Última modificación: 19 de marzo de 2025

Normativa nº 4204 Procedimiento del plan de recuperación en caso de catástrofe

• Descargar el documento de procedimiento del plan de recuperación en caso de catástrofe

Visión general

Como las catástrofes ocurren tan raramente, la dirección suele ignorar el proceso de planificación de la recuperación en caso de catástrofe. Es importante darse cuenta de que disponer de un plan de contingencia en caso de catástrofe da ventaja al PCSD.

Este procedimiento exige que la dirección apoye financieramente y atienda con diligencia los esfuerzos de planificación de contingencias en caso de catástrofe. Las catástrofes incluyen, entre otras, las condiciones meteorológicas adversas. Debe tenerse en cuenta cualquier acontecimiento que pueda causar un retraso prolongado del servicio.

Propósito

Este procedimiento define el requisito de que PCSD desarrolle e implemente un plan básico de recuperación en caso de desastre que describa el proceso para recuperar los sistemas de TI, las aplicaciones y los datos de cualquier tipo de desastre que provoque una interrupción importante.

Alcance

Este procedimiento está dirigido al personal de gestión de TI, que es responsable de garantizar que el plan se desarrolle, se pruebe y se mantenga actualizado. Este procedimiento se limita a establecer el requisito de disponer de un plan de recuperación en caso de catástrofe; no establece requisitos sobre el contenido del plan o los subplanes.

Procedimiento

Planes de contingencia

Deben crearse los siguientes planes de contingencia:

• Plan de respuesta a emergencias informáticas: Define quién debe ser contactado, cuándo y cómo. Especifica las medidas inmediatas que deben adoptarse en caso de que se produzcan determinados acontecimientos.
• Plan de sucesión: Describe el flujo de responsabilidades cuando el personal normal no está disponible para desempeñar sus funciones.
• Estudio de datos: Detalla los datos almacenados en los sistemas, su criticidad y su confidencialidad.
• Lista de servicios críticos: Enumera todos los servicios prestados y su orden de importancia. También explica el orden de recuperación en plazos tanto a corto como a largo plazo.
• Plan de copia de seguridad y restauración de datos: Detalla de qué datos se hace una copia de seguridad, el soporte en el que se guarda, dónde se almacena ese soporte y con qué frecuencia se hace la copia de seguridad. También debe describir cómo pueden recuperarse esos datos.
• Plan de sustitución de equipos: Describe qué equipos se necesitan para empezar a prestar servicios, enumera el orden en que son necesarios y señala dónde adquirirlos.
• Gestión de medios de comunicación: Identifica quién se encarga de dar información a los medios de comunicación.

Instrucciones para sistemas críticos

La documentación debe incluir:

• Ubicación del software de instalación
• Frecuencia y ubicación de las copias de seguridad
• Nombre de usuario y contraseñas
• Números de teléfono de asistencia
• Pasos para reiniciar, reconfigurar y recuperar el sistema
• Procedimientos de encendido y apagado
• Edad del equipo
• Modelo y números de serie
• Información sobre la garantía y el contrato de mantenimiento
• Información sobre licencias de software y ubicación de almacenamiento
• Direcciones IP y MAC
• Contactos de proveedores expertos en recuperación de sistemas, incluidos vendedores y fabricantes
• Nombre de usuario y contraseña del sitio web
• Nombre de usuario y contraseña del servidor
• Nombre de usuario y contraseña del ordenador asignado por el distrito
• Mapas, diagramas y gráficos
• Cualquier nombre de usuario/contraseña de cualquier sistema sobre el que exista información relevante para recuperar sistemas (por ejemplo, nombre de usuario y contraseña del sitio web del fabricante, información de llamadas, etc.).

Prueba y revisión del plan

• Después de crear los planes, es importante practicarlos en la medida de lo posible.
• La dirección debe reservar tiempo para poner a prueba la aplicación del plan de recuperación en caso de catástrofe.
• Los ejercicios de mesa deben realizarse trimestralmente para identificar y corregir posibles fallos en un entorno controlado.
• El plan se revisará y actualizará al menos una vez al año.

Último estado de actualización:

Actualizado en enero de 2015

Políticas y procedimientos relacionados

• 4204 Uso de la tecnología
• 4204 Uso aceptable
• 4204 Auditoría
• 4204 Escritorio limpio
• 4204 Plan de recuperación en caso de catástrofe
• 4204 Correo electrónico
• 4204 Formación para la concienciación sobre seguridad de los empleados
• Cifrado 4204
• 4204 Contraseña
• 4204 Acceso remoto
• 4204 Seguridad de routers y conmutadores
• 4204 Seguridad para puestos de trabajo sensibles
• 4204 Plan de respuesta de seguridad
• 4204 Seguridad del servidor
• 4204 Instalación del software
• 4204 Seguridad de los servicios del sitio web
• 4204 Comunicación de dispositivos inalámbricos
• 4204 Comunicación de infraestructuras inalámbricas