Upload
edwin-jimenez-suarez
View
215
Download
0
Embed Size (px)
Citation preview
8/16/2019 Plan de Contingencias Dreu 2015 2016
1/53
8/16/2019 Plan de Contingencias Dreu 2015 2016
2/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
2
PRESENTACIÓN
En toda entidad de la Administración pública se precisa contar con un Plan de
Contingencias de los Sistemas de Información que garantice la funcionalidad de los
mismos dentro de la entidad y teniendo en cuanta las consideraciones estipuladas en
la Norma Técnica Peruana: NTP-ISO/IEC 17799:2007.
El presente Plan de Contingencias de la DREU lo estamos considerando a partir del
2015 al 2016 y comprende los siguientes puntos: Marco Teórico, Identificación de
riesgos, Calificación de la probabilidad de que ocurra un riesgo, Evaluación del impacto
en los procesos más críticos, creación de estrategias de contingencias y además se
incluye las dificultades en la que actualmente nos encontramos como Institución.
Ing. Karina Gordon ZumaetaAnalista de Sistemas PAD II
DREU
8/16/2019 Plan de Contingencias Dreu 2015 2016
3/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
3
CAPITULO I: MARCO TEORICO
1. Introducción
Con los avances de la tecnología y el crecimiento de los Sistemas de Información en las
entidades públicas y privadas, es vital considerar y elaborar el Plan de Contingencia de
estos Sistemas lo cual nos permitirá mantener la continuidad de los mismos frente a
eventos críticos, que puedan ocurrir en nuestra entidad y minimizar el impacto negativo
sobre los trabajadores y usuarios finales. Deben ser parte integral de su organización y
servir para evitar interrupciones, estar preparado para fallas potenciales y guiar hacia una
solución.
2. ¿Qué son los Sistemas de Información?
Un Sistema Informático utiliza ordenadores para almacenar los datos de una organización y
ponerlos a disposición de su personal. Por ejemplo cuando una persona tiene una
computadora en la que inserta datos a una aplicación o sistema. En nuestro caso nuestra
entidad cuenta con varios sistemas de Información como el SUP(Sistema Único de
Planillas), NEXUS(Control de Plazas), SIRA( Sistema de Información de Racionalización) SIAF,
SIGA, entre otros en la que muchos usuarios hacen uso de estos para diferentes
transacciones: ingreso, modificación y actualización de datos. Los sistemas de información
tienen muchas cosas en común como por ejemplo todos están formados por personas,
equipos y procedimientos. Este proceso en el que interactúan varios actores como
personas, computadoras, aplicaciones, procedimientos son importantes día a día y por ello
se hace imprescindible tomar medidas que nos permitan garantizar una continuidad en la
8/16/2019 Plan de Contingencias Dreu 2015 2016
4/53
8/16/2019 Plan de Contingencias Dreu 2015 2016
5/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
5
Podríamos definir a un Plan de Contingencias como una estrategia planificada con una
serie de procedimientos que nos faciliten o nos orienten a tener una solución alternativa
que nos permita restituir rápidamente los servicios de la organización ante la
eventualidad de todo lo que lo pueda paralizar, ya sea de forma parcial o total.
El Plan de Contingencia es una herramienta que nos ayudará a que los procesos críticos de
nuestra entidad continúen funcionando a pesar de una posible falla en los sistemas
computarizados. Es decir, un plan que le permite seguir operando aunque sea al mínimo.
4. Objetivos del Plan de Contingencia.
Garantizar la continuidad de las operaciones de los elementos considerados
críticos que componen los Sistemas de Información.
Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos
que componen un Sistema de Información.
5. Aspectos Generales de la Seguridad de la Información.
5.1 Seguridad Física
La seguridad física garantiza la integridad de los recursos humanos, lógicos y
materiales de un Sistema de Información de datos. Si se entiende de la contingencia o
proximidad de un daño como la definición de Riesgo de fallo, local o general, tres
serían las medidas a preparar para ser utilizadas en relación a la cronología de fallo.
8/16/2019 Plan de Contingencias Dreu 2015 2016
6/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
6
5.1.1 Antes.
El nivel adecuado de seguridad física, o grado de seguridad, es un conjunto de
acciones utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias
que de él se puedan derivar.
Es un concepto aplicable a cualquier actividad, no sólo a la informática, en la que
las personas hagan uso particular o profesional de entornos físicos.
Ubicación del edificio.
Ubicación del Centro de Procesamiento de Datos dentro del Edificio.
Compartimentación.
Elementos de la Construcción.
Potencia eléctrica
Acometida
Sistemas contra incendios, puesta a tierra.
Control de Accesos.
Selección de personal.
Seguridad de los medios.
Medidas de protección.
Duplicación de medios.
5.1.2 Durante.
8/16/2019 Plan de Contingencias Dreu 2015 2016
7/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
7
Se debe de ejecutar un Plan de Contingencia adecuado. En general, cualquier
desastre es cualquier evento que, cuando ocurre, tiene la capacidad de
interrumpir el normal proceso de una empresa.
La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el
impacto podría ser tan grande que resultaría fatal para la organización. Por otra
parte, no es corriente que una organización responda por sí mismo ante un
acontecimiento como el que se comenta, se deduce la necesidad de contar con
los medios necesarios para afrontarlo. Estos medios quedan definidos en el Plan
de Recuperación de Desastres que junto con el Centro Alternativo de Proceso
de Datos constituye el Plan de Contingencia de las necesidades que coordina,
las necesidades del negocio y las operaciones de recuperación del mismo.
Son puntos imprescindibles del plan de contingencia:
Realizar un análisis de riesgos de sistemas críticos que determine la
tolerancia de los sistemas.
Establecer un periodo crítico de recuperación, en la cual los procesos
deben ser reanudados antes de sufrir pérdidas significativas o
irrecuperables.
Realiza un análisis de aplicaciones críticas porque se establecerán las
prioridades del proceso.
Determinar las prioridades del proceso por días del año, que indiquen
cuales son las aplicaciones y sistemas críticos en el momento de ocurrir
el desastre y el orden de proceso correcto.
Establecer objetivos e recuperación que determinen el periodo de
tiempo(horas, días, semanas) entre la declaración de desastre y el
momento en el que el centro alternativo puede procesar las aplicaciones
críticas.
8/16/2019 Plan de Contingencias Dreu 2015 2016
8/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
8
Designar entre los distintos tipos existentes, un centro alternativo de
proceso de Datos.
Asegurar la capacidad de las comunicaciones
Asegurar la capacidad de los servidores Back-up
5.1.3 Después.
Los contratos de seguros vienen a compensar, en mayor o menor medida las
pérdidas, gastos o responsabilidades que se puedan derivar para el centro de
proceso de datos una vez detectado y corregido el fallo. De la gama de seguros
existentes se pueden indicar los siguientes:
Centro de Proceso y Equipamiento: se contrata sobre el daño físico en
el CPD (Centro de Procesamiento de Datos) y el equipo contenido en él.
Reconstrucción de medios de software: cubre el daño producido sobre
medios software tanto los que son de propiedad del tomador de seguro
como aquellos que constituyen su responsabilidad.
Gastos extra: cubre los gastos extras que derivan de la continuidad de
las operaciones tras un desastre o daño en el Centro de Proceso de
Datos. Es suficiente para compensar los costos de ejecución del Plan de
Contingencia.
Interrupción del negocio: cubre las pérdidas de beneficios netos
causadas por la caídas de los medios informáticos o por la suspensión de
las operaciones.
Documentos y registros valiosos: se contrata para obtener una
compensación en el valor metálico real por la pérdida o daño físico
sobre documentos y registros valiosos no amparados por el seguro de
reconstrucción de medios de software.
8/16/2019 Plan de Contingencias Dreu 2015 2016
9/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
9
Errores y Omisiones: proporciona protección legal ante la
responsabilidad en que pudiera ocurrir que un trabajador que cometiera
un acto, error u omisión que ocasione una pérdida financiera a la
organización.
Cobertura de fidelidad: cubre las pérdidas derivadas de actos
deshonestos o fraudulentos cometidos por empleados.
Transporte de medios: proporciona cobertura ante pérdidas o daños a
los medios transportados.
Contratos con proveedores y de mantenimiento: proveedores o
fabricantes que aseguren la existencia de accesorios y consumibles, así
como las garantías de fabricación.
5.2 Conceptos Generales.
5.2.1 Privacidad
Se define como el derecho que tienen los individuos y organizaciones para
determinar, ellos mismos, a quien, cuando y qué información referente a ellos
serán transfundidas o transmitidas a otros en concordancia con la Ley Nº 27806
de Transparencia y Acceso a la Información Pública.
5.2.2 Seguridad
Se refiere a las medidas tomadas con la finalidad de preservar los datos o
información que en forma no autorizada, sea accidental o intencionalmente,
puedan ser modificados, destruidos o simplemente divulgados.
Es el caso de los datos de una organización, la privacidad y la seguridad guardan
estrecha relación, aunque la diferencia entre ambas radica en que la primera se
8/16/2019 Plan de Contingencias Dreu 2015 2016
10/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
10
refiere a la distribución autorizada de información de acuerdo a una Ley ya dada,
mientras que la segunda, al acceso no autorizado de los datos.
El acceso a los datos queda restringido mediante el uso de palabras claves a
través de los Sistemas de Información que utilizamos en la DREU, de forma que
los usuarios no autorizados no puedan ver o actualizar información de una base
de datos teniendo perfiles definidos para cada usuario.
5.2.3 Integridad
Se refiere a que los valores de los datos se mantengan tal como fueron puestos
intencionalmente en un sistema. Las técnicas de integridad sirven para prevenir
que existan valores errados en los datos provocados por el software de la base
de datos, por fallas de programas, del sistema, Hardware o errores de personas.
El concepto de integridad abraca la precisión y la fiabilidad de los datos, así
como la discreción que se debe tener con ellos.
5.2.4 Datos
Los datos son hechos y cifras que al ser procesados constituyen una
información, sin embargo muchas veces los datos e información se utilizan
como sinónimos.
En su forma más amplia los datos pueden ser cualquier forma de información:
campos de datos, registros, archivos y bases de datos, texto (colección de
palabras), hojas de cálculo (datos en forma matricial), imágenes (lista de
vectores o cuadros de bits), vídeo (secuencia de tramas), etc
5.2.5 Base de Datos
Una base de datos es un conjunto de datos organizados, entre los cuales existe
una correlación y que además, están almacenados con criterios independientes
8/16/2019 Plan de Contingencias Dreu 2015 2016
11/53
8/16/2019 Plan de Contingencias Dreu 2015 2016
12/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
12
5.2.9 Ataque Pasivo
Intento de obtener información o recursos de una computadora personal sin
interferir con su funcionamiento, como espionaje electrónico, telefónico o la
intercepción de una red. Todo esto puede dar información importante sobre el
sistema, así como permitir la aproximación de los datos que contiene.
5.2.10 Amenaza
Cualquier cosa que pueda interferir con el funcionamiento adecuado de una
computadora personal, o causar la difusión no autorizada de información
confiada a una computadora. Ejemplo: Fallas de suministro eléctrico, virus,
saboteadores o usuarios descuidados.
5.2.11 Incidente
Cuando se produce un ataque o se materializa una amenaza, tenemos un
incidente, como por ejemplo las fallas de suministro eléctrico o un intento de
borrado de un archivo protegido.
5.2.12 Golpe (Breach)
Es una violación con éxito de las medidas de seguridad, como el robo de
información, el borrado de archivos de datos valiosos, el robo de equipos, PC,
etc.
6. Seguridad Integral de la Información
8/16/2019 Plan de Contingencias Dreu 2015 2016
13/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
13
La función del procesamiento de datos es un servicio de toda la institución, que apoya no
sólo a los sistemas de información administrativa sino también a las operaciones
funcionales. La Seguridad un aspecto de mucha importancia en la correcta Administración
Informática, lo es también de toda la Institución.
Las medidas de seguridad están basadas en la definición de controles físicos, funciones,
procedimientos y programas que conlleven no sólo a la protección de la integridad de los
datos, sino también a la seguridad física de los equipos y de los ambientes en que éstos se
encuentren.
En relación a la seguridad misma de la información, estas medidas han de tenerse en
cuenta para evitar la pérdida o modificación de los datos, información o software inclusive,
por personas no autorizadas, para lo cual se deben tomar en cuenta una serie de medidas,
entre las cuales figurarán el asignar números de identificación y contraseñas a los usuarios.
1.1 Back-UP
Es la actividad de respaldo de información de las bases de datos de los Sistemas de
Información que se manejan en la entidad.
1.2 Cloud Computer
Es el resguardo de información en la nube de internet.
8/16/2019 Plan de Contingencias Dreu 2015 2016
14/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
14
CAPITULO II: FASES DE LA METODOLOGIA PARA EL DESARROLLO DE UNPLAN DE CONTINGENCIA DE LOS SISTEMAS DEINFORMACIÓN.
Para determinar un modelo de un Plan de Contingencia mucho dependerá de la
infraestructura de nuestra entidad y de los servicios que se ofrecen. No existe un modelo único
para todos, lo que se intenta es dar los puntos más importantes y fases que considera el INEI
en base a la experiencia de las entidades públicas.
La presente metodología se podría resumir en 8 fases:
Planificación: preparación y aprobación de esfuerzos y costos
Identificación de Riesgos: Funciones y flujos del proceso de la empresa
Identificación de soluciones: Evaluación de riesgos de fallas o interrupciones.
Estrategias: Otras opciones, soluciones alternativas, procedimientos manuales.
Documentación del Proceso: creación de un manual del proceso.
Realización de pruebas: selección de casos soluciones que probablemente funcionen.
Implementación: creación de soluciones requeridas, documentación de los casos.
Monitoreo: Probar nuevas soluciones o validar los casos.
FASE I: PLANIFICACIÓN
1.1 Diagnóstico
La Dirección Regional de Educación de Ucayali actualmente viene sufriendo una falta de
infraestructura propia. Las Áreas y diferentes oficinas se encuentran distribuidas en 5
locales temporales de funcionamiento:
8/16/2019 Plan de Contingencias Dreu 2015 2016
15/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
15
LOCAL 1: Av. Saenz Peña 220; donde funcionan las oficinas de Remuneraciones,
Computo y Pensiones.
LOCAL 2: Sub-cafae Av. Pedro Paiva Nº214: donde funcionan las oficinas de
Administración( Personal, Contabilidad, Tesorería, Presupuesto,Abastecimiento,
Escalafón, Patrimonio), Secretaria General, Dirección.
LOCAL 3: DGP Jr. Iquitos 383, donde funcionan las oficinas de la Dirección de
Gestión Pedagógica.
LOCAL 4: DGI I.E Jorge Chávez, donde funcionan las oficinas de la Dirección de
Gestión Institucional.
LOCAL 5: I.E. COMERCIO, donde funciona el Órgano de Control Institucional.
Cada Local tiene una conexión independiente de red e Internet. Cada Local 2, 3, 4 y 5
cuenta con servicio de Internet Speedy y una red LAN. El Local 1 cuenta con una
interconexión LAN/WAN con el Ministerio de Educación y el servicio de Internet es a
través de fibra óptica, contando además con servició de telefonía IP. Sin embargo
únicamente están siendo favorecidas por este servicio gratuito las oficinas de este Local.
Todas las infraestructuras no son las adecuadas para las personas ni para los equipos, ni
para la información. Sin embargo dentro de los limitados recursos presupuestales con lo
que contamos se han adecuado las oficinas para continuar con las labores de esta
Dirección Regional.
En total en la Dirección Regional existen 41 Oficinas las cuales están distribuidas en los 5
Locales que describimos inicialmente, y dichos locales no son propios, se encuentran en
calidad de préstamo o alquiladas, teniendo muchas veces que regirnos a los servicios que
nos puedan brindar para el compromiso de nuestras funciones.
Otro tema es que actualmente las reuniones de coordinación entre las áreas no se
encuentran tan fluidas ni frecuentes como eran con anterioridad cuando nos
encontrábamos en un mismo local.
8/16/2019 Plan de Contingencias Dreu 2015 2016
16/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
16
No se pueden implementar infraestructuras con mejores tecnologías debido a que los
locales con los que contamos actualmente no son propios y hacerlo implicaría un mayor
costo.
8/16/2019 Plan de Contingencias Dreu 2015 2016
17/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
17
1.1.1 Organización Estructural y Funcional
8/16/2019 Plan de Contingencias Dreu 2015 2016
18/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
18
Se Cuenta con un ROF y MOF, en el que se describen las funciones de cada Área y cada
personal que se encuentra dentro de ella.
La Dirección de Educación de Ucayali cuenta con 5 direcciones:
Dirección General
Dirección de Administración, Infraestructura y Equipamiento.
Dirección de Gestión Institucional.
Dirección de Gestión Pedagógica.
Dirección de Asesoría Legal
Dirección General:
Tiene a su cargo dos oficinas:
Secretaría General – Mesa de partes: donde se realizan los procesos de trámite
documentario de entrada y salida de la entidad.
Imagen Institucional: que se encarga de difundir las actividades institucionales delDirector Regional
Dirección de Administración, Infraestructura y Equipamiento
Tiene a su cargo a las siguientes oficinas:
Personal: se encarga de la administración de los recursos humanos de la
Institución, así como de los docentes y administrativos de Educación Superior de
la Región.
Procesos Administrativos: se encarga de realizar los procesos administrativos
al personal de la DREU y Educación Superior cuando existan denuncias de la
ciudadanía u otros organismos.
Pensiones: Se encarga de tramitar la documentación y pagos del personal Cesante
de la Ley 20530.
8/16/2019 Plan de Contingencias Dreu 2015 2016
19/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
19
Bienestar Social: se encarga de velar por el bienestar de los recursos humanos
cuando estos se encuentren gozando de licencias por salud u otros.
Remuneraciones/Computo: En el caso del Área de Remuneraciones se encarga
de programar mensualmente las planillas de personal activo de la DREU y de
Educación Superior. Computo: se encarga del monitoreo y procesamiento de los
Sistemas de Información con los que cuenta la entidad, así como también el
monitoreo de la Red LAN/WAN con el Ministerio de Educación, entre otros.
Escalafón: se encarga de elaborar las fichas escalafonarias de todo el personal de
la DREU y Educación Superior de la Región.
Infraestructura: Se encarga de verificar, monitorear y tratar temas sobre la
infraestructura de la DREU y los locales de Educación Superior de la Región.
Abastecimiento: se encarga de la distribución de bienes y servicios durante el año
en las oficinas de la DREU.
Patrimonio: Registrar los Bienes muebles e inmuebles de la DREU
Almacen: almacenar materiales, útiles de oficina para su distribución a la
entidad
Servicios y Guardianía: Vigilancia a los locales de la DREU y servicios de
transporte local.
Contabilidad: se encarga de realizar los estados financieros, compromisos
presupuestales de la entidad, entre otros.
Tesorería: se encarga de efectivizar el pago de las planillas, viáticos y bienes y
servicios de la entidad
Pagaduría: se encarga de la entrega de las Boletas de Pago de todas las
planillas que se realizan en la entidad.
Dirección de Gestión Institucional : se encarga de tratar temas cruciales en las
decisiones institucionales de la DREU.
Tiene a su cargo las siguientes oficinas:
Planificación: realiza los documentos de gestión, planes operativos de la DREU.
Presupuesto: formula, elabora y aprueba el presupuesto Institucional.
8/16/2019 Plan de Contingencias Dreu 2015 2016
20/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
20
Racionalización: se encarga de administrar las plazas presupuestales y la
elaboración del Presupuesto Analítico de Personal anualmente
Estadística: se encarga de ingresar al Sistema Estadístico la información de la
jurisdicción en coordinación con el INEI
Dirección de Gestión Pedagógica: Se encarga de velar por los temas Pedagógicos de la
Región de acuerdo a los niveles educativos.
Tiene a su cargo las siguientes oficinas:
Educación Inicial
Educación Primaria
Educación Secundaria
Tutoría y Prevención Integral
Tecnología Informática y Comunicación
Alfabetización
Educación Especial
Educación Técnica Productiva
Educación Superior
Investigación Educativa
Educación Bilingüe intercultural
Educación Rural
Educación Cultura y deporte
Redes Educativas
Dirección de Asesoría Legal: Se encarga de tratar los requerimientos jurídicos de la
DREU.
Oficina de Control Institucional: Se encarga de tratar temas de control interno
teniendo como ente rector a la Contraloría.
1.1.2 Servicios y/o bienes producidos
La Dirección Regional de Educación de Ucayali es una entidad estatal de línea que
depende jerárquicamente y presupuestalmente del Gobierno Regional de Ucayali cuya
supervisión está a cargo de la Gerencia de Desarrollo de Social del mismo y depende
8/16/2019 Plan de Contingencias Dreu 2015 2016
21/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
21
para sus funciones técnico/normativo del Ministerio de Educación, responsable de
dirigir, coordinar y evaluar el desarrollo de la educación, la ciencia, tecnología, la
cultura, la recreación y el deporte en su ámbito, con participación de los diferentes
actores sociales (docentes, administrativos, ciudadanía en general) a fin de asegurar
servicios administrativos, educativos y programas de atención integral de calidad y
con equidad en los centros y programas educativos, y en las instituciones de
educación superior no universitaria del ámbito regional.
A continuación se puede apreciar la relación de los diferentes actores que forman
parte de los clientes de la Dirección Regional de Educación de Ucayali, así como
también sus servicios y bienes finales que reciben por parte de nuestra entidad.
Cuadro Nº 01: Servicios y Bienes de la DREU
Los bienes y servicios que se brindan en la Dirección Regional son continuos y
dentro de plazos determinados, algunos de ellos se emiten de manera anual,
semestral, mensual, quincenal, semanal y diaria.
Los servicios que tienen mayor demanda son los pagos mensuales del personal
docente y administrativo de la jurisdicción es decir de los funcionarios, personal
administrativo, pedagógico de la DREU y del personal Docente y Administrativo
de los Institutos Superiores de toda la Región.
1.1.3 Servicios y Materiales UtilizadosDe acuerdo a los servicios que se utilizan en la Dirección Regional de Educación de
Ucayali se muestran los Directorios de las empresas e Instituciones que nos abastecen
Clientes Servicios Bienes
personal docente Trámites Administrativos Resoluciones
personal administrativo Pagos de Planilla Certificados
persona natural
atención a sentencias
judiciales Constanciasempresas juridicas Concursos Boletas
sindicatos Descuento por Planilla Informes
entidades del Estado Respaldo de Información Oficios
entidades autónomas decontrol Búsqueda de Información Cheques
8/16/2019 Plan de Contingencias Dreu 2015 2016
22/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
22
de los servicios básicos y materias primas o insumos para la producción de
Información:
Directorio de empresas o Instituciones que Abastezcan de Energia, Comunicación, Transporte, Agua, Salud
Nombre de la Empresa uEntidad
Titular o Representante dela Empresa
Dirección Teléfonos/Celulares
Ciudad
Electro Ucayali S.AJose Julio RibeyroDellepiane Av. Circunvalación Nº 300 061-570303 Pucallpa
Emapacop S.A Reinaldo Castillo Morales Jr. Julio C. Arana Nº433 061-575005 Pucallpa
Teléfonica del Perú S.A.A Calle Schell Nº 310 01-2106245 Lima
1.1.4 Inventario de Recursos Informáticos.
En los Anexos del presente Plan de Contingencia de Sistemas de Información, se
adjunta los inventarios de recursos Informáticos y son los siguientes:
Equipos Informáticos: Computadoras Personales, Laptops (Celeron, AMD, Dual
Core, I3, I5), impresoras, scanners, proyectores, etc.
Programas: Sistemas Operativos, procesadores de Textos, hojas de cálculo,
lenguajes de programación, software de base de Datos.
Aplicativos Informáticos: de los Sistemas implantados en la DREU- Sede
Equipos empotrados: Cajas fuertes, gabinetes, centrales telefónicas.
El procesamiento de estos inventarios se elaboró con el tipo de procesamiento
Manual.
Dado que dentro del Plan Operativo Informático que se encuentra en verificación por
la Dirección de Gestión Institucional se está considerando como una de las actividades
informáticas la adquisición de un aplicativo para realizar los inventarios de los equipos
Directorio de entidades abastecedoras de materias primas o insumos para la producción de informacion
materiales de oficina, computadoras, impresoras, toner, cartuchos
Nombre de la Empresa u EntidadTitular o Representante de la
EmpresaDirección
Teléfonos/Celulares
Ciudad
Villacorta Montoya José Luis Villacorta Montoya José Luis Jr. Inmaculada Nº 494 961903846 Pucallpa
Villacorta CorporaciónPapelera EIRL Villacorta Montoya José Luis Jr. Inmaculada Nº 494 961903846 Pucallpa
Villar Martinez Dario Abraham
Villar Martinez Dario Abraham
Jr. Coronel Portillo Nº399 961986909 Pucallpa
PC RED Santillán Ruiz Friedler Jr. Salaverry Nº 629 961607629 Pucallpa
8/16/2019 Plan de Contingencias Dreu 2015 2016
23/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
23
de cómputo de manera física(Hardware) y lógica(Software) para que el procesamiento
del inventario sea de forma Automatizada.
FASE I: PLANIFICACIÓN
1.2 Planificación
Se tratarán de definir una serie de actividades de contingencia y asegurar la continuidad
de las labores de la Institución.
Definición clara del alcance : En la Dirección Regional de Educación de Ucayali no
pueden dejar de funcionar los Sistemas de Información administrativos y de gestión
como son: de Control de Plazas (NEXUS), Planillas de pago (SUP), Racionalización(SIRA),
así como también los sistemas contables SIAF, abastecimiento y tesorería SIGA. Por lo
que su continuidad está sujeta a la Infraestructura y ambientación óptima con la que
contamos, a la antigüedad y garantías de los equipos Informáticos y los equipos de
alimentación que deben ser ininterrumpibles en todos los servidores en el que se
encuentren alojados estos Sistemas de Información.
FASE II: IDENTIFICACION DE RIESGOS
En esta fase se busca minimizar las fallas generadas por cualquier
incidente que va en contra del normal funcionamiento de los sistemas de
información de la entidad, a partir de los análisis de las actividades que se
encuentran en evaluación presupuestal a través del POI( Plan Operativo
Informático) que se encuentra en la Dirección Institucional los cuales tienen
que ser implementados a tiempo.
Entonces a partir de ello es necesario que exista un análisis económico y legal
para que se lleven a cabo estas actividades informáticas que son cruciales para
8/16/2019 Plan de Contingencias Dreu 2015 2016
24/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
24
asegurar el funcionamiento de los Sistemas de Información de manera óptima.
Ya que las fallas que se presentarían en los Sistemas de Información que
manejamos dependen de la atención que nos brinden a estas actividades.
2.1 Análisis y Evaluación de Riesgos.
Para identificar los riesgos potenciales que afectan a la Dirección regional en cuanto a sus
servicios se debe considerar como primer paso la reducción de Riesgos, de esta manera
se logrará cumplir con los objetivos institucionales.
Diagnóstico Integral de los Sistemas de Información.
La Dirección Regional de Educación de Ucayali depende presupuestalmente del
pliego: Gobierno regional de Ucayali y Ministerio de Economía y finanzas y
normativamente - funcional depende del Ministerio de Educación.
Los sistemas de Información que se maneja en esta sede son de carácter
estándar, su uso es obligatorio y son los siguientes:
8/16/2019 Plan de Contingencias Dreu 2015 2016
25/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
25
- SUP : Sistema Unico de Planillas
- NEXUS: Administración de Plazas
- SIRA: Sistema de Información de racionalización.
- SIAF: Sistema integrado de Administración Financiera.
- MCPP: modulo Control de Pagos y Planillas.
- RNSDD: Registro Nacional de Sanciones, Destitución y Despidos.
- SIGA: Sistema Integrado de Gestión Administrativa.
- AIRH: Aplicativo Informático de Recursos Humanos
Los que no son de uso obligatorio y realizados por el centro de cómputo son:
- Aplicativo para planilla CAS y PROGRAMAS
- Aplicativo para Importación de datos para PDT
- Aplicativo para Planillas de Deudas Sociales, CTS, Luto y Sepelio.
Se debe asegurar la continuidad y el uso de estos sistemas y aplicaciones que son de
suma importancia en los servicios que se realiza en la Sede Regional.
Servicios afectados en orden de importancia, magnitud del impacto.
a. Pago de Planillas
b. Pago de retenciones y PDT
c. Control de plazas
d. Liquidaciones de Deudas Judiciales.
e. Pago de proveedores
f. Viáticos
8/16/2019 Plan de Contingencias Dreu 2015 2016
26/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
26
Identificación de los procesos de los servicios afectados.
1. Elaboración de Planillas de Pago(Cesantes, Activos, CAS y programas) a través
del SUP y otros aplicativos.
2. Ingreso y actualización de datos en el AIRH.
3. Procesamiento de Planillas de Pago a través del SUP y otros aplicativos.
4. Ingreso y validación de datos en el MCPP.
5. Compromiso, Devengado y Girado de planillas en el SIAF
6. Emisión de retenciones de Planillas
7. Elaboración y declaración virtual del PDT
8. Actualización y envío de Información a través del NEXUS semanalmente.
9. Actualización de datos en el SIRA.
10. Registro de Ordenes de Servicio al SIGA
11. Ingreso de órdenes de servicio al SIGA
12. Compromiso, devengado y girado de Ordenes de servicio al SIAF
13. Ingreso de Viáticos al SIGA
14. Compromiso, devengado y girado de viáticos al SIAF.
15. Actualización de datos al RNSDD
2.2 Identificación de los procesos Críticos
Estos procesos los consideramos como críticos porque causarían el mayor impacto
negativo en los servicios y en las funciones críticas de nuestra sede:
1. Digitación y Procesamiento de Planillas(cesantes, activos, CAS y Programas)
2. Compromiso, devengado y girado de planillas, ordenes de servicio y viáticos.
3. Actualización de datos en el AIRH
4. Actualización de datos en el MCPP
8/16/2019 Plan de Contingencias Dreu 2015 2016
27/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
27
5. Actualización de datos y envío de información del NEXUS
6. Actualización del SIRA.
7. Actualización del RNSDD.
8. Registro de Control de Asistencia.
2.3 Análisis de las Operaciones actuales.
Actualmente las operaciones en la Dirección Regional de Educación de Ucayali se realizan
de la siguiente manera:
Operaciones Porcentaje Descripción
Automatizada 80% Se hace uso de SUP,SIAF,SIGA,
NEXUS,AIRH, etc
Manual 20% Trámite documentario
TOTAL 100%
FASE III: IDENTIFICACION DE SOLUCIONES
En plan de contingencias se debe contemplar todos los procesos de la Institución sean
manuales o automatizados, evaluando el volumen de la información o materiales
afectados a fin de definir la complejidad de los sistemas.
Se debe considerar 3 aspectos importantes para el presente plan de contingencias:
o Complejidad de los Sistemas de Información.
o Importancia de los Sistemas de Información.
o Costo del servicio para proteger los Sistemas de Información.
o Riesgo asociado a cada servicio.
8/16/2019 Plan de Contingencias Dreu 2015 2016
28/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
28
3.1 Identificación de Alternativas de Solución.
Consideramos las siguientes alternativas de emergencia para la recuperación de fallas:
o Necesidad de personal adicional.
o Servidores Backup que suplan fallas de los servidores principales.
o Contar con convenio con empresas informáticas que brinden servicios serios y
con garantías para los equipos, y puedan asistirnos ante una eventualidad en la
falla de equipos de hardware y software.
o Contar con convenio con una empresa para un sitio y el resguardo de los
Backups de los diferentes Sistemas de Información que maneja la Institución.
o Contar con un parqueo de UPS para los servidores y Pcs que cuenten con el
mayor tiempo de tolerancia, así mismo se debe contar con suministro de
energía eléctrica: generadores ante cualquier eventualidad.
o Contar con un Sistema de alarma contra incendios
o Convenio con empresas que revisen y den mantenimiento 4 veces al año como
mínimo al sistema eléctrico de la sede.
o Conformar un comité de Seguridad de la Información en la entidad integrado
de manera obligatoria por los siguientes cargos en la Institución:
- Administrador
- Especialista Administrativo II (Recursos humanos)
-
Especialista Administrativo II (Abastecimiento)
- Analista de Sistemas II( Informática)
- Planificador II.
- Especialista en Finanzas II (Presupuesto)
- Ingeniero II (Infraestructura)
- Operador Pad II (Soporte técnico).
8/16/2019 Plan de Contingencias Dreu 2015 2016
29/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
29
o Programa de Vacaciones para que siempre exista personal necesario que supla
las funciones de los miembros del Comité de Seguridad de la Información ante
cualquier eventualidad en caso de vacaciones, licencias u otros.
o Contar con un centro opcional de procesamiento de información ante
cualquier incidente que sufra el Centro de Cómputo.
o Que se adquiera un antivirus corporativo anual para todos los equipos de la
Institución.
o Programa de mantenimiento y actualización de hardware(físico) y
Software(Lógico) de todos los equipos informáticos en todas las áreas de la
DREU.
o Que se validen y se apruebe anualmente el Plan Operativo Informático del año
en curso.
3.2 Seguridad en Redes
En la Dirección Regional de Educación no contamos con una Red local de la Institución,
existen redes LAN en los 5 locales temporales en los que nos encontramos. Sólo contamos
con una RED LAN/WAN con el Ministerio de Educación con servicio gratuito de voz y datos
y no lo estamos aprovechando al 100%, debido a que en el lugar donde se encuentra
instalado esta conexión no existe la infraestructura optima y la organización Defensa civil
lo ha declarado como lugar inhabitable.
Otro punto que agregar es que el servidor de dominio es antiguo no pudiendo instalarse
ni repotenciarse porque su sistema operativo ya no se encuentra vigente en el mercado
debiendo renovarse lo más pronto posible: Todos estas observaciones y requerimientos
se ha indicado en el Plan Operativo Informático que se encuentra en verificación para su
aprobación.
8/16/2019 Plan de Contingencias Dreu 2015 2016
30/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
30
3.2.1 Las funciones de Seguridad de Red.
Se considera lo siguiente:
el anfitrión promiscuo: debemos evitar e implementar los controles para que
nuestra red no esté vulnerable a que otros puedan romper cualquier cuenta y
acceder a ella, para ello nosotros actualmente contamos con una ventaja por
parte del Ministerio de Educación que implementó un PROXY para que todas las
Direcciones Regionales y UGELs no puedan acceder a aplicaciones y sitios web no
autorizados así como también la descarga de archivos está siendo protegida por
un antivirus corporativo; faltando que de todas maneras se implementé un PROXY
dentro de la red local y las demás REDES independientes que actualmente están
habilitadas en los diferentes locales.
Autentificación: a pesar de que nuestro servidor de dominio esté desactualizado y
con recursos limitados para su funcionamiento, se implementó una protección en
el acceso, logueándonos en cada inicio de sesión al servidor de dominio.
Autorización: Las unidades compartidas en el servidor se encuentran a modo de
lectura y se ha creado grupos para los usuarios que adquieren al sistema de
planillas en este caso, sólo contamos con grupos de usuarios del Sistema Unico de
Planillas.
Contabilidad: se debe implementar una estrategia de conteo para examinar e
identificar el número de intentos de acceso a nuestra Red diariamente.
8/16/2019 Plan de Contingencias Dreu 2015 2016
31/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
31
3.2.2 Componentes de Seguridad
A los usuarios de la red en la Dirección Regional se debe clasificarlos de acuerdo a
los 3 niveles de acceso:
Nivel de Administración: diseñan, mantienen y ponen en marcha la red: el
administrador de Red o personal confiable de soporte y administración de
equipos.
Usuarios fiables: usuarios sujetos a cumplir las normas con record de buena
conducta pueden contar con una cierta libertad de acceso a la Red.
Usuarios vulnerables: los que muestran falta de competencia, con record de
pérdidas de archivos, que son excesivamente curiosos y no se pueden confiar,
debemos darles más restricciones de acceso a la Red.
3.2.3 Control de acceso a la Red.
En la Dirección Regional de Educación el personal de vigilancia capacitado y
conocedor de temas de seguridad de la Información debería tener llaves y la
puerta debe ser segura, tener sistemas biométricos, tarjetas inteligentes.
8/16/2019 Plan de Contingencias Dreu 2015 2016
32/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
32
Identificación para la red con clave de acceso.
Protección con clave de cada grupo en la Red, sobre todo en las áreas que se
maneja mucha información y cada usuario debe tener restricciones de
aplicaciones que no está designado a utilizar..
Debe haber un registro de las actividades en cada estación de trabajo a
través de una aplicación que reporte (que lo guarde en un servidor de datos)
a la hora que cada usuario apague el equipo.
Protección de usuarios vulnerables con clave o bloqueo a todas las
operaciones de copia a disco duro externo, CD-DVD o USB.
Monitorear las copias o eliminación de archivos de dispositivos externos.
3.2.4 Protección del Servidor.
Actualmente dentro del Plan Operativo presentado a las oficinas competentes, se
está solicitando la adquisición de un parqueo de servidores, ya que únicamente la
Dirección Regional de Ucayali cuenta con un servidor de datos(Planillas), uno de
respaldo que se encuentra obsoleto, faltando varios más para diferentes tipos de
soluciones que se necesita implementar, ya que un servidor es la parte más
importante de la Red, allí se concentran los datos que todos los usuarios de la
Sede ingresa, actualizan y utilizan por lo tanto es necesario y urgente protegerlo
de cualquier eventualidad. No debe ser accesible para nadie más que para el
administrador de la Red.
Por ese motivo en los servidores se necesitan efectuar copias de seguridad de
acuerdo a las políticas que cada Sistema de Información tiene. Estas copias deben
estar guardadas en un lugar cerrado, seguro y con óptimas condiciones
ambientales. Otra copia de los mismos archivos de resguardo deben ser
custodiados en otro local o un lugar seguro (empresas que brindan servicio de
custodia de datos, Instituciones afines con mejor infraestructura y condiciones
8/16/2019 Plan de Contingencias Dreu 2015 2016
33/53
8/16/2019 Plan de Contingencias Dreu 2015 2016
34/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
34
Actualización del AIRH inter-diariamente dependiendo de los nuevos ingresos y/o
modificaciones que se realicen en el SUP,
Actualización del SIRA, RNSDD, y otros.
Sistemas de Información y Orden de Prioridad.
Prioridad S.I Transacción Descripción Dias de usoResguardo deinformación
Programa
1SistemaNexus
consulta,actualización, ingresode datos
Control de Plazas ymovimientos de personal
todos los diasTodos losViernes
mysql (cliente/servidor)
2Sistema de
Planillasconsulta, digitación,procesamiento
Proceso de Pagos todos los dias mensualsybase
(cliente/servidor)
3 AIRH Ingreso, actualización Alta y Baja de personal delSector
condicional ala situacióndel personal
se guardaautomáticamenteen la Bdd delMEF
web - en línea
4 MCPPingreso deinformación,modificación
Control de Pago dePlanillas antes de seringresado al SIAF
dias de pago
se guardaautomáticamenteen la Bdd delMEF
SqlServer(cliente/servidor)
5 SIAF
ingreso deinformación,modificación,actualización
para compromiso, girado ydevengado contable yfinanciero
todos los dias
se guardaautomáticamenteen la Bdd delMEF
SqlServer(cliente/servidor)
6 SIGA
ingreso deinformación,modificación,actualización
gestión para actividades de
contratación yadquisiciones del Estado
todos los dias semanalSql Server(cliente/s
ervidor)
7 RNSDDingreso deinformación
Registrar sanciones ydespidos de personal de laentidad
condicional alainformación
se guardaautomáticamenteen la Bdd deSERVIR
web - en línea
8
aplicativosCAS, PDT
yprogramas
importación deinformación, registro,emisión de reportes,procesamiento
planillas de pago varias yelaboración del PDT
10 dias mensual Visual FOX
En la Dirección Regional se necesita que todos estos sistemas de Información
continúen funcionando sin ningún inconveniente día a día, para ello se debe contar en
primer lugar con una Infraestructura Institucional luego la implementación de un
centro de datos con las características óptimas y un centro de datos opcional, con un
sistema de seguridad y de redes optimo que asegure la operatividad de los sistemas
de Información y se logre tener una buena administración del mismo, ante cualquier
eventualidad. Además es imprescindible la adquisición de un parqueo de servidores, y
equipos de comunicaciones acordes a las tecnologías actuales.
8/16/2019 Plan de Contingencias Dreu 2015 2016
35/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
35
Actualmente se ha considerado dentro del Plan Operativo actividades informáticas
claves para empezar el trabajo de implementación de la seguridad de la Información
en nuestra Institución.
4.2 Preparativos para la Identificación de soluciones preventivas
Respaldar la información importante en medios magnéticos, Tape Backup, CD-DVD,
Discos externos: respaldar INFORMACION y no las aplicaciones.
Tener a disposición los CDs de Instalación de los sistemas operativos vigentes.
Contratar servicio de antivirus corporativo anual y con garantías para todas las
máquinas de la institución.
Guardar una copia de los manuales, documentación de los sistemas .
Realizar con una empresa tercera en servicios informáticos el mantenimiento
preventivo de las pcs personales y servidores de la institución dos veces al año.
4.3 Medidas de Precaución y Recomendación.
Área de Informática.
En este caso, en la Dirección Regional de Educación no contamos con un área de
informática, sino con un Centro de Cómputo.
• Es recomendable que el Centro de Cómputo no se encuentre ubicado en áreas de alto
tráfico ni cerca de las zonas de pista.
• Hasta hace algunos años la exposición de los Equipos de Cómputo a través de grandes
ventanales, constituían el orgullo de la organización, considerándose necesario que
estuviesen a la vista del público, siendo constantemente visitados. Esto ha cambiado
de modo radical, principalmente por el riesgo de huelgas, protestas,
8/16/2019 Plan de Contingencias Dreu 2015 2016
36/53
8/16/2019 Plan de Contingencias Dreu 2015 2016
37/53
8/16/2019 Plan de Contingencias Dreu 2015 2016
38/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
38
El lugar debe contar con las luminarias adecuadas.
Tiene que contar con un sistema de emergencia contra incendios con alarmas y
protección.
Contar con sensores de temperatura, incendio, flujo de corriente, humedad, agua,
movimiento. Estos sensores deben ser manejados por una central que comunique
mediante mensajes de texto o llamadas telefónicas a los responsables.
Deben contar con los gabinetes para servidores, equipos de comunicación, central
telefónica y todo lo que requiera en el centro de datos.
Debe contar con un área de almacén para los accesorios que se tengan de los equipos
y tengan que estar a buen recaudo.
Debe contar con cámaras video vigilancia de seguridad para el ingreso, dentro del
centro de datos, y áreas que se considere necesarias.
Servidores vigentes y actuales para la demanda según su necesidad.
Se debe contar con un cableado eléctrico y de datos para todo el centro de datos, así
como para sus áreas usuarias.
Se debe contar con un grupo electrógeno sincronizado con el ups y el sistema eléctrico
del proveedor para que se active cuando haya un corte de energía.
Las puertas de acceso deben ser metálicas y recubiertas con un material adecuado
para evitar el óxido y el deterioro por el clima y el ambiente, apertura hacia afuera -
giro posible de 180°
Contratar personal para limpieza especializada del Centro de Cómputo.
El modelo de seguridad a implementar, estará basado en el entorno y en la política y
estrategias de la instalación.
8/16/2019 Plan de Contingencias Dreu 2015 2016
39/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
39
FASE V: REALIZACIÓN ESTRATEGIAS
5.1 Plan de recuperación de Desastres.
A continuación se listan los desastres que pone en riesgo a los Sistemas de Información y
al Centro de Cómputo:
a. Robo Común de equipos y archivos.
b. Virus Informático.
c. Terrorismo
d. Desastres naturales, terremotos, inundaciones.
e. Manipulación y Sabotaje.
f. Fallas en el Hardware, Software y comunicaciones.
g. Equivocaciones.
h. Fallas en el suministro Eléctrico.
i. Incendio.
Es importante que si en caso ocurra uno de estos desastres es necesario que se conozca a
detalle el motivo que lo originó y el daño que ha producido, lo que permitirá recuperar en
el menor tiempo posible el proceso perdido.
La elaboración de los procedimientos a seguir para un caso de emergencia deben ser
obligatorias y bajo la responsabilidad de todos los integrantes de los mismos, incluyendo
procesos de verificación de su cumplimiento y en cada proceso deben estar involucrado
todo el personal de la Institución.
Los procedimientos de los planes de recuperación de desastres deben de emanar de la
máxima autoridad institucional para garantizar su difusión y estricto cumplimiento.
8/16/2019 Plan de Contingencias Dreu 2015 2016
40/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
40
Existen 3 etapas para realizar el Plan de Recuperación de desastres:
Actividades previas al desastre
Actividades durante el desastre
Actividades después del desastre
5.1.1 Actividades previas al Desastre.
Son todas las actividades de planeamiento, preparación, entrenamiento y ejecución
del resguardo de la información que nos asegurará un proceso de recuperación con
el menor costo posible a nuestra institución.
Aquí debería ya estar conformado el comité Institucional de Seguridad de la
Información conformando equipos operativos para los planes de evaluación del
cumplimiento de los procedimientos de seguridad.
Plan de Acción
Se debe considerar lo siguiente:
Sistemas de Información
Equipos de Cómputo
Obtención y almacenamiento de los Respaldos de Información(BACKUPS)
Politicas: normas y procedimientos de backups.
a. Sistemas de Información
La DRE Ucayali debe tener una relación de los sistemas de información con los
que cuenta, tantos los que han sido provistos por entidades como el Ministerio
de Educación, Ministerio de Economía entre otros, así como también los que
han sido hechos por personal de la misma institución , debiendo identificar
toda la información sistematizada o no, que sea necesaria para la buena
marcha institucional:
8/16/2019 Plan de Contingencias Dreu 2015 2016
41/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
41
SISTEMAS DE INFORMACION DE L DIRECCION REGIONAL DE EDUCACION DE
UCAYALI
Nº S.ILenguaje/manejador
Base de datosÁrea donde segenera la data
utilizan lainformación
volumende
archivosTransac. equipos
fechas que senecesita la
información
actividades pararestaurar
1SistemaNexus
mysql cliente/servidor Personal Personal 1 GB 10 diarias
1 servidor 1ups ( nocontamoscon elequipo)
todos los diascontar con unservidor con UPS
2Sistema
dePlanillas
sybase - Visual basiccliente/servidor
Centro deComputo/MED
remuneracionespensiones/centro
de computo9.50 GB 1000 diarias
1servidornuevo(reparacióndel actualparabackup)
todos los dias
contar con unservidor derespaldo y UPS demayor tolerancia
3 SIRA Visual FOXRacionalización -
DGIracionalización -
DGI200 MB
50mensuales
1 servidor 1ups ( nocontamoscon elequipo)
todos los diascontar con unservidor con UPS
4 AIRH web - mozilla firefox MEFremuneraciones/
pensionesPresupuesto
-100mensuales
- todos los diascontar con unservidor con UPS
5 MCPPSql Server
cliente/servidorMEF
remuneraciones/contabilidad
50mensuales
1 servidor+1 ups(nocontamoscon elequipo
funciona enuna I7)
dis previos ala fecha depago
contar con unservidor con UPS
6 SIAFSql Server
cliente/servidorMEF
contabilidad/abastecimiento/
tesoreria/presupuesto/
administración
2 GB2000mensuales
1 servidor+1 ups(nocontamoscon elequipofunciona enuna I7)
todos los diascontar con unservidor con UPS
7 SIGASql Server
cliente/servidorMEF todas las areas 1 GB 50 diarias
1 servidor+1 ups(nocontamoscon elequipofunciona en
una I7)
todos los diascontar con unservidor con UPS
8 RNSDD web SERVIRpersonal y
comision deprocesos
-10mensuales
-
condicional alainformación aactualizar
se guardaautomáticamenteen la Bdd deSERVIR
9aplicativo
CASVisual FOX
Centro deComputo
remuneracionescentro decomputo
500 MB50mensuales
servidor +ups (nocontamoscon elequipo)
5 diascontar con unservidor con UPS
10
aplicativode
programaspptales
Visual FOXCentro deComputo
remuneracionescentro decomputo
500 MB50mensuales
servidor +ups (nocontamoscon elequipo)
5 diascontar con unservidor con UPS
11
aplicativoimportación de
archivospara PDT
Visual FOXCentro deComputo
remuneracionescentro decomputo
500 MB50mensuales
servidor +ups (nocontamoscon elequipo)
5 diascontar con unservidor con UPS
8/16/2019 Plan de Contingencias Dreu 2015 2016
42/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
42
b. Equipos de cómputo
Se cuenta con un inventario actualizado de equipos de cómputo(el cual se
adjunta).
Además es importante que la Institución cuente con una póliza de seguros
para la protección de activos institucionales, pero haciendo la salvedad en el
contrato que en casos de siniestros, la restitución de los equipos de cómputo
se podrá hacer por otro de mayor potencia (por actualización tecnológica)
siempre y cuando este dentro de los montos asegurados.
El Área de Patrimonio deberá etiquetar a las computadoras y servidores con
una señalización que indique la importancia de cada equipo para que en caso
de evacuación sean priorizados los de mayor importancia estratégica e
institucional
c. Backups
Se cuenta con los siguientes Backups:
Backups mensuales del sistema de Planillas (SUP)
Backups del sistema Nexus en archivo y en el correo de todos los
viernes.
Backups del SIRA después de alguna Instalación o actualización(cada
dos meses)
Backups del SIAF(cada dos meses)
Backups de los aplicativos del CAS, PDT y Programas.(mensuales)
8/16/2019 Plan de Contingencias Dreu 2015 2016
43/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
43
d. Políticas de Backups
En la Dirección Regional de Educación se realizan los Backups de los sistemas
de información de acuerdo a políticas de seguridad estipuladas por el
Ministerio de Educación y se resume en el siguiente cuadro:
item S.IPERIODOS DE
BACKUPFECHAS DE
BACKUP
ENTIDADESPARA
RESGUARDO
1 Sistema Nexus semanaltodos losviernes
Personal
2Sistema de
Planillasmensual
despues decada planilla
mensual
remuneracionespensiones/centro
de computo
3 SIRAcada dosmeses
fines de mesracionalización –
DGI
4 AIRH - -remuneraciones/
pensionesPresupuesto
5 MCPP cada dosmeses
MEF MEF/centro decómputo
6 SIAFcada dosmeses
-MEF/centro de
cómputo
7 SIGAcada dosmeses
-MEF/centro de
cómputo
8 RNSDD web - SERVIR
9 aplicativo CAS mensualdespués decada planilla
mensual
Centro deComputo
10
aplicativo de
programaspptales
mensual
después de
cada planillamensual
Centro deComputo
11
aplicativoimportación dearchivos para
PDT
mensualdespués decada planilla
mensual
Centro deComputo
8/16/2019 Plan de Contingencias Dreu 2015 2016
44/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
44
5.1.2 Actividades Durante y Después del Desastre.
Para implementar esta serie de actividades, en la Dirección Regional se tiene que
crear un Comité de Seguridad de la Información que a la fecha no contamos y
como lo dijimos en líneas anteriores debe ser encabezada por el titular de la
entidad seguida por las personas de áreas claves como es Administración,
Recursos Humanos, Informática, Abastecimiento, Presupuesto, Planificación,
Infraestructura, entre otros de la Institución y a la vez debe existir una estrategia
de capacitación, entrenamiento y certificación por personal competente por
ejemplo Defensa Civil en estos temas de seguridad tanto de información,
infraestructura, equipos y de las personas que formaran parte de este comité y
que también esta estrategia debe de incluir la concientización y formación de
equipos de trabajo que involucre a todos los trabajadores en estos temas que
serán siempre para el beneficio y tranquilidad de los mismos y de nuestro trabajo.
8/16/2019 Plan de Contingencias Dreu 2015 2016
45/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
45
FASE VI: IMPLEMENTACIÓN
Esta fase es utilizada cuando han ocurrido o están por ocurrir los problemas. Esta etapa
también se le puede denominar como una prueba controlada.
6.1 De las Emergencias Físicas
CASO A: Error físico de Disco de un servidor (Sin RAID)
1. Ubicar el disco malogrado.
2. Avisar a los usuarios que deben salir del sistema, utilizar anexos, correos o teléfono
móvil.
3. Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso.
4. Bajar los servicios y apagar el equipo.
5. Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y darle
partición.
6. Restaurar el último backup en el disco nuevo.
7. Verificar el servidor con el nuevo disco, explorar los archivos si se encuentra todo en
buen estado.
8. Habilitar los accesos al sistema de los usuarios.
CASO B: Error de Memoria RAM
1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y anexos,
teléfonos a los jefes de área.
2. El servidor debe estar apagado, apagarlo correctamente.
3. Ubicar las memorias malogradas.
4. Retirar las memorias malogradas y reemplazarlas por otras iguales o similares.
5. Retirar la conexión del servidor con el gabinete de la red, esto evitara que al
encenderlo los usuarios ingresen.
6. Realizar pruebas, deshabilitar entradas, luego conectar el cable de red nuevamente,
habilitar el acceso a las estaciones de trabajo y realizar las pruebas.
8/16/2019 Plan de Contingencias Dreu 2015 2016
46/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
46
7. Probar el sistema en diferentes estaciones de trabajo.
8. Finalmente luego de los resultados habilitar las entradas al sistema para los usuarios.
CASO C: Error de Tarjeta controladora de Disco:
1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes o a anexos o
teléfonos móviles a los jefes de área.
2. El servidor debe estar apagado.
3. Ubicar la posición de la tarjeta controladora.
4. Retirar la tarjeta con sospecha de deterioro y tener a la mano otra similar o igual.
5. Retirar la conexión de red del servidor, ellos evitara que los usuarios ingresen
6. Realizar las pruebas locales, deshabilitar las entradas, conectar el cable de red,
habilitar los accesos para los usuarios y realizar las pruebas.
CASO D: Incendio Total.
En el caso que se dé este desastre lo primero es mantener la calma y priorizar
dependiendo la magnitud del siniestro: se debe salvaguardar en primer lugar la
seguridad personal, el equipo y los archivos de información que deben estar en cintas
o CD o discos externos.
1. Mantener la calma
2. Si alcanza el tiempo enviar mensajes en la red de salir y apagar la pc, seguidamente
apagar los servidores.
3. Poner en OFF el tablero eléctrico del centro de cómputo.
4. Tomando en cuenta la magnitud se debe poner a resguardo e ir sacando físicamente el
servidor, abandonando el local o edificio de forma ordenada lo más pronto posible
por las salidas mas cercanas.
8/16/2019 Plan de Contingencias Dreu 2015 2016
47/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
47
CASO D: Inundación
1. Se debe considerar la instalando tarimas de un promedio de 20 cm de altura para la
ubicación de los servidores, para evitar el contacto del agua con el referido.
2. En lo posible los tomacorrientes deben ser instalados a un nivel razonable de altura.
3. Anular las conexiones de toma corrientes que estén en el piso y cambiarlas de
ubicación.
4. Para prevenir cortocircuitos debemos asegurarnos que no exista fuentes de liquidos
cerca a las conexiones eléctricas.
5. Apagar todas las conexiones eléctricas del centro de cómputo.
6. Proveer cubierta protectoras cuando los equipos estén apagados.
CASO E: Fallas de Fluído Eléctrico
1. Si se trata de un corto circuito el UPS mantendrá activo a los servidores y algunas
estaciones, mientras se repara la avería eléctrica o se enciendo el generador.
2. Para el caso de apagón se mantendrá la autonomía de corriente que el UPS nos brinda
(corriente de emergencia(*)) hasta que los usuarios completen sus operaciones para
que corten bruscamente el proceso que tienen en el momento del apagón, hasta que
finalmente se realice el By-pass de corriente con el grupo electrógeno, previo aviso y
coordinación.
3. Cuando el fluido de la calle se ha restablecido se tomarán los mismos cuidados para el
paso de grupo electrógeno a corriente normal (o UPS)
*Llámese corriente de emergencia a la brindada por grupo electrógeno y/o UPS.
**Llámese corriente normal a la brindada por la compañía eléctrica.
***se debe contar con transformadores de aislamiento(nivelan la corriente)
asegurando que la corriente que ingrese y salga sea de 220v, evitando que los equipos
sufran de corto circuito por elevación de voltaje(protegiendo de esta manera las
tarjetas, pantallas, y CPU de los computadores)
8/16/2019 Plan de Contingencias Dreu 2015 2016
48/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
48
6.2 De las Emergencias Físicas
CASO A: Error lógico de Datos.
Se puede dar por los siguientes motivos:
1. Caída del servidor de archivos por falta de software de red.
2. Falla el suministro de energía eléctrica por mal funcionamiento del UPS.
3. Bajar incorrectamente el servidor de archivos.
4. Fallas causadas usualmente por un error de chequeo de inconsistencia física.
en caso de producirse este tipo de casos se debe realizar los siguientes pasos:
PASO 1: Verificar el suministro de energía eléctrica. En caso de estar conforme, proceder
con el encendido del servidor de archivos, una vez mostrado el prompt de DOS, cargar el
sistema operativo de red.
PASO 2: Deshabilitar el ingreso de los usuarios del Sistema.
PASO 3: Descargar todos los volúmenes del servidor, a excepción del volumen raíz de
encontrarse este volumen con problemas, se deberá descargarlo también.
Paso 4: cargar un utilitario que nos permita verificar en forma global el contenido de los
discos duros del servidor.
Paso 5: al término de la operación de reparación se procederá a habilitar entradas a
estaciones para manejo de soporte técnico, se procederá a revisar que las bases de datos
índices estén correctas, para ello se debe empezar a correr los sistemas y así poder
determinar si el usuario puede hacer uso de ellos inmediatamente.
8/16/2019 Plan de Contingencias Dreu 2015 2016
49/53
8/16/2019 Plan de Contingencias Dreu 2015 2016
50/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
50
CONCLUSIONES
La realidad en la Dirección Regional de Educación de Ucayali es que no contamos
con la Infraestructura óptima para el desarrollo de nuestras funciones. Nos
encontramos en condiciones pésimas que Defensa Civil la ha declarado como
Inhabitable, nos referimos al local principal, en el que actualmente se encuentra el
Centro de Computo y las áreas de remuneraciones, estadística y pensiones.
Las demás oficinas administrativas, pedagógicas y de gestión Institucional, de
control, se encuentran distribuidas en locales diferentes como colegios o locales
en alquiler y que no son propios en el que no se puede implementar conexiones ni
arreglos demasiado costosos.
Se ha presentado a la Dirección de Gestión Institucional de nuestra sede el Plan
Operativo Informático alineado al Plan Estratégico del Sector Educación en el que
se incluyen varias actividades que pueden ser cruciales para la seguridad de la
Información de nuestra institución, pero todo depende de la revisión y
observaciones que esta Dirección realice a través de sus áreas competentes, lo
cual conocemos que lo han derivado al Gobierno Regional de Ucayali porque la
DREU no podrá financiar estas actividades. Varias de estas actividades se deben
implementar por recomendaciones de la Contraloría General de la República y
hasta febrero del 2016 se debe presentar este Plan Operativo Informático
aprobado a la ONGEI( Oficina Nacional de Gobierno Electrónico e Informática), de
lo contrario estaríamos incurriendo en falta.
8/16/2019 Plan de Contingencias Dreu 2015 2016
51/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
51
Por todos los motivos expuestos, se hizo requerimientos de implementación de un
Centro de Datos y la adquisición de servidores y equipos de comunicaciones
durante este año y años anteriores, sin tener respuesta positiva, porque existe la
voluntad pero el presupuesto lamentablemente no alcanza para implementar este
tipo de soluciones informáticas.
La DREU cuenta con el servicio de datos(internet con fibra) y de telefonía IP ambos
gratuitos porque lo asume el Ministerio de Educación. Sin embargo no se puede
aprovechar e implementar a todas las áreas de la Institución por los motivos
anteriormente descritos: que no tenemos local propio y que la sede que es propia
en donde se encuentran estas conexiones, se encuentra inhabitable.
No existe un Área de Informática en la DREU, debidamente estructurada en el
ROF, y en el MOF existe una plaza de analista de sistemas que cumple las labores
de informática y un personal operador de apoyo. Sin embargo se encuentra
dentro del área denominada Remuneraciones y Computo, y en la mayor parte
durante muchos años se designó a todo el personal de Informática a desarrollar la
mayoría de las labores de Remuneraciones, lo cual se dio a conocer en varios
informes y que paulatinamente también debe irse ordenando.
Se requiere que se incluya en los planes estratégicos y en los proyectos de una
posible futura construcción la Implementación de un Data Center que es el
corazón donde debe residir la información crítica de la Institución y su
implementación es esencial para garantizar la seguridad, disponibilidad y
eficiencia de la Información que manejamos en el sector Educación, contando
8/16/2019 Plan de Contingencias Dreu 2015 2016
52/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
52
además con un centro de datos opcional en caso de emergencias tal y cual
recomendó la Contraloría General de la República), además se debe implementar
paulatinamente las Normas Técnicas Peruanas(NTP 27001-2005 Política de
Seguridad de la Información y la NTP ISO/IEC12207:2004 Procesos del Ciclo de vida
del Software), a su vez la implementación de una sola Red en la Dirección Regional
ampliando el servicio de ancho de banda.
Para finalizar el presente Plan de Contingencias se debe crear el Comité de
Seguridad de la Información de la Institución con la capacitación y entrenamiento
respectivo a los trabajadores para la formación de equipos de trabajo y se logren
posteriormente realizar las pruebas y verificación en caso de ocurrencia de
desastres y optar por métodos y soluciones seguras.
No existe un Plan de Contingencias único para todas las entidades públicas
dependerá mucho de la capacidad de la Infraestructura física de toda la Institución
como de las condiciones de los equipos y la conectividad de red y cableado
eléctrico con el que contemos.
A pesar de todas estas dificultades y carencias descritas en la DRE Ucayali se hacen
uso de los recursos disponibles para cumplir y salvaguardar los datos de los
Sistemas de Información que se manejan diariamente.
8/16/2019 Plan de Contingencias Dreu 2015 2016
53/53
Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU
BIBLIOGRAFIA
Guia para la elaboración de Planes de Contingencia de los Sistemas de Información de las
Entidades Públicas – INEI:
http://www.ongei.gob.pe/seguridad/seguridad2_archivos/lib5131/libro.pdf
http://www.ongei.gob.pe/seguridad/seguridad2_archivos/lib5131/libro.pdfhttp://www.ongei.gob.pe/seguridad/seguridad2_archivos/lib5131/libro.pdf