plan de contingencias define el marco general de los procedimientos preventivos y correctivos que permiten reducir el impacto en las operaciones normales de la plataforma tecnológica, (hardware o software) cuando estas sean interrumpidas parcial o totalmente y garantiza la continua operatividad de los bienes informáticos, así como la de minimizar el tiempo de recuperación y puesta a punto cuando se presenten imprevistos que obliguen la reinstalación total o parcial, tanto de hardware como de software. Adicionalmente define los procedimientos de actualización del Plan, bien por la adquisición de nuevos recursos, la actualización tecnológica de los existentes y la adición o modificación de los procedimientos preventivos y correctivos.
2. CONFORMACIÓN DE GRUPOS AL INTERIOR DE LA UNIDAD DE SISTEMAS E INFORMÁTICA.
OBJETIVO DE LA ETAPA.
Definir dentro de la Unidad el grupo de personas que serán responsables de la aprobación, implantación y promulgación del plan de contingencia, así como también definir el personal que podrá tomar decisiones ante las necesidades que se presenten.
GRUPOS ADMINISTRATIVOS. Para que el plan de contingencia tenga éxito se deben implementar los siguientes grupos administrativos: el Comité de gobierno en línea, el Comité de Informática y el grupo de trabajo de Informática.
Estos grupos tendrán unas funciones específicas tanto antes como durante la contingencia, de esta manera el personal estará plenamente ubicado y sabrá cómo actuar en caso de alguna emergencia que ponga en peligro el buen funcionamiento de la plataforma tecnológica.
7
Para la aplicación del plan aquí desarrollado se sugiere la conformación del grupo de trabajo con algunos de los funcionarios de la dirección técnica de informática y del Comité de Informática, y el comité GEL será el rector en la toma de decisiones; se plantean una serie de actividades ya que esta definición así como la de sus integrantes es competencia del proyecto del Plan de Contingencia Corporativo dentro del cual se enmarcará.
COMITÉ DE INFORMÁTICA
Definición: el comité técnico de informática será el encargado de realizar monitoreo constante a análisis de reportes para presentar de manera periódica al comité GEL el estado del plan de contingencia y serán los encargados de la toma de decisiones.
Integrantes:
Contralor Auxiliar
Professional especializado
Profesional universitario
Director Técnico de Informática y telecomunicaciones
Funciones:
Formular el Plan de continuidad informático para la Contraloría General de Antioquia.
Aprobar nuevos proyectos informáticos, evaluar los que estén en ejecución y asignar prioridades.
Actualización del plan de contingencias informático.
Generar proyectos de mejoramiento informático.
Proyectar los actos administrativos para institucionalizar la aplicación de los sistemas de información en producción.
Evaluar las inquietudes de los usuarios con respecto a los requerimientos informáticos.
Presentar informes escritos al comité GEL cada vez que se reúna el Comité.
8
GRUPO DE TRABAJO
El grupo de trabajo tendrá a cargo responder por la correcta implementación y desarrollo del plan de contingencias, y estará conformado por funcionarios de la DTIT.
Integrantes:
Un Profesional Universitario
Un Profesional Especializado
Un Auxiliar Administrativo
Funciones:
Previas a la contingencia: Estudiar y evaluar las diferentes amenazas y riesgos con que se cuentan en la organización, establecer prioridades ante probabilidad de ocurrencia y conocer los procedimientos adecuados para cada eventualidad. Diseñar el procedimiento para la implementación del plan de contingencias en la red corporativa. Tener conocimiento de las tecnologías de punta, para su implementación y conseguir de esta forma mejoras en los controles preventivos y correctivos. Plantear las modificaciones o ampliaciones al actual manual de contingencia.
Durante la Contingencia: Aportar todos los conocimientos acerca de los controles correctivos para que en el menor tiempo y costo posible lograr superar la situación. Determinar grupos de recuperación y hacer sugerencias acerca de nuevo personal que debe integrar el grupo en un momento determinado dependiendo del caso. Rendir un informe al Director técnico de informática y telecomunicaciones de las causales del daño, su solución y llevar unas estadísticas de estas.
9
3. INFRAESTRUCTURA ACTUAL La infraestructura actual de la CGA se encuentra descrita en el Plan Estratégico Corporativo de la respectiva vigencia.
4. ANÁLISIS DE RIESGOS. OBJETIVOS DE LA ETAPA
Determinar de manera precisa cuales son los riesgos a los que la Red Corporativa de la Contraloría General de Antioquia se encuentra
expuesta,
evaluar sus probabilidades de ocurrencia y de esta forma poder
crear los
procedimientos correctivos.
Evaluar el nivel de importancia de los diversos elementos que conforman la Red Corporativa.
Identificar los diferentes sistemas operativos y aplicaciones corporativas que se ven afectados en caso de siniestro.
Presentar recomendaciones útiles para disminuir la probabilidad de ocurrencia de un siniestro.
PROCEDIMIENTO
Para poder analizar los riesgos que afectan
la Red Corporativa de una manera
organizada atacando su parte más sensible, se estudiará y se confrontarán primero los elementos que conforman la totalidad de la Red Corporativa, estos se clasificarán según su utilización logrando identificar de mayor a menor su grado de importancia dentro de la red, esto servirá para comenzar a generar controles preventivos y correctivos a los elementos más indispensables para la organización. De igual manera se estudiarán y confrontarán los riesgos a los que se encuentra expuesta la Red Corporativa, se clasificarán estos riesgos según sus características y se definirán cuales tienen más probabilidad de ocurrencia.
Teniendo claros los elementos y los riesgos a que están sometidos se entrarán a diseñar la matriz de control o confrontación de elementos contra riesgo y se estructurarán los procedimientos para determinado caso.
10
MATRIZ DE ELEMENTOS
La matriz de elementos es una confrontación de todos los dispositivos, equipos y demás componentes que conforman la Red Corporativa, esta confrontación permitirá determinar cuáles de estos elementos son más importantes para el buen funcionamiento de la Red Corporativa de la Contraloría General de Antioquia y construir procedimientos que eviten cualquier problema que afecte su correcto funcionamiento. Se diseña una matriz escalonada, y se compara elemento contra elemento asignando un puntaje para determinar cuál elemento confrontado es más importante dentro de la conformación de la red, esta evaluación se realiza por los integrantes del grupo de trabajo basados en información recolectada al personal técnico encargado de la administración y mantenimiento de la red. Después de confrontar todos los elementos, se hace una suma de los puntos obtenidos por cada elemento, y se organizan en forma descendente obteniendo cuales son más críticos en el funcionamiento de la red.
ELEMENTOS QUE CONFORMAN LA RED CORPORATIVA:
Después de un estudio con el personal a cargo de la administración, gestión y mantenimiento de la Red Corporativa, se escogió una serie de equipos y elementos que se consideran esenciales dentro de la conformación y perfecto estado de la red. Estos elementos son los que se debe garantizar en todo momento su excelente operación y todos los procedimientos estarán destinados a garantizar y corregir el funcionamiento
de
dichos
elementos
tratando
de
mantener
siempre
la
intercomunicación entre las diferentes dependencias de la Contraloría General de Antioquia.
Los elementos considerados esenciales en la conformación de la Red Corporativa son los siguientes, su descripción se encuentra en el PETIC.
Servidores.
Switche 2960 Cisco.
TMG.
Sistema de Energía: Compuesto por la UPS y Cableado de Energía Regulada.
Cableado Estructurado Horizontal.
11
Estaciones de Usuario Final.
Entorno Físico.
En la Tabla 4-1 se presenta la Matriz de Elementos, mediante la cual se determina el orden de importancia de los elementos de la Red.
SERVIDORES SERVIDORES 3 SWITCHE
SWITCHE 1 3
3
1
1 3
3
3
1 3 1
1 TMG
1
SISTEMA
0
ENERG
3
2
3
2 4 0
1 ENTORNO FÍSICO
3
19
17
4
2 0
1
9
TMG
4
1
11
31
0
SISTEMA ENERGÍA
4 1
1
0
3 1 3
3 4
3
1
22
3 0
4
1 ESTACIONES
1 1
0
4
CABLEADO HORIZONTAL
1
3
3
15
12
1
1
0 0
4 CABLEAD HORIZONT O 4A 2 ESTACIONES 2 32
1
2
2 ENTORNO FISICO 2
Figura 4 -1 Clasificación de los elementos de la Red
CLASIFICACIÓN DE ELEMENTOS
La matriz de elementos se interpreta de la siguiente manera, el puntaje ubicado en la parte izquierda inferior de cada cuadro corresponde a los elementos listados a la izquierda y el puntaje ubicado en la parte superior derecha corresponde a los elementos ubicados
en la parte superior de la matriz. El puntaje total de cada elemento
corresponde a la sumatoria de los puntajes ubicados en la parte inferior de la fila y el extremo superior derecho de la columna correspondiente. Según los resultados de la matriz anterior en la Tabla 4-2 se muestran los elementos
12
que conforman la Red Corporativa en orden de importancia son:
ELEMENTOS DE LA RED 1. Sistema de Energía
PUNTAJE 31
2.
Servidores
22
3.
Switch
19
4.
Switch capa 3
17
5.
Cableado Estructurado
15
6.
Estaciones de Usuario Final
12
7.
TMG
11
8.
Entorno Físico
10
9.
OTROS
9
TABLA 4-1 Elementos de la Red en orden de importancia
Como se puede apreciar el elemento que se constituye como primordial para garantizar la continua comunicación de la red de datos es el Sistema de Energía el cuál se constituye en el corazón de la red, y en orden de importancia le siguen los servidores y el Swich.
MATRIZ DE RIESGOS.
La matriz de riesgos es una confrontación analítica de los posibles riesgos a
los que se encuentra sometida la Red Corporativa, este análisis nos permitirá evaluar la probabilidad de ocurrencia de los distintos riesgos para diseñar los controles preventivos y correctivos a los que se considera más críticos y causan más impacto para la administración.
ANÁLISIS DE RIESGOS Los diferentes riesgos a los que puede encontrarse sometida la Red Corporativa se pueden agrupar de la siguiente forma:
13
Riesgos Catastróficos: Se refiere a todos los riesgos que afectan totalmente los dispositivos o elementos que conforman la red. Estos riegos conllevan a un paro total en el procesamiento informático. Se destacan los siguientes: Incendio, Explosión, Terrorismo, Desastres Naturales, Huelgas.
Riesgos por fallas técnicas: Hace referencia a todos aquellas que conllevan a un daño parcial o total de los elementos, estos son propios según sea el elemento en cuestión se pueden nombrar fallas en disco duro, fallos de dispositivos, fallos en memoria, daños en procesador, desgaste de parte por obsolescencia.
Riesgos por fallas humanas: Trata sobre los riesgos debido a las manipulaciones y decisiones del personal que tiene a cargo la vigilancia y operación de los equipos o elementos de la red.
Riesgos por fallas en suministro de los servicios públicos: Hace acotación a los riesgos ocasionados por la falta en algún momento de los servicios esenciales públicos, como son la falta de energía, fallas en las líneas telefónicas o canales de comunicación.
Riesgos por falta de seguridad: A este grupo pertenecen todos aquellos riesgos que pueden presentarse en un momento dado por la falta de seguridad (en el Centro Administrativo Departamental que puede afectar el piso séptimo, sede de la red central) o en los sitios remotos (Auditorias delegadas). Se destacan: Sabotaje, motines, hurto, retiro del personal, conflictos laborales.
14
Confrontación de los riesgos.
CATASTRÓFICOS
CATASTRÓFICOS
FALLAS. TECNICAS
1 3
FALLAS. HUMANAS
3
2
FALLAS
1
2
HUMANAS
3 1
1 3
3
1SUMINISTRO PÚBLICO
2 2
2 2
13 1
SEGURIDAD
3
11
6
10
8
SUMINISTRO.PÚBLICO
SEGURIDAD
FALLAS TECNICAS
5
Figura 4.2 Clasificación de riesgos
Clasificación de los riesgos: según los resultados arrojados en la matriz anterior, el Orden de importancia de los riesgos queda de la siguiente manera:
Riesgos Catastróficos 11 Riesgos por Falla de Suministro P.10 Riesgos por falta de Seguridad 8 Riesgos por Fallas Técnicas 6 Riesgos por Fallas Humanas 5 Como se puede apreciar los riesgos que causan más impacto dentro de la organización son los riesgos clasificados dentro de los Catastróficos y por Fallas Suministro Publico, ya que estos dejarían fuera de servicio la Red Corporativa.
15
5. PROCEDIMIENTOS PREVENTIVOS. OBJETIVOS DE LA ETAPA
Realizar una serie de procedimientos destinados a prevenir los riesgos anteriormente descritos.
Dar recomendaciones de cómo debe estar conformada la red corporativa, donde deben estar ubicados los equipos, quienes pueden tener acceso a ellos y otra serie de sugerencias.
Describir la seguridad que debe tener cada equipo para evitar actos mal intencionado de terceros.
Enumerar las características esenciales que se deben conocer de los dispositivos o elementos que conforman la red, que se constituirá en información vital en caso de un siniestro.
PROCEDIMIENTO
Para la búsqueda de los controles preventivos a determinado elemento que conforma la red corporativa de la Contraloría General de Antioquia, se desarrollarán unas matrices de control, en las cuales se confrontarán cada elemento de la red corporativa con determinado riesgo y se enumera el control preventivo correspondiente, de esta manera se identifican rápidamente los controles destinados
a prevenir el riesgo que pueda afectar los diferentes recursos
informáticos. Para que la búsqueda sea más precisa y no sea solo buscando prevenir determinado riesgo, se subdividirá el capítulo en los diferentes elementos que constituyen la red corporativa en orden de importancia, de esta manera se puede encontrar el elemento y hacerle todos los procedimientos para prevenirlo de los diferentes riesgos a que está sometido.
16
MATRIZ DE CONTROL
Para la elaboración de dicha matriz se listan los principales elementos anteriormente descritos que conforman la red corporativa y se confrontan con cada grupo de riesgo al cual se le crea un control preventivo. Se siguen los siguientes pasos:
Identificar la matriz (elementos vs grupo de riesgo).
Buscar el punto de intersección entre el elemento de interés y el riesgo que se quiere prevenir.
En el cuadro de intersección entre el elemento y el riesgo se visualizan los números que identifican los diferentes controles que se deben implementar para prevenir dicho riesgo.
Los controles se encuentran separados por comas, cuando se encuentren separados por un guion significa que cubre el rango de los controles señalados por el número inicial y el final.
Luego se debe buscar el número correspondiente en la lista de procedimientos que se encuentra por elemento y luego aplicar el procedimiento correspondiente a realizar.
GRUPO DE RIESGOS
Se definieron cinco grupos de riesgos a los cuales se encuentran sometidos los diferentes elementos que conforman la red corporativa, estos son los mismos enumerados en el capítulo anterior de análisis de riesgos, aquí se considerarán ciertos riegos y se añadirán otros para el caso preventivo.
Riesgos Catastróficos: Son aquellos riesgos que producen un paro total en la red, los riesgos que se encuentran dentro de esta clasificación son: o Incendio: Se refiere a toda clase de incendio provocado por falla técnica del dispositivo mismo ó cualquier falla humana accidental ó premeditada. o Explosión: Cualquier detonación provocada por terroristas ó producida por el mal uso de los elementos. o Huelga: Abandono voluntario de las funciones laborales en forma de
17
presión a la decisión en torno de un tema. o Desastres Naturales: Cualquier daño causado por efectos de la naturaleza donde el hombre no puede hacer nada para prevenirlo, como por ejemplo terremotos, temblores, huracanes, etc. o Inundación: Cualquier daño ocasionado por rompimiento de una tubería aledaña, activación de las regaderas.
Riesgos Técnicos: En esta clasificación se encuentran aquellos riesgos producidos por el mal funcionamiento de los dispositivos, para el caso de los controles preventivos se omiten todas las fallas propias del dispositivo, como fallas en disco, daño en el puerto, etc., y se toman generalidades que se deben tener como:
Riesgo por falta de mantenimiento, que se refiere a la protección periódica que se debe efectuar sobre cada dispositivo o elemento que conforma la red de datos.
Riesgo por falta de estandarización: Los parámetros que hay que tener en cuenta para la homogenización total en la red de datos.
Información vital: hace referencia a archivos, configuraciones de primera mano que se debe disponer en caso de presentarse algún siniestro.
Riesgos por Fallas Humanas: Los riesgos que se han de tener en cuenta son: o Falta de Conocimiento: Errores presentados en los equipos debido al insuficiente conocimiento de estos. o Errores y Omisiones: Hace referencia a errores en la manipulación del equipo u olvidos por parte del personal encargado de la administración de la red. o Falta de privacidad: Información que solo debe ser conocida por determinada persona. o Riesgos por fallas en el suministro público: A este grupo pertenecen los siguientes riesgos: o Falla de energía: Cuando el suministro de empresas públicas falla y en determinado momento la planta también. o Falta de agua: Cuando cesa el suministro de agua. o Fallas en las comunicaciones: Cuando las líneas telefónicas, líneas dedicadas a módems, tarjetas de red, presentan fallas.
18
Riesgos por falta de Seguridad. o Sabotaje: Cualquier acto mal intencionado con el objeto de causar una crisis a la organización. o Motines: Rebelión de terceros produciendo daños en los recursos informáticos. o Hurto: Perdida de cualquier dispositivo o elemento que conforma la red corporativa. o Retiro masivo de personal: Daños causados por personas desvinculadas a la organización y que poseen derechos en la red. o Conflictos laborales: Problemas entre los dirigentes y los empleados.
DISEÑO DE LAS MATRICES DE CONTROL
A continuación se diseñaran las diferentes matrices de control para los procedimientos preventivos. Sólo se diseñarán los procedimientos preventivos que compete realizar a la Dirección Técnica De Informática Y Telecomunicaciones; otros
procedimientos
que
impliquen
decisiones
administrativas
serán
contemplados en el Plan de Contingencia Corporativo.
LISTADO DE PROCEDIMIENTOS PREVENTIVOS Procedimientos Generales: Son los procedimientos comunes a los diferentes elementos que conforman la Red Corporativa. Son los siguientes:
No ubicar ni almacenar elementos inflamables como papel, gasolina, éter, bebidas alcohólicas, alcohol, trapos, cerca de los bienes informáticos.
Se debe garantizar una temperatura adecuada para el buen funcionamiento de los equipos.
No se deben ubicar papeleras de basura en el lugar destinado como centro de cableado, ya que se pueden convertir en la causa de un posible incendio.
Se deben tener extintores de polvo químico seco y de bióxido de carbono en lugares visibles y cercanos a donde se encuentran ubicados los equipos.
19
Se debe capacitar al personal sobre el manejo de los diferentes extintores con que se cuenta.
Dar el adecuado uso a los diferentes elementos evitando siempre prácticas inseguras.
No fumar en lugares donde se concentran los equipos y especialmente en el centro de cableado.
Nunca consumir alimentos ni ingerir bebidas cerca de los equipos.
No manipular equipos en estado de embriaguez ni bajo efecto de sustancias alucinógenas.
Controlar el acceso de paquetes al centro de cableado.
Tener una excelente distribución eléctrica, evitando conectar los equipos a una misma fuente.
Evitar extensiones y cables sueltos cerca a los equipos.
Instalar alarmas de activación manual o automáticas en caso de presentarse incendio, inundación o sobrecalentamiento de los equipos.
Evitar la acumulación de la energía estática, referenciando todos los equipos a una misma tierra.
Todos los equipos deben tener protección contra cortocircuitos y sobre voltaje ya sea interna o externa.
Usar siempre brazalete antiestático cuando se manipulen componentes electrónicos.
No ubicar aparatos eléctricos dentro del centro de cableado y puntos de energía regulada tales como grabadoras, hornos microondas, licuadoras, televisores y demás.
Verificar diariamente el correcto funcionamiento de las lámparas y tomacorrientes ubicados en el centro de cableado.
Colocar los equipos en un centro de cableado o centro de cómputo, donde se concentre la mayoría de los equipos de comunicaciones.
Los equipos sólo deben ser manipulados por el personal que tenga los suficientes conocimientos acerca de ellos.
Permitir solo el acceso al personal que realice labores de operación y mantenimiento de los equipos.
Mantener información en archivos e impreso de los proveedores y garantías vigentes de todos los equipos utilizados en la red.
20
Tener actualizada la información de los proveedores y empresas que brinden soporte y mantenimiento de los diferentes equipos.
Mantener vigentes los contratos con las empresas que prestan soporte y mantenimiento en informática.
Tener pólizas de los seguros vigentes de los bienes informáticos, que cubran daños, actos mal intencionados, hurto y una póliza de transporte para equipos móviles.
Guardar en un archivo tanto dentro como fuera de la Contraloría la información sobre la configuración inicial de todos los equipos.
Destinar un sitio seguro y de acceso restringido para guardar manuales, software de instalación (Cd´s, Disquetes), documentación de los equipos, ejerciendo un estricto control sobre su uso.
Tener copia de respaldo de cada uno de los manuales y del software, evitando al máximo el uso de originales. Estas deben ser guardadas en un sitio seguro que garantice su protección.
Tener una copia de respaldo de todas las licencias de software existente en la Entidad. Estas deben ser guardadas en un sitio seguro que garantice su protección. Los originales de las licencias del software se encuentran en custodia en la Unidad de Recursos Físicos y una copia en la Unidad de Sistemas e Informática.
Definir un procedimiento claro para la actualización y migración del software.
Crear una base de datos que facilite la consulta de temas específicos haciendo más eficiente la labor de los administradores, los desarrolladores y del personal de soporte.
Hacer análisis de tráfico y con base en éste, realizar periódicamente políticas de segmentación.
Capacitar continuamente al personal de sistemas para que tengan conocimientos sobre la tecnología de punta.
No tener sistema de “regaderas” en lugares donde estén concentrados los equipos.
Ubicar sensores de temperatura y humedad para regular las condiciones ambientales óptimas para los equipos.
Cada elemento requerido para el soporte debe tener su respectivo estuche para su cuidado y protección.
Tener un sistema automatizado, que permita el registro (de préstamos y
21
traslados de todos los equipos), control, administración, que permita manejar una ficha u hoja de vida detallada de los equipos, que contenga además el seguimiento de los mantenimientos preventivos y correctivos realizados y programados de los equipos y que permita mantener actualizado el inventario de hardware en forma permanente.
Tener un sistema automatizado, que permita el registro, control y administración de todas las aplicaciones, programas y licencias adquiridos por la Entidad, al máximo nivel de detalle posible y que permita mantener actualizado el inventario de software en forma permanente.
PROCEDIMIENTOS PARA EL SISTEMA DE ENERGÍA REGULADA
Revisar periódicamente todos los mensajes y el menú de control de la UPS, para precisar el estado general de la misma, sus parámetros de medición, el estado de las baterías, alarmas y la configuración del sistema. Para luego confrontarlo con los valores requeridos y recomendados por el proveedor.
Asegurar la buena ventilación, aislamiento y aireación de la UPS.
Definir una política de finalización de tareas con el objetivo de disminuir gradualmente su carga, en el momento de una interrupción eléctrica, según las necesidades identificadas y a la potencia de las baterías.
Emplear los tomas que estén conectados a la UPS sólo para conectar los equipos de cómputo de misión crítica, en ningún momento pueden ser conectados lámparas, ventiladores, hornos microondas, parrillas y otros.
La UPS contiene voltajes peligrosos, por lo tanto las reparaciones deben ser realizadas por personal especializado.
La UPS tiene una fuente propia de energía (baterías), cuando no está conectada a una fuente de corriente directa, pueden estar presentes altos voltajes en los terminales 9 y 10 (terminales para conexión remota de la batería), cuando la UPS está funcionando con las baterías.
Al des energizar completamente la UPS, disparar el breque de salida. Luego disparar el breque de entrada y el breque de la batería.
Se corre el riesgo de una descarga eléctrica al instalar la batería, esta tarea debe ser realizada por personal de servicio especializado.
22
No disponer de las baterías en caso de presentarse un incendio. Las baterías pueden explotar al estar expuestas a las llamas.
Todos los gabinetes donde se encuentren equipos de comunicaciones deben ser de seguridad.
Una batería puede presentar riesgo de una fuerte descarga eléctrica, por esta causa puede quemarse o explotar. Se debe tener todas las precauciones.
Proteger y colocar un mensaje en el botón Emergency Power – Off para evitar que sea presionado por personal no autorizado.
PROCEDIMIENTOS PARA EL CABLEADO ESTRUCTURADO HORIZONTAL
El cableado horizontal debe ser capaz de manejar una amplia gama de aplicaciones de usuario y debe facilitar el mantenimiento y relocalización de áreas de trabajo.
Para el cableado horizontal se debe emplear cable trenzado de cuatro pares UTP de nivel 5 para velocidades de hasta 100 Mbps.
UTP puede transportar cualquier tipo de información y ofrece excelente inmunidad a interferencias y ruidos eléctricos.
No se deben realizar empates es decir múltiples apariciones del mismo par de cable en diversos puntos de la distribución.
La distancia máxima del cable es de 90 metros independiente del cable utilizado, distancia entre el área de trabajo y el centro de cableado.
El cable de empate del equipo y el punto de red llamado Path Cord debe ser máximo de 3 metros.
Los conectores terminales deben ser RJ -45 bajo el código de colores de cableado T568 A.
Las componentes adicionales como Baluns o adaptadores RS-232 no deben instalarse como parte del cableado horizontal, sino que deben ser externo a la salida del área de trabajo.
El destrenzado de pares individuales en los conectores y panales de empate debe ser menor a 1,25 cm.
23
El radio de la curvatura del cable no debe ser menor a cuatro veces el diámetro del cable, para el cable UTP categoría 5 el radio mínimo es de 2.5 cm.
En la ruta del cableado de los closets a los nodos se debe evitar el paso por dispositivos eléctricos como equipos de soldaduras, aire acondicionado, ventiladores, intercomunicadores, luces fluorescentes y balastos debe pasar mínimo a una distancia de 12 cm.
El cableado debe pasar mínimo a 1,2 metros de los motores eléctricos grandes o transformadores.
Debe estar distante de los cables de corriente alterna con 2 KVA o menos13 cm, de cables de 2 KVA a 5 KVA debe estar distante 30 cm y de cables de 5 KVA mínimo 91 cm.
Ubicar en el centro de cableado el diagrama de cableado de la red, éste debe indicar claramente el diagrama de distribución, el puerto asignado a cada toma de información, a cada servidor y en general a cada una de las conexiones e interconexiones.
PROCEDIMIENTOS PARA LOS SERVIDORES
Para el software básico almacenado en los servidores, tener una relación con los requerimientos de hardware mínimos necesarios para su instalación, en caso de una eventualidad con uno de los servidores y deba ser instalado en otra máquina para remplazar momentáneamente al servidor.
Tener identificados e inventariados otros equipos que puedan reemplazar a los servidores en
un momento dado teniendo en cuenta la información del
numeral anterior.
Mantener la configuración básica de los servidores respaldada en un archivo e impreso tanto dentro como fuera de la Contraloría General de Antioquia.
Estructurar formatos donde se tenga de forma clara y concisa la siguiente información para cada uno de los servidores: Discos
Duros: cantidad,
capacidad, tecnología, nombre y número de volúmenes por disco, cantidad de discos que se pueden adicionar, drivers que lo controlan. Memoria: Marca, referencia, cantidad actual, posible expansión, tabla de distribución
de
SIMM
suministrada
por
el
proveedor.
Mainboard:
24
Arquitectura, procesador, velocidad, coprocesador, número y tipo de slots. Tarjetas de Red: Tipo, drivers, tipo de bus, configuración (puerto, interrupción,
DMA),
tipo
de
conector,
topología.
Unidades
de
Almacenamiento: CD ROM (tecnología, velocidad, interno ó externo, drivers, tipo de controladora), Floppy Drive (tipo, capacidad), Tape Backup (Tipo, Capacidad, controladora).
Actualizar inventarios de suministros y formatos de información cada 2 meses.
La ubicación debe ser en un lugar cerrado de acceso restringido, preferiblemente en el cuarto destinado a todos los equipos de comunicación denominado centro de cableado.
Proteger los switches de encendido/apagado para que estos no sean activados/desactivados accidentalmente.
Colocar contraseñas que no sean de fácil identificación a las consolas y a los monitores.
Las contraseñas de administración deben ser conocidas por el administrador y el grupo encargado de redes, y deben estar documentadas.
Mantener copia de los disquetes de licencia y de registro de los servidores.
Estructurar formatos del software instalado en los servidores como sistema operativo, antivirus y aplicaciones en general.
Instalar un adecuado antivirus que sea residente en memoria y configurarlo
para
que
chequee continuamente todas las acciones
realizadas sobre los archivos.
Actualizar constantemente el antivirus ya sea través de Internet o a través del distribuidor.
Verificar una vez por semana el espacio en disco de los diferentes volúmenes.
Borrar semanalmente la información innecesaria.
Verificar en horas de alta demanda el porcentaje de utilización del servidor mediante la utilización de la herramienta Monitor del Sistema.
El uso del procesador no debe exceder el 90% por un período de tiempo prolongado, en caso tal determinar cuál es el proceso que lo está acaparando para proceder a efectuar los correctivos requeridos. Y si es necesario deshabilitar el login para evitar la entrada de más usuarios a la red.
25
Semestralmente realizar limpieza al interior de los servidores, unidades de CD, unidades de Tape Backup.
Para aquellos servidores que son críticos y no pueden estar por fuera de servicio se recomienda implementar un sistema de tolerancia a fallas de acuerdo con las posibilidades de la Entidad.
Definir políticas de respaldo que aseguren la integridad y la pronta recuperación en caso de una posible pérdida total o parcial de la información.
Tener un estricto control sobre los usuarios, derechos sobre filesystem y sobre los objetos.
En caso de retiro de algún funcionario, desactivar su usuario de la red, o cambiar su contraseña, y borrar todos los datos que no se requieran en el volumen de los servidores.
Mantener la estructura organizacional actualizada, eliminando objetos ó unidades organizacionales que ya no existan.
Verificar a través de la utilidad Monitor del Sistema la utilización de memoria y confirmar que esta no sobrepase el 80%, en caso tal se debe propender por aumentar la memoria RAM del servidor.
Nunca bajar el servidor mientras haya usuarios conectados a éste.
Utilizar el Panel del Control para configurar los protocolos y tarjetas de red de tal manera que se garantice la mejor administración de los dispositivos.
Definir un número máximo de conexiones simultáneas a la red por usuario. Máximo 2 conexiones.
Restringir en lo posible el acceso a la red de un usuario a través de la misma estación.
Limitar el número de conexiones simultáneas de usuarios a un recurso de red.
Segmentar el tráfico en subredes, definiendo grupos de usuarios por concentrador, para minimizar el tráfico que fluye a través del swiche congestionando la red.
Crear tablas que relacionen características de los servidores contra número máximo de usuarios, garantizando el rendimiento eficiente de cada servidor.
Verificar periódicamente el funcionamiento del sistema de ventilación de los equipos, evitando el sobrecalentamiento.
Implementar un sistema de seguridad para que los servidores no sean
26
abiertos fácilmente.
Las contraseñas e información crítica solo deben ser suministradas a personal de alta confianza.
La administración de la red debe ser realizada por personal con conocimientos de gestión de operación de la máquina y del sistema operativo Windows NT.
Crear reglas generales para la creación de objetos en la red como impresoras, servidores, usuarios que se apliquen de igual forma para todas las dependencias.
Diseñar un estándar para la estructura de directorios (Filesystem) en los servidores válidos para toda la organización.
Homogeneizar el acceso a la red mediante el uso de unidades lógicas a todos los recursos de la red.
PROCEDIMIENTOS PARA LOS SWICHES
Instalar el swiche en un gabinete cerrado con seguro, para impedir el acceso de personal no autorizado.
Marcar adecuadamente los puertos del swiche mediante un código que tenga relación con la estructura de la red.
Todos los slots que no estén siendo usados deben de estar protegidos por faceplate (tapa).
Al instalar un módulo en el swiche, con este encendido asegúrese de no introducir objetos extraños dentro del slot.
Después de insertar un módulo verificar que el LED de encendido quede finalmente en verde para garantizar su buena instalación.
Revisar periódicamente los LEDS ubicados en la parte frontal del switche, que indican el estado de operación del mismo y de sus componentes. Estos LEDS pueden ser muy útiles en determinados casos, especificando las causas de determinados problemas.
Habilitar el protocolo RIP para que genere sus tablas de enrutamiento con los Routers y los servidores que trabajan con dichos protocolos.
Habilitar el protocolo ARP para que el Swiche interactúe con los diferentes Routers que se encuentran en la red.
27
Es recomendable configurar direcciones estáticas a los módulos y sus puertos cómo una forma de dar seguridad a la red.
En caso de que existan segmentos que trabajen con protocolos que sólo se requieran en dicho segmento se podrían habilitar filtros para evitar su tráfico en otros segmentos.
Implementar filtros que eviten la comunicación de determinadas estaciones segmentos con otros, con el objeto de dar mayor seguridad a la red.
PROCEDIMIENTOS PARA LOS ELEMENTOS DE LA RED WAN
Mantener con password el usuario administrador TMG y de conocimiento exclusivo del personal de redes y comunicaciones.
Cambiar cada mes el password del usuario administrador. Debe ser de conocimiento exclusivo de este.
Estar pendientes de las nuevas versiones del software y hardware para realizar las actualizaciones pertinentes.
En caso de que un enlace sea crítico se puede configurar dos path a un solo puerto, de tal forma que cuando uno falle el otro se active automáticamente.
Deshabilitar los protocolos que no se estén usando en la red, para no generar tráfico innecesario.
Se debe establecer una contraseña de entrada al sistema para los usuarios remotos, esta contraseña debe ser forzada a cambios periódicos.
Para mayor seguridad se debe exigir que la contraseña este formada por caracteres alfanuméricos.
Codificar el software de manera que se puedan tener 3 intentos equivocados de acceso al sistema, luego de esto el usuario es bloqueado.
Verificar semanalmente el estado de los puertos asincrónicos del servidor como son: Estado de usuario, conexión, tiempo de login y tiempo de desconectado.
Estado
de
los
paquetes
que
entran,
errores.
Desbordamientos que se han presentado.
Guardar en un lugar seguro en disquete e impreso la configuración de los puertos utilizados, tener claro y explicado el procedimiento en caso de realizar algún cambio.
Las unidades no contienen fusibles ni otros componentes que el usuario
28
pueda cambiar o reparar. De producirse problemas cuya solución no está contemplada en las guías de los equipos, se deben reportar los daños al proveedor o personal competente
Los puertos de datos de par trenzado RJ-45, son enchufes blindados RJ -45 a los que sólo deben acoplarse conectores de datos RJ -45. No pueden utilizarse como enchufes telefónicos.
PROCEDIMIENTOS PARA ESTACIONES DE USUARIOS Y TARJETAS DE RED
Para su mantenimiento deben seguirse los pasos y recomendaciones dadas por los fabricantes y el proveedor.
Cuando no estén en uso deben almacenarse en un lugar seguro en forma individual en bolsas antiestáticas.
Proteger el software de configuración para que no sea alterada.
Verificar periódicamente la conexión de las tarjetas (para cable) al Pathcord con el punto de red.
El Pathcord no debe estar doblado, ni pisado, para evitar su deterioro e interrupciones de conexión.
Mantener copias de discos de inicio y clientes específicos de la red de datos
Crear procedimientos claros y concisos para la instalación y configuración del Cliente de Red.
Capacitar constantemente a los usuarios finales sobre la manera correcta de entrar y salir de la red, conceptos básicos, manejo de los recursos, uso y aprovechamiento de las ventajas del trabajo en red
Capacitar constantemente a los usuarios finales de la manera adecuada de estructurar el árbol de directorio o FileSystem de las máquinas.
Tener definidos procedimientos claros sobre las diferentes operaciones a realizar en las estaciones de trabajo y manejo de programas básicos, que sirvan de guía para los usuarios finales y para otros funcionarios al interior de la Unidad de Sistemas e Informática en caso de dar soporte a los usuarios. En el Manual de Sistemas e Informática aparece todos los procedimientos básicos para la configuración, el mantenimiento y solución de fallas tanto de software como de hardware en las estaciones de trabajo.
Nunca consumir alimentos ni ingerir bebidas cerca de los equipos.
29
Mantener un stock de elementos como: teclad os, monitores, CPU, mouses que puedan ser utilizados cuando se presente algún daño en los equipos.
Disponer de elementos de oficina adecuados (sillas, escritorios para las estaciones de trabajo, mesas para impresoras, descansa pies y demás elementos), de tal manera que se garantice la seguridad física de los equipos y su correcto funcionamiento.
Realizar mantenimientos preventivos que incluyan revisión y limpieza lógica y física de los equipos.
Todas las estaciones de trabajo deben tener instalado el software antivirus, para prevenir daños en la información.
Mantener actualizada la versión del antivirus en los servidores, ya que la
actualización
en
cada estación de trabajo esta programada para
realizarse automáticamente a través de la red.
Capacitar a los usuarios sobre la importancia de no trabajar con disquetes diferentes a los utilizados al interior de la entidad, en caso de ser necesario deben ser revisados, para evitar que la red se infecte.
Hacer cumplir el procedimiento definido para solicitar el soporte por parte de los usuarios de la red central como de los sitios remotos a la Unidad de Sistemas e Informática.
Definir un Plan para el fomento de la cultura informática.
Todas las anomalías que se presenten en el funcionamiento de los equipos deben ser informadas oportunamente al personal de soporte de la Unidad de Sistemas e Informática, quienes tomarán las medidas respectivas.
PROCEDIMIENTOS PARA EL ENTORNO FÍSICO
Debe existir un cuarto de comunicaciones capaz de albergar equipos de telecomunicación, terminales de cable y cableado de interconexión asociado.
El cuarto de comunicaciones no debe ser compartido con instalaciones eléctricas que no sean de telecomunicaciones, y se debe considerar la incorporación de otros sistemas como televisión por cable, alarmas, seguridad, audio y otros.
30
Se debe contar mínimo con un cuarto de comunicaciones y no existe algún límite.
El cuarto de comunicaciones no debe tener acceso controlado y sólo debe permitir el acceso al administrador de la red y de los servicios de comunicación.
La altura mínima recomendada para un cuarto de comunicaciones es 2,6 metros.
La puerta de acceso debe ser de apertura completa con llave y al menos 91 cm de ancho y 2 metros de alto, debe abrir hacia afuera, o lado a lado, debe ir a ras de piso y no poseer postes centrales.
Se debe evitar polvo y electricidad estática utilizando piso de concreto, terraza, loza, o similar, nunca utilizar alfombra.
En cuartos que no posean equipos electrónicos la temperatura debe mantenerse continuamente entre 10 y 33 grados centígrados y la humedad relativa mantenerse en 85%.
En cuartos donde existen equipos electrónicos la temperatura debe mantenerse entre 18º y 24º centígrados y la humedad relativa entre 30% y 55 %.
Se debe evitar el uso de techos falsos en los cuartos de comunicaciones.
No debe existir alguna tubería de agua pasando por, sobre o alrededor del cuarto de comunicaciones.
Debe existir regaderas contra incendio e instalar una canoa para drenar un posible goteo potencial de las regaderas.
Los pisos deben soportar una carga de 2.4 Kpa.
Se debe proporcionar un mínimo equivalente a 540 Lux medido a partir de un metro del piso.
Las paredes deben estar pintadas de un color claro para mejorar la iluminación.
Se recomienda mantener una distancia promedio en 46 metros o menos (máximo 90 metros) para ubicar el cuarto de comunicaciones lo más cerca posible al área de trabajo.
Debe existir un mínimo de 2 tomacorrientes dobles de 110 v corriente alterna dedicados de 3 hilos, deben ser circuitos separados de 15 a 20 amperios, y deben estar dispuestos a 1.8 metros mínimo de distancia de uno a otro.
31
Se debe contar con alimentación de emergencia de activación automática (UPS)
Separado de los tomas anteriores se debe hacer otros tomas dobles para herramientas, equipo de prueba, etc. deben situarse a 15 cm del nivel de piso y en intervalos de 1.8 metros alrededor del perímetro de las paredes.
El cuarto debe tener una puesta a tierra que debe estar conectada mediante un cable mínimo 6 AWG con aislamiento verde a sistema puesta a tierra según recomendación EIA/TIA 607.
Se debe mantener el cuarto con llave en todo momento, asignando llaves al personal que debe laborar allí.
Todos los sitios donde se encuentren ubicados equipos informáticos (Piso 7 y Auditorias delegadas), deben estar dotados de las medidas de seguridad adecuadas que garanticen su protección.
Los cables de potencia separados del cable de datos. Los cables deben estar debidamente canalizados, marcados y organizados a través de bandejas porta cables, ductos o tubería metálica o PVC, de acuerdo con las normas establecida as para esto.
Realizar mantenimientos preventivos a las instalaciones.
Colocar avisos de no fumar, no ingerir bebidas ni alimentos en todos los lugares donde se encuentren ubicados equipos informáticos.
El entorno físico debe facilitar que los equipos sean ubicados en lugares aireados, no muy cercanos a ventanas, que no reciban directamente los rayos del sol o demasiado polvo.
PROCEDIMIENTO A DESARROLLAR ANTE UNA FALLA O CARENCIA DE UNO LOS SERVICIOS CORPORATIVOS QUE SE PRESTAN A TRAVÉS DE LA RED
Al interior de la red de datos de la Contraloría General de Antioquia, existen varios servicios informáticos que soportan la gestión de la entidad y sus diferentes áreas de gestión, actualmente estos servicios son:
Correo Electrónico
32
Intranet
Sistema de Información Kactus
Extranet
Conexión a internet
otros
El procedimiento a activar en caso de carencia de unos de estos servicios se define a continuación.
Falta del Correo Electrónico:
Falta de Sistema de Correspondencia Mercurio: el procedimiento es similar al automatizado así:
.
Falta de Software Aplicativo Adquirido ( Mejoramiso, SAP ERP, INTERNET)
33
Estos elementos de software fueron adquiridos por la entidad y su soporte también es atendido por la firma proveedora o con quien se tenga contratado el soporte técnico
respectivo
,
los
inconvenientes
en
su funcionamiento deben ser
atendidos por personal interno de la entidad cada vez que se deban a problemas de tráfico o accesibilidad a la base de datos pero lo correspondiente a operación y funcionalidad del mismo debe ser atendido directamente por la firma proveedora
Cuando se presente problemas que impidan el normal funcionamiento del software adquir ido por problemas técnicos (disponibilidad) en los servidores se deben:
Instalar los productos de software en una estación de trabajo independiente, siguiendo el procedimiento definido para cada producto. Realizar el registro de la nueva instalación segú n los archivos de registro existentes
Pasar los datos digitalizados desde la copia de seguridad a la estación de trabajo
Configurar las opciones requeridas por el usuario particular
En caso que no sea posible la instalación del software en una estación de trabajo, se deben realizar los procesos manualmente, separando debidamente la documentación generada para luego ser procesada en el aplicativo una vez se supere el problema.
Falta de Intranet: Dada que la Intranet es un servicio para divulgación de la información, su carencia no genera mayores traumas al interior de la organización. Al momento de presentarse problema con este servicio debe procederse así:
34
Tomar posesión de la máquina alternativa para restablecer el funcionamiento de este servicio
Realizar la configuración necesaria en la máquina a fin de que los cambios no generen prob lemas con los usuarios finales Instalar todos los archivos necesarios para restablecer el servicio
En caso que no sea posible la instalación en una máquina alternativa, el servicio deberá suspenderse hasta tanto se supere el problema.
Sistema de Información Kactus: Este software es proporcionado a la entidad por convenio administrativo entre la Gobernación de Antioquia y la Contraloría General de Antioquia, cualquier falla en la operación del mismo debe ser reportada directamente a la Dirección de informática de la gobernación a fin de determinar las acciones a seguir que permita restablecer su operación.
35
6. PROCEDIMIENTOS CORRECTIVOS
OBJETIVOS DE LA ETAPA:
Crear los procedimientos que se deben utilizar en caso de presentarse alguna eventualidad en la Red Corporativa y que provean una solución para mantener operativos los sistemas de información y todos los dispositivos electrónicos que representan los bienes informáticos de la Entidad.
Listar de una forma organizada los procedimientos correctivos aplicables a cada uno de los Equipos que componen la red corporativa.
Los procedimientos correctivos deben ser los más apropiados y económicos para la Entidad.
PROCEDIMIENTO
El procedimiento a seguir para la elaboración del plan correctivo de la red corporativa será el siguiente, se estudiaran las posibles fallas a las que se encuentran sometidos cada uno de los elementos que conforman la red corporativa analizados anteriormente (capítulo 4), se clasificarán según su síntoma, y se creara el procedimiento a seguir para restaurar dicha falla. Al igual que en el plan preventivo se enumeran los procedimientos para cada elemento y estos se clasifican en orden de importancia, y también para agilizar la búsqueda se construirán matrices de control para cada elemento.
MATRIZ DE CONTROL
Se diseñara una matriz de control, en donde se confrontará cada elemento contra el síntoma propio de falla, la intersección de estos indicara los pasos a implementar.
36
GRUPOS DE RIESGOS
En el caso del plan correctivo se tendrá en cuenta los mismos grupos de riesgos del plan preventivo pero de una forma generalizada, es decir se considerara como catastrófico cuando el equipo ó dispositivo queda absolutamente inservible, y se tratara de enfatizar en los riesgos técnicos propios de cada equipo como son daños en disco duro, memoria, puertos, entre otros.
LISTADO DE PROCEDIMIENTOS CORRECTIVOS
No hay comunicación de una estación con la red de datos.
No hay servicio de Intranet.
No hay servicio de Correo Electrónico.
No hay comunicación con un servidor de otro segmento.
PROCEDIMIENTO
Verificar si es problema de estación, en tal caso remitirse a los procedimientos relacionados con estación de trabajo (Tarjeta de Red, Patch Cord, toma de datos, entre otros).
Verificar si el Switch al cual está conectado la estación está funcionando correctamente.
Verificar si el Swiche está funcionando correctamente para tal fin ver procedimientos del Swiche.
Verificar que los servidores estén encendidos.
Verificar que los servicios requeridos en cada uno de los servidor requeridos estén iniciados y ejecutándose sin problema.
37
Verificar procedimientos relacionados con el TCP/IP de la estación de trabajo.
Verificar el correcto funcionamiento del servidor
CGANET, servidor de
Intranet, para tal fin verificar los procedimientos de Servidores.
Verificar el correcto funcionamiento del servidor de Correo Electrónico.
Para los componentes de Hardware, siempre se debe verificar que los Led estén en color verde, lo que indica que el sistema viene funcionando bien y no es una alerta del equipo. En caso de que el color de los Led sean rojos, y éste color indique una alarma, se debe revisar el respectivo manual del componente que presenta el problema. Los problemas de Hardware generalmente se van escalando de un componente a otro hasta llegar al componente que presenta la falla, por ejemplo en el caso de servidores, la revisión puede iniciar desde el disco duro, memoria RAM, sistema de ventladores, tarjetas de red, procesadores e ir escalando por los diversos componentes, aunque existen herramientas diagnósticas propias de cada fabricante que permite tener un diagnóstico más inmediato.