Desarrollo de un plan de contingencia para los sistemas de información de ITESM Campus Estado de México

La planeación de contingencia de TI (tecnologías de la información) representa un amplio espectro de actividades diseñadas para sostener y recuperar servicios de TI críticos después de incidentes. Puede existir confusión entre diferentes conceptos relacionados a la planeación en caso de emergencias, los cuales deben ser aclarados. Uno de estos conceptos es el llamado Plan de Continuidad del Negocio (BCP), el cual se enfoca en mantener las funciones de negocio de una organización durante y después de una interrupción. El otro concepto asociado a la planeación de contingencia es el de Plan de Recuperación de Desastres (DRP), el cual se refiere a un plan enfocado a TI diseñado para restaurar la operabilidad del sistema, aplicación o instalación computacional deseados, en un sitio alterno después de una emergencia. Es necesario entender lo que representan los conceptos de incidente y desastre: un incidente es un suceso que interrumpe de alguna forma el curso de otro; un desastre es un suceso infeliz y lamentable, de gran magnitud, que provoca una gran afectación. En el ITESM Campus Estado de México, al igual que en todos los campus del sistema, existe una gran dependencia en los recursos de información debido a los requisitos del modelo educativo que el sistema ITESM ha establecido. Debido a esto, es muy importante que se cumplan tres puntos básicos de la seguridad computacional: integridad, disponibilidad, y confiabilidad. Para ello, es necesario reconocer que existe una diversidad muy grande de eventos que pueden afectar a los sistemas de información del Campus, y con ello evitar que se cumplan las metas de seguridad. Ante cada uno de estos eventos es necesario establecer con anticipación planes y secuencias de acciones de mitigación y respuesta. La gran ventaja de este esquema de planeación anticipada es el hecho de que con toda calma y con la participación de diversas personas dentro de la organización, se puede llegar al establecimiento de procedimientos debidamente analizados, en los cuales la probabilidad de que se haya descuidado algún aspecto es mucho más baja en comparación con las acciones que se pudieran ejecutar sin este análisis. Debido a las causas ya señaladas, se decidió que este trabajo de tesis se dedicara al establecimiento de planes de acción a ejecutarse ante la ocurrencia de los siguientes factores: fallas de equipos de aire acondicionado, desastres causados por agua, problemas con el suministro de energía eléctrica, incendios, sismos, y problemas de vandalismo y seguridad física. Dado el tipo de incidentes del que se va a hablar, se puede decir que esta tesis abarcará los aspectos relacionados con el cuidado de la disponibilidad de los sistemas de información del Campus, dejando de lado los otros dos aspectos de la seguridad computacional ya comentados. Para hacer un análisis completo de la situación del Campus ante estos eventos, se hizo una investigación acerca de las condiciones idóneas que se recomiendan para cada uno de los eventos cubiertos, con el objeto de poder realizar un diagnóstico adecuado de la situación ante los eventos, y de esta manera poder realizar las recomendaciones necesarias para poder alcanzar un excelente marco de respuesta. Con toda esta información fue posible establecer un plan de acciones recomendado para cada uno de los eventos cubiertos en este trabajo. Cabe resaltar que se decidió abarcar dos áreas principales en este trabajo: la sala de servidores ubicada en la Torre de Cubículos, y el site ubicado en el CCI. La razón de esto es muy sencilla: en estos dos lugares está ubicado el equipo principal que permite el correcto funcionamiento del Campus en lo que se refiere al manejo de los recursos de información, ya que ahí se encuentran ubicados tanto el equipo de comunicaciones como los servidores que dan servicio a la comunidad del Campus. Definitivamente se puede decir que un desastre que afectara estas dos áreas y que provocara la no disponibilidad de los equipos que ahí se encuentran, afectaría las operaciones del Campus en una buena medida, ya que, aunque no interrumpirían las clases, sí interrumpirían el flujo de información tan necesario en el modelo educativo del sistema ITESM. Este trabajo se encuentra dividido en cinco capítulos. El capítulo 1 habla de los antecedentes relacionados con la planeación de contingencia, que incluyen tipos de planes, historia, y estadísticas. El capítulo 2 habla acerca de la recuperación de desastres, que es el enfoque tradicional que se ha tenido desde la década de los 1970s. El capítulo 3 trata los aspectos relacionados a la continuidad del negocio, que es un enfoque reciente y que amplía lo abarcado por la recuperación de desastres tradicional. En el capítulo 4 se exponen consideraciones importantes a tomar en cuenta al elaborar planes de recuperación de desastres. En el capítulo 5 se hace una evaluación de los diferentes desastres que pudieran afectar a los recursos de información del ITESM Campus Estado de México. Finalmente, en el capítulo 6 se presentan los planes de acción recomendados que se ejecuten ante la presencia de cada uno de los desastres ya mencionados.