República Dominicana
UNIVERSIDAD AUTÓNOMA DE SANTO DOMINGO FACULTAD DE CIENCIAS DIVISIÓN DE POSTGRADO ESCUELA DE INFORMÁTICA
TEMA DE INVESTIGACIÓN DISEÑO DE UN PLAN DE RECUPERACION ANTE DESASTRES EN LA TECNOLOGIA DE LA INFORMACION (TI) PARA UNA EMPRESA DE GESTION DE ENERGIA RENOVABLE. CASO: TRACE INTERNACIONAL S.R.L., REPUBLICA DOMINICANA, 2017 – 2018 Tesis para Optar por el Título de: Maestría en Auditoria y Seguridad Informática
Sustentantes:
CRISTIAN ARIEL PÉREZ CLETO RANDY MENDOZA SÁNCHEZ Los conceptos emitidos en este trabajo de investigación son de la exclusiva responsabilidad de los sustentantes.
Asesor:
EDGAR MORROBERT
Santo Domingo, Distrito Nacional Septiembre, 2018
DISEÑO DE UN PLAN DE RECUPERACION ANTE DESASTRES EN LA TECNOLOGIA DE LA INFORMACION (TI) PARA UNA EMPRESA DE GESTION DE ENERGIA RENOVABLE. CASO: TRACE INTERNACIONAL S.R.L., REPUBLICA DOMINICANA, 2017 – 2018
ÍNDICE Págin
INTRODUCCIÓN CAPÍTULO I ASPECTOS GENERALES DE LA INVESTIGACIÓN 1.1
Planteamiento del problema..........................................................................................1
1.2
Justificación..................................................................................................................2
1.3
Objetivos de la investigación........................................................................................3
1.3.1
Objetivo general.....................................................................................................3
1.3.2
Objetivos específicos.............................................................................................3
1.4
Antecedente...................................................................................................................4
1.5
Marco teórico................................................................................................................5
1.5.1
Marco conceptual...................................................................................................6
1.5.2
Marco Referencial................................................................................................10
1.5.3
Hipótesis..............................................................................................................10
1.6
Diseño metodológico...................................................................................................11
1.6.1
Tipos de investigación.........................................................................................11
1.6.2
Métodos y técnica de investigación.....................................................................11
CAPÍTULO II GENERALIDADES DE LA TECNOLOGIA DE LA INFORMACION 2.1
Antecedentes de la tecnología de la información........................................................13
2.2
Origen y evolución de la tecnología de la información en la República Dominicana 14
2.3
Importancia de la tecnología de la información..........................................................15
2.4
Clasificación de la tecnología de la información........................................................18
CAPÍTULO III GENERALIDADES DE ENERGIAS RENOVABLES 3.1
Conceptualización.......................................................................................................19
3.2
Origen y evolución de la energía renovable................................................................19
3.3
Importancia de la energía renovable...........................................................................20
3.4
Ventajas de las energías renovables............................................................................21
3.5
Tipos de energías renovables......................................................................................22
3.6
Base Legal de la energía renovable en la República Dominicana..............................23
3.7
Proyectos de energía renovable en la República Dominicana....................................24
CAPÍTULO VI GENERALIDADES DE TRACE INTERNACIONAL SRL
4.1
Antecedentes de Trace Internacional..........................................................................25
4.1.1
Misión..................................................................................................................25
4.1.2
Visión...................................................................................................................25
4.1.3
Valores.................................................................................................................25
4.2
Estructura Organizacional...........................................................................................27
4.3
Cartera de servicios.....................................................................................................28
4.4
Modelo de negocios....................................................................................................28
4.5
Entendimiento del ambiente de TI..............................................................................29
4.5.1
Infraestructura......................................................................................................29
4.5.2
Seguridad física y protección ambiental..............................................................32
4.5.3
Mantenimiento y desarrollo de sistemas..............................................................32
4.5.4
Continuidad de las operaciones...........................................................................32
4.5.5
Evaluación del control interno.............................................................................33
CAPÍTULO V DISEÑO DEL PLAN DE RECUPERACION 5.1
Análisis de impacto sobre el negocio Trace Internacional..........................................34
5.2
Procesos críticos de Trace Internacional SRL.............................................................34
5.2.1
Gestión de ventas.................................................................................................34
5.2.2
Gestión de proyectos............................................................................................35
5.2.3
Gestión de servicios.............................................................................................35
5.2.4
Monitoreo generación energía.............................................................................35
5.2.5
Determinación del RTO, RPO y MTD................................................................36
5.3
Análisis de riesgo en Trace Internacional S.R.L.........................................................38
5.3.1
Objetivos específicos:..........................................................................................38
5.3.2
Identificación de amenazas..................................................................................38
5.3.3
Criterios para la determinación de la probabilidad..............................................39
5.3.4
Criterios para la determinación del impacto........................................................40
5.3.5
Análisis de desastres naturales.............................................................................40
5.3.6
Análisis de las amenazas humanas......................................................................41
5.3.7
Análisis de las amenazas de terceros...................................................................41
5.3.8
Análisis de incidentes serios con los sistemas de información............................42
5.3.9
Resultados del análisis de riesgo.........................................................................42
5.4
Evaluación de contramedidas......................................................................................49
5.4.1
Medidas para optimizar el suministro de energía redundante:............................49
5.4.2
Controles para el acceso a la información:..........................................................49
5.4.3
Medidas para ser tomadas en cuenta en las instalaciones durante la temporada
ciclónica y ante la llegada de la misma:............................................................................50 5.5
Desarrollo de estrategias de recuperación ante desastres............................................51
5.5.1
Escenarios de Desastres.......................................................................................51
5.5.2
Estrategia 9: recuperación por medio de Hot Site...............................................60
5.5.3
Selección del Hot Site..........................................................................................60
5.5.4
Características Hot Site Claro Dominicana.........................................................60
5.5.5
Requerimientos de hardware y software implementación estrategia 9................61
5.5.6
Cómo funciona la virtualización..........................................................................62
5.5.7
Productos de plataformas virtuales......................................................................63
5.6
Desarrollo estrategia de recuperación por medio de Hot Site.....................................64
5.6.1
Objetivos..............................................................................................................64
5.6.2
organización de los equipos.................................................................................64
5.6.3
Organigrama de los equipos:...............................................................................65
5.6.4
Equipo de Respuesta a Emergencias...................................................................65
5.6.5
Equipo de recuperación.......................................................................................66
5.6.6
Equipo de coordinación logística.........................................................................67
5.6.7
listado proveedores tecnología de Trace Internacional SRL...............................67
5.6.8
Equipo de relaciones públicas..............................................................................68
5.2.5
Equipo de unidades de negocios..........................................................................68
5.6.9
acciones de la estrategia de recuperación usando Hot Site..................................69
5.6.10
Respuesta ante el Desastre...................................................................................69
5.6.11
Transición............................................................................................................71
5.6.12
Recuperación.......................................................................................................71
5.6.13
Restauración........................................................................................................72
5.6.14
Vuelta a la normalidad.........................................................................................73
5.7
Desarrollo programa entrenamiento y concientización...............................................73
5.7.1
Alcance................................................................................................................74
5.7.2
Programa de formación y concientización...........................................................74
5.7.3
Definición de objetivo principal del plan de formación y objetivos específicos.74
5.7.4
Desarrollo programa de entrenamiento y concientización..................................74
5.7.5
Identificación de otras oportunidades de educación............................................75
5.8
Comunicación ante crisis de Trace Internacional S.R.L.............................................77
5.8.1
Objetivos..............................................................................................................77
5.8.2
Procedimiento de comunicación ante crisis de Trace Internacional SRL............77
5.8.3
Formato usado por Trace para la Difusión de información a los afectados.........78
5.9
Pruebas y ejercicios en Trace Internacional................................................................79
5.9.1
Objetivos..............................................................................................................80
5.9.2
Pruebas de Checklist............................................................................................80
5.9.3
Prueba de guía......................................................................................................81
5.9.4
Simulaciones........................................................................................................81
5.9.5
Pruebas en paralelo..............................................................................................81
5.9.6
Pruebas de interrupción completa........................................................................82
5.9.7
Pruebas y ejercicios en Trace Internacional SRL................................................82
5.9.8
Tipos de ejercicios a realizar................................................................................82
5.9.9
Roles y responsabilidades durante las pruebas....................................................84
5.9.10
Frecuencia de pruebas..........................................................................................86
5.10
Plan de Mantenimiento y Actualización de Trace Internacional SRL.....................86
5.10.1
Generalidades del Proceso de Mantenimiento y Actualización...........................87
5.10.2
Consideraciones a tomar en cuenta al momento de las Actualizaciones.............87
5.10.3
Elementos Mínimos a Tener en Cuenta en las Revisiones del Plan....................87
5.10.4
Plan de Mantenimiento y Actualización de Trace Internacional SRL.................88
5.10.5
Actividades de Mantenimiento............................................................................90
CONCLUSIONES RECOMENDACIONES REFERENCIAS BIBLIOGRÁFICAS ANEXOS
Índice de figuras
Figura 1. Tipos más comunes de desastres en Inglaterra..................................................4 Figura 2. RTO, RPO y MTD............................................................................................36 Figura 3. Clasificación de las amenazas............................................................................39 Figura 4. Esquema de Recuperación.................................................................................62 Figura 5. Arquitectura tradicional vs arquitectura virtual.................................................63 Figura 6. Resumen comparación productos virtualización..............................................63 Figura 7. Acciones en el desarrollo de la estrategia usando Hot Site...............................69 Figura 8. Ciclo de vida de la gestión de continuidad de servicios....................................89
Índice de tablas
Tabla 1. Inventario de Aplicaciones..................................................................................30 Tabla 2. Inventario de Equipos..........................................................................................31 Tabla 3. Niveles de Dependencia Recursos.......................................................................34 Tabla 4. Tiempos Estimados de Inactividad......................................................................36 Tabla 5. Matriz BIA...........................................................................................................37 Tabla 6. Criterio Probabilidad...........................................................................................39 Tabla 7. Criterio Impacto...................................................................................................40 Tabla 8. Valoración Amenazas Naturales..........................................................................40 Tabla 9. Valoración Amenazas Humanas..........................................................................41 Tabla 10. Valoración Amenazas a Instalaciones................................................................41 Tabla 11. Valoración Incidentes Sistemas de Información................................................42 Tabla 12. Riesgos de la central telefónica IP.....................................................................43 Tabla 13. Riesgo Servidor Base Datos..............................................................................44 Tabla 14. Riesgo Servidor Aplicaciones............................................................................45 Tabla 15. Riesgo Servidor Archivos..................................................................................46 Tabla 16. Riesgo Servidor DNS Principal.........................................................................47 Tabla 17. Riegos de los Servicios de Internet..................................................................48 Tabla 18. Escenarios de Desastres.....................................................................................51 Tabla 19. Estrategias de Recuperación..............................................................................59 Tabla 20. Proveedores de Hot Site Locales.......................................................................60 Tabla 21. Infraestructura Actual vs. Infraestructura Propuesta.........................................61 Tabla 22. Programa de Capacitación.................................................................................76 Tabla 23. Difusión de Información a los afectados...........................................................78 Tabla 24. Formulario de Ejecución de pruebas al DRP.....................................................84 Tabla 25. Roles y Responsabilidades................................................................................85 Tabla 26. Plan de Mantenimiento DRP.............................................................................89 Tabla 27 Personas Responsables del Mantenimiento del Plan..........................................90 Tabla 28. Documentación de Mantenimiento e Historial de Revisión..............................90 Tabla 29. Documentación de Sustento..............................................................................91
Índice de gráficos
Gráfico I. Riesgos Central Telefónica..............................................................................43 Gráfico II. Riesgo Servidor Base Datos...........................................................................44 Gráfico III. Riesgo Servidor Aplicaciones.......................................................................45 Gráfico IV. Riesgo Servidor Archivos..............................................................................46 Gráfico V. Riesgo Servidor DNS Principal......................................................................47 Gráfico VI. Riegos de los Servicios de Internet...............................................................48
Agradecimientos
Introducción Un Plan de Recuperación ante Desastre se refiere a todo lo relacionado con la preparación y respuesta cuando un desastre sucede. El objetivo principal del mismo es la supervivencia de la organización centrándose principalmente en la recuperación de su infraestructura tecnológica. El presente estudio se centró en el diseño de un Plan de Recuperación ante Desastres en la Tecnología de la Información (TI), para una empresa de gestión de energía renovable llamada Trace Internacional SRL ubicada en el Distrito Nacional, República Dominicana. En dicho estudio se muestra como desplegar una estrategia adecuada para recuperarse ante un desastre mediante la utilización de procesos ordenados, los cuales permitirán disminuir el tiempo de indisponibilidad y facilitará una recuperación ordenada, atenuando los riesgos de la calidad del servicio y la rentabilidad de la empresa. En el mismo se incluyen los siguientes tipos de investigación: documental, descriptivo, estudio de campo e histórico. Las técnicas empleadas para la recolección de las informaciones fueron a través de entrevistas a personas relacionadas con las empresas y expertos sobre el tema. También se aplicó la revisión literaria, ya que se investigó en libros, entre otras fuentes. Algunos de los métodos utilizados en el estudio son: la observación en las instalaciones de la empresa investigada. Además, se llevaron a cabo diferentes análisis, tales como: de impacto, riesgo, entre otros; que son parte de la estructura de un Plan de Recuperación ante desastres (DRP). El capítulo uno muestra los aspectos generales de esta investigación, mientas que el capítulo dos presenta las generalidades de la tecnología de la información y su evolución en la República Dominicana, seguido del capítulo tres, cuya finalidad es presentar las generalidades de la energía renovable, su importancia, ventajas y base legal en la República Dominicana. El capítulo cuatro describe las generalidades de la empresa objeto de estudio de la investigación, presenta aspectos muy importantes para su éxito como son su modelo de negocio y estructura organizacional. El capítulo cinco aborda el desarrollo del Plan de Recuperación de Desastre y todas sus fases que lo componen.
CAPÍTULO I ASPECTOS GENERALES DE LA INVESTIGACIÓN
1.1
Planteamiento del problema
Para toda empresa es importante la adecuada gestión de los riesgos que puedan impedir el logro oportuno de sus objetivos, estratégicos u operativos. Las empresas dedicadas a la comercialización de energía mediante métodos renovables dependen de la Tecnología de la Información (TI), para gestionar sus procesos de negocio. Considerando el nivel de riesgo al que está expuesta la República Dominicana, más que todo por su ubicación geográfica, en donde el 40% del tiempo de un año está definido como temporada ciclónica, la gestión de los riesgos sobre los procesos del negocio cobra una importancia significativa. A la fecha de este trabajo la empresa Trace Internacional SRL. (Trace) no tiene implementado un Plan de Recuperación ante Desastres (DRP 1) que garantice, razonablemente, el restablecimiento oportuno de sus procesos del negocio que se apoyan en recursos de TI. Esta empresa cuenta en estos momentos con planes de backup, recuperación de data y varios sistemas alternos que en caso de emergencia son puestos a operar para mantener parcialmente algunos procesos críticos, pero es satisfactorio el tiempo de respuesta para reponerse a eventos de TI que afectan las operaciones del negocio. Como ejemplo a lo antes mencionado se puede citar el hecho de que en esta se han observado casos en que el sistema de energía eléctrica se ha suspendido por un tiempo prolongado llevando al fallo de los sistemas de UPS y generadores eléctricos provocando el cese de las operaciones completas de la empresa, que se ha traducido en pérdidas financieras y de reputación cuyos impactos económicos, que, aunque no han sido cuantificados, son considerados como significativos. Además, la compañía no cuenta con un equipo formado y entrenado para casos de recuperación de desastres propiamente dicho. Estos elementos mencionados pueden en un momento dado ocasionar, si sucede un siniestro, indisponibilidad, falta de Integridad y confidencialidad, replicación y pérdida de control de acceso a la data de la organización. La suma de todas estas irregularidades puede afectar en un momento dado a sus clientes actuales, así como sus planes de crecimiento y desarrollo a futuro, la imagen interna y externa de la empresa y la competitividad en el mercado.
1 DRP – sigla en inglés que significan Disaster Recovery Planning
1
Es por todo lo antes mencionado que la finalidad de este estudio es el diseño de un Plan de Recuperación Ante Desastres para dicha empresa; a fin de que la misma continúe sus operaciones pese a cualquier desastre.
1.2
Justificación
Con el diseño y puesta en marcha de un Plan de Recuperación ante Desastres en la Tecnología de Información la empresa Trace Internacional SRL busca restaurar los sistemas de TI que son fundamentales para el funcionamiento de la entidad, permitiendo mitigar el impacto negativo de una situación adversa, brindando condiciones para continuar con la operación, haciendo más competitiva y eficiente a la organización y ubicándola como un socio estratégico para sus clientes. Los resultados de este estudio, además, contribuyen a Trace Internacional SRL a la sensibilización y actualización, sobre cómo garantizar la continuidad del negocio y por qué contar con estrategias de recuperación de desastres, debe ser visto como una inversión, más que un gasto. Preguntas de investigación ¿Por qué crear una cultura de Recuperación de Desastres en la Tecnología de Información en la Organización? ¿Cómo concientizar a la Alta Gerencia de Trace Internacional SRL de la necesidad de un Plan de Recuperación ante Desastres? ¿Cuál es la importancia de identificar los procesos críticos soportados por la Tecnología de Información dentro del Plan ante Recuperación? ¿Cuál es la factibilidad de implementar un plan de Recuperación ante Desastres para una organización como Trace Internacional SRL?
2
Objetivos de la investigación
1.3
1.3.1 Objetivo general Diseñar un Plan de Recuperación ante Desastres para Trace Internacional SRL, que permita restablecer la funcionalidad de los procesos del negocio luego de la ocurrencia de algún desastre que afecte la disponibilidad de los recursos de Tecnología de la Información sobre los que se apoyan dichos procesos.
1.3.2 Objetivos específicos
1.4
Obtener un entendimiento detallado del ambiente de TI de Trace. Identificar los procesos del negocio de Trace y su relación con los recursos y servicios
de TI. Analizar, mediante identificación y estimación, los riesgos relacionados a la TI y su
relación con el negocio de Trace. Presentar, mediante matriz de nivel de riesgo, los resultados obtenidos del análisis de
los riesgos. Presentar propuestas para la mitigación de los riesgos identificados. Realizar una Análisis de Impacto del Negocio (BIA) que tienen los recursos y servicios
de TI. Definir escenarios de riesgo cuya ocurrencia puede afectar la funcionalidad de los
procesos del negocio que han sido considerados como críticos. Definir estrategias de recuperación para los escenarios de riesgos identificados. Definir programas de entrenamiento y concientización del Plan de Recuperación ante
Desastres. Presentar procedimiento de comunicación ante crisis de Trace durante un eventual
desastre de TI. Determinar la frecuencia y métodos de pruebas del Plan, así como también establecer
las acciones correctivas necesarias. Definir procedimientos de mantenimiento del Plan de Recuperación.
Antecedente
Hoy día, las organizaciones, buscan estar acordes con el contexto actual de las tecnologías de la información y esta búsqueda se enfoca en apalancar sus operaciones con ella. 3
Normalmente se pretende sistematizar los procesos para hacer a la empresa altamente eficiente; pero no se establece correctamente lo que puede pasar en caso de desastres tales como, incendios, las inundaciones, los terremotos, las explosiones, los actos de sabotaje, etcétera. Estadísticas recientes sobre los tipos más comunes de desastres que ocurren muestran que el terrorismo, los incendios y los huracanes son las causas más comunes en muchos países.
Figura 1. Tipos más comunes de desastres en Inglaterra.
Según la Cámara de Comercio de Londres (2017) las consecuencias de estos incidentes sobre las organizaciones que no tienen un plan de continuidad de negocio pueden llegar a ocasionar incluso el cierre de las mismas. Se puede tomar como ejemplo las siguientes cifras:
Un 43% de las organizaciones después de un accidente no podrán continuar sus
operaciones viéndose obligadas a cerrar. Un 80% tendrán que hacerlo en menos de 13 meses. Un 53% de los clientes de estas organizaciones no recuperarán las pérdidas
causadas por los daños derivados. Un 50% se verán forzadas a cerrar antes de cinco años después del desastre.
A pesar de que los efectos inmediatos de un desastre aparentemente son la pérdida de 4
beneficios por la parada de actividad puntual y la incapacidad para proveer servicios críticos, no son éstos los efectos más perniciosos que un incidente de este tipo provoca. Otros efectos derivados que pueden causar un gran impacto en la compañía son la pérdida de reputación de cara a los clientes, o la pérdida de ventaja competitiva con otras compañías. 1.5
Marco teórico
Plan de Continuidad del Negocio (BCP) es el resultado de la aplicación de una metodología interdisciplinaria, llamada Cultura BCM, usada para crear y validar planes logísticos para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción o desastre. Estos planes son llamados Planes de Continuidad del Negocio. En lenguaje sencillo, BCP es el cómo una organización se prepara para futuros incidentes que puedan poner en peligro la organización y su misión básica a largo plazo. Un Plan de Continuidad de Negocio, a diferencia de una Plan de recuperación de desastres, está orientado al mantenimiento del negocio de la organización, con lo que priorizará las operaciones de negocio críticas necesarias para continuar en funcionamiento después de un incidente no planificado. Un Pan de Recuperación ante Desastres consiste en la identificación de aquellos sistemas de información y/o recursos informáticos aplicados que son susceptibles de deterioro, violación o pérdida y que pueden ocasionar graves trastornos para el desenvolvimiento normal de la organización, con el propósito de estructurar y ejecutar aquellos procedimientos y asignar responsabilidades que salvaguarden la información y permitan su recuperación garantizando la confidencialidad, integridad y disponibilidad de ésta en el menor tiempo posible y a unos costos razonables. (Peter, 2016) El Plan de Recuperación ante Desastres debe cubrir todos los aspectos que se van a adoptar tras una interrupción, lo que implica suministrar el servicio alternativo y para lograrlo no solo 5
se deben revisar las operaciones cotidianas, sino que también debe incluirse el análisis de los principales distribuidores, clientes, negocios y socios, así como la infraestructura en riesgo. Esto incluye cubrir los siguientes tópicos: hardware, software, documentación, talento humano y soporte logístico; debe ser lo más detallado posible y fácil de comprender.
1.5.1 Marco conceptual Para entender lo que es un Plan de Recuperación ante Desastres del área de tecnología es necesario aclarar todos los conceptos, equipos y términos que se manejan, ya que esta es un área nueva a nivel tecnológico donde los términos no son comunes ni claros. Amenaza: Es un fenómeno, sustancia, actividad humana o condición peligrosa que puede ocasionar la muerte, lesiones u otros impactos a la salud, al igual que daños a la propiedad, la pérdida de medios de sustento y de servicios, trastornos sociales y económicos, o daños ambientales. Backup (Copia de seguridad): Es la copia total o parcial de información importante del disco duro, CDs, bases de datos u otro medio de almacenamiento. BC: Continuidad de negocio, concepto para seguir con las operaciones de una empresa a pesar de cualquier emergencia o contingencia (Business continuity). BD: Abreviatura de bases de datos. Bussiness Continuity Planning (BCP): Un plan de continuidad del negocio (BCP) es un plan para ayudar a asegurar que los procesos de negocio fluyan normalmente durante un tiempo de emergencia o desastre. Este tipo de emergencias o desastres pueden incluir un incendio o cualquier otro caso en el que el negocio no es capaz de producir en condiciones normales. Las empresas tienen que mirar a todas esas amenazas potenciales y diseñar los pasos fronterizos para garantizar la continuidad de las operaciones. Caso de Negocio: consiste en saber cuánto se invierte y cuando se gana en determinado proyecto. 6
Centros Móviles: Como su nombre lo indica, son centros de datos móviles, los cuales se dirigirán hacia la organización que sufrió un desastre o al lugar donde se indicara para poder continuar con la operación normal de la compañía. Confidencialidad: Se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma. Contingencia: Posibilidad o riesgo de que suceda una cosa. Continuidad: Duración o permanencia de unas cosas sin interrupción. Desastre: es un hecho natural o provocado por el hombre que afecta negativamente a la vida, al sustento o industria desembocando con frecuencia en cambios permanentes en las sociedades humanas, ecosistemas y medio ambiente. Disaster Recovery Planning (DRP): Es el proceso planificado que una organización utiliza para recuperar el acceso a su infraestructura (software, datos y/o hardware) que son necesarios para reanudar el ejercicio de las funciones normales de trabajo, críticos después del evento ya sea de un desastre natural o una catástrofe causada por los seres humanos. Disponibilidad: Se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran. DRI: Instituto de recuperación de desastre el cual impone la reglas y estatus de esta manera de trabajo. Down-time (Tiempo de Inactividad): Es el periodo de tiempo cuando un host, sistema, etc., no se encuentra disponible o no esta en funcionamiento por diversos factores ya sean estos desde un mantenimiento, desconexión de la red, daño físico del equipo. Evaluación del riesgo: Metodología orientada a determinar la vulnerabilidad de la organización. Con el objetivo de determinar los posibles eventos que pueden alterar considerablemente el proceso de las operaciones de la organización. 7
Fault Tolerance: La tolerancia a fallos puede definirse como una máquina, equipo o sistema que tiene la capacidad de recuperarse ante una falla sin interrumpir las operaciones. Hardware: Corresponde a todas las partes físicas y tangibles de una computadora: sus componentes eléctricos, electrónicos, electromecánicos y mecánicos; sus cables, gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento físico involucrado. High Availability (HA): La alta disponibilidad consiste en la capacidad del sistema para ofrecer un servicio activo durante un tanto por ciento de un tiempo determinado o a la capacidad de recuperación del mismo en caso de producirse un fallo en la red. Hot Site: Centro de Procesamiento de datos con instalación completa de equipos, servidores, información real, softwares instalados y compatibles que permitan a la empresa, poder acudir a él en caso de desastre y seguir funcionando en un periodo de 1 a 3 horas. Impacto: Consecuencias para el negocio dado el daño al activo, conjunto de consecuencias provocadas por un hecho o actuación que afecta a un entorno o ambiente. Implementación: Formas y métodos para llevar a cabo algo. Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. Mirror Site: Es un sitio alterno el cual procesa cada transacción en paralelo con el sitio principal, manteniendo al 100% la integridad de la información en ambos sitios. MTD: Por sus siglas en inglés “Maximum Tolerable Of Dowm time” o Periodo máximo tolerable de tiempo de inactividad; es el periodo de tiempo tras el cual la viabilidad de una organización será completamente amenazada si la entrega del producto y/o servicio no se puede reanudar. Outsourcing: (subcontratación) es el proceso económico en el cual una empresa determinada mueve o destina los recursos orientados a cumplir ciertas tareas, a una empresa externa, por medio de un contrato. 8
Plan: un modelo sistemático que detalla qué tareas se debe llevar a cabo para alcanzar un objetivo, para lo cual se establece metas y tiempo de ejecución. Plan de Continuidad del Negocio: es el resultado de la aplicación de una metodología interdisciplinaria, llamada Cultura BCM, usada para crear y validar planes logísticos para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción o desastre. Recovery Point Objetive (RPO): Punto Objetivo de Recuperación, Periodo máximo de tiempo en el cual se han podido ver afectados los datos debido a la ocurrencia de un determinado evento. Recovery Time Objetive (RTO): Tiempo Objetivo de Recuperación, Periodo máximo de tiempo entre el punto de interrupción y el asumible en tener los sistemas de información funcionando nuevamente después de un incidente y con los datos actualizados. Recuperación: Evento que describe planes que brindan ayuda a largo plazo a quienes han sufrido daños o pérdidas debido a un desastre de gran magnitud. Riesgo: Se define como la combinación de la probabilidad de que se produzca un evento y sus consecuencias negativas, evento que puede ocasionar un daño en un activo. El riesgo es la materialización de una amenaza aprovechando la vulnerabilidad de un activo. Software: Es el conjunto de los programas de cómputo, procedimientos, reglas, documentación y datos asociados que forman parte de las operaciones de un sistema de computación. Sistema: es un conjunto de partes o elementos organizados y relacionados que interactúan entre sí para lograr un objetivo. Los sistemas reciben (entrada) datos, energía o materia del ambiente y proveen (salida) información, energía o materia. TICs: abreviatura para Tecnologías de la Información y las comunicaciones. 9
UPS (Uninterruptible Power Supply): Sistema de alimentación ininterrumpida). Un UPS es una fuente de suministro eléctrico que posee una batería con el fin de seguir dando energía a un dispositivo en el caso de interrupción eléctrica. VPN: Virtual Private Network, es una red privada virtual, la cual permite tener una red privada entre puntos geográficamente distantes sin necesidad de un enlace privado, ya que funciona mediante internet. Vulnerabilidad: Debilidad de un activo que puede ser explotada por una amenaza para materializar una agresión sobre dicho activo. Warm Site: Centro de Datos listo, pero sin información para restaurar. WAN: Por sus siglas en inglés “Wide Area Network”, son redes que se extienden sobre un área geográfica extensa.
1.5.2 Marco Referencial NIST 800 – 34: Guía de planificación de contingencia para los Sistemas de Información. Norma ISO 22301:2012 - Gestión de la Continuidad de Negocio. Disaster-Recovery-Guide – 2017
1.5.3 Hipótesis Poseer un Plan de Recuperación ante Desastres (DRP), le permitirá a la organización mitigar considerablemente pérdidas potenciales de información y mejorar la capacidad de recuperar las operaciones normales del negocio, minimizar los tiempos de inactividad y proveer de alta disponibilidad en los servicios, ante posibles eventos inesperados, los cuales pueden poner en peligro la continuidad de las operaciones de la organización.
10
Diseño Metodológico
1.6
1.6.1 Tipos de Investigación Los tipos de investigación utilizados para el desarrollo del tema fueron los siguientes:
Documental: Se analizaron información de fuentes escritas sobre diferentes tipos de planes de recuperación de desastres en el área de tecnología (datos de la empresa, búsquedas en Internet con la finalidad de obtener información actualizada del tema, revistas, proyectos de tesis, datos estadísticos, consultas de libros, etc.).
Descriptiva: En esta etapa de la investigación se trataron los rasgos, cualidades y características de lo que fue el desarrollo de un modelo de plan de recuperación de desastres.
Estudio de caso: Cuyo resultado fue la implementación de un Plan de Recuperación ante Desastres en el área de la tecnología de información y comunicación. La empresa escogida es Trace Internacional SRL, específicamente sus sucursales localizadas en la República Dominicana y es en donde demostraremos los beneficios que este plan ofrece.
Histórico: Se hicieron menciones de desastre ocurridos relacionados con el objeto de este estudio.
1.6.2 Métodos y Técnica de Investigación Para recabar las informaciones necesarias para el desarrollo de la presente investigación se utilizaron los siguientes métodos:
Método Deductivo: Ya que se partió de premisas generales (Lineamientos de que se basa el plan de recuperación ante desastres) hasta llegar a premisas particulares (Diseño del Plan de Recuperación ante Desastres).
11
Método de Análisis: Se utilizó este método en el proceso de conocimiento en donde se identificarán cada una de las partes que conforman un Plan de Recuperación ante Desastres del área de tecnología de la Información TI.
Técnica de la Observación: se utilizó para visualizar internamente la situación actual en lo que respecta a la seguridad de los sistemas y equipos tecnológicos dentro de la empresa a investigar.
Técnica de la Entrevista: Se realizaron entrevistas a profesionales capacitados del área de TI de la empresa Trace Internacional SRL, así como también a otras empresas del sector energía renovable y de eficiencia energética. Además, se consultaron otros profesionales del área de sistemas con especialidad en implementaciones de planes de recuperación de desastres de TI.
12
CAPÍTULO II GENERALIDADES DE LA TECNOLOGIA DE LA INFORMACION
2.1
Antecedentes de la Tecnología de la Información
En el plano local existen pocos referentes sobre el impacto de las TIC y su adopción por parte de los diversos actores sociales. No obstante, es importante destacar que diversos estudios, desarrollados con otros fines, han medido tradicionalmente la posesión de equipos informáticos en los hogares dominicanos. Sobre el tema específico de las tecnologías de la información y comunicación, la Fundación Global y Desarrollo, FUNGLODE (Kirkman, 2004), realizó, junto a la Universidad de Harvard, un importante diagnóstico sobre la situación de la República Dominicana. El agrupó la infraestructura y políticas públicas, sin profundizar en los actores. Otro estudio en materia de Tecnología de la Información y Comunicación, llevado a cabo por la Secretaría de Estado de Educación Superior, Ciencia y Tecnología (SEESCYT), hoy conocida como MESCYT (Ministerio de Educación Superior, Ciencia y Tecnología), es una descripción de las infraestructuras informáticas de las instituciones de educación superior en el país, pero no cubre el uso que dan los estudiantes a estas infraestructuras. Este último aspecto ha sido recientemente abordado en otro estudio realizado para la SEESCYT por el Grupo de Consultoría Pareto, pero tampoco está dirigido al análisis de las TIC en los hogares sino únicamente al acceso que tienen a ellas los estudiantes de término y los profesionales del país. En el año 2005 la Oficina Nacional de Estadística llevó a cabo la Encuesta de Hogares de Propósitos Múltiples, ENHOGAR 2005, e incluyó en ella un módulo sobre TIC, que abordó entre otros temas el acceso, hábitos de uso, lugares de acceso, gasto y disposición de pago. Dado el carácter multipropósitos de la encuesta y las características generales de su publicación, no se profundizó en aspectos claves que pueden ser abordados a partir de los datos y que son objeto de análisis de este trabajo, por lo que los aspectos metodológicos de esta encuesta se describen de forma más detallada a continuación.
13
2.2
Origen y Evolución de la Tecnología de la Información en la República Dominicana
En la República Dominicana después de la Guerra de la Restauración (1863) solamente había dos medios para ascender socialmente: obteniendo poder político o poder militar. Por tal razón, era meta de los jóvenes obtener un grado militar o político que le permitiera ser reconocido y obtener beneficios pecuniarios o tierras que le dieran el grado de terrateniente. (Ministerio de Educación, 2013) Infortunadamente ese pensamiento prevaleció hasta el siglo XX específicamente hasta el año 1930 cuando comenzó la tiranía del Generalísimo Rafael L. Trujillo M. Para gobernar, el generalísimo se acompañó de los más grandes intelectuales del país, que de acuerdo o no con la dictadura, se rindieron ante el poder ignominioso de las armas. En 1934 fue creada la Secretaria de Estado de Educación y Bellas Artes y es en ese momento en que la educación dominicana comienza su época de oro. Su secretario más ilustre Joaquín Balaguer (posteriormente presidente de la República) comenzó una campaña para incentivar a los jóvenes a estudiar y se habilitaron tres tandas o jornadas educativas incluyendo una tanda nocturna. Ya el único horizonte que se abría ante los ojos de los jóvenes no era el cantón, para echarse el fusil al hombro para comparecer con dicho instrumento en el palenque de las discordias civiles. Como es lógico, el mundo avanza, no se detiene y con él, avanzan los métodos para enseñar e impartir docencia. No obstante, la República Dominicana se había quedado rezagada y los métodos utilizados se circunscribían al pizarrón y al libro. A partir del cuatrienio que comenzó en el 2004 siendo Presidente de la República el Dr. Leonel Fernández, comenzaron a modificarse las aulas y los métodos de enseñanza, se fueron añadiendo proyectores, libros virtuales, clases virtuales, clases de computación, etc. La tecnología, enfocada de forma correcta y utilizada para la educación, puede dotar a los estudiantes de herramientas necesarias para explotar sus talentos e insertarse con éxito en el 14
mundo profesional, el cual es altamente competitivo. La República Dominicana tiene grandes retos por delante, tecnológicamente hemos avanzado paulatinamente y debemos aprovechar los recursos que actualmente tiene el Ministerio de Educación (4% del PIB 2 para adquirir toda la tecnología necesaria y comenzar un proceso de instrucción que genere copiosos beneficios.
2.3
Importancia de la Tecnología de la Información
La tecnología de la información se refiere a la colección de herramientas que hacen más fácil usar, crear, administrar e intercambiar información. La tecnología es el conocimiento y la utilización de herramientas, técnicas y sistemas con el fin de servir a un propósito más grande como la resolución de problemas o hacer la vida más fácil, cómoda y segura. Su importancia para los seres humanos es enorme. El desarrollo de alta tecnología ha ayudado a conquistar las barreras de comunicación y reducir la brecha entre las personas de todo el mundo. Los lugares lejanos se han vuelto cada vez más cercanos y el ritmo de vida se ha acelerado significativamente. Las actividades que antes tardaban horas para ser completadas, se puede hacer en cuestión de segundos en la actualidad. Se tiene la percepción de que el mundo es más pequeño y la certeza de que la vida es mucho más rápida. Los avances tecnológicos se han vuelto una parte esencial de nuestras vidas. Para entender la razón, basta con mirar a nuestro alrededor y ver que en todo momento y contexto estamos rodeados por ella; ya sea que estemos trabajando o descansando, siempre está presente para hacer nuestras vidas más sencillas. Debido a su aplicación, nuestro nivel de vida ha mejorado, pues las necesidades se satisfacen con mayor facilidad. De manera general todas las industrias se ven beneficiadas por ella, ya sea la medicina, el turismo, la educación, el entretenimiento, entre muchas otras áreas. Además, las empresas han crecido y se han hecho más eficientes, ayudando a la creación de nuevas oportunidades de empleo. La aplicación de la tecnología ha impulsado la investigación en campos que van desde la genética hasta el espacio extraterrestre. Tomemos como ejemplo los dispositivos móviles: entre más rápido se mueve el mundo más 2 PIB – Producto Interno Bruto
15
avances tecnológicos se ofrecen. Las laptops se hacen más delgadas y más pequeñas, se vuelven más compactas cada año y ofrecen más capacidades y un rendimiento superior. Deben ser capaces de procesar una gran cantidad de información en una forma más rápida y concisa. Lo mismo sucede con los teléfonos, la necesidad de ser capaz de comunicarse en cualquier momento y en cualquier lugar se ha tomado como base para para crear el teléfono celular, que cada vez se fabrica más pequeño y tiene más características, juegos, entretenimiento y aplicaciones, hasta llegar al punto de ser casi como un ordenador de bolsillo. Por si fuera poco, su precio en el mercado baja rápidamente conforme se lanzan nuevos productos y se vuelve más accesible. (Moguillansky, 2005) La importancia de la tecnología va ligada casi siempre a los usos prácticos que tenga, de hecho, una tecnología muy costosa, o muy complicada, no suele triunfar, porque su implantación es muy complicada. Es por eso que a veces tecnologías que parecen rudimentarias triunfan sobre otras mucho más ‘modernas’. Sea como sea, la tecnología suele estar en continuo avance, siendo en general el desarrollo práctico de nuevas ideas concebidas por las disciplinas científicas, y por tanto, va muy ligada al concepto de innovación. En la vida de la sociedad moderna, la tecnología es algo indispensable. De hecho, la mayor parte de los esfuerzos científicos se centran en la creación de nuevas tecnologías que cubran las necesidades de la sociedad y consigan elevar el nivel de bienestar. Eso sobre el papel, porque no siempre la tecnología se usa con el fin previsto ni se diseña para mejorar la vida humana (existen excepciones importantes, como las tecnologías bélicas), pero siempre una tecnología cubre una necesidad. Sin necesidad no es precisa la tecnología, y por tanto, no será usada. Ligado a las grandes necesidades de la humanidad, siempre han aparecido tecnologías de gran valor. Para la necesidad de comunicación humana surgieron el teléfono, la televisión, la radio, Internet… Con las necesidades de salud, han surgido avances en cirugía, medicina general, análisis clínicos… Con las necesidades económicas han surgido nuevas tecnologías industriales, tecnologías de procesos, de extracción. Y así podríamos seguir hasta el infinito, porque no existe ningún ámbito en el que la tecnología no esté presente: sea en el económico, industrial, social, político, científico, legislativo, educativo, en cuanto permite una mejora del 16
resultado final o una simplificación de los procesos intermedios. Muy asociado a esto se halla el concepto de BAT (Best Avaliable Technology), o la Mejor Tecnología Disponible, en español. En este término se basan muchos de los conceptos modernos de la ecología y la sostenibilidad, mediante la mejora continua de las tecnologías usadas en la industria para evitar la contaminación. Este término anterior ha cambiado en los últimos años el antiguo concepto de tecnología como propulsora del rendimiento final. Antes las nuevas técnicas buscaban directamente el mayor beneficio posible, sobre todo por ser desarrolladas en el 99% de los casos por y para empresas que buscaban un rendimiento económico. Los grandes problemas posteriores a la revolución industrial, incluyendo no sólo los sociales, sino los medioambientales, son un claro ejemplo de lo erróneo de ese planteamiento. Hoy en día se intenta no sólo incrementar la producción, sino que las nuevas tecnologías cuiden otros aspectos, como el social, el bienestar de los propios trabajadores o el beneficio ambiental. Consecuencias del Uso Inadecuado Tal como hemos señalado, la tecnología moderna se ha convertido en una faceta importante de nuestras vidas y sin ella el mundo sería radicalmente diferente. A pesar de ello las desigualdades sociales hacen que existan muchas personas que no tienen acceso a ella. Por otro lado, el desarrollo tan veloz de nuevos dispositivos, fomentan el consumismo, además el uso excesivo trae consigo repercusiones en la salud, como estrés visual, insomnio, sordera, u obesidad, entre otros. Finalmente, pasar tanto tiempo navegando en nuestros teléfonos celulares y tabletas, nos desconecta de lo que sucede a nuestro alrededor y afecta nuestra relación con los demás. El uso de la tecnología es inconmensurable y seguirá cambiando, basándose en las demandas de personas Cómo la utilizamos determina si es buena o no, útil o perjudicial. La tecnología en sí es neutral, pero somos nosotros los que la hacemos buena o mala, con base en el uso que le damos.
17
Clasificación de la Tecnología de la Información
2.4
La diversidad de las tecnologías de la información se puede brindar una clasificación general sobre el desempeño y función que estas cumplen. A continuación, se mencionarán las principales clasificaciones de las mismas. (Protechsociety, s.f.)
TICs Sensoriales, permiten adquirir información del universo e ingresarla a un ordenador, ejemplo de estos pertenecen todo tipo de sensores, cámaras, micrófonos etc.
TICs Despliegue, opuesto a las sensoriales permiten sacar del ordenador información al mundo real, para este caso en particular se ilustra una impresora, audífonos, monitos, y todo tipo de medio que permita visualizar, oír, o sentir información almacenada en un ordenador y otro dispositivo.
TICs Análisis, Permiten el procesamiento de la información o modificación de la misma, para este caso software como procesadores de texto, de datos, programas para desarrollo entre otros.
TICs Almacenamiento, Permiten el almacenamiento de información en un dispositivo temporal o prolongadamente, el caso de las memorias flash conocidas como USB, discos de estado sólido (SSD por sus siglas en inglés), memorias SD, cintas magnéticas entre otras.
TICs Comunicación, Permiten el trasporte de información a través de esta, ya sea bluetooth, infrarrojos, satelital, módems, antenas de propagación, enlaces de F.O u medio tecnológico que utilice medios guiados o no guiados (el caso de las ondas electromagnéticas) para trasmitir la información mencionada.
18
CAPÍTULO III GENERALIDADES DE ENERGIAS RENOVABLES
3.1
Conceptualización
Se denomina energía renovable a la energía que se obtiene de fuentes naturales virtualmente inagotables, ya sea por la inmensa cantidad de energía que contienen, o porque son capaces de regenerarse por medios naturales. (Biodi Sol, s.f.) La Energía Renovable es una fuente de energía poseen la doble cualidad, estar disponibles de forma inagotable y no producir un impacto sobre el medio ambiente, estas energías también se las denomina energías alternativas por constituir una alternativa a las fuentes de energía fósiles o no renovables. El concepto de energía renovable es un concepto bastante reciente que sirve para designar a todas aquellas formas de energía que se obtienen o se generan a partir del uso de recursos naturales y renovables. Esto quiere decir que una energía renovable no es una energía limitada sino, por el contrario, puede regenerarse de modo ilimitado, provocando así entonces menor daño al planeta.
3.2
Origen y Evolución de la Energía Renovable
Las energías renovables han constituido una parte importante de la energía utilizada por los humanos desde tiempos remotos, especialmente la solar, la eólica y la hidráulica. La navegación a vela, los molinos de viento o de agua y las disposiciones constructivas de los edificios para aprovechar la del sol, son buenos ejemplos de ello. Con el invento de la máquina de vapor por James Watt, se van abandonando estas formas de aprovechamiento, por considerarse inestables en el tiempo y caprichosas y se utilizan cada vez más los motores térmicos y eléctricos, en una época en que el todavía relativamente escaso consumo, no hacía prever un agotamiento de las fuentes, ni otros problemas ambientales que más tarde se presentaron. Hacia la década del 1970 las energías renovables se consideraron una alternativa a las energías tradicionales, tanto por su disponibilidad presente y futura garantizada (a diferencia de los 19
combustibles fósiles que precisan miles de años para su formación) como por su menor impacto ambiental en el caso de las energías limpias, y por esta razón fueron llamadas energías alternativas. Gracias al avance tecnológico es que hoy día no se trate de una alternativa, sino que las energías renovables son un proyecto viable, que brinda un presente productivo, y que apunta a un mejor futuro, con una fuente inagotable de recursos.
3.3
Importancia de la Energía Renovable
Las energías renovables son fuentes de energía limpia, inagotable y crecientemente competitiva. Se diferencian de los combustibles fósiles principalmente en su diversidad, abundancia y potencial de aprovechamiento en cualquier parte del planeta, pero sobre todo en que no producen gases de efecto invernadero –causantes del cambio climático- ni emisiones contaminantes. Además, sus costes evolucionan a la baja de forma sostenida, mientras que la tendencia general de costes de los combustibles fósiles es la opuesta, al margen de su volatilidad coyuntural. El crecimiento de las energías limpias es imparable, como queda reflejado en las estadísticas aportadas en 2015 por la Agencia Internacional de la Energía (AIE): representan cerca de la mitad de la nueva capacidad de generación eléctrica instalada en 2014, toda vez que se han constituido en la segunda fuente global de electricidad, sólo superada por el carbón. De acuerdo a la AIE, la demanda mundial de electricidad aumentará un 70% hasta 2040,elevando su participación en el uso de energía final del 18% al 24% en el mismo periodoespoleada principalmente por regiones emergentes (India, China, África, Oriente Medio y el sureste asiático). El desarrollo de las energías limpias es imprescindible para combatir el cambio climático y limitar sus efectos más devastadores. El 2014 fue el año más cálido desde que existen registros. La Tierra ha sufrido un calentamiento de 0,85ºC de media desde finales del siglo 20
XIX.La transición hacia un sistema energético basado en tecnologías renovables tendrá asimismo efectos económicos muy positivos. Según IRENA (Agencia Internacional de Energías Renovables), duplicar la cuota de energías renovables en el mix energético mundial hasta alcanzar el 36% en 2030 supondría un crecimiento adicional a nivel global del 1,1% ese año (equivalente a 1,3 billones de dólares), un incremento del bienestar del 3,7% y el aumento del empleo en el sector hasta más de 24 millones de personas, frente a los 9,2 millones actuales.
Ventajas de las Energías Renovables
3.4
Son el socio imprescindible contra el cambio climático: las renovables no emiten gases de efecto invernadero en los procesos de generación de energía, lo que las revela como la solución limpia y más viable frente a la degradación medioambiental.
Son inagotables: al contrario que las fuentes tradicionales de energía como el carbón, el gas, el petróleo o la energía nuclear, cuyas reservas son finitas, las energías limpias cuentan con la misma disponibilidad que el sol donde tienen su origen y se adaptan a los ciclos naturales (por eso las denominamos renovables). Por ello son un elemento esencial de un sistema energético sostenible que permita el desarrollo presente sin poner en riesgo el de las futuras generaciones.
Reducen la dependencia energética: la naturaleza autóctona de las fuentes limpias implica una ventaja diferencial para las economías locales y un acicate para la independencia energética. La necesidad de importar combustibles fósiles produce una supeditación a la coyuntura económica y política del país proveedor que puede comprometer la seguridad del suministro energético. En cualquier parte del Planeta hay algún tipo de recurso renovable –viento, sol, agua, materia orgánica- susceptible de aprovecharlo para producir energía de forma sostenible. (Erenovable, 2015)
Crecientemente competitivas: Las principales tecnologías renovables –como la eólica y la solar fotovoltaica- están reduciendo drásticamente sus costes, de forma que ya son plenamente competitivas con las convencionales en un número creciente de emplazamientos. Las economías de escala y la innovación están ya consiguiendo que
21
las energías renovables lleguen a ser la solución más sostenible, no sólo ambiental sino también económicamente, para mover el mundo.
Horizonte político favorable: las decisiones acordadas en la COP21 han aportado un torrente de luz al futuro de las energías renovables. La comunidad internacional ha entendido la obligación de robustecer la transición hacia una economía baja en carbono por el futuro sostenible del planeta. El clima de consenso internacional en favor de la descarbonización de la economía constituye un marco muy favorable para el impulso de las tecnologías energéticas limpias.
Tipos de Energías Renovables
3.5
Las fuentes renovables de energía pueden dividirse en dos categorías: no contaminantes o limpias y contaminantes. Entre las primeras:
Energía Solar: generada por el Sol. Energía Eólica: a partir del viento. Energía Hidráulica: a partir de los ríos y corrientes de agua dulce. Energía Mareomotriz: los mares y océanos. Energía Geotérmica: el calor de la Tierra. Energía Undimotriz: las olas.
Las contaminantes (que son las realmente renovables, es decir, que se renuevan) se obtienen a partir de la materia orgánica o biomasa, y se pueden utilizar directamente como combustible (madera u otra materia vegetal sólida), bien convertida en bioetanol o biogás mediante procesos de fermentación orgánica o en biodiesel, mediante reacciones de transformación y de los residuos urbanos. Las energías de fuentes renovables contaminantes tienen el mismo problema que la energía producida por combustibles fósiles: en la combustión emiten dióxido de carbono, gas de efecto invernadero, y a menudo son aún más contaminantes puesto que la combustión no es tan limpia, emitiendo hollines y otras partículas sólidas. Sin embargo, se encuadran dentro de las energías renovables porque el dióxido de carbono emitido será utilizado por la siguiente generación de materia orgánica. 22
3.6
Base Legal de la Energía Renovable en la República Dominicana
El ordenamiento jurídico de la República Dominicana presenta grandes ventajas a aquellas empresas que desarrollen y comercialicen la energía renovable en el país. (Congreso Nacional, 2007) La Ley No. 57-07, el Reglamento de Aplicación de la Ley No. 57-07 y de sus Regímenes Especiales, así como el Código Tributario, constituyen el marco regulatorio básico para incentivar y regular el desarrollo e inversión en proyectos que aprovechen cualquier fuente de energía renovable. En efecto, la aprobación de proyectos de desarrollo de producción de energía de fuentes fotovoltaicas recae directamente sobre la CNE. Aspectos Fiscales: La mencionada Ley No. 57-07, procura estimular los proyectos de inversión privada, desarrollados a partir de fuentes renovables de energía, por lo que se contempla como beneficio que la Dirección General de Impuestos Internos (DGII) ejecute todo tipo de exención de impuestos. Del mismo modo y dentro de los mismos beneficios, la Dirección General de Aduanas (DGA), ejecutará todo tipo de exención de impuestos arancelarios contemplados en la Ley No. 57-07, que mediante Resolución y/o Certificación apruebe la CNE, previa evaluación técnica y económica. Los interesados tienen derecho a descontar del Impuesto Sobre la Renta (ISR) o Renta Neta Imponible (RNI), hasta el 75% del costo de la inversión en equipos para sistemas de fuentes renovables, a fin de que se utilicen en la provisión del autoconsumo energético privado. La ley otorga un crédito fiscal del 75% de la inversión total de los equipos destinados al desarrollo del proyecto, durante un término de los primeros 3 años de la inversión (solamente). Esto debe reclamarse en tiempo oportuno ya que el referido crédito fiscal no es acumulativo ni transferible.
23
El mencionado crédito fiscal, será descontado o amortizado en los 3 años siguientes al ISR anual a ser pagado por el beneficiario del mismo, en proporción del 33.33%, siempre en base a la lista de equipos, partes, maquinarias y accesorios, contenidas en el listado de la Ley No. 5707. Existen incentivos generales a la producción y al uso de energía renovable, además de los ya mencionados, por lo que la exención se extiende a todo tipo de impuestos de importación (aranceles) a los equipos relacionados a proyectos de energía renovable, a favor de empresas y aún a personas individuales, bajo la condición que tales productos resulten necesarios o indispensables para la producción de energía de fuentes renovables. La CNE recomendará la exención de los impuestos de importación, beneficio que se contempla en un 100% sobre dichos impuestos. Este incentivo incluye también la importación de los equipos de transformación, transmisión e interconexión de energía eléctrica al Sistema Eléctrico Nacional Interconectado de la República Dominicana –SENI-.
3.7
Proyectos de Energía Renovable en la República Dominicana 1. Aeropuerto Internacional del Cibao, 3 Mega Watts. 2. Banco Popular, 50 Sucursales atreves de todo el país, 2.50 Mega Watts. 3. Estaciones de Combustible Total, 36 estaciones atreves de todo el país, 2.40 Mega Watts. 4. Kinnox, 1.50 Mega Watts. 5. Arrocera Galán 1.20 Mega Watts. 6. Industrias Macier, 1.10 Mega Watts. 7. Guidon, 1.0 Mega Watts. 8. Arrocera Agrocosa, 840 Kilo Watts. 9. Asociación Cibao, 20 Sucursales atreves de todo el país, 600 Kilo Watts. 24
10. MarĂtima Dominicana, 560 Kilo Watts.
25
CAPÍTULO VI GENERALIDADES DE TRACE INTERNACIONAL SRL
4.1
Antecedentes de Trace Internacional
Trace nace en 1986 producto de una necesidad constante y latente en República Dominicana: los apagones. Bajo el lema: “El Fin de los Apagones”, Trace ha evolucionado y se ha expandido, adaptándose a las nuevas exigencias de soluciones y servicios de sus clientes y del mercado. Desde el año 2009 y a raíz de la aprobación de la ley 57-07 sobre los Incentivos a las Energías Renovables, Trace pronosticó un gran auge en el país del uso de paneles fotovoltaicos a escala comercial y desde la fecha ha hecho grandes inversiones en entrenamiento de personal, participación en ferias, congresos nacionales e internacionales y visitas a diversos proyectos fotovoltaicos. Es así que, en el 2010, de Trace Internacional nace la división Trace Solar. Trace Solar, dispone de un departamento especializado para la gestión y tramitación de todos los permisos y cobro de subvenciones correspondientes a los beneficios de la Ley 57-07.
4.1.1 Misión Fomentar el uso de productos y soluciones energéticas eficientes que representen un ahorro significativo en el gasto eléctrico de nuestros clientes, contribuyendo a la vez a la protección del medio ambiente y a la competitividad empresarial a través de la calidad en el servicio y una sólida estructura informativa y tecnológica.
4.1.2 Visión Contando con un personal altamente entrenado y la representación de las empresas mejor calificadas del mundo, buscamos mantenernos como el mejor proveedor de productos y soluciones de energía renovable y eficiencia energética en la República Dominicana.
4.1.3 Valores
Flexibilidad: nos adaptamos con facilidad a nuevos entornos, requerimientos y necesidades de nuestros clientes, empleados y accionistas. Somos una empresa con 25
gran apertura y fluidez para responder con agilidad a los constantes cambios y tendencias del mercado.
Innovación: somos una empresa que promueve la creatividad y proactividad. Buscamos constantemente hacer las cosas de manera diferente para agregar valor a nuestros clientes a través de nuevos productos y servicios.
Escuchar la voz del cliente: conscientes de que el cliente es lo primero, tenemos una actitud de escucha y cuidado de nuestra relación con él para satisfacer y anticipar sus necesidades.
Enfoque en resultados: todas nuestras acciones y metas a corto y largo plazo buscan siempre maximizar el valor de la empresa para el accionista. Buscamos eficiencias de una manera constante en nuestras acciones del día a día, proyectos y procesos.
Desarrollo de Empleados: cuidamos nuestra gente. Reconocemos y apoyamos el desarrollo de nuestro personal a través de programas de entrenamiento continuo, involucramiento y un liderazgo participativo.
Pasión: somos apasionados con lo que hacemos y esto nos lleva a ser ágiles y actuar con sentido de urgencia y responsabilidad, cumpliendo con los compromisos asumidos con nuestros clientes.
Buen Ciudadano Corporativo: estamos comprometidos con nuestra sociedad y contribuimos con el desarrollo integral de nuestro país. Creemos en el liderazgo que se enseña con el ejemplo.
Integridad: como empresa y como personas actuamos con apego a la ley y a la ética empresarial con respeto de las diferencias.
26
4.2
Estructura Organizacional
27
Cartera de Servicios
4.3
4.4
Auditoría Energética Readecuaciones Eléctricas Cambios de tarifa Reacondicionamiento de Instalaciones solares existentes Aires Acondicionados Bombeo Solar Calentadores Solares Sistemas para automatización de Portones Corredizos Control de Acceso Nice Domótica Iluminación Eficiente Inversores y Baterías Sistemas de Paneles Fotovoltaicos Sistemas de Monitoreo Transformadores Turbinas Eólicas UPS
Modelo de Negocios
Trace Internacional es una empresa dedicada a ofrecer soluciones y servicios de alta calidad orientados a las energías renovables y la eficiencia energética. Líderes en el mercado en la fabricación y comercialización de inversores y baterías convencionales, existe el compromiso de ayudar a las personas, empresas e industrias a maximizar el uso de su energía de manera más segura, fiable y eficiente. Somos la empresa con más tiempo en el sector energético. Con de 10 sucursales alrededor del país y 30 años ofreciendo la mejor calidad del mercado. Como especialistas, Trace ha instalado más de 500 proyectos Fotovoltaicos Grid-Tie y Off-Grid en los últimos 4 años. Trace Solar es el líder absoluto en energía fotovoltaica en la República Dominicana, incluyendo la instalación más grande del país en auto consumo en el Aeropuerto Internacional del Cibao. 4.5
Entendimiento del Ambiente de TI
Estructura Organizacional de la Gerencia de Informática Los procesos de Tecnología de la Información (TI) de Trace Internacional son manejados a través de un Encargado del Departamento de TI, el cual reporta a la Gerencia General. La estructura organizacional incluye tres posiciones: 28
Encargado Departamento de TI (1) Encargado de Redes e Infraestructura de TI (1) Soporte de TI (1)
TI tiene asignado un presupuesto Anual de $RD1, 500.000.00, de los cuales $RD984, 000.00 son salarios y $RD516, 000.000
para cubrir las necesidades puntuales justificadas. Se está
trabajando en la elaboración de un Plan Operativo que contenga los objetivos de colaboración para la estrategia de negocio definida por la empresa.
4.5.1 Infraestructura Para el manejo de sus operaciones, Trace Internacional SRL utiliza una red Ethernet a través de la cual provee acceso a su sistema Dynamic, del proveedor Microsoft. Los módulos que se utilizan de este sistema son:
Ventas Servicios Contabilidad Nomina RR. HH
El sistema Dynamic está centralizado y el servidor que lo alberga está en la oficina principal. Microsoft SQL Server 2012 es el sistema de gestión de base de datos que utilizan para manejar dicho sistema. Trace Internacional tiene nueve (9) oficinas, incluyendo la principal que está ubicada en el Distrito Nacional. Las nueve (9) oficinas se comunican con la oficina principal por medio de Conectividad Virtual provista por la compañía Claro Dominicana, dicho servicio permite compartir recursos centralizados de tecnología de información de forma segura y confiable, e integrar Voz y Datos. La red está compuesta por aproximadamente 100 computadores, incluyendo 20 Laptops, y es contralada con un servidor marca DELL que utiliza Windows 2012 Server como plataforma. Utilizan un Firewall para controlar el acceso a Internet y protección perimetral de la red. En 29
las computadoras utilizan Windows 10 como sistema operativo y Microsoft Office como herramienta ofimática. La protección contra código malicioso la gestionan con la versión gratuita del software Antivirus Avira. No tienen la versión centralizada por lo que cada equipo gestiona la actualización de manera particular Trace internacional cuenta con dos enlaces de datos de Internet uno principal con una velocidad 100 MB /20 MB del proveedor ALTICE dominicana, además otro enlace de backup con una velocidad de 100 MB /20 MB del proveedor Claro Dominicana. Aplicaciones Software
Uso
Propietario
Plataforma
SQL Server 2012
Administrador de Base de Datos de Microsoft Aplicaciones, entre ellas Dynamics.
Windows Standard
Server
2012
Dynamics NAV 5.00
Sistema ERP manejador de los Microsoft recursos de la empresa.
Windows Standard
Server
2012
Asterisk 11.25.0
Sistema Manejador Telefónica IP.
Linux CentOS 7.1611
Trello
Sistema Basado en Web para el Kan Board Inc manejo de proyectos.
e-Gauge Alert
Sistema Basado en Web usado para medir la energía paneles solares y eGauge Systems UNIX energía consumida por el cliente en LLC tiempo real.
Central
Digium
Linux CentOS 7.1611
Tabla 1. Inventario de aplicaciones.
Lista de Inventario de Equipos Activos Hardware # Tipo de Hardware 1
Servidor Aplicaciones
Distribuidor de
Modelo
Entorno Ubicación
PowerEdgeTM 2950 Servidor rack Dell
mount de 8 núcleo
con 2 Físico
Data Center
sockets,12 GB RAM, 2 TB HDD
30
Lista de Inventario de Equipos Activos Hardware # Tipo de Hardware
Distribuidor
Modelo Entorno Ubicación PowerEdgeTM 2950 Servidor rack
2
Dell
mount de 8 núcleo
3
4
Servidor Base de Datos
Servidor de Dominio Primario
con 2 Físico
Data Center
sockets,16GB RAM, 4 TB HDD PowerEdgeTM 2950 Servidor rack Dell
mount de 8 núcleo con 2 sockets, Físico
Data Center
12GB RAM, 2TB HDD PowerEdgeTM 2950 Servidor
Servidor de Backup
Dell
rack mount de 8 núcleo
con 2 Físico
Data Center
sockets,16GB RAM, 5TB HDD Servidor de Archivos Servidor de Dominio
Virtualizados
Secundario 5
Servidor de Base Datos Servidor
de
Dell
Prueba
Servidor
en
Host
PowerEdgeTM 2950 Servidor rack Máquina mount de 8 núcleo con 2 sockets, Virtual
Data Center
32GB RAM, 6TB HDD
de
Aplicaciones 6
PC's
Dell
7
Switch Core
Cisco
8
Router de Voz IP
Cisco
9
Router de Internet
Cisco
10
Firewall
WatchGuard
11
Central IP Elastis
Dell
12
IP Telephone
Grandstream
Dell OptiPlex 9020 Desktop Catalyst
5000
GE-TX
Gigabit
Ethernet Cisco 2811 Integrated Services Router Cisco 2811 Integrated Services Router M470 IP Sec. Ips UTM VPN PowerEdge 2840 Servidor rack mount de 2 núcleo GXP 1625
N/A
Producción / Oficinas
N/A
Data Center
N/A
Data Center
N/A
Data Center
N/A
Data Center
Físico
Data Center
N/A
Producción / Oficinas
Tabla 2. Inventario de equipos.
4.5.2 Seguridad Física y Protección Ambiental El Centro de Datos de Trace Internacional SRL está ubicado en el segundo piso del edificio de la oficina principal. Tiene dos puertas de acceso, controladas por cerraduras y llaves convencionales, y que están bajo la custodia del Encargado de TI. Esta área no tiene cámaras 31
de seguridad, ni sistema automático para la detección y supresión de fuego. Cerca de las puertas, fuera del Centro de Datos, hay instalado en la pared un extintor convencional. La climatización del aire en el Centro de Datos es provista por una consola de 18,000 BTU. Los equipos de procesamiento y telecomunicaciones están conectados a una unidad UPS marca APC con sistema autónomo para 4 horas de uso.
4.5.3 Mantenimiento y Desarrollo de Sistemas Las solicitudes de cambios o corrección de errores del sistema Dynamic son realizadas por los encargados de los departamentos, analizadas por el departamento de TI y por últimos dichos requerimientos son realizados por el consultor externo en un ambiente de prueba en las instalaciones de Trace, probados por el analista de sistemas de trace y un representante de producción y luego puestas en el ambiente de producción por el departamento de tecnología. Existe un control de versiones de Dynamic en la empresa.
4.5.4 Continuidad de las Operaciones Trace International SRL no tiene un plan de recuperaciones de desastres debidamente definido y que, ante la ocurrencia de algún siniestro, le permita restablecer oportunamente las operaciones que son soportadas por sus recursos tecnológicos. El respaldo de la Base de Datos del sistema Dynamic se realizada diariamente en un Servidor de Respaldo y a los discos del propio Servidor de producción. Ninguno de los respaldos es sacado del edificio de la oficina principal de Trace
4.5.5 Evaluación del Control Interno Como parte del sistema de control interno, Trace Internacional no tiene personal de auditoría interna que se encargue de realizar evaluaciones periódicas del ambiente de control relacionado a los recursos y procesos de TI. 32
CAPÍTULO V DISEÑO DEL PLAN DE RECUPERACION
5.1
Análisis de Impacto Sobre el Negocio Trace Internacional
Nivel de Dependencia de Recurso
Descripción
Imprescindible
El proceso no puede realizarse en ausencia del recurso.
Esencial
El recurso es altamente recomendable para realizar el proceso. No obstante, ante una breve indisponibilidad existen métodos alternativos para realizar el proceso.
Suplementario
El recurso es utilizado en el proceso. Sin embargo, su indisponibilidad, incluso indefinida, no afecta la realización del proceso.
Fue realizado un Análisis de Impacto del Negocio (BIA, por sus siglas en inglés) para determinar el impacto sobre los procesos del negocio de Trace Internacional que tendría la indisponibilidad de los recursos de TI. Para los fines, con la colaboración del personal operativo de Trace Internacional, fueron identificados los procesos del negocio y los recursos que se utilizan para realizarlos. (Ver Anexo A Aspectos Evaluados para BIA). En adición, se definieron niveles de dependencia para representar lo necesario que es para el proceso cada uno de los recursos que son utilizados en él. A continuación, las definiciones de los Niveles de Dependencia de Recursos: Tabla 3. Niveles de dependencia recursos.
5.2
Procesos Críticos de Trace Internacional SRL
5.2.1 Gestión de Ventas El negocio de Trace Internacional inicia cuando un vendedor de productos o vendedor de proyectos capta la atención de un potencial Cliente para realizar una operación de negocios, hasta conseguir una venta efectiva de los productos o servicio de la empresa. Para los fines se requieren los siguientes recursos: 34
Recurso Computador Sistema Dynamic Central Telefónica Internet
Nivel de Dependencia Esencial Esencial Esencial Suplementario
Comentario
5.2.2 Gestión de Proyectos La Gerencia de Proyectos de Trace Internacional analiza la viabilidad del proyecto, luego su planificación detallada, seguido de su ejecución, posterior su seguimiento y control, por último, el cierre. Para los fines se requieren los siguientes recursos: Recurso Sistema Trello Email Internet Computador
Nivel de Dependencia Imprescindible Imprescindible Imprescindible Esencial
Comentario
5.2.3 Gestión de Servicios El Departamento de Servicios registra las solicitudes de los Clientes en el Sistema Dynamic y luego despacha de acuerdo al campo de acción y servicio. Para los fines se requieren los siguientes recursos: Recurso Computador Sistema Dynamic Central Telefónica Internet
Nivel de Dependencia Esencial Esencial Esencial Suplementario
Comentario
5.2.4 Monitoreo Generación Energía El Encargado de Monitoreo revisa en el Sistema e-Gauge la medición de energía que producen los paneles solares y la energía consumida por el cliente, todo en tiempo real. Para los fines se requieren los siguientes recursos: Recurso Sistema e-Gauge Alert Computador
Nivel de Dependencia Imprescindible Imprescindible
Comentario
35
Internet Correo Electrónico
Imprescindible Suplementario
5.2.5 Determinación del RTO, RPO y MTD Los datos para el RTO, RPO y MTD fueron obtenidos durante reuniones con los altos directivos de Trace Internacional SRL y los responsables de cada proceso. (Ver Anexo B Reunión Establecer Tiempos de RPO, RTO y MTD).
Tiempos Estimados de Inactividad Procesos del Negocio
MTD
RTO
RPO
Gestión de Ventas
>1 horas
30 min.
1 horas
Gestión de Servicios
2 horas
1 horas
2 horas
Gestión de Proyectos
>1 horas
30 min.
1 horas
Monitoreo Generación Energía
3 horas
2 horas
2 horas
Tabla 4. Tiempos estimados de inactividad.
Figura 2.0. RTO, RPO y MTD Fuente: Moh Heng, 2018.
36
Proceso
Gestión de Ventas
Uso
Diario
Gestión de Proyectos
Diario
Gestión de Servicios
Diario
Monitoreo Generación Energía
Diario
Sistema Interactúa
Equipo Necesario
Personal Critico
Suplidores
MTD
RTO
RPO
Gestores Microsoft, Ventas de Dell, Claro Dynamic Productos, Dominicana, < 1 horas 30 min. 1 horas Ventas de Altice Proyectos Dominicana Arquitectos, Trello Inc., Trello, PCs, Diseñadores Google Correo Conectivida < 1 horas 30 min. 1 horas Eléctricos, (Gmail), Institucional d Internet Fotovoltaico Claro PCs, Central Microsoft, Personal Dynamic 2 horas 1 hora 2 horas Telefónica, Dell, Técnico Conectivida Dominicana, eGauge Systems e-gauge PCs, Personal LLC. Alert, Conectivida Mediciones Google 3 horas 2 horas 2 horas Correo d Internet y Monitoreo (Gmail), Institucional Dominicana, Altice PCs, Central Telefónica, Conectivida d Internet
Costo Impacto H/ D/ M
Nivel de Criticidad
US$ 2,000.00 dólares por hora en promedio
1
US$ 2,000.00 dólares por hora en promedio US$ 1,000.00 dólares por hora en US$300.00 dólares por hora
1
2
3
Tabla 5. Matriz BIA.
37
Análisis de Riesgo en Trace Internacional S.R.L.
5.3
El Objetivo de este análisis es identificar y estimas los diferentes factores de riesgo que podrían afectar los procesos del negocio considerados en el alcance de este proyecto. Este apartado comprende la identificación y estimación de los riesgos como parte del análisis. De esta forma se pueden priorizar las acciones correctivas y su costo potencial desarrollando un plan de acción adecuado. (Matos Cuevas, Beriguete, Peña, 2015)
5.3.1 Objetivos Específicos:
Identificar los activos de TI de la organización.
Identificar de las posibles amenazas que pudieran impactar los activos.
Identificar las vulnerabilidades de los activos que pudieran ser explotadas por las referidas amenazas.
Valorar el impacto del riesgo sobre el negocio.
Determinar el nivel de riego al que están expuestos los activos.
Identificar los controles considerados apropiados para mitigar los riegos.
Proyectar el nivel del riesgo resultante después de implementados los controles propuestos.
5.3.2 Identificación de Amenazas Una amenaza es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información. Es decir, que podría tener un potencial efecto negativo sobre algún elemento de nuestros sistemas. Las amenazas pueden proceder de ataques (fraude, robo, virus), sucesos físicos (incendios, inundaciones) o negligencia y decisiones institucionales (mal manejo de contraseñas, no usar cifrado). Desde el punto de vista de una organización pueden ser tanto internas como externas. (Gómez Vieites, 2011)
38
La siguiente ilustración clasifica las distintas amenazas:
Figura 3. Clasificación de las amenazas. Fuente: Del Pino, 2007.
Dependiendo de la organización y el proceso analizado, serán aplicables distintos tipos de amenazas. Las amenazas tienen una probabilidad de ocurrencia que depende de la existencia de una vulnerabilidad que pueda ser explotada para materializarse en un incidente.
5.3.3 Criterios para la Determinación de la Probabilidad Trace Internacional SRL utilizó la siguiente escala de valoración para medir el nivel de riesgo:
Ocurrencias Anuales 3 ó más
Probabilidad Puntuación 4
Nivel Alto
2
3
Medio
1
1
Bajo
Tabla 6. Criterio probabilidad.
39
5.3.4 Criterios para la determinación del impacto Impacto Perdidas US$
Puntuación
Nivel
12,000 6,000 2,000
4 3 1
Devastadores Crítica Controlable
Tabla 7. Criterio impacto.
5.3.5 Análisis de desastres naturales Se examinaron cada amenaza potencial de desastre natural. Las amenazas de desastres naturales con mayor potencial son las siguientes:
Amenazas Naturales
Probabilida d
Impacto
1
3
4
3
2
3
Tornado Huracán / Tormenta-huracán Nivel Fuertes vientos Inundación
Consecuencias Para Trace
Interrupción eléctrica.
Daños a la infraestructura física y de TI. Interrupción eléctrica.
Daños a la infraestructura física y de TI. Interrupción eléctrica.
Daños a la infraestructura física y de TI.
Terremoto
1
3
Tormentas eléctricas
1
2
Incendio
2
4
Interrupción eléctrica.
Daños a la infraestructura física y de TI. Interrupción eléctrica.
Daños a la infraestructura física y de TI. Interrupción eléctrica.
Daños a la infraestructura física y de TI.
Tabla 8. Valoración amenazas naturales.
5.3.6 Análisis de las amenazas humanas 40
En esta parte se evalúan las potenciales amenazas, pero en el ámbito humano, cuales son los posibles escenarios donde un proceso de la empresa se puede ver afectado por una interrupción causada en base a una amenaza humana.
Amenazas Humanas
Probabilidad
Impacto
Consecuencias Para Trace
Incendio Provocado
1
4
Interrupción eléctrica. Daños a la infraestructura física y de TI.
Robo
2
3
Perdida de información que puede ser sensible para la empresa, puede dañar su reputación.
Huelgas
1
1
Ausentismo del personal
Acto Sabotaje
1
3
Nunca se ha presentado esta situación, pero su impacto dependerá de la gravedad.
Acto Terrorismo
1
3
No han tenido un acto de este tipo en la República Dominicana hace ya muchos años.
Tabla 9. Valoración amenazas humanas.
5.3.7 Análisis de las amenazas de terceros En esta sección se detallan las principales amenazas que tienen su origen en entidades proveedoras de servicios y/o facilidades de las que se sirve Trace Internacional.
Amenazas Terceros
Probabilida d
Impact o
Suspensión de Energía Eléctrica.
3
3
Suspensión del Suministro de Agua.
3
1
Crimen Cibernético
3
4
Interrupción Servicios de Comunicaciones.
2
3
Consecuencias Para Trace Incremento de los costos de operación. Indisponibilidad de recursos de TI, en caso de interrupciones prolongadas. Ausentismo del personal debido a la afectación de la higiene de las áreas (ejemplo: Baños). Indisponibilidad de los sistemas de información. Perdida de información o registros de datos. Indisponibilidad de comunicación telefónica con clientes y relacionados. Indisponibilidad del servicio de Internet.
Tabla 10. Valoración amenazas a instalaciones.
41
5.3.8 Análisis de incidentes serios con los sistemas de información Los escenarios con mayor posibilidad que podrían afectar a la empresa en caso de que suceda un incidente con los Sistemas de Información son los siguientes: Incidentes
Probabilidad
Impacto
Consecuencias Para Trace
Falta de Conocimiento y Formación de Empleados
Revelación de Información Sensible
Ataques Internos
3
2
3
4
Indisponibilidad de los sistemas de información. Perdida de información o registros de datos. Revelación de información sensible.
Daños a la imagen de la empresa y
pérdida de reputación.
2
4
Problemas legales.
Indisponibilidad de los sistemas de información. Perdida de información o registros de
datos. Tabla 11. Valoración incidentes sistemas de información.
5.3.9 Resultados del análisis de riesgo En este aparato se muestran y describen los resultados de los datos obtenidos durante el análisis de riego efectuado a las áreas de mayor incidencia sobre la funcionabilidad de los procesos críticos documentados en el BIA, estas áreas corresponden a infraestructura, redes y comunicaciones. Se utilizan tablas y gráficos para representar la información procesada correspondiente a los riesgos sobre los activos de información del área evaluada.
42
Tabla 12. Riesgos de la Central Telefónica IP.
Riesgo Potencial
Riesgo Residual
Alto
20%
10%
Medio
70%
5%
Bajo
10%
85%
Fuente: Anexo C Matriz de riesgo central telefónica.
Gráfico I. Riesgos Central Telefónica.
85%
90% 80%
70%
70% 60%
Alto Medio Bajo
50% 40% 30% 20%
20% 10%
10% 0%
Riesgo Potencial
10%
5%
Riesgo Residual
Fuente: Anexo C Matriz de riesgo central telefónica.
Los resultados de la investigación indican que en los riesgos potenciales de la Central Telefónica existe un 20 % de riesgo en nivel alto, 70% de riesgo con nivel medio y 10 % con nivel bajo. Después de evaluar el efecto de los controles, el riesgo residual indica que el 10% está en altos niveles de riesgos, solo el 5% de los riesgos está en un nivel medio y el restante 85% se encuentre en un nivel bajo.
43
Tabla 13. Riesgo Servidor Base Datos.
Riesgo Potencial
Riesgo Residual
Alto
42%
5%
Medio
47%
32%
Bajo
11%
63%
Fuente: Anexo D Matriz de riesgo servidor base datos.
Gráfico II. Riesgo Servidor Base Datos.
Fuente: Anexo D Matriz de riesgo servidor base datos.
Los resultados de la investigación indican que los riesgos potenciales del Servidor de Base Datos están en 42 % de riesgo en nivel alto, 47% de riesgo con nivel medio y 11 % con nivel bajo. Después de evaluar el efecto de los controles, el riesgo residual indica que el 5% está en altos niveles de riesgos, solo el 32% de los riesgos está en un nivel medio y el restante 63% se encuentre en un nivel bajo.
44
Tabla 14. Riesgo Servidor Aplicaciones.
Riesgo Potencial
Riesgo Residual
Alto
31%
6%
Medio
50%
31%
Bajo
19%
63%
Fuente: Anexo E Matriz de riesgo servidor aplicaciones.
Gráfico III. Riesgo Servidor Aplicaciones.
Fuente: Anexo E Matriz de riesgo servidor aplicaciones.
Los resultados de la investigación indican que los riesgos potenciales del Servidor de Aplicaciones están en 31% del nivel alto, 50% con nivel medio y 19% nivel bajo. Después de evaluar el efecto de los controles, el riesgo residual indica que el 6% está en altos niveles de riesgos, solo el 31% de los riesgos está en un nivel medio y el restante 63% se encuentra en un nivel bajo.
45
Tabla 15. Riesgo Servidor Archivos.
Riesgo Potencial
Riesgo Residual
Alto
20%
7%
Medio
53%
33%
Bajo
27%
60%
Fuente: Anexo F Matriz de riesgo servidor archivos.
Gráfico IV. Riesgo Servidor Archivos.
Fuente: Anexo F Matriz de riesgo servidor archivos.
Los resultados de la investigación establecen que el 20% de los riesgos potenciales se encuentran en el nivel alto, de igual forma un 53% en el nivel medio y 27% está en el nivel bajo. Después de evaluar el efecto de los controles, el riesgo residual indica que el 7% está en altos niveles de riesgos, solo el 33% de los riesgos está en un nivel medio y el restante 60% se encuentre en un nivel bajo.
46
Tabla 16. Riesgo Servidor DNS Principal.
Riesgo Potencial
Riesgo Residual
Alto
44%
6%
Medio
38%
31%
Bajo
19%
63%
Fuente: Anexo G Matriz de riesgo servidor DNS principal.
Gráfico V. Riesgo Servidor DNS Principal.
Fuente: Anexo G Matriz de riesgo servidor DNS principal.
Los resultados de la investigación establecen que el 13% de los riesgos potenciales se encuentran en el nivel alto, de igual forma un 56% en el nivel medio y 31% está en el nivel bajo. Después de evaluar el efecto de los controles, el riesgo residual indica que el 6% está en altos niveles de riesgos, solo el 31% de los riesgos está en un nivel medio y el restante 63% se encuentre en un nivel bajo.
47
Tabla 17. Riegos de los Servicios de Internet
Riesgo Potencial
Riesgo Residual
Alto
33%
9%
Medio
42%
33%
Bajo
25%
58%
Fuente: Anexo H Matriz de riesgo servicios de internet.
Gráfico VI. Riegos de los Servicios de Internet
58% 60% 50% 40%
42% 33%
33% 25%
30% 20%
Alto Medio Bajo
8% 10% 0%
Riesgo Potencial
Riesgo Residual
Fuente: Anexo H Matriz de riesgo servicios de internet.
Los resultados de la investigación establecen que el 33% de los riesgos potenciales se encuentran en el nivel alto, de igual forma un 42% en el nivel medio y 25% está en el nivel bajo. Después de evaluar el efecto de los controles, el riesgo residual indica que el 9% está en alto nivel de riesgos, solo el 33% de los riesgos está en un nivel medio y el restante 58% se encuentre en un nivel bajo.
48
Evaluación de contramedidas
5.4
5.4.1 Medidas para optimizar el suministro de energía redundante:
Priorizar los servicios que requieran el uso de energía redundante.
Crear mecanismos para el ahorro de energía cuando se esté usando el UPS o los generadores.
Analizar los requerimientos de potencia actuales y futuros.
Determinar el tiempo máximo de respaldo de energía requerido.
Establecer políticas de mantenimiento para las unidades de energía redundante.
Garantizar soporte técnico (antes, durante y después de la instalación los generadores y UPS).
5.4.2 Controles para el acceso a la información:
Crear y mantener perfiles de seguridad para todos los usuarios con base en sus roles y responsabilidades.
Establecer mecanismos de autentificación eficientes para el acceso a sistemas críticos.
Limitar el acceso del usuario a únicamente a los recursos que requiere para desarrollar su trabajo.
Revisar los derechos de acceso de usuarios periódicamente.
Instalar mecanismos que limiten el número de intentos fallidos para autenticarse en el sistema.
49
Establecer una longitud mínima de password, así como la combinación de letras mayúsculas y minúsculas, números y signos.
Solicitar a todos los usuarios firmar un acuerdo de uso apropiado antes de que tengan acceso al equipo, red y sus recursos.
5.4.3 Medidas para ser tomadas en cuenta en las instalaciones durante la temporada ciclónica y ante la llegada de la misma:
Realizar inspecciones minuciosas de las instalaciones físicas y los alrededores y preparar un informe detallado sobre todo aquello que requiera reparación para corregir toda deficiencia que pueda representar un riesgo para la vida humana y la propiedad.
Determinar la necesidad de planchas de metal o paneles protectores para asegurar áreas vulnerables en las instalaciones.
Monitorear los boletines de la oficina nacional de meteorología y otras fuentes oficiales.
Informar al personal para que se mantenga en estado de alerta y, de creerlo necesario, permitir regresar a sus hogares a todo el personal que no tenga asignaciones dentro del plan de emergencia de la empresa.
Proveer orientación al personal que está laborando sobre de contingencia a seguir en caso de ser impactados.
Desconectar los interruptores de energía eléctrica.
Mover el equipo electrónico a áreas que estén lejos de las ventanas, colocarlo sobre escritorios u otros muebles y cubrirlo con material impermeable.
Colocar paneles de huracanes en las ventanas y puertas de cristal según estén disponibles. 50
5.5
Desarrollo de estrategias de recuperación ante desastres
En este apartado se detallan los aspectos que involucran el desarrollo de las estrategias de recuperación antes desastres en trace Internacional, de acuerdo a los posibles escenarios planteados. La estrategia seleccionada deberá garantizar la restauración de los procesos afectados en los tiempos determinados por el BIA.
5.5.1 Escenarios de Desastres Escenario de Desastre
Escenari o1 Escenari o2
Descripción del Riesgo
Que el Sistema Dynamic no esté disponible. Que la Central Telefónica no esté disponible para contactar a los Clientes y que estos contacten a Trace.
Escenari o3
Que el Servidor de Dominio Principal no esté disponible.
Escenari o4
Que el Servidor de Base de Datos no esté disponible.
Escenari o5 Escenari o6
Que el Servidor de Aplicaciones no esté disponible. Que el enlace de datos contratado con CLARO Dominicana no esté disponible para acceder a Internet.
Escenari o7
Que el Correo Institucional no esté disponible.
Escenari o8
Que el Sistema de Monitoreo Energético e-Gauge Alert no esté disponible.
Proceso Impactado Gestión de Ventas Gestión de Servicios Gestión de Ventas Gestión de Servicios
Gestión de Ventas Gestión de Servicios Gestión de Proyectos Monitoreo de Generación de Energía Gestión de Ventas Gestión de Servicios Gestión de Ventas Gestión de Servicios Gestión de Proyectos Monitoreo de Generación de Energía
Gestión de Proyectos Monitoreo de Generación de Energía Monitoreo de Generación de Energía
51
Escenari o9
Pérdida total Instalaciones.
de
las
Gestión de Ventas Gestión de Servicios Gestión de Proyectos Monitoreo de Generación de Energía
Tabla 18. Escenarios de desastres.
52
Estrategia de Recuperación Estrategia 1
Escenario de Desastre Relacionado Escenario 1
Descripción de la Estrategia de Recuperación a. El Encargado de Ventas y/o Servicios confirmaraá la situacioá n de desastre, comunicaraá al Gerente Comercial y al Encargado de TI la situacioá n de desastre.
Tiempo Respuest a 1 hora
b. El Encargado de TI junto a su personal verificaraá n la causa del desastre y gestionaraá la oportuna solucioá n del mismo. c. El Encargado de TI posteriormente notificaraá al Gerente Comercial sobre las razones que dieron origen al desastre y las acciones correctivas para su solucioá n. d. El Encargado de Ventas procederaá con el registro de las ventas en una plantilla electroá nica, de igual forma las cotizaciones y notas de creá ditos. e. El Encargado de Servicios procederaá con el registro, usando oá rdenes provisionales preimpresas, usando una plantilla electroá nica. f.
Una vez los Encargados de Ventas y Servicios notifiquen al Gerente Comercial la plena funcionabilidad de los Moá dulos del Sistema Dynamic, se procederaá a introducir en el Sistema los registros de la plantilla electroá nica de las ventas, las cotizaciones, las notas de creá ditos y las ordenes de servicios, luego se levantara el llamado a contingencia de TI.
53
Estrategia de Recuperación Estrategia 2
Escenario de Desastre Relacionado Escenario 2
Descripción de la Estrategia de Recuperación a. El personal de Trace Internacional que confirme la situacioá n de desastre notificaraá al Gerente Comercial y al Encargado de TI.
Tiempo Respuest a 1 hora
b. El Encargado de TI junto a su personal verificaraá n la causa del desastre y gestionaraá la oportuna solucioá n del mismo. c. El Encargado de TI Posteriormente notificaraá al Gerente Comercial sobre las razones que dieron origen al desastre y las acciones correctivas para su solucioá n. d. El personal de las aá reas de ventas y de servicios que poseen Flotas de Trabajo procederaá n a su uso, se activaraá n planes de minutos adicionales de ser necesario. e. El Encargado de TI pondraá en marcha Servidor Asterix Virtualizado con el uá ltimo Backup de la Central Telefoá nica. f.
Estrategia 3
Escenario 3
Confirmaraá al personal de Trace Internacional para la realizacioá n de una prueba de conexioá n. Confirmada la conexioá n notificaraá al Gerente General para que se levante el llamado a Contingencia de TI.
a. El personal de Trace Internacional
1 hora 54
Estrategia de Recuperación
Escenario de Desastre Relacionado
Descripción de la Estrategia de Recuperación
Tiempo Respuest a
que confirme la situación de desastre notificará al Encargado de TI. b. El Encargado de TI junto a su personal verificarán la causa del desastre y gestionará la oportuna solución del mismo. c.
El Encargado de TI posteriormente notificará al Gerente Comercial sobre las razones que dieron origen al desastre y las acciones correctivas para su solución.
d. El Encargado de Ventas procederá con el registro de las ventas en una plantilla electrónica, de igual forma las cotizaciones y notas de créditos. e. El Encargado de Servicios procederá con el registro usando órdenes provisionales preimpresas usando una plantilla electrónica. f.
El Encargado de TI y su personal pondrá en funcionamiento el Servidor Secundario de Dominio Virtual correspondiente al Servidor físico afectado, antes se establecen los mecanismos de prueba para poner el Servidor Secundario de Dominio en Producción.
g. Una vez los Encargados de Ventas y Servicios notifiquen al Gerente Comercial la plena funcionabilidad de los Módulos del Sistema Dynamic, se procederá a introducir en el Sistema los registros de la plantilla electrónica de las ventas, las cotizaciones, las
55
Estrategia de Recuperación
Escenario de Desastre Relacionado
Descripción de la Estrategia de Recuperación
Tiempo Respuest a
notas de créditos y las ordenes de servicios, luego se levantará el llamado a contingencia de TI.
56
Estrategia de Recuperació n Estrategia 4
Escenario de Desastre Descripción de la Estrategia de Relacionad Recuperación o Escenario a. El Encargado de Ventas y/o Servicios Informara la situación del desastre, al 4
Tiempo Respuest a 1 hora
Gerente Comercial y al Encargado de TI.
b. El Encargado de TI junto a su personal verificarán la causa del desastre y gestionará la oportuna solución del mismo. c. El Encargado de TI posteriormente notificará al Gerente Comercial sobre las razones que dieron origen al desastre y las acciones correctivas para su solución. d. El Encargado de Ventas procederá con el registro de las ventas en una plantilla electrónica, de igual forma las cotizaciones y notas de créditos. e. El Encargado de Servicios procederá con el registro usando órdenes provisionales preimpresas usando una plantilla electrónica. f.
El Encargado de TI y su personal pondrá en funcionamiento el Servidor de Base de Datos Virtual correspondiente al Servidor físico afectado.
g. Una vez puesto en funcionamiento el Servidor de Base de Datos Virtual el Encargado de TI procederá a cargar el backup de la ultima hora de transacciones y verificará aquellas transacciones que se perdieron después de realizarse dicho backup. h. El Encargado de Ventas y el Encargado de Servicios junto a su personal procederán a cargar de nuevo en el sistema las transacciones perdidas al momento del desastre. i.
Una vez los Encargados de Ventas y Servicios notifiquen al Gerente Comercial la plena funcionabilidad de los Módulos del Sistema Dynamic, se procederá a introducir en el Sistema los registros de la plantilla electronica de las ventas, las cotizaciones, las notas de créditos y las ordenes de servicios, luego se levantara el llamado a
57
Estrategia de Recuperaciรณ n
Escenario de Desastre Relacionad o
Descripciรณn de la Estrategia de Recuperaciรณn
Tiempo Respuest a
contingencia de TI
58
Estrategia de Recuperació n Estrategia 5
Escenario de Desastre Relacionado Escenario 5
Descripción de la Estrategia de Recuperación a. El Encargado de Ventas y/o Servicios Informaraá la situacioá n del desastre, al Gerente Comercial y al Encargado de TI.
Tiempo Respuest a 1 hora
b. El Encargado de TI junto a su personal verificaraá n la causa del desastre y gestionaraá la oportuna solucioá n del mismo. c. El Encargado de TI posteriormente notificaraá al Gerente Comercial sobre las razones que dieron origen al desastre y las acciones correctivas para su solucioá n. d. El Encargado de Ventas procederaá con el registro de las ventas en una plantilla electroá nica, de igual forma las cotizaciones y notas de creá ditos. e. El Encargado de Servicios procederaá con el registro usando oá rdenes provisionales preimpresas. f.
El Encargado de TI y su personal pondraá en funcionamiento el Servidor de Aplicaciones Virtual correspondiente al Servidor fíásico afectado, antes se establecen los mecanismos de prueba para poner el Servidor Secundario de Dominio en Produccioá n.
g. Una vez los Encargados de Ventas y Servicios notifiquen al Gerente Comercial la plena funcionabilidad de los Moá dulos del Sistema Dynamic, se procederaá a introducir en el
59
Estrategia de Recuperaciรณ n
Escenario de Desastre Relacionado
Descripciรณn de la Estrategia de Recuperaciรณn
Tiempo Respuest a
Sistema las plantillas electroรก nica de las ventas, las cotizaciones, las notas de creรก ditos y las ordenes de servicios, luego se levantara el llamado a contingencia de TI.
60
Estrategia de Recuperació n Estrategia 6
Escenario de Desastre Relacionado Escenario 6
Descripción de la Estrategia de Recuperación a. El personal de Trace Internacional que confirme la situación de desastre notificará al Encargado de Proyectos y al Encargado de TI.
Tiempo Respuesta 1 hora
b. El Gerente de TI confirmará la situación y verificará que el segundo enlace a Internet está gestionando la conectividad que no ha provisto el primer enlace. c. Confirmará al personal de Trace Internacional para la realización de una prueba de conexión. Confirmada la conexión notificará al Gerente General para que se levante el llamado a Contingencia de TI. d. En el caso de que ninguna de los dos enlaces a Internet funcione, el Gerente de TI gestionará que las computadoras asociadas a procesos del negocio de Trace Internacional sean configuradas para que accedan a Internet mediante los enlaces de datos de los celulares del Trace Internacional.
61
Estrategia de Recuperació n Estrategia 7
Escenario de Desastre Relacionado Escenario 7
Descripción de la Estrategia de Recuperación a. El personal de Trace Internacional que confirme la situacioá n de desastre notificaraá al Encargado de TI.
Tiempo Respuesta 1 hora
b. El Encargado de TI confirmaraá la situacioá n y evaluaraá si la situacioá n se debe a razones internas (Trace Internacional / Merit Designs) y gestionaraá la oportuna solucioá n de la causa del desastre. En caso de que su desastre tenga su origen en problemas con la plataforma de Central de Correos GSuite, el Encargado de TI notificara al Director General y ambos solicitaran al Proveedor de G-Suite la oportuna solucioá n del desastre c. El Encargado de TI, en representacioá n del Director General, daraá seguimiento a la solucioá n del caso de desastre y comunicaraá sobre los plazos de solucioá n antes de llegar a alguá n incumplimiento regulatorio. d. Una vez el proceso de negocio sea realizado de manera normal y el Gerente de TI informe al Gerente General de Trace Internacional la solucioá n definitiva de las causas del desastre, se levantaraá el llamado a Contingencia de TI.
62
Estrategia de Recuperació n Estrategia 8
Escenario de Desastre Relacionado Escenario 8
Descripción de la Estrategia de Recuperación a. El Encargado de Monitoreo confirme la situacioá n de desastre notificaraá al Gerente de Energía Solar y al Encargado de TI.
Tiempo Respuesta 2 hora
b. El Encargado de TI evaluaraá si la situacioá n se debe a razones internas (Trace Internacional) y gestionaraá la oportuna solucioá n de la causa del desastre. En caso de que el desastre tenga su origen en problemas propios de la Plataforma de Monitoreo eGauge Alert, el Encargado de TI notificaraá al Gerente de Energía Solar para que solicite al Proveedor de la Plataforma de Monitoreo la oportuna solucioá n del desastre. c. El Encargado de Monitoreo y el Encargado de TI, daraá n seguimiento a la solucioá n del caso de desastre y comunicaraá sobre los plazos de solucioá n antes de llegar a alguá n incumplimiento regulatorio del Cliente. d. Una vez se obtenga confirmacioá n por parte de los representantes de procesos de negocio en Trace Internacional, el
63
Estrategia de Recuperació n
Escenario de Desastre Relacionado
Descripción de la Estrategia de Recuperación
Tiempo Respuesta
Encargado de TI y el Encargado de Monitoreo, de que la Plataforma de Monitoreo e-Gauge Alert opera satisfactoriamente, el Gerente General levantaraá el llamado a Contingencia de TI. Tabla 19. Estrategias de recuperación
5.5.2 Estrategia 9: recuperación por medio de Hot Site Para el desarrollo de esta estrategia hemos considerado apropiado la recuperación por medio de un Hot Site en la modalidad de Colocación, el cual consistirá en alojar los equipos Informáticos y/o de Comunicaciones de Trace Internacional en un Gabinete, al cual se le proveerá en forma segura alimentación eléctrica, climatización y acceso a conectividad.
5.5.3 Selección del Hot Site Se evaluaron tres proveedores de soluciones de Hot Site bajo la modalidad de Colocación existentes en la República Dominicana, de los cuales sugerimos la compañía llamada Claro Dominicana, la cual su Data Center está ubicado en la Autopista Duarte Km 13 Alameda Santo Domingo Oeste República Dominicana. Además del acuerdo del Hot Site con Claro Dominicana, es necesario una línea de comunicación dedicada de fibra óptica con, de modo que si la existente dejase de funcionar la sugerida tomase el control y las comunicaciones no se afectarían. Tabla 20. Proveedores de Hotsite Locales.
Proveedor
Servicio
Localidad
Costo Total Mensual
Claro Dominicana
Hot Site
Santo Domingo US$ 615.96
NAP del Caribe
Hot Site
Santo Domingo US$ 800
GBM
Hot Site
Santo Domingo US$ 800
64
5.5.4 Características Hot Site Claro Dominicana El Gabinete estará ubicado en un recinto con Sistemas de Seguridad que contemplan:
Controles para el acceso. Climatización permanente entre 18º - 22º con una humedad relativa de 50 %. Vigilancia del recinto mediante sistemas de cámaras. Sistema de extinción automático/manual basado en la inundación total (Gas FE-13) de la sala.
Suelo técnico antiestático.
Las condiciones de seguridad, precedentemente mencionadas, aplican de la misma forma al edificio, en donde se encuentra el recinto previamente descripto. Los sistemas cuentan con la redundancia y operación 7x24 adecuada para prestar los servicios con alta disponibilidad.
5.5.5 Requerimientos de hardware y software implementación estrategia 9 Para el desarrollo de esta estrategia es necesario la virtualización de los servidores físicos que se utilizan actualmente, estos estarían alojados virtualmente en un solo host principal y utilizarían un sistema de almacenamiento externo conectado por fibra óptica. La tabla 20 muestra la infraestructura actual y la infraestructura propuesta. Infraestructura Actual
Infraestructura Propuesta
Modelo
Tipo de Hardware
Servidor de Aplicaciones
PowerEdgeTM 2950 Servidor rack mount de 8 núcleo con 2 sockets,12 GB RAM, 2 TB HDD
Servidor Host para Virtualización
HP ProLiant DL380 G9 16 núcleos con 2 sockets Intel Xeon E5-2640., 64 GB RAM 1TB HDD
Servidor Base de Datos
PowerEdgeTM 2950 Servidor rack mount de 8 núcleo con 2 sockets,16GB RAM, 4 TB HDD
Almacenamiento
SAM 12 TB (4x3TB) EMC VNXe3200.
Servidor de Dominio Primario
PowerEdgeTM 2950 Servidor rack mount de 8 núcleo con 2 sockets, 12GB RAM, 2TB HDD
N/A
Software para Virtualizar VMWare vSphere 6 Standard for 1 Processor.
Servidor de Backup
PowerEdgeTM 2950 Servidor rack mount de 8 núcleo con 2 sockets,16GB RAM, 5TB HDD
N/A
Conectividad línea de conectividad dedicada con redundancia de 3Mps, TraceClaro Dominicana.
Tipo de Hardware
Modelo
65
Servidor de Archivos Servidor de Dominio Secundario Servidor de Base Datos Servidor de Aplicaciones Servidor de Prueba
Virtualizados en Host Switch de PowerEdgeTM 2950 Servidor Conectividad rack mount de 8 núcleo con 2 sockets, 32GB RAM, 6TB HDD
WS-C2960X-24TS-L Catalyst 2960-X Switch Catalyst 2960-X 24 GigE, 4 x 1G SFP, LAN Base
Tabla 21. Infraestructura actual vs infraestructura propuesta.
La Herramienta de Virtualización que se sugiere es vSphere de VMWare, esta selección está basada en que esta herramienta posee un alto grado de madurez por su tiempo en el mercado y el nivel de aceptación que tiene como solución de líder en virtualización. VMWare posee una herramienta exclusiva para recuperación de desastres llamada VCenter Site Recovery Manager, la cual automatiza actividades relacionadas a planes de recuperación centralizados de las máquinas virtuales que convivan dentro del ambiente virtual. La figura 4 muestra el esquema de recuperación que a utilizar entre Trace International y Claro Dominicana.
Figura 4. Esquema de recuperación.
Se usarán dos Servidores Host y dos Sistemas de Almacenamiento SAM, uno en el sitio principal de Trace y otro en Claro Dominicana, ambos replicados por el sistema de almacenamiento. 66
5.5.6 Cómo funciona la virtualización En resumen, la virtualización facilita el despliegue de aplicaciones, evita la proliferación de servidores mediante la consolidación de los mismos, (VMWare, s.f.). Por lo tanto, elimina la necesidad de la expansión de un centro de datos. Sus principales ventajas son:
Reducción de Costos, Reducción de Puntos de Falla, Administración Simplificada y Centralizada, Crecimiento Flexible, Reducción de Tiempos de Parada, Incremento del Desempeño (Mejor Gestión de Recursos)
Figura 5. Arquitectura tradicional vs arquitectura virtual.
5.5.7 Productos de plataformas virtuales Entre los principales productos que se encuentran en el mercado para virtualización tenemos los siguientes:
VMWare: vSphere 6.0 Microsoft: Hyper-V 2012 Citrix: XenServer 6.2 RedHat: RHEV 3.2
67
Figura 6. Resumen comparación productos virtualización.
Desarrollo estrategia de recuperación por medio de Hot Site.
5.6
En este apartado se detallan los procedimientos que se utilizarán para la recuperación ante un desastre que provoque la pérdida las instalaciones en Trace Internacional SRL.
5.6.1 Objetivos Los objetivos trazados son los siguientes:
Definir los equipos de trabajo necesarios para el desarrollo de la estrategia.
Establecer responsabilidades y funciones de cada uno de los equipos de trabajo.
Identificar dependencias orgánicas entre los diferentes equipos.
Desarrollar de los procedimientos de alerta y actuación ante eventos que puedan activar la estrategia.
Definir Los procedimientos de actuación ante incidentes.
Establecer estrategia de vuelta a la normalidad.
68
5.6.2 organización de los equipos En esta parte se procederá a la organización de los equipos formados por la Alta Gerencia de Trace Internacional SRL, estos se encargarán de gestionar la estrategia de recuperación por medio del Hot Side. Cada equipo tiene unas funciones y procedimientos que tendrán que desarrollar en las distintas fases de la estrategia.
5.6.3 Organigrama de los equipos:
5.6.4 Equipo de Respuesta a Emergencias Listado de integrantes del equipo Responsable del Equipo
Nombre: Posición: Director General Teléfono Móvil: Teléfono Residencia:
69
Nombre: Posición: Gerente de Operaciones Teléfono Móvil: Teléfono Residencia:
Miembros del Equipo
Nombre: Posición: Encargado de TI Teléfono Móvil: Teléfono Residencia: Nombre: Posición: Encargado de Recursos Humanos Teléfono Móvil: Teléfono Residencia:
Una vez confirmada la situación de desastre el equipo de respuesta a emergencias deberá reunirse para afrontar la situación y comunicar a los responsables de los equipos el inicio de la estrategia de recuperación. El punto de reunión será la residencia del Director del General y como segunda opción se usará la residencia del Gerente de Operaciones.
5.6.5 Equipo de recuperación Listado de integrantes del equipo
70
Nombre: Posición: Encargado de TI Teléfono Móvil: Teléfono Residencia: Responsabilidades: Coordinar el Personal de TI. Nombre: Posición: Soporte de TI Teléfono Móvil: Teléfono Residencia: Responsabilidades: Verificar el funcionamiento de las Aplicaciones y soporte en general. Miembros del Equipo
Nombre: Posición: Encargado Infraestructura Teléfono Móvil: Teléfono Residencia: Responsabilidades: Verificar el correcto funcionamiento de los Servidores, redes y conectividad. Nombre: Posición: DBA Teléfono Móvil: Teléfono Residencia: Responsabilidades: Verificar la integridad de la Base de Datos y su correcto funcionamiento.
El equipo de recuperación de Trace Internacional SRL es el autorizado a ejecutar todo el proceso de recuperación para reponer los servicios en las facilidades Claro Dominicana, para ello se realizarán los ejercicios siguientes:
El equipo se transportará al centro de respaldo ubicado Autopista Duarte Km 13 Alameda Santo Domingo Oeste República Dominicana. Se pondrán en marcha por orden de criticidad los sistemas que soportan la empresa.
Para la puesta en marcha de los sistemas se tomará como parámetro el orden de priorización de los sistemas críticos, establecidos en el BIA.
Confirmación y operatividad de los servicios restaurados.
5.6.6 Equipo de coordinación logística
71
Listado de integrantes del equipo Nombre: Posición: Gerente de Finanzas Teléfono Móvil: Teléfono Residencia: Integrantes del Equipo
Nombre: Posición: Gerente de Calidad Teléfono Móvil: Teléfono Residencia:
El equipo de coordinación logística de Trace Internacional será el responsable de todo lo concerniente a:
Atender las necesidades logísticas del personal de la organización involucrados en la estrategia de recuperación mediante el Hot Side. (Transporte de personas, transporte de materiales, etc.)
Gestionar el suministro de comida al personal implicado.
Contactar con los proveedores de la organización para solicitar material necesario que indiquen los responsables de la recuperación.
5.6.7 listado proveedores tecnología de Trace Internacional SRL Claro Dominicana Altice Dominicana Dell eGauge Systems LLC. eSouce Capital Cecomsa
Nombre de Contacto: Teléfono: Nombre de Contacto: Teléfono: Nombre de Contacto: Teléfono: Nombre de Contacto: Teléfono: Nombre de Contacto: Teléfono: Nombre de Contacto: Teléfono: Nombre de Contacto: Teléfono:
5.6.8 Equipo de relaciones públicas
72
Listado de integrantes del equipo. Nombre: Posición: Coordinadora de Recursos Humanos Teléfono Móvil: Teléfono Residencia: Integrantes del Equipo Nombre: Posición: Encargada de Contabilidad Teléfono Móvil: Teléfono Residencia:
Este equipo será responsable de comunicación una vez activado el plan, para ello se utilizará el formato usado por Trace Internacional para la difusión de información a los afectados.
5.6.9 Equipo de unidades de negocios Listado de integrantes del equipo.
Nombre: Posición: Gerente de Ventas Teléfono Móvil: Teléfono Residencia: Integrantes del Equipo Nombre: Posición: Director de Proyectos Teléfono Móvil: Teléfono Residencia:
Equipo responsable de probar los procesos críticos y reportar en caso de anomalías.
5.6.10
Acciones de la estrategia de recuperación usando Hot Site
73
En esta parte se muestran las acciones a tomar por parte de los equipos durante la ejecución de la estrategia de recuperación usando Hot Site.
Figura 7. Acciones en el desarrollo de la estrategia usando Hot Site.
5.6.11
Respuesta ante el Desastre
Una vez haya ocurrido el desastre el equipo de respuesta a emergencia evaluará la situación con toda la información del incidente y luego, se ventilará si se activa o el llamado a contingencia. El siguiente checklist muestra la lista de actividades que se realizarán durante este proceso:
Checklist #1 74
Responsables
Acciones:
Equipo de Respuesta a Emergencias 1. Coordinar la respuesta inicial y la utilización de procedimientos establecidos para proteger la vida y minimizar los daños. ________________________________________________ 2. Calcular los daños. _________________________________________________ 3. Evaluar posible activación de la estrategia de recuperación. _________________________________________________ 4. Convocar a los equipos correspondientes para comenzar el Proceso. __________________________________________________ 5. Proporcionar un aviso oficial. __________________________________________________ 6. Comenzar la recuperación ante desastres de la forma establecida. ___________________________________________________ 7. Suministrar las informaciones pertinentes correspondientes sobre la situación por los canales correspondientes. __________________________________________________ 8. Establecer un informe de evaluación de las pérdidas.
5.6.12
Transición 75
Una vez convocados todos los equipos y puesto en marcha el plan, el equipo de logística es el encargado de coordinar el traslado del personal correspondiente a las instalaciones del Claro Dominicana, además es el encargado de gestionar todo el material necesario para poner en funcionamiento el centro de recuperación.
5.6.13
Recuperación
Cuando el equipo de recuperación llegue al Claro Dominicana, y los materiales estén listos, deben verificar rápidamente el estado de los equipos. Una vez verificados los equipos, se procederá a verificar la cada una de las replicaciones de los servidores, se verificará el último estado. Luego el encargado de seguridad lógica verificará que toda la data que se esté procesando en este nuevo sitio tenga los niveles de integridad y confidencialidad para la su puesta en producción. El siguiente checklist muestra las actividades a realizar en el Hot Side de Claro Dominicana:
Checklist #2 76
Responsables
Acciones:
Equipo de Recuperación 1. Recibir notificación del equipo de respuesta a emergencias. ________________________________________________ 2. Comenzar las actividades de recuperación. ________________________________________________ 3. Iniciar los preparativos del Hot Site. ________________________________________________ 4. Confirmar condiciones del Hot Site. ________________________________________________ 5. Verificar estado de replicaciones. _________________________________________________ 6. Verificar integridad cada uno de los servidores. _________________________________________________ 7. Verificar si la información es correcta. ________________________________________________ 8. Verificar la seguridad lógica de Hot Site. _________________________________________________ 9. Activar Hot Site _________________________________________________
5.6.14
Restauración
El orden de recuperación de las aplicaciones se hará de acuerdo a la criticidad de los sistemas establecidos en la tabla de prioridades de recuperación.
77
Una vez los sistemas restaurados, el equipo de unidades de negocio realizará las comprobaciones necesarias que certificarán que dichos sistemas funcionan de manera satisfactoria y así continuar dando el servicio.
5.6.15
Vuelta a la normalidad
En esta parte se plantearán las diferentes estrategias y acciones para recuperar la normalidad total del funcionamiento de la organización. Se efectuarán las siguientes actividades:
Asegurar que todos los equipos estén en su estado normal para su funcionamiento.
Iniciar los preparativos para regresar las instalaciones de Trace International S.R.L.
Activar el centro de datos de la empresa.
Desactivar el Hot Site.
Emitir comunicado.
Con la implementación de infraestructura y de equipos en la estrategia de recuperación # 9, eventualmente las estrategias de recuperación del 1 al 8 pudieran variar. La estrategia de recuperación # 9, requiere de una inversión de US$ 36,098. En tal sentido, las demás estrategias fueron realizadas sobre la base del contexto actual de TI, sin contemplar el cambio de la infraestructura. (Ver anexo L, costo de implementación estrategia de recuperación por Hot Site).
5.7
Desarrollo programa entrenamiento y concientización
Este Plan de Formación expone los pasos necesarios para preparar al personal correspondiente de Trace Internacional S.R.L. para una situación de emergencia y para ofrecer la formación necesaria con respecto a este caso.
78
5.7.1 Alcance El plan de formación y concientización cubre las siguientes áreas, Alta Gerencia, Operaciones, Recursos Humanos, Tecnología, Servicios, Calidad y Mantenimiento Eléctrico.
5.7.2 Programa de formación y concientización Para preparar un programa de Formación y concientización se deben seguir los siguientes pasos:
Definir el objetivo principal del plan de formación y objetivos específicos.
Desarrollar e implementar programas de entrenamiento.
Desarrollar programas de concientización.
Identificar otras oportunidades de educación.
5.7.3 Definición de objetivo principal del plan de formación y objetivos específicos. El objetivo principal de este Plan es crear una cultura pro-activa hacia los desastres en la organización y que el personal involucrado de Trace Internacional S.R.L. esté consciente de las posibles repercusiones de los mismos dentro de la empresa. Objetivos específicos son:
Capacidad de reacción frente a un desastre.
Disponer de las informaciones y recursos necesarios para enfrentar el posible desastre.
Conocer la lista de emergencias a contactar en el momento de daño.
5.7.4 Desarrollo programa de entrenamiento y concientización Es necesario si no obligatorio comenzar el entrenamiento desde que el empleado es reclutado. El entrenamiento de los empleados en Trace Internacional S.R.L. particularmente aquellos que deben formar parte del equipo de emergencia es un requerimiento a ser completado lo más pronto posible. Se sugiere el siguiente esquema para introducir los empleados hasta la velocidad de reacción o conocimiento requerida en los procedimientos de recuperación:
79
Procedimiento de revisión - una semana: una de las primeras asignaciones para los nuevos miembros del personal es la revisión de todos los documentos del procedimiento para la recuperación de desastres. Análisis del impacto sobre la empresa: los nuevos miembros del personal deben leer el análisis del impacto sobre la empresa para ayudarles a ver el panorama sobre los procesos críticos del negocio. Recorridos: invitar a los nuevos miembros del personal a realizar recorridos, incluso si son sólo observadores. Un paseo de observación los expone a la idea detrás del BIA, los planes y los procedimientos de recuperación. Simulaciones: este paso servirá para conocer qué tipo de habilidades de gestión y de liderazgo posee el personal existente en caso de emergencias. Simulaciones paralelas: la participación de nuevos miembros del personal en estas pruebas sirve para extender la experiencia alrededor de los otros empleados, ya que nunca se sabe quién estará disponible para ayudar en un desastre real, por lo que mientras más número de personas que tengan experiencia práctica, mejor. Meta formal: motivar a la incorporación de todo el personal en la planificación de la recuperación de desastres. Capacitación formal e informal: Introducir al personal a la cultura de la recuperación de desastres en la planificación de la organización mediante la creación de clases de formación y colocación de carteles con mensajes referentes al DRP.
5.7.5 Identificación de otras oportunidades de educación Los miembros del equipo de emergencia se podrían enviar a tomar conferencias internacionales sobre el manejo de crisis, mitigación de riesgos, entre otros. Además, se podría otorgar acreditaciones de cursos sobre planificación de desastres. 80
A continuaciรณn, se muestra la tabla del plan de actividades a desarrollar durante las sesiones de entrenamiento.
81
Conferencia/Sesión de entrenamiento Lunes 9:00-9:30 9:30-10:30
Martes
Miércoles
Introducción al DRP
Que es el BIA?
Prevención
Necesidades y beneficios de la
Entendiendo su propósito,
Estrategias de
recuperación de desastres
10:30-10:45
Receso
10:45-11:15
Efectos de un Desastre
11:15-11:45
Desastres menores
11:45-1:15
Almuerzo
1:15-1:45
Como un desastre podría afectar
1:45-2:15 2:15-2:30
su organización Receso
y enfoque Receso
Receso
"Personas, Procesos, TI"
escritorio Reportar incidentes
Almuerzo Amenazas, riesgos y vulnerabilidades Receso
Almuerzo Detectar situación Control de acceso Receso Confidencialidad de
Rol de la prevención
Escenarios de desastres
3:00-3:30
información de la empresa
Receso
3:45-4:15
Receso Errores humanos
Rol de la planeación 4:15-4:45 4:45-5:00
protección de claves Ayuda de
Activos mas importantes
2:30-3:00
3:30-3:45
Patrocinado por:
Prevención en casa
Receso Hackers, virus, E-
Como reaccionar frente a
mails, USB, CD's,
un desastre
Chats y mas Como protegerse
Jueves Organigrama empresarial Equipos de emergencia Receso Lista de contactos
Trace Internacional Viernes Ventajas de la experiencia Simulación de Escenario de emergencia Receso Inundaciones
Cuando llamar a quién? Almuerzo
Tormentas Almuerzo
Liderazgo en desastres
Incendios
Trabajo en equipo
Terremotos
Receso Puesta en marcha del plan Sitios alternos Receso Transición Vuelta a la normalidad Preservando el plan
Receso Salidas de emergencia Importancia del tiempo Receso Donde ubicarse Poder de la calma Compromiso individual
Tabla 22. Programa de capacitación.
82
Comunicación ante crisis de Trace Internacional S.R.L.
5.8
Este apartado contiene los procedimientos internos y externos que las organizaciones deben preparar ante un desastre. Este plan debe estar coordinado con los demás planes para asegurar que sólo comunicados aprobados sean divulgados y que solamente personal autorizado sea el responsable de responder las diferentes inquietudes y de diseminar los reportes de estado al personal y al público. A través de la comunicación de crisis es posible indicar el equipo involucrado en la toma de decisiones, establecer las líneas de comunicación a seguir, los voceros responsables con quienes centralizar la difusión de la información así como las estrategias de relaciones públicas a seguir con las audiencias involucradas como medios de comunicación, autoridades, público afectado, empleados, comunidad en general, etc. que le permitan a la organización ser un emisor ágil y confiable, que proporcione de manera consistente datos verificados, evite especulaciones y vacíos que serían llenados por rumores o información imprecisa.
5.8.1 Objetivos
Indicar las líneas y flujos de comunicación que prevalecerán durante una crisis
Definir los miembros del comité de crisis
Establecer los pasos de acción de cada miembro del comité
Ofrecer las posiciones oficiales pre-elaboradas de acuerdo al tipo de crisis
5.8.2 Procedimiento de comunicación ante crisis de Trace Internacional SRL Tan pronto como se produzca la crisis o se sospeche que se produce, el equipo relaciones públicas deberá ser notificado por el equipo de respuesta a emergencias, y provisto de la siguiente información:
83
1. ¿Qué ha sucedido? 2. ¿Cuando sucedió? 3.
¿Hay algunos empleados o del público en cualquier peligro?
4.
¿Quiénes son los afectados?
5.
¿Qué materiales, de personal y suministros están disponibles?
Con esta información, el equipo de relaciones públicas de Trace determinará un modo de comunicación y empezar a preparar una declaración que incluya todos los hechos que se han confirmado. Esta declaración será actualizada a medida que más información esté disponible. Una vez aprobada la declaración se pondrá a disposición de los medios de comunicación y otros afectados. Las coberturas de los medios de comunicación determinan en gran medida de cómo los clientes, los empleados y el público percibe la empresa en una crisis. Todos los miembros de los diferentes equipos deben comprometerse a la comunicación clara y abierta. Se informará al público de los hechos tan pronto como sea posible y con honestidad.
5.8.3 Formato usado por Trace para la Difusión de información a los afectados Afectados por la Interrupción
Persona Responsable de Coordinar las Comunicaciones Nombre Posición Detalles de Contacto
Clientes Gerencia y Empleados Proveedores Medios Otros Tabla 23. Difusión de información a los afectados.
Si alguien del equipo de relaciones públicas recibe una llamada telefónica de un miembro de los medios de comunicación o de algún cliente en relación con la crisis que se está tratando o de otro tema que podría dar lugar a una publicidad negativa. Debe tomar las siguientes medidas para la gestión de la situación:
No divulgar cualquier información o hacer una declaración si previo consenso de todos los miembros del comité.
No dar opinión personal o especular sobre lo que se piensa puede ser verdadero o falso. 84
Tener la información acabada y bien detallada de modo que a la hora de su difusión esta no se preste a mal entendido ni manipulación por parte de los afectados.
Pruebas y ejercicios en Trace Internacional
5.9
La efectividad de las estrategias de recuperación requiere de la realización periódica de pruebas para verificar la funcionalidad de las actividades y recursos asociados a cada estrategia. En tal sentido, es necesario establecer un programa estructurado de pruebas de las estrategias. El control de los cambios en los recursos, configuraciones y procesos de TI, así como en los procesos relacionados al negocio y que son soportados por TI, es parte esencial para la funcionalidad de las estrategias de recuperación y la efectividad de las pruebas de estas estrategias. A continuación, presentemos los esquemas de pruebas de DRP, según Chapman (2006) Tipo Prueba Checklist
Descripción General El equipo de recuperación revisa el DRP y se identifican los componentes clave que deberían serconfirmar validadoslapara asegurar a la El propósito de la prueba de guía es eficacia del plan
Prueba de Guía
y determinar las deficiencias, obstáculos u otras debilidades que pueda presentar. La organización simula un desastre pero las operaciones normales Simulaciones de losprueba sistemas claves no serán interrumpidas. Esta se considera avanzada y sólo se emprenderá después Pruebas en Paralelo de la aceptar, corregir y optimizar las equivocaciones de las fases Esta prueba es costosa y podría interrumpir las operaciones Interrupción Completa normales de la compañía; motivo por el cual debe ser tomada con las medidas de precaución que esta prueba amerita. Es importante que cualquier cambio realizado en tecnología también sea incluido en la estrategia y debe ser implementado de manera adecuada y probado para su correcto funcionamiento. (Matos Cuevas, Beriguete y Peña, 2015)
5.9.1 Objetivos
Evaluar la capacidad de respuesta ante una situación de desastre que afecte a
los
recursos de la compañía. 85
Probar la efectividad y los tiempos de respuesta del Plan para comprobar que están
alineados con la definición realizada en el diseño. Identificar las áreas de mejora en el diseño y ejecución del Plan. Comprobar si los procedimientos desarrollados son adecuados para soportar la
recuperación de las operaciones de negocio. Evaluar si los participantes del ejercicio están suficientemente familiarizados con la
operativa en situación de contingencia. La determinación de la viabilidad del proceso de recuperación. Verificar la integridad de las copias y/o respaldos de la información. Determinar la eficiencia y eficacia con la que el departamento de TI de Trace
Internacional S.R.L. llevará a cabo cada uno de los escenarios a planearse. Identificar las deficiencias en los procedimientos existentes y realizar los ajustes
necesarios en el plan para lograr el mejor resultado posible. Demostrar de la capacidad de la organización para recuperarse ante un desastre.
5.9.2 Pruebas de Checklist Una prueba de checklist se puede utilizar para validar múltiples componentes del plan:
Los contactos de emergencias, El procedimiento en general, La documentación de la configuración de hardware y software se encuentre completa y
actualizada, La disponibilidad de recursos durante la ejecución del plan, Las copias de respaldo, sincronización, etc. estén completas y su configuración se
encuentre actualizada con la configuración existente de los sistemas claves. Plan de recuperación y todos los manuales de operación necesarios.
5.9.3 Prueba de guía Esta prueba ofrece la oportunidad de revisar un plan con un subconjunto más grande de personas, permitiendo al coordinador del plan recurrir a un conjunto de conocimientos y experiencias nuevas. Las pruebas de guía se utilizan junto con las pruebas de checklist previamente validados. Las guías deben llevarse a cabo como paso previo para descubrir defectos obvios. Estos defectos a
86
continuación, se pueden remediar temprano en el proceso con un impacto mínimo en el propio plan.
5.9.4 Simulaciones En este escenario se debe tener en cuenta el propósito de la prueba, los objetivos, el tipo de prueba, el calendario, horarios, duración, participantes en la prueba, tareas, limitaciones, supuestos, y los pasos dados en esta simulación. Durante la simulación, los siguientes elementos deben ser probados a fondo: hardware, software,
personal,
comunicaciones
de
datos
y
voz,
procedimientos,
materiales,
documentación, transporte, servicios públicos (electricidad, aire acondicionado, calefacción, ventilación), y el procesamiento del centro de datos alterno.
5.9.5 Pruebas en paralelo Este tipo de ejercicio requerirá la ejecución de procedimientos de notificación y operativos, el uso de equipos de hardware, software y posibles centros y métodos alternativos para asegurar un rendimiento adecuado. Elementos verificados durante un ejercicio de simulación son:
Procedimientos de emergencia.
Métodos alternativos.
Líneas de telecomunicaciones de backup.
Procedimientos de notificación Vendedores / Clientes.
Capacidad y rendimiento del hardware.
Portabilidad del software.
Accesibilidad al centro de respaldo.
Movilización de los equipos de trabajo.
Recuperación de ficheros y documentación almacenados en lugar externo.
Recuperación de datos.
87
5.9.6 Pruebas de interrupción completa Se debe programar adecuadamente la realización de este tipo de pruebas. En un principio, la prueba no se debe programar en los puntos críticos del ciclo de procesamiento normal, como al final del mes. Además, se debe predeterminar el tiempo que tomará la realización de toda esta prueba, para así medir que los tiempos respuesta están de acorde a lo establecido. Para esto, el plan de pruebas debe identificar a los responsables y el tiempo que necesitan para realizar cada actividad. Es recomendable realizar la prueba de interrupción completa después de las horas normales de oficina o durante los fines de semana para disminuir las interrupciones. Si queremos un escenario más real posible se la puede realizar sin previo aviso para probar la preparación de los equipos.
5.9.7 Pruebas y ejercicios en Trace Internacional SRL Todos los equipos son responsables de estar familiarizados con el DRP, y se reunirán cada trimestre para revisar el manual y sugerir las actualizaciones de acuerdo a los cambios en la infraestructura física y organizacional como los cambios de personal, cambios de política, de comunicación, entre otros.
5.9.8 Tipos de ejercicios a realizar Para la ejecución de las pruebas a realizar al DRP, se recomienda llenar el formulario detallado en la Tabla 24 – Formulario de Ejecución de pruebas al DRP. Item
Descripción General Descripción del escenario de pruebas seleccionado para probar el DRP.
Escenario de Prueba
Ejemplo: Sistema Servidor Base de Datos no Disponible. 88
Se debe especificar los pasos a seguir para resolver el escenario de pruebas planteado.
Acciones Requeridas
Ejemplo: o Control de Recuperación o Preparación de Servidores de Respaldo (Máquinas Virtuales) o Encendido de Servidores de Respaldo o Configuración de Sistemas Operativos o Verificación de Integridad de la Información o Direccionamiento de sistemas claves restaurados o Soporte a Usuarios En esta sección se debe describir cuales son los objetivos principales de la realización de la prueba.
Objetivos del Escenario
Ejemplo: Probar las copias de seguridad frente al colapso total del Servidor de Base de Datos. Calcular los tiempos mínimos de restauración del Servidor de Base de Datos. Fecha en la que se efectúa la prueba.
Fecha de la Prueba
Tipo de Prueba a Realizar
Ejemplo: 30 de Noviembre del 2018 _X__Checklist ___Pruebas de Guía ____Simulaciones ____Pruebas en paralelo ____ Pruebas de Interrupción Completa
89
Se debe detallar todos los equipos que formarán parte de este plan de pruebas. Ejemplo: Equipos implicados en el Desarrollo de la Prueba
- Coordinador del DRP - Equipo de Repuesta a Emergencias - Equipo de Recuperación - Equipo de Logística - Equipo de Unidades de Negocios En esta sección se debe especificar el tiempo máximo permitido en el cual pueden permanecer los sistemas claves
Tiempo de Inactividad Pronosticado
fuera
de
línea.
Generalmente
de
consideran los tiempos según los RTOs y RPOs establecidos en el plan. Ejemplo: Dynamic: 1 horas Sistema de Monitoreo: 2 horas Correo: 1 hora Tabla 24. Formulario de ejecución de pruebas al DRP.
5.9.9 Roles y responsabilidades durante las pruebas Este aparato se debe especificar todas las actividades a realizar y equipos responsables de cada una de ellas. Es importante indicar los resultados obtenidos en cada actividad, así como también los tiempos que tomo cada una de ellas y los comentarios aplicables según sea el caso, esto se destaca en la Tabla 25, roles y responsabilidades. Actividad
Equipo Asignado
Resulta dos
Tiemp o
Comentarios
90
Equipo de
Control de Recuperación
Respuesta a Emergencias
Preparación y Configuración
Equipo de
Servidor Virtual
Recuperación
de Respaldo
Verificación Ultima
Equipo de
Copia de Seguridad
Recuperación
Restauración Ultima
Equipo de
copia de Seguridad
Recuperación
Verificación de Integridad de la Información
Soporte Usuarios
Equipo Unidad de Negocios
Equipo de Recuperación Equipo
Emitir Comunicado
Relaciones Públicas
Tabla 25. Roles y responsabilidades.
5.9.10
Frecuencia de pruebas
91
Se recomienda realizar la ejecución de pruebas al plan de recuperación de desastre de forma obligatoria de la siguiente manera:
Una Prueba de Checklist para los escenarios del uno al ocho cada seis meses.
Una Prueba en Simulación para los escenarios del uno al ocho la cual no afecte a las operaciones normales de los sistemas claves.
Prueba de Interrupción total para el escenario número nueve una vez al año, de considerarse la implementación de la estrategia correspondiente ha dicho escenario. De preferencia esta prueba se la debe ejecutar fuera de los horarios de oficina.
Además, de recomienda crear una política corporativa para asegurar el cumplimiento en la ejecución de las mismas. Estas pruebas del plan de recuperación de desastres deben considerar las pruebas programadas y no programadas de los desastres, así como también escenarios en los cuales exista una pérdida parcial o una pérdida total. 5.10
Plan de Mantenimiento y Actualización de Trace Internacional SRL
En la revisión periódica de los lineamientos, estrategias, técnicas y planes, es necesario mantener actualizados y capacitados al personal. De esta forma, las Actividades de misión crítica serán perfeccionadas y se logran los resultados esperados en el Plan. En este capítulo se aborda la última fase se detallan los diferentes procedimientos para favorecer el mantenimiento y la actualización del Plan de Recuperación de Desastres propuesto para Trace Internacional S.R.L.
5.10.1
Generalidades del Proceso de Mantenimiento y Actualización
92
Todo plan debe tener una estrategia de apoyo que contribuya a su mantenimiento y vigencia. Los objetivos de este proceso se pueden enunciar como sigue:
Desarrollar de los procedimientos de mantenimiento del Plan de Recuperación. Diseñar de la estrategia de mantenimiento y actualización.
5.10.2
Consideraciones a tomar en cuenta al momento de las Actualizaciones
Cambios en el personal clave.
Cambios en el organigrama (Ej. Creación de nuevas posiciones);
Cambios de dirección / teléfono de algún componente del equipo de recuperación.
Cambios en cualquier equipo o dispositivo informático incluido dentro del esquema de recuperación.
Cambio en algún procedimiento.
Reubicación de instalaciones.
Nuevos proveedores para los recursos críticos.
Cambios en la configuración de los sistemas o los dispositivos de almacenamiento (Storage).
Cambios en la configuración de comunicaciones o de las redes.
5.10.3
Elementos Mínimos a Tener en Cuenta en las Revisiones del Plan
Requerimientos operacionales.
Requerimientos de seguridad.
Procedimientos técnicos.
Hardware, software y otros equipos (tipos, especificaciones y cantidad).
Nombres e información de contacto de los miembros de los equipos de recuperación.
Nombres e información de contacto de los proveedores.
Archivos vitales (impresos y electrónicos).
Necesario realizar manteamientos al DRP y de esta manera conservarlo como un documento vivo y no obsoleto en caso de emergencias. 93
5.10.4
Plan de Mantenimiento y Actualización de Trace Internacional SRL
Debido a que las organizaciones son entes cambiantes en una constante búsqueda de optimizar sus procesos y actualización de sus activos informáticos para que den mejor repuestas a las necesidades planteadas es necesario trazar estrategias de mantenimiento y actualización. Para dar respuesta a esta necesidad el plan a seguir es el siguiente en lo referente al Mantenimiento y Actualización: En las reuniones pautadas a ser realizadas cada trimestre los miembros de los diferentes equipos del DRP deben realizar recomendaciones para la actualización del DRP de acuerdo los cambios en la infraestructura física y organizacional. Una actualización de la lista de contacto debe ser realizada cada 90 días para asegurar que toda la información de los contactos es correcta y funcional. Una auditoria a mayor escala de toda la información y funciones debe completarse una vez al año para asegurar la actualización de todos los procesos que lo requieran. En caso de ponerse en marcha el plan de recuperación de desastre y uno de los miembros de los diferentes equipos no se encuentra disponible, el administrador del DRP es responsable de asumir las responsabilidades de esa persona o de asignar esa funciona a otra. En la revisión periódica de los lineamientos, estrategias, técnicas y planes, es necesario mantener actualizados y capacitados al personal. De esta forma, las actividades de misión crítica serán perfeccionadas y se logran los resultados esperados en el Plan de continuidad del Negocios. Objetivos del plan de mantenimiento: 1- Validar las estrategias y planes del BCP. 2- Detallar todos los cambios y estrategias del plan. A continuación, se realiza el plan de mantenimiento. No Actividades
Responsable Fecha
94
. 1 2 3 4 5
6 7 8 9
Perfeccionar las políticas, los procesos y los procedimientos de la tecnología de la información. Difundir dentro del personal involucrado, las políticas que se requieren y los procedimientos que aseguren su implementación. Incrementar la capacitación del área de tecnología de la información y a los usuarios de la misma. Aprobar los manuales y reglamentos internos por parte del consejo de la administración. Perfeccionar las políticas y procedimientos de seguridad de la información y que sus objetivos estén bien definidos, así como las normas, los principios, los requisitos y las responsabilidades ante la ocurrencia de incidentes y su comunicación. Establecer mecanismos para elevar la seguridad en el acceso de la información. Actualizar los accesos a los locales. Realizar controles que permitan la identificación de software no autorizados o sin licencia. Elaborar planes elaborados para que el desempeño del sistema de administración de la seguridad de la información sea el correcto y en correspondencia a los objetivos de la entidad.
Gerencia Gerencia Gerencia Gerencia Gerencia
Gerencia Gerencia Gerencia Gerencia
Tabla 26. Plan de mantenimiento DRP.
Este plan de mantenimiento no es estático y puede ser modificado cuando lo estipule conveniente la gerencia y en correspondencia con la solución de los problemas detectados o la existencia de otros nuevos, que no estén comprendidos en este trabajo.
Figura 8. Ciclo de vida de la gestión de continuidad de servicios. Fuente: (Axelos, 2011).
95
5.10.5
Actividades de Mantenimiento
Nombre
Puesto Departamento
Numero de Contacto
Email de Contacto
Tabla 27. Personas responsables del mantenimiento del plan.
Persona actualiza el documento
Fecha
Descripciรณn actualizaciรณn
Versiรณn #
Aprobado por
Tabla 28. Documentaciรณn de mantenimiento e historial de revisiรณn.
96
Nombre Documento
Fecha
Versión
BIA
1.0
Análisis de Riesgo
1.0
Lista de inventario
1.0
Lista de contactos
1.2
Procedimientos operativos estándar
1.0
Procesos de negocios
1.0
Requisitos del equipo
1.0
Graficas Organizacionales
1.0
Proveedores lista de contactos
1.0
Directorio telefónico
1.0
Documentación técnica
1.0
Matriz de equipos
1.0
Nivel de Acuerdos de Servicios
1.0
Mapa del sitio
1.0
Localización
Contacto
Tabla 29. Documentación de Sustento
97
Conclusiones En el estudio realizado se demostró el hecho de que Trace Internacional SRL actualmente necesita implementar un plan de recuperación efectivo para garantizar la continuidad de sus procesos críticos durante un eventual desastre, lo que puede conllevar a reducir sus operaciones de manera definitiva, con el seguimiento de las pautas presentadas, el poder de reacción y sobre vivencia ante cualquier desastre incrementa y disminuye los efectos causados por estos. Los riesgos a los activos fueron identificados satisfactoriamente, lo cual ayudó a establecer los controles de acuerdo a la prioridad para reducir la probabilidad de que una amenaza pueda causar daño a los recursos tecnológicos de la organización. De la misma manera se realizaron estudios que ayudan a la solución más óptima en lo referente a costo, eficacia y prontitud, ya que se analizaron los procesos que representan la vida misma de la empresa. El presente estudio expuso las pautas para la implementación y puesta en marcha del plan de recuperación desastre, y también el mantenimiento que debe darse a este como un documento vivo y de gran importancia para la compañía. Con todos los factores expuestos, entendemos, el plan de recuperación de desastres aplicado sobre el negocio no debe sólo responder a la pregunta de cuánto necesito invertir en infraestructuras de respaldo, sino que debe servirnos para determinar qué grado de respaldo debemos proporcionar a nuestros sistemas e infraestructuras que apoyan la organización.
Recomendaciones Los resultados obtenidos durante el estudio elaborado se sugieren lo siguiente para Trace Internacional SRL: 1. Se recomienda implementar dentro de lo posible un Plan de Recuperación Ante Desastres, ya que, si la compañía se ve afectada por un desastre que perturbe a los sistemas de información críticos, las pérdidas serían cuantiosas, lo que pondría en riesgo el futuro de la organización.
2. Poner en práctica evaluaciones periódicas de los diferentes factores tecnológicos, climáticos,
humanos,
políticos
y
económicos
que
afectarían
el
normal
desenvolvimiento de la empresa, para analizar si las medidas consideradas en el DRP son aún vigentes o deben ser actualizadas.
3. Debe considerarse el plantear escenarios de desastre que servirán de base al momento de determinar las alternativas viables para la recuperación.
4. Es necesario involucrar a los empleados de la compañía, debido a que estos juegan un rol muy importante en el plan. Al ser miembros de los equipos del proyecto o ejecutores del DRP ayudan a prevenir los períodos altos de inactividad. Por lo que se recomienda que este personal sea contantemente capacitado en las mejores prácticas de riesgos y seguridad de la información para así lograr tener mayor conciencia y compromiso al realizar esta actividad cuando el caso lo amerite.
5. La alta gerencia de Trace Internacional S.R.L. debe estar disponible para decidir la activación del plan y tomar las decisiones no previstas en un tiempo oportuno y con la seriedad que el caso amerita, pues alguna desconsideración de algún análisis y estimaciones de costos puede provocar un caos a la empresa en el momento que llegue a materializarse el desastre.
Referencias bibliográficas Biodisol (s.f.). ¿Qué son las Energías Renovables? Adquirido de http://www.biodisol.com/que-son-las-energias-renovables-clasificacion-evolucionhistorica-las-fuentes-de-energias-renovables/ Chapman, J. (2006). Plan de Recuperación de Negocios en una Semana. España: Editora Planeta Deangostini Profesional. ISBN: 9788496612143 Crump, G. Disaster recovery plan testing: Will your plan work? Recuperado de https://searchdisasterrecovery.techtarget.com/feature/Disaster recovery-plan-testingWill-your-plan-work, el 4 de junio de 2018 a las 4:52 pm. Erenovable (2015). Energias renovables ventajas y desventajas. https://erenovable.com/energias-renovables-ventajas-y-desventajas/
Adquirido
de
Gómez Vieites, A. Enciclopedia de la Seguridad Informática, (2ª Ed.). España: Editora, RAMA, ISBN 978-849-96-4036-5 Gregory, P. H. (2011). IT Disaster Recovery Planning for Dummies Indiana, USA: Editor Willey Publishing Inc, ISBN: 978-1-118-05063-7 Heng, D. G. Official Blog for Dr Goh Moh Heng. Recuperado de BCM Concepts: RTO, RPO and MTPD: http://www.goh-moh- heng.com/2011/07/26/bcm-concept-rto-rpo-mtpd/, el 20 abril de 2018 a las 6:30 pm. Ley 57-07 (2007). Sobre incentivo al desarrollo de fuentes renovables de energía y de sus regímenes especiales. República Dominicana GO (10416) Matos Cuevas, M.; Beriguete M.; Peña Gerónimo, R. (2015). Diseño de un Plan de Recuperación Ante Desastre (DRP). Editora, Editorial Académica Española, 2015. España ISBN-13: 978-3659085352 Ministerio de Educacion (2013). Política y Estrategia de Intervención Educativa con las Tecnologías de la Información y la Comunicación: Hacia un Modelo de Proyecto de Centro con Integración de TIC. Adquirido de http://www.educando.edu.do/files/2013/7511/2456/Politicas_y_estrategias_tic_julio_2 013_2.pdf Moguillansky, G. (2005). La importancia de la tecnología de la información y la
comunicación para las industrias de recursos naturales. Santiago de Chile: Naciones Unidos CEPAL NIST, N. I. BIA Template. Recuperado de https://csrc.nist.gov/publications/nistpubs/800-34rev1/sp800-34-rev1_bia_template.docx, el 05 abril de 2018 a las 4:26 pm. NIST, N. I. Contingency Planning Guide for Federal Information Systems. Recuperado de: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecial publication800-34r1.pdf, el 18 mayo de 2018 5:38 pm. PGM SSI. Blog especializado en Sistemas de Gestión de Seguridad de la Información. ISO 22301:2012 Sistema de Gestión de la Continuidad de Negocio, Adquirido de: https: //www.pmg-ssi.com/2015/10/iso-22301-2012-sistema-gestion-continuidad-negocio/, el 08 mayo del 2018 a las 6:25 pm. Protechsociety (s.f.). Clasificación de las TICs. Adquirido de https://sites.google.com/site/protechsociety/tipos-de-tics VMWare (s.f.). Virtualización: ¿Qué es la virtualización? https://www.vmware.com/co/solutions/virtualization.html
Adquirido
de
ANEXOS
ANEXO A Aspectos Evaluados para BIA 1. 2. 3. 4. 5. 6. 7.
Datos básicos del proceso y de su dueño Frecuencia del proceso Períodos de tiempo críticos Tiempo máximo de interrupción Volumen de trabajo del proceso Indicadores y medidas de desempeño existentes Impactos: Financiero, cliente interno, cliente externo, eficiencia operativa, aspectos
legales, imagen - reputación y en general para la organización como negocio. 8. Dependencias internas y externas 9. Aplicaciones informáticas que lo soportan 10. Procedimientos alternos existentes o sugeridos 11. Efectividad de los procedimientos alternos 12. Registros vitales de cada proceso 13. Complejidad de recuperación de las dependencias evaluadas 14. Recursos mínimos para la recuperación de cada dependencia.
ANEXO B Reunión Establecer Tiempos de RPO, RTO y MTD. Para determinar los tiempos de RPO, RTO y MTPOD se realizó una reunión con los Jefes de los distintos Departamentos de Trace Internacional S.R.L. de la cual se obtuvo los siguientes datos:
Participantes: Gerente General, Encargado. De Finanzas, Gerente Comercial, Encargado de Sistemas, Gerente de Proyectos, Gerente de Servicios, Encargado Auditoria Interna. Desarrollo: En un análisis realizado, se determinó que los sistemas críticos de la compañía que forma parte de la cadena de valor son:
Dynamic – Gestión de Ventas
Trello – Gestión de Proyectos
Dynamic – Gestión de Ventas
Correo Electrónico – Comunicación
E-gauge –Monitoreo Energético
En donde los proceso que intervienen son:
Gestión de Comercialización
Gestión de Productos
Gestión de Comunicación
Gestión de Órdenes de Ventas
Gestión de Devoluciones en Ventas
Gestión de Bonificación en Ventas
Gestión de Costo de Ventas
Gestión de Clientes
Gestión de Proyectos
Gestión de Servicios
ANEXO I Perfil Data Center NAP del Caribe República Dominicana NAP del Caribe es el centro tecnológico de acceso de redes (Network Access PointNAP) más avanzado del país y de la región del Caribe, dotado de los más avanzados estándares de seguridad, confiabilidad y redundancia. Diseñado y operado para ofrecer soluciones de Centro de Datos, Acceso y Conectividad, Recuperación de Desastres y Continuidad de Negocios, utilizando la más avanzada infraestructura de telecomunicaciones en el Caribe. La robustez de nuestras edificaciones está apuntalada por un riguroso estándar para todos sus servicios. Una estricta seguridad y la supervisión constante de los sistemas nos permiten proveer a nuestros clientes un ambiente seguro, con servicios ininterrumpidos (24×7) a prueba de fallos.
CONSTRUCCIÓN
Resistente a terremotos, huracanes y ataques del hombre. Fuera de la zona de peligro de inundación (tsunamis), confirmado por estudios recientes de la ONAMET y UNESCO. Edificación elevada a más de 32 pies sobre el nivel del mar. Situado a más de 3.5 kilómetros del punto más cercano a la costa. Diseñado y construido para resistir vientos huracanados de más de 210 Kph. Construido bajo el concepto ¨box in a box¨. Localizado en el subsuelo más rocoso de la isla.
CONECTIVIDAD. Punto Neutral Mejor Interconectado de la República Dominicana y del Caribe. Presencia de más de 14 empresas de telecomunicaciones nacionales e internacionales. Múltiples entradas de conductos de fibras ópticas. Más de 800 kilómetros lineales de fibra llegando al NAP. Plataforma de interconexión Peering, considerada la más avanzada de la Región.
ENERGÍA Y TEMPERATURA.
Sub-estación de energía independiente con conexión directa a la línea de 69,000 voltios de la República Dominicana. Generadores de emergencia, sistema de UPS y tanques de combustible para mantener una operación continúa por un periodo ininterrumpido de 14 días. Redundancia de 2N+1 en energía y N+1 en temperatura. Alojamiento, energía y aire acondicionado garantizado contractualmente.
PUNTO NEUTRAL DE INTERCAMBIO DE TRÁFICO El NAP del caribe ha sido reconocido como el único punto de intercambio de Internet neutral de la República Dominicana, con una de las plataformas de peering más avanzada de la región del Caribe, que provee cualquier tipo de conexión entre operadores.
Esto nos convierte en el principal Punto Neutro de Acceso al Internet del País. NAP del Caribe está posicionado como el punto clave para la agregación de tráfico internacional de Internet en la República Dominicana.
Alojamiento de equipos en espacios desde: ¼ Gabinete, ½ Gabinete, 1 Gabinete, Jaulas, Suites Privadas. Energía (120 VAC, 208 VAC, -48 VDC). Hardware como servicio. Posiciones de trabajo.
ANEXO J
Perfil Data Center Claro República Dominicana Servicio de Collocation de Claro te brinda la oportunidad de colocar tus servidores en nuestro Data Center con el respaldo, seguridad y disponibilidad de requiera. El Servicio de Collocation es ideal si su empresa se encuentra en una de estas situaciones:
Proceso de iniciar operaciones. Con planes de respaldar infraestructura técnica fuera de su localidad. En proceso de eficientizar su operación. En proceso de actualizar o crecer su Data Center.
Collocation se ofrece en nuestro Data Center, el cual es un espacio físico que ha sido preparado y equipado con los más altos estándares de seguridad, facilidades óptimas de energía, aire acondicionado y dispositivos de seguridad para albergar equipos de tecnología de información y telecomunicaciones en un ambiente de alto rendimiento y disponibilidad. BENEFICIOS
Performance
Mejora de los niveles de disponibilidad y seguridad de la infraestructura informática de su empresa optimizando sus procesos operativos.
Flexibilidad
Opciones de hardware, acceso y seguridad diseñadas a medida de cada requerimiento.
Respaldo
Data Center de última tecnología e infraestructura, con espacio especialmente acondicionado; suministro eléctrico continúo garantizado, sistema avanzado de seguridad de acceso y sistemas de respaldo.
Disponibilidad
Conexión directa al backbone de Fibra Óptica de Claro y a los puntos de acceso de Internet nacionales, regionales e internacionales.
ANEXO K
Perfil Data Center GBM República Dominicana Actualmente el escenario de negocios sufre cambios muy rápidos, es por ello que pocas empresas poseen el lujo o deseo de controlar todos los aspectos de sus infraestructuras de TI. Cada vez más, las empresas están buscando a GBM para satisfacer los recursos y habilidades que precisan para alcanzar servicios de TI fiables y eficaces, disponibles 24 horas al día, 7 días por semana. Una solución de Data Center permite la adquisición de la infraestructura de TI como un servicio, y pagarla de acuerdo con lo que se utilice, por una simple tasa mensual. Las soluciones de GBM combinan los beneficios de una infraestructura de última generación con el conocimiento y soporte de sus profesionales expertos en diversas plataformas.
Instalaciones World Class. Servicios 24x7. Monitoreo y experiencia técnica en Data Centers de alta disponibilidad. Soluciones seguras, de alto rendimiento, escalables y confiables. La mejor tecnología disponible en el mercado para el soporte de aplicaciones de misión crítica. El mejor grupo de expertos de tecnología en la región.
Reducción de costos
Menor costo inicial para obtener servicios de infraestructura críticos. Reemplazo de una inversión inicial por costos recurrentes; redirección del capital hacia las necesidades del negocio y reducción de tiempos de instalación y de implementación. Permite reducción de los costos operativos, convirtiéndolos en gastos previsibles; y disminuye las necesidades de entrenamiento de personal, liberando recursos para otros propósitos.
Crecimiento On-Demand
La provisión de servicios está acompañada al éxito del negocio de la empresa.
La flexibilidad de la tecnología de última generación permite construir alternativas acordes a cada necesidad: Soluciones escalables garantizadas por el nivel de infraestructura y de excelencia operativa.
Outsourcing World Class
La tercerización de servicios le permite enfocarse en el Core Business mientras GBM mantiene las aplicaciones críticas disponibles y con alto desempeño con acceso a instalaciones y recursos World-Class y uno de los más seguros y confiables Data Centers en la región.
Acceso a la amplia gama de servicios
Acceso a plataformas centralizadas de servicios (monitoreo, reportes, storage, backup, seguridad). Acceso 24x7 al servicio regional de GBM de Service Desk. Contamos con Data Centers en Guatemala, Panamá, El Salvador y próximamente en República Dominicana. GBM le ofrece este servicio con una garantía comprometida mediante Acuerdos de Niveles de Servicio (SLA por sus siglas en inglés), las prácticas libres de industria y los siguientes índices de disponibilidad: Provisión de energía para la alimentación del equipamiento, de acuerdo con lo especificado en el contrato de servicios respectivo. Provisión de atmósfera controlada y apta para el normal funcionamiento del equipamiento. El correcto funcionamiento de todos los mecanismos de seguridad física con que GBM cuenta para asegurar la privacidad e inviolabilidad de los datos y aplicaciones del cliente.
ANEXO L Costos Implementaciรณn Estrategia de Recuperaciรณn por Hot Site. Cantidad 2 2
1 2
Precio
Descripciรณn VMWare vSphere 5 Standart for 1 processor HPE ProLiant DL380 G9 2U Rack Server - 2 x Intel Xeon E5-2660 v4 Tetradeca-core (14 Core) 2 GHz 64 GB Installed DDR4 SDRAM WS-C2960X-24TS-L Catalyst 2960-X Switch, Catalyst 2960-X 24 GigE, 4 x 1G SFP, LAN Base SAM 12 TB (4x3TB) EMC VNXe3200.
Total
$
1.250.00
$
2.500.00
$
8.000.00
$
16.000.00
$
1.000.00
$
1.000.00
$
7.000.00
$
14.000.00
1
Collocation 1/4 RACK
$
615.96
$
615.96
1
Conectividad BB Ultra 5 MB
$
659.75
$
659.75
1
Instalaciรณn 1/4 Rack Collocation Instalaciรณn Plan Ultra Conect Broadband
$
615.00
$
615.00
$
708.00
$
708.00
TOTAL:
$
36.098.71
1