SISTEMA DE GESTION DE LA CALIDAD

PROCEDIMIENTO / POLÍTICAS...
Código Versión Fecha de Elaboración/Actualización Próxima revisión Página
SH-MSGC - ·# 1 DIA MES de 2016 DIA MES de 2017 1/7

INTRODUCCION:
Cualquier Sistema de Redes de Computadoras (ordenadores, periféricos y accesorios) están
expuestos a riesgo y puede ser frente fuente de problemas. El Hardware, el Software están
expuestos a diversos factores de riesgo humano y físicos.
Frente a cualquier evento, la celeridad en la determinación de la gravedad del problema depende
de la capacidad y la estrategia a seguir para señalar con precisión, por ejemplo: ¿Qué componente
ha fallado?, ¿Cuál es el dato o archivo con información se ha perdido, en que día y hora se ha
producido y que tan rápido se descubrió? Estos problemas menores y mayores sirven para
retroalimentar nuestros procedimientos y planes de seguridad en la información.
Pueden originarse pérdidas catastróficas a partir de fallos de componentes críticos (el disco duro),
bien por grandes desastres (incendios, terremotos, sabotaje, etc.) o por fallas técnicas (errores
humanos, virus informático, etc.) que producen daño físico irreparable. Frente al mayor de los
desastres solo queda el tiempo de recuperación, lo que significa adicionalmente la fuerte inversión
en recursos humanos y técnicos para reconstruir el Sistema de Red y el Sistema de Información.

OBJETIVO
Definir el conjunto de actividades, roles y responsabilidades que permitan evitar la pérdida de
información, en caso de la ocurrencia de un evento de desastre, interrupción mayor o un evento
contingente ejecutar el Plan de Recuperación de Desastres.

Permite realizar un Análisis de Riesgos, Respaldo de los datos y su posterior recuperación de los
datos.
En general, cualquier desastre es cualquier evento que, cuando ocurre, tiene la capacidad de
interrumpir el normal proceso de una empresa.
La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto podría ser tan
grande que resultaría fatal para la organización.

ALCANCE
Esta guía se enmarca en evitar perdida de información para la empresa, la protección de la
información descrita a continuación.

RESPONSABLE
-Analista de Sistemas
-Dirección Médica

PLAN DE REDUCCIÓN DE RIESGOS

INFORMACION CONFIDENCIAL – Para uso exclusivo de SOHIN S.A. de C.V.
Cualquier copia es “No controlada” a menos que tenga un número de ejemplar autorizado
 SISTEMA DE GESTION DE LA CALIDAD
PROCEDIMIENTO / POLÍTICAS...
Código Versión Fecha de Elaboración/Actualización Próxima revisión Página
SH-MSGC - ·# 1 DIA MES de 2016 DIA MES de 2017 2/7

El presente documento implica la realización de un análisis de todas las posibles causas a los
cuales puede estar expuestos la información contenida en cada medio de almacenamiento.
Se realizará un análisis de riesgo y el Plan de Operaciones tanto para reducir la posibilidad de
ocurrencia como para reconstruir el Sistema de Información.
El Plan de Reducción de Riesgos es equivalente a un Plan de Seguridad, en la que se considera
todos los riesgos conocidos, para lo cual se hará un Análisis de riesgos.

Análisis de Riesgos
El presente realiza un análisis de todos los elementos de riesgos a los cuales está expuesto la
información procesada, y que deben ser protegidos.
Se puede identificar los siguientes bienes afectos a riesgos:
a) Datos e información
b) Documentación

Daños
Los posibles daños pueden referirse a:
a) Imposibilidad de acceso a los recursos debido a problemas físicos en las instalaciones, naturales
o humanas.
b) Imposibilidad de acceso a los recursos informáticos, sean estos por cambios involuntarios o
intencionales, tales como cambios de claves de acceso, eliminación o borrado físico/lógico de
información clave, proceso de información no deseado.
c) Divulgación de información a instancias fuera de la institución y que afecte su patrimonio
estratégico, sea mediante Robo o Infidencia.

Fuentes de daño
Las posibles fuentes de daño que pueden causar la pérdida de información son:
 Acceso no autorizado
 Ruptura de las claves de acceso a los sistema computacionales
 Fallas de Hardware:
a) Falla discos del HDD,
b) Falla mecánica del HDD
 Incendios

Características
El Análisis de Riesgos tiene las siguientes características:
 Es posible calcular la probabilidad de que ocurran las cosas negativas.
 Se puede evaluar económicamente el impacto de eventos negativos.
 Se puede contrastar el Costo de Protección de la Informática y medios versus el costo de
volverla a producir.
Durante el estudio Análisis de Riesgo, se define claramente:
 Lo que intentamos proteger
 El valor relativo para la organización
 Los posibles eventos negativos que atentarían lo que intentamos proteger.
 La probabilidad de ataque.
INFORMACION CONFIDENCIAL – Para uso exclusivo de SOHIN S.A. de C.V.
Cualquier copia es “No controlada” a menos que tenga un número de ejemplar autorizado
 SISTEMA DE GESTION DE LA CALIDAD
PROCEDIMIENTO / POLÍTICAS...
Código Versión Fecha de Elaboración/Actualización Próxima revisión Página
SH-MSGC - ·# 1 DIA MES de 2016 DIA MES de 2017 3/7

 Se debe tener en cuenta la probabilidad de suceso de cada uno de los problemas posibles,
de tal manera de tabular los problemas y su costo potencial mediante un plan adecuado.
Los criterios que usaremos para tipificar los posibles problemas son:

Escala de Valores para Criterios de Posibles Problemas

Esta información permite resaltar el tema sobre el lugar donde almacenar los backups.
El incendio, a través de su acción calorífica, es más que suficiente para destruir los dispositivos de
almacenamiento, tal como CD, DVD, cartuchos, discos duros.
Para la mejor protección de los dispositivos de almacenamiento, se colocarán estratégicamente en
lugares distantes, con una Segunda Copia de Seguridad custodiada en un lugar externo.

PLAN DE RECUPERACIÓN DEL DESASTRE Y RESPALDO DE LA INFORMACION

El paso inicial en el desarrollo del plan contra desastres es la identificación de las personas que
serán las responsables de crear el plan y coordinar las funciones.
Las actividades por realizar en un Plan de Recuperación de Desastres se clasifican en tres etapas:

 Actividades Previas al Desastre. Se considera las actividades de planteamiento,

preparación, entrenamiento y ejecución de actividades de resguardo de la información, que
aseguraran un proceso de recuperación con el menor costo posible para la empresa.

Establecimientos del Plan de Acción

En esta fase de planeamiento se establece los procedimientos relativos a:

a. Obtención y almacenamiento de los Respaldos de Información (BACKUPS):
Se debe contar con procedimientos para la obtención de las copias de seguridad de todos
los elementos de software necesarios para asegurar la correcta ejecución de los sistemas
en la empresa.
Backups de los datos (Base de datos, password y todo archivo o documento necesario e
indispensable para la empresa).
INFORMACION CONFIDENCIAL – Para uso exclusivo de SOHIN S.A. de C.V.
Cualquier copia es “No controlada” a menos que tenga un número de ejemplar autorizado
 SISTEMA DE GESTION DE LA CALIDAD
PROCEDIMIENTO / POLÍTICAS...
Código Versión Fecha de Elaboración/Actualización Próxima revisión Página
SH-MSGC - ·# 1 DIA MES de 2016 DIA MES de 2017 4/7

b. Políticas (Normas y Procedimientos de Backups).

c. Se debe establecer procedimientos, normas y determinación de responsabilidades en la
obtención de los “Backups” o Copias de Seguridad. Se debe considerar:

 Periodicidad de cada tipo de backup: los backups de los sistemas informáticos se realizan
de manera diferente.
 Respaldo de información de movimiento entre los periodos que no se sacan backups: días
no laborales, feriados, etc, en estos días es posible programar un backup automático.
 Reemplazo de los backups, en forma periódica, antes que el medio magnético de soporte
se pueda deteriorar.
 No se realiza reemplazos, pero se realiza copias de estas, considerando que no se puede
determinar exactamente el periodo de vida útil del dispositivo donde se ha realizado el
backup.

 Actividades Durante el Desastre.

Presentada la contingencia o desastre se debe ejecutar las siguientes actividades planificadas

previamente:
a. Plan de Emergencias
La presente etapa incluye las actividades a realizar durante el desastre o siniestros, se debe tener
en cuenta la probabilidad de su ocurrencia durante: el día, noche o madrugada. Este plan debe
incluir la participación y actividades a realizar por todas y cada una de las personas que se pueden
encontrar presentes en el área donde ocurre el siniestro. Solo se debe realizar acciones de
resguardo de equipos en los casos en que no se pone en riesgo la vida de personas.

Normalmente durante la acción del siniestro es difícil que las personas puedan afrontar esta
situación, debido a que no están preparadas o no cuentan con los elementos de seguridad, por lo
que las actividades para esta etapa del proyecto de prevención de desastres deben estar
dedicados a buscar ayuda inmediatamente para evitar que las acciones del siniestro causen más
daños o destrucciones. Se debe tener en toda Oficina los números de teléfono y direcciones de
organismos e instituciones de ayuda.

b. Formación de Equipos
Se debe establecer los equipos de trabajo, con funciones claramente definidas que deberán
realizar en caso de desastre. En caso de que el siniestro lo permita (al estar en un inicio o estar en
un área cercana, etc.), se debe formar 02 equipos de personas que actúen directamente durante
el siniestro, un equipo para combatir el siniestro y el otro para salvamento de los equipos
informáticos, de acuerdo a los lineamientos o clasificación de prioridades.

c. Entrenamiento

INFORMACION CONFIDENCIAL – Para uso exclusivo de SOHIN S.A. de C.V.

Cualquier copia es “No controlada” a menos que tenga un número de ejemplar autorizado
 SISTEMA DE GESTION DE LA CALIDAD
PROCEDIMIENTO / POLÍTICAS...
Código Versión Fecha de Elaboración/Actualización Próxima revisión Página
SH-MSGC - ·# 1 DIA MES de 2016 DIA MES de 2017 5/7

Se debe establecer un programa de prácticas periódicas con la participación de todo el personal en

la lucha contra los diferentes tipos de siniestro, de acuerdo a los roles que se hayan asignado en
los planes de evacuación del personal o equipos, para minimizar costos se pueden realizar recarga
de extintores, charlas de los proveedores, etc.

Es importante lograr que el personal tome conciencia de que los siniestros (incendios,
inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir; y tomen con seriedad y
responsabilidad estos entrenamientos; para estos efectos es conveniente que participen los
Directivos y Ejecutivos, dando el ejemplo de la importancia que la Alta Dirección otorga a la
Seguridad Institucional.

 Actividades Después del Desastre

Estas actividades se deben realizar inmediatamente después de ocurrido el siniestro, son las
siguientes:

a. Evaluación de Daños.

El objetivo es evaluar la magnitud del daño producido, es decir, que sistemas se están afectando,
que equipos han quedado inoperativos, cuales se pueden recuperar y en cuanto tiempo.

b. Priorización de Actividades del Plan de Acción.

La evaluación de los daños reales nos dará una lista de las actividades que debemos realizar,
preponderando las actividades estratégicas y urgentes de nuestra institución. Las actividades
comprenden la recuperación y puesta en marcha de los equipos de cómputo ponderado y los
Sistemas de Información, compra de accesorios dañados, etc.

c. Ejecución de Actividades.

La ejecución de actividades implica la creación de equipos de trabajo para realizar actividades

previamente planificadas en el Plan de Acción. Cada uno de estos equipos deberá contar con un
coordinador que deberá reportar el avance de los trabajos de recuperación y, en caso de
producirse un problema, reportarlo de inmediato al encargado del Plan de Contingencias.

Los trabajos de recuperación tendrán dos etapas:

 La primera la restauración del servicio usando los recursos de la institución o local de

respaldo.
 La segunda etapa es volver a contar con los recursos en las cantidades y lugares propios
del Sistema de Información, debiendo ser esta última etapa lo suficientemente rápida y

INFORMACION CONFIDENCIAL – Para uso exclusivo de SOHIN S.A. de C.V.

Cualquier copia es “No controlada” a menos que tenga un número de ejemplar autorizado
 SISTEMA DE GESTION DE LA CALIDAD
PROCEDIMIENTO / POLÍTICAS...
Código Versión Fecha de Elaboración/Actualización Próxima revisión Página
SH-MSGC - ·# 1 DIA MES de 2016 DIA MES de 2017 6/7

eficiente para no perjudicar la operatividad de la institución y el buen servicio de nuestro

sistema e Imagen Institucional.
d. Evaluación de Resultados.

Una vez concluidas las labores de Recuperación de los sistemas que fueron afectado por el
siniestro, debemos de evaluar objetivamente, todas las actividades realizadas, con que eficacia se
hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o entorpecieron) las
actividades del Plan de Acción, como se comportaron los equipos de trabajo, etc.

De la evaluación de resultados y del siniestro, deberían de obtenerse dos tipos de

recomendaciones, una la retroalimentación del Plan de Contingencias y Seguridad de Información,
y otra una lista de recomendaciones para minimizar los riesgos y perdida que ocasionaron el
siniestro.

e. Retroalimentación del Plan de Acción.

Con la evaluación de resultados, debemos de optimizar el Plan de Acción original, mejorando las
actividades que tuvieron algún tipo de dificultad y reforzando los elementos que funcionan
adecuadamente.

El otro elemento es evaluar cuál hubiera sido el costo de no contar con el Plan de Contingencias en
la empresa.

Acciones frente a los tipos de riesgo.

Clase de Riesgo: Robo común de equipos y archivos.

Analizar las siguientes situaciones:

 En qué tipo de vecindario se encuentra la Institución
 Las computadoras se ven desde la calle
 Hay personal de seguridad en la Institución y están ubicados en zonas estratégicas
 Cuánto valor tienen actualmente las Bases de Datos
 Cuánta pérdida podría causar en caso de que se hicieran públicas
 Asegurarse que el personal es de confianza, competente y conoce los
 procedimientos de seguridad.
 Trabajo no supervisado, especialmente durante el turno de noche, malas
 técnicas de contratación, evaluación y de despido de personal

INFORMACION CONFIDENCIAL – Para uso exclusivo de SOHIN S.A. de C.V.

Cualquier copia es “No controlada” a menos que tenga un número de ejemplar autorizado
 SISTEMA DE GESTION DE LA CALIDAD
PROCEDIMIENTO / POLÍTICAS...
Código Versión Fecha de Elaboración/Actualización Próxima revisión Página
SH-MSGC - ·# 1 DIA MES de 2016 DIA MES de 2017 7/7

Clase de Riesgo: Fallas en los equipos.

Las fallas del sistema de red pueden deberse al mal funcionamiento de los equipos ó a la pérdida
de configuración de los mismos por lo que se deben evaluar las fallas para determinar si estas se
derivan del mal funcionamiento de un equipo ó de la pérdida de su configuración.

Error Físico de Disco de un Servidor.

Dado el caso crítico de que el disco presenta fallas, tales que no pueden ser reparadas, se debe
tomar las acciones siguientes:
1. Ubicar el disco dañado.
2. Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y darle partición.
3. Se establecerá un Disco Duro Principal en el servidor donde se concentrará todos los
Backups de Sohin.
4. Se tendrá una copia de ese mismo Backup, desconectado del servidor y resguardado en el
Site, en caso de algún daño la información estará disponible y lista para poder consultarla.
5. Restaurar el último backup, seguidamente restaurar las modificaciones efectuadas desde
esa fecha a la actualidad.
6. Verificación del buen estado del Backup.

Elaboró Revisó Aprobó

Eduardo García Duarte

Analista de Sistemas Dirección Dirección General ó
Nombre completo y firma Nombre completo y firma Responsable Sanitario
Nombre completo y firma

INFORMACION CONFIDENCIAL – Para uso exclusivo de SOHIN S.A. de C.V.

Cualquier copia es “No controlada” a menos que tenga un número de ejemplar autorizado