Plan de Contingencia

PLAN DE CONTINGENCIA INFORMTICO 2012-2015 INSTITUTO DEL MAR DEL PER
CONTENIDO
1. 2. 3. Objetivos generales y especficos ... Alcance ... Marco Terico...............
3.1 3.2 3.3 3.4 Plan de Prevencin Plan de Ejecucin.. Plan de Recuperacin.. Plan de Pruebas... 4 4 5 5
3 3 3
4.
Metodologa... 5
4.1 4.2 4.3 4.4 4.5 4.6 Organizacin . Identificacin y priorizacin de Riesgos Definicin de eventos susceptibles de contingencia Elaboracin de los Planes de Contingencia.. Definicin y Ejecucin del Plan de Pruebas Implementacin del Plan de Contingencia. 6 9 13 15 16 18
5. Desarrollo de fases, actividades, estrategias, programas y polticas.18

5.1 5.2 5.3 5.4 5.5 Fases.. Desarrollo de las Actividades. Estrategias. Programas.. Polticas 18 29 68 68 69
6. Responsables.. 7. Recursos
69 70
8. Perodos y/o Plazos. 70 9. Criterios Empleados... 70 10. Anexos

A01 A02 A03 A04 A05 : Formato de ocurrencia de eventos : Formato Registro Plan de Contingencia : Control y certificacin de prueba de Contingencia : Copias de Respaldo : Subfactores entregados como parte del Plan de Instalacin.
1. OBJETIVOS GENERALES Y ESPECFICOS

Generales: Garantizar la continuidad de las actividades del IMARPE, ante eventos que podran alterar el normal funcionamiento de la Tecnologa de la Informacin y Comunicaciones - TICs, a fin de minimizar el riesgo no previsible, crticos o de emergencia, y responder de forma inmediata hacia la recuperacin de las actividades normales.
Especficos: Contar con documentacin prctica y actualizada que garantice al IMARPE la continuidad de las operaciones de los sistemas informticos sin sufrir paralizaciones o prdidas relevantes. Identificar y analizar riesgos posibles que pueden afectar las operaciones y procesos informticos de la institucin. Establecer las estrategias adecuadas para asegurar la continuidad de los servicios informticos en caso de interrupcin y que sta no exceda las 24 horas. Contar con personal debidamente capacitada y organizada para afrontar adecuadamente las contingencias que puedan presentarse en las actividades del IMARPE.
2.
ALCANCE
La Implementacin del Plan de Contingencia informtico, incluye los elementos referidos a los sistemas de informacin, equipos, infraestructura, personal, servicios y otros, direccionado a minimizar eventuales riesgos ante situaciones adversas que atentan contra el normal funcionamiento de los servicios de la institucin.
3.
MARCO TEORICO El Plan de Contingencia informtico es un documento que rene conjunto de procedimientos alternativos para facilitar el normal funcionamiento de las Tecnologas de Informacin y de Comunicaciones TICs del IMARPE, cuando alguno de sus servicios se ha afectado negativamente por causa de algn incidente interno o externo a la organizacin.
Acciones a ser consideradas: Antes, como un plan de respaldo o de prevencin para mitigar los incidentes. Durante, como un plan de emergencia y/o ejecucin en el momento de presentarse el incidente. Despus, como un plan de recuperacin una vez superado el incidente para regresar al estado previo a la contingencia.
El Plan de Contingencia permite minimizar las consecuencias en caso de incidente con el fin de reanudar las operaciones en el menor tiempo posible en forma eficiente y oportuna. El trmino incidente en este contexto ser entendido como la interrupcin de las condiciones normales de operacin en cualquier proceso informtico en el IMARPE. 3.1 Plan de Prevencin Es el conjunto de acciones, decisiones y comprobaciones orientadas a prevenir la presencia de un evento con el propsito de disminuir y mitigar la probabilidad de ocurrencia del mismo en los factores identificados en el presente plan.
El plan de prevencin es la parte principal del Plan de Contingencia porque permite aminorar y atenuar la probabilidad de ocurrencia de un estado de contingencia.
3.2 Plan de Ejecucin Es el conjunto detallado de acciones a realizar en el momento que se presenta el incidente de contingencia y que activa un mecanismo alterno que permitir reemplazar a la actividad normal cuando este no se encuentra disponible.
Las acciones descritas dentro del plan de ejecucin deben ser completamente claras y definidas de forma tal que sean de conocimiento y entendimiento inequvoco del personal involucrado en atender la contingencia.
Ver Anexo A01: Formato de ocurrencia de evento.
3.3 Plan de Recuperacin Es el conjunto de acciones que tienen por objetivo restablecer oportunamente la capacidad de las operaciones, procesos y recursos del servicio que fueron afectados por un evento de contingencia.
Todo Plan de Contingencia informtico debe tener un carcter recursivo que permita retroalimentar y mejorar continuamente los planes en cada una de las etapas descritas, logrando as tener un documento dinmico.
3.4 Plan de Pruebas El Plan de Pruebas, ser presentado a la Direccin Ejecutiva del IMARPE para su aprobacin previa a su implementacin. El resultado de las pruebas efectuadas ser presentado igualmente para su conformidad.
Las pruebas relacionadas a este plan, se ejecutara semestralmente, mes de Junio y Diciembre con el fin de evaluar la preparacin de la organizacin ante la ocurrencia de un siniestro y realizar los ajustes necesarios.
4.
METODOLOGA
La presente metodologa es el resultado de la experiencia prctica de IMARPE en la implementacin de planes de contingencia, mitigacin de riesgos y seguridad, tambin en base a experiencias en otras instituciones, lo cual garantiza que el documento final sea necesariamente objetivo y prctico, a fin de contar con una herramienta efectiva en caso de una contingencia real.
Para elaborar el Plan de Contingencia se seguir una metodologa que tiene las siguientes fases:
Fase 1: Fase 2: Fase 3: Fase 4:
Organizacin Identificacin y priorizacin de riesgos Definicin de eventos susceptibles de contingencia Elaboracin del Plan de Contingencia
Fase 5: Fase 6:
Definicin y Ejecucin del Plan de Pruebas Implementacin del Plan de Contingencia
Fases de la metodologa propuesta:
4.1 Organizacin del Plan de Contingencia Uno de los aspectos que evidencia un carcter formal y serio en toda organizacin es que sta se encuentre siempre preparada para afrontar cualquier evento de contingencia o dificultades en general y que le permitan poder superarlos por lo menos de manera transitoria mientras dure dicho evento.
Es necesario entonces que la definicin de un Plan de Contingencia informtico deba hacerse de manera formal y responsable de tal forma que involucre en mayor o menor medida a toda la organizacin en el Plan de Prevencin, Ejecucin y Recuperacin, pero definiendo un grupo responsable para su elaboracin, validacin y mantenimiento.
Por lo que se propone la siguiente organizacin segn grfico 1:
Comit de Contingencia y seguridad Director Ejecutivo del IMARPE Director de administracin del IMARPE Jefe de la Unidad de Informtica del IMARPE Otros que el Director Ejecutivo considere pertinente incluir Contralora del Plan de Contingencia y Seguridad Oficina de Auditoria Interna Coordinacin Ejecutora del Plan Director Ejecutivo del IMARPE
Grfico 1: Organizacin Administrativa del plan de Contingencia
A continuacin se describe las funciones y roles de la Organizacin Administrativa del Plan de Contingencia: 4.1.1 Coordinacin Ejecutora del Plan
La
Coordinacin
ejecutora
del
Plan
de
Contingencia
ser
responsabilidad del Director Ejecutivo, definiendo todas las polticas y acciones a llevarse a cabo durante un evento de contingencia, tambin ser responsable de que todas las actividades se cumplan de acuerdo a lo planeado. Dicha coordinacin ser asistida y ejecutada en colaboracin de las Direcciones de Lneas del IMARPE.
Funciones y Roles de la Coordinacin Ejecutora del Plan: Mantener permanentemente actualizado el Plan de Contingencia. Responsable de la ejecucin del plan de contingencia, cuando se presenten los eventos que lo activan. Evaluar el impacto de las contingencias que se presenten. Elaborar los informes referidos al Plan de contingencias Proponer incorporaciones de eventos al plan de contingencia al Comit de Contingencia. Proponer la capacitacin al personal nuevo del servicio, sobre las actividades que deben ejecutar cuando contingencia. Velar que el personal se encuentre debidamente capacitado y preparado para ejecutar el plan de contingencia. Proponer reuniones peridicas sobre el plan de contingencia. se presente la
4.1.2
Comit de Contingencia
El Comit de Contingencias es el rgano donde se coordinan y aprueban todas las actividades previamente planificadas para ejecutarse en el caso de contingencias del servicio. Este comit se reunir por lo menos con una periodicidad trimestral y en l se definirn los lineamientos a travs de los cuales se sustentar el Plan de Contingencia.
Dicho comit estar integrado por los siguientes miembros: Director Ejecutivo Director Cientfico Director de Asesora Jurdica Director de Asuntos Internacionales Director de Planificacin, Presupuesto y Evaluacin de Gestin Director de Oficina de Administracin Director de Investigaciones de Recursos Pelgicos Nerticos y Ocenicos Director de Investigaciones de Recursos Demersales Litorales Director de investigaciones Oceanogrficas Director de Investigaciones en Acuicultura, Gestin Costera y Aguas Continentales. Director de Investigaciones de Tecnologa de Pesca y Desarrollo Tecnolgico.
El Director Ejecutivo, Director Cientfico y Director de la Oficina de Administracin, designar a otros integrantes que considere pertinente a participar en el comit.
Funciones y Roles del Comit del Plan de Contingencia Participar en las reuniones peridicas propuestas por el Coordinador del Plan de Contingencia. Proponer la incorporacin y/o modificaciones del Plan de contingencia. Aprobar y/o rechazar las incorporaciones y/o modificaciones del Plan de Contingencia propuesta por el coordinador de contingencia o sus miembros. Verificar que el personal a su cargo se encuentre debidamente capacitado en la ejecucin del plan de contingencia. Coordinar la ejecucin de las actividades del plan de pruebas. Aprobar los informes presentados por la coordinacin del plan respecto a cualquier evento relacionado con el mismo. Determinar las prioridades y plazos de recuperacin de los diferentes servicios que pudieran verse afectados.
Coordinar con los recursos y/o proveedores externos necesarios para soportar y restaurar los servicios afectados por la contingencia.
Coordinar y ejecutar la capacitacin al personal nuevo del servicio sobre las actividades que deben de ejecutar cuando se presenta la contingencia.
4.1.3
Contralora del Plan de Contingencia
La Oficina de Auditora Interna sera el rgano que supervise todos los elementos y recursos descritos para intervenir en una situacin de contingencia estn disponibles y sean perfectamente viables de modo tal que se garantice que no se presenten carencias y/o fallas en una situacin real bajo las Funciones y Roles siguientes:
Verificar que el plan de contingencia se encuentre actualizado. Revisar y verificar que el documento de plan de contingencia se enmarque dentro del alcance establecido.
Velar por suministrar los recursos necesarios para la viabilidad del plan de Contingencia y Seguridad.
Corroborar que el plan de contingencia se cumpla correctamente. Presentar los informes del Plan de Contingencia al Comit de Contingencia del IMARPE.
Certificar que todos los recursos descritos en el Plan de Contingencia (materiales, humanos, externos, etc.) sean viables y se encuentren disponibles para su uso cuando un evento de contingencia lo requiera.
Auditar los procesos que forman parte del Plan de Contingencia, corroborando que se cumpla correctamente. Participar y visar las pruebas de validacin del Plan de Contingencia. Informar al Comit respecto a cualquier evento o anomala encontrada que ponga en riesgo la ejecucin de todo o parte del plan.
Proponer y recomendar actividades o procesos de mejora que permitan minimizar los riesgos de operacin.
4.2 Identificacin y Priorizacin de Riesgos Denominamos INCIDENCIA al hecho que se pueda presentar en cualquier momento, bajo una probabilidad de ocurrencia.
Riesgo: Es un suceso incierto que puede llegar a presentarse en un futuro dependiendo de variables externas o internas. Es entonces la cuantificacin de una amenaza.
4.2.1
Anlisis del Riesgo
El anlisis del riesgo se basa en la informacin generada en la fase de identificacin, que se convierte ahora en informacin para la toma de decisiones. En la fase del anlisis, se consideran tres elementos que permiten aproximar un valor objetivo de riesgo de la lista de riesgos principales: la probabilidad, impacto y exposicin del riesgo. Estos elementos permitirn al equipo coordinador categorizar los riesgos, lo que a su vez le permite dedicar ms tiempo y principalmente a la administracin de los riesgos ms importantes.
4.2.2
Probabilidad del Riesgo
Es la probabilidad de que una condicin se produzca realmente. La probabilidad del riesgo debe ser superior a cero, pues si no el riesgo no plantea una amenaza al servicio. Asimismo, la probabilidad debe ser inferior al 100% o el riesgo ser una certeza; dicho de otro modo, es un problema conocido. La probabilidad se puede entender tambin como la posibilidad de la consecuencia, porque si la condicin se produce se supone que la probabilidad de la consecuencia ser del 100%.
4.2.3
Impacto del Riesgo
El impacto del riesgo mide la gravedad de los efectos adversos, o la magnitud de una prdida, causados por la consecuencia. Es una calificacin aplicada al riesgo, para describir su impacto en relacin al grado de afectacin del nivel de servicio normal. Cuanto mayor sea el nmero, mayor es el impacto. Para nuestro caso, clasificaremos el impacto con una escala del 1 al 4.
10
4.2.4
Exposicin al Riesgo
La exposicin al riesgo es el resultado de multiplicar la probabilidad por el impacto. A veces, un riesgo de alta probabilidad tiene un bajo impacto y se puede ignorar sin problemas; otras veces, un riesgo de alto impacto tiene una baja probabilidad, por lo que tambin se podra pensar en ignorarlo, en cuyo caso habr que considerar tambin la criticidad de dicho evento. Los riesgos que tienen un alto nivel de probabilidad y de impacto son los que ms necesidad tienen de administracin, pues son los que producen los valores de exposicin ms elevados.
4.2.5
Definicin de eventos controlables y no controlables
Como parte de la identificacin de los riesgos, estos deben categorizarse en funcin a las acciones de prevencin que pueden estar en manos de El IMARPE, o cuya ocurrencia no puede predecirse con antelacin. As tenemos que los eventos pueden ser:
Eventos Controlables, si al identificarlos podemos tomar acciones que eviten su ocurrencia o minimicen el impacto en el servicio brindado.
Eventos No Controlables, cuando su ocurrencia es impredecible y nicamente podemos tomar acciones que permitan minimizar el impacto en el servicio. Esta identificacin se har en la matriz de riesgo explicada a continuacin.
4.2.6
Definicin de la Matriz de Riesgo
La ocurrencia de un evento tiene una implicancia sobre las actividades operativas del servicio, en tal sentido, resulta vital conocer el impacto del evento cuando este se presenta, por lo que resulta necesario cuantificar la misma, a efectos de ser muy objetivos en su anlisis. El factor numrico asignado es directamente proporcional y va en ascenso con respecto al impacto o gravedad que su ocurrencia pueda generar sobre los diferentes alcances del servicio y se clasificarn como se indica en el cuadro N 1.
11
Cuadro N 1: Cuadro de Impactos IMPACTO Poco Impacto Moderado Impacto Alto

Impacto
DESCRIPCION Prdida de Informacin y/o equipamiento no Sensitivo Prdida de informacin sensible Prdida de informacin sensible, retraso o interrupcin Informacin crtica, dao serio, patrimonial
VALOR 1 2 3 4
Gran Impacto
Cuadro N 2: Cuadro de Probabilidad de Ocurrencia PROBALIDAD DE OCURRENCIA Frecuente Probable

Ocasional Remoto
DESCRIPCION Incidentes repetidos Incidentes aislados Sucede alguna vez

Improbable que suceda
Asimismo, la probabilidad de ocurrencia de un evento resulta de gran importancia para determinar que tan posible es que dicho evento se presente en la realidad. La determinacin de esta probabilidad se obtendr de la estadstica recogida de los eventos que se hayan presentado a lo largo de la administracin del servicio por otros proveedores, as como la informacin obtenida de otros planes de contingencia para servicios similares. Exposicin = Impacto X Probabilidad Cuadro N 3: Exposicin al Riesgo Poco Probabilidad de Ocurrencia Frecuente Probable Ocasional Remoto Impacto Finalmente, despus de haber ponderado y validado objetivamente las probabilidades de ocurrencia y los impactos asociados, se establecern las Moderado Alto Gran
12
polticas que se han de considerar para determinar cules son aquellos eventos que formarn parte del Plan de Contingencia, como sigue:
Todo evento cuya calificacin sea de Gran Impacto: 4, ser considerado obligatoriamente dentro del Plan de Contingencia.
Todo evento cuya exposicin al riesgo sea mayor o igual a 0.15 ser tambin considerado en el Plan de Contingencia (ver Cuadro N 4).
Despus de todo lo expuesto, se elaborar la Matriz de Riesgo de Contingencia en la cual se tendr en cuenta todos los eventos susceptibles de entrar en contingencia, indicando su ponderacin y categorizacin (controlable/ no controlable) para la elaboracin del Plan de Contingencia. Asimismo, se utilizarn los siguientes tpicos como una forma de agrupar a dichos eventos:
Contingencias relacionadas a Siniestros Contingencias relacionadas a los Sistemas de Informacin Contingencias relacionadas a los Recursos Humanos Plan de Seguridad Fsica
4.3 Definicin de eventos susceptibles de contingencia
El Plan de Contingencia abarca todos los aspectos que forman parte del servicio informtico, en tal sentido, resulta de vital importancia considerar todos los elementos susceptibles de provocar eventos que conlleven a activar la contingencia. Los principales elementos, que sern considerados para su evaluacin:
Hardware o o o o o o Servidores Estaciones de trabajo( laptops y PCs) Impresoras, fotocopiadoras, scanner Lectora de Cdigos de Barra Equipos de radiofrecuencia Equipos multimedia
13
Comunicaciones o Equipos de comunicaciones switch y conectores RJ-45 o Equipo de comunicaciones Router y LAN. o Equipo de Telefona fija o o Enlaces de cobre y fibra ptica. Cableado de Red de Datos.
Software o o o o o Software de Base de Datos (Oracle,SQL, PostgreSQL ) Aplicativos utilizados por el IMARPE. Software de Aplicaciones (WebLogic, Tomcat Apache). Software Base (Sistemas operativos y Ofimtica). Antivirus para proteccin de servidores y estaciones de trabajo.
Informacin sobre Sistemas Informticos o o o o o Base de datos utilizados por los Aplicativos. Respaldo de informacin generada con Software Base y de Ofimtica. Respaldo de las Aplicaciones utilizadas por IMARPE. Respaldos de Base de Datos. Respaldos de informacin y configuracin de los Servidores.
Equipos diversos o o o Grupo Electrgeno UPS Aire Acondicionado
Infraestructura Fsica o o Oficinas (Sede Central y local Av. Argentina del IMARPE). Laboratorios Descentralizados de Investigacin y BICs.
Operativos o Logstica operativa (suministros Informticos).
Servicios Pblicos o Suministro de Energa Elctrica.
14
o o
Servicio de Telefona Fija analgico/digital y mvil. Suministro de Agua.
Recursos Humanos o o Disponibilidad de personal de direccin. Disponibilidad de personal operativo.
4.4 Elaboracin de los Planes de Contingencia
Una de las fases importantes del Plan de Contingencia es la documentacin y revisin de la informacin que se plasmar en una gua prctica y de claro entendimiento por el personal del IMARPE. Es por ello, que una fase importante de la metodologa considera un formato estndar de registro de todos los eventos definidos que forman parte del plan, as se tendr finalmente un entregable acorde con los requerimientos y polticas definidas para tal fin.
El contenido de todos los eventos que conformarn el Plan de Contingencia son:
4.4.1
Formato de Registro del Plan de Contingencia
Para una lectura fcil y rpida del Plan de Contingencia, se ha diseado un formato, Ver Anexo A02: Formato Registro Plan de Contingencia, el mismo que describimos a continuacin y que se compone de las siguientes partes: Encabezado El formato tiene un encabezado, cuyo contenido se presenta como sigue: Elaborado: En todos los casos se indica IMARPE. Cdigo del Formato: FPC XX (ver matriz de riesgo de Contingencia). Nombre del evento: Claro y de fcil entendimiento. Cuerpo Principal En el cual se desarrollar cada uno de los eventos que formarn parte del Plan de Contingencia y se describe el contenido que deber ir en cada campo.
15
4.5 Definicin y ejecucin del plan de pruebas Conscientes que una situacin de contingencia extrema puede presentarse en cualquier momento, y por ende convertirse en un problema prioritario de atender si ste se produjera en el horario de oficina que pueda resultar impactante durante las actividades del IMARPE; es que se hace necesario definir de manera especfica todas las acciones necesarias para asegurar que, en caso real de contingencia y tener un conjunto de prestaciones y funcionalidades mnimas que permitan posteriormente ejecutar el plan de recuperacin de manera rpida y segura.
En este sentido, la garanta del xito del Plan de Contingencia se basa en una validacin y certificacin anticipada del mismo, en cada uno de sus procesos. 4.5.1 Alcance y Objetivos
Dado que la mayor parte de los planes de contingencia estn orientados a temas de Siniestros, Seguridad y Recursos Humanos, cuyas situaciones son imposibles de reproducir en la vida real (Ej.: terremotos, robos, accidentes, problemas logsticos, etc.), es que el plan de pruebas estar enfocado principalmente a simular situaciones de contingencia en caso de incidencias producidas sobre equipos, informacin y procesos, manejados en situaciones reales y cuyos respaldos si pueden ser empleados y replicados en una hipottica situacin de contingencia.
En este contexto previo, podemos precisar los siguientes objetivos a alcanzar en la realizacin de las pruebas:
Programar la prueba y validacin de todas las actividades que se llevarn a cabo como parte del Plan de Ejecucin del Plan de Contingencia respecto a una posible interrupcin de los procesos identificados como crticos para el servicio del IMARPE.
Identificar por medio de la prueba, las posibles causas que puedan atentar contra su normal ejecucin y las medidas correctivas a aplicar
16
para subsanar los errores o deficiencias que se deriven de ella (retroalimentacin del plan).
Determinar los roles y funciones que cumplirn los responsables en la prueba, los mismos que sern los asignados para su ejecucin en caso de una situacin real de contingencia.
Con el fin de garantizar la ejecucin integral de la prueba, se disear un conjunto de casos de pruebas funcionales, que sern ejecutados por un grupo determinado de usuarios de las diferentes direcciones y jefaturas del IMARPE, los cuales probarn, verificarn y observarn cualquier incidencia que se origine durante dicha prueba, a fin de retroalimentar cualquier accin que pueda corregir el plan.
La informacin que se desarrollar como parte del Plan de Pruebas, tiene el siguiente esquema:
1. OBJETIVOS DE LA PRUEBA DEL PLAN DE CONTINGENCIA Definicin Objetivos
2.
ALCANCES reas Afectadas (relacin) Personal involucrado (relacin) DESCRIPCIN DE LA PRUEBA A EFECTUARSE Evaluacin de una situacin de Emergencia Medios disponibles para operar Fechas y horas RESULTADOS ESPERADOS DE LAS PRUEBAS Relacin de posibles acciones
3.
4.
4.5.2
Validacin y Registro de Pruebas
Todas las actividades generales que forman parte de la prueba, debern validarse, registrarse (incluyendo observaciones) y firmarse por todos los responsables que participaron en cada una de ellas, a fin de dar fe de su ejecucin y certificacin. En el Anexo A03 Control y Certificacin de Pruebas de Contingencia se muestra el formato que se usar para la validacin y registro de dichas
17
pruebas, as como el detalle de la informacin que deber ser ingresada en cada campo:
4.6 Implementacin del Plan de Contingencia La implementacin del presente plan se realizar en el segundo mes de su aprobacin.
5.
DESARROLLO DE LAS FASES, ACTIVIDADES, ESTRATGIAS, PROGRAMAS Y POLTICAS

5.1 Fases
Como parte del presente captulo, la Unidad de Informtica, plantea el desarrollo de los tpicos, utilizando la metodologa expuesta anteriormente. Este desarrollo incluir las siguientes fases de la metodologa: Identificacin y Priorizacin de riesgos Definicin de Eventos susceptibles de Contingencia. Elaboracin del Plan de Contingencia.
Identificacin y Priorizacin de Riesgos
El cuadro N 4 muestra la matriz de Riesgo de Contingencia, ponderado de acuerdo a los valores de riesgo e impacto en el servicio (operatividad), usando el conocimiento y la experiencia prctica de Informtica en Gestin de Sistemas de Informacin: Cuadro N 4: Matriz de Riesgo de Contingencia
tem Descripcin del Riesgos Probabilidad Impacto Ponderacin Alerta Categora
Sub Factor. Riesgos relacionadas a Siniestros

INFRAESTRUCTURA
1 2
3
Incendio Sismo
Inundacin
0.04 0.10
por 0.02
4 4
1
0.16 0.40
0.02
C NC
C
desperfecto de los servicios sanitarios 4 Inundacin por 0.10 2 0.20 NC
18
Oleajes anmalos
5 Tsunamis 0.04 4 0.16 NC
SERVICIOS PBLICOS 6 7 8 Interrupcin energa elctrica Falta de suministro 0.01 de agua Interrupcin EQUIPO 9 Falla de grupo 0.03 4 0.12 C electrgeno Sub Factor. Riesgos relacionadas a Sistemas de Informacin INFORMACIN 10 11 Extravo documentos Sustraccin o robo de 0.02 informacin SOFTWARE 12 13 14 15 16 Infeccin de equipos 0.05 por virus Perdidas de los 0.05 4 2 4 4 0.20 0.02 0.16 0.16 C C C C sistemas centrales Perdida del servicio 0.01 de correo Falla del Motor de la 0.04 base de datos Falla del sistema 0.04 operativo
COMUNICACIONES
de 0.10
4 3 3
0.40 0.03 0.03
NC NC NC
de 0.01
servicios de telefona
de 0.02
3 3
0.06 0.06
C C
0.20
17
Fallas en la red de 0.02 comunicaciones interna

HARDWARE
0.08
18
Fallas
de
equipos 0.02
0.04
personales RECURSO OPERATIVOS Y LOGSTICOS 19 Falla de equipos 0.01 2 0.02 C multimedia, impresoras, scanner y otros
19
Sub factor: Riesgos relacionadas a recursos humanos

RECURSO HUMANO
20
Ausencia imprevista 0.05 del personal de soporte tcnico
0.15
21
Ausencia de personal 0.05
0.15
ejecutivo
para
la
toma de decisiones ante situaciones de riesgo informtico 22 Falta de idoneidad 0.01 del personal en la reserva informacin Base de Datos. Sub factor: Plan de seguridad Fsica INFRAESTRUCTURA 23 Sustraccin diversos
24 Sabotaje 0.01 2 0.02 NC
0.04
NC
de de la
de 0.02
0.04
equipos y software
25 26
Vandalismo Actos terroristas
0.01 0.01
3 4
0.03 0.04
NC NC
Nota: El color rojo de la alerta representa que el evento es altamente impactante en el servicio por lo tanto debe ser obligatoriamente controlado.
En la columna CATEGORA por cada evento, se considera la identificacin de aquellos eventos Controlables (C), y No Controlables (NC).
En los cuadros N 5 y N 6 se resumen los eventos segn la categorizacin de eventos controlables y no controlables:
Cuadro N 5: Eventos Controlables

Item Cuadro N 4
Eventos controlables
Incendio
Inundacin por desperfecto de los servicios sanitarios
20
9
10
Falla del grupo Electrgeno

Extravi de documentos
11 12 13 14
15
Sustraccin o robo de informacin Infeccin de equipos virus Perdidas de los sistemas centrales Perdida del servicio de correo
Falla del motor de la base de datos
16 17
18
Falla del sistema operativo Fallas en la red de comunicaciones internas

Fallas de equipos personales
19 20 21 23
Falla de equipos multimedia, impresoras, scanner y otros Ausencia imprevista del personal de soporte tcnico Ausencia de personal ejecutivo para la toma de decisiones ante situaciones de riesgo informtico Sustraccin de equipos y software diversos Cuadro N 6: Eventos no Controlables
Item Cuadro N 4
Eventos no controlables
Sismo
4 5
6
Inundacin por oleajes anmalos Tsunamis

Interrupcin de energa elctrica
7 8 22 24 25
26
Falta de suministro de agua Interrupcin de servicios de telefona Falta de idoneidad del personal en la reserva de informacin de la Base de Datos. Sabotaje Vandalismo
Actos terroristas
Definicin de Eventos susceptibles de Contingencia
Una vez identificados los eventos de contingencia, presentamos el cuadro N 7 Elementos vs. Subfactores, donde se muestra la relacin existente entre los elementos mnimos definidos por la Unidad de Informtica, haciendo una referencia de todos los Planes de Contingencia relacionados al mismo e indicando a que subfactor desarrollado pertenecen.
21
Cuadro N 7: Elementos Vs. Subfactores a desarrollar ELEMENTO Hardware FPC-06 Servicios Pblicos Contingencia Siniestros Contingencia Sistemas FPC-11 Informacin Informacin Contingencia Sistemas FPC-12 Software Informacin Contingencia Sistemas FPC-13 Software Informacin Contingencia Sistemas FPC-15 Software Informacin Contingencia Sistemas FPC-16 Software Informacin Contingencia Seguridad FPC-24 Infraestructura Fsica FPC-06 Servicios Pblicos Contingencia Siniestros Contingencia Sistemas FPC-10 Informacin Informacin Contingencia Sistemas FPC-12 Software Informacin de y Contingencia Sistemas FPC-17 Comunicaciones Informacin Contingencia Seguridad FPC-25 Infraestructura Fsica Contingencia Seguridad FPC-26 Infraestructura Fsica
Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Sistemas
PLAN DE CONTINGENCIA DESARROLLADO CDIGO ALCANCE SUBFACTOR
Servidores
Estaciones Trabajo(laptops PCs)
Fotocopiadoras, Impresoras, y FPC-19 Operativo scanner y/o equipos multimedia Lectora de Cdigo de FPC-10 Informacin Barra Equipos de FPC-10 Informacin Radiofrecuencia
Sistemas Sistemas Sistemas
Equipos multimedia FPC-19 Operativo Comunicaciones Equipos de comunicaciones FPC-17 switch y conectores RJ-45 Equipo de comunicaciones FPC-17 Router y LAN Equipo de telefona FPC-17 Fija Enlaces de cobre y FPC-17 fibra ptica Cableado de Red de FPC-17 Datos
Comunicaciones
Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin
Sistemas
Comunicaciones Comunicaciones Comunicaciones Comunicaciones
Sistemas Sistemas Sistemas Sistemas
22
ELEMENTO Software
PLAN DE CONTINGENCIA DESARROLLADO CDIGO ALCANCE SUBFACTOR

Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas
Software de Base de FPC-13 Software Datos(Oracle, SQL Server, PostgreSQL) FPC-15 Software
FPC-10 Informacin FPC-11 Informacin FPC-12 Software Aplicativos utilizados por IMARPE
el FPC-13 Software
FPC-15 Software FPC-16 Software FPC-17 Comunicaciones FPC-13 Software Software de FPC-15 Software Aplicaciones(WebLo gic, Tomcat Apache) FPC-16 Software FPC-17 Comunicaciones Software Base(sistemas Operativos Ofimtica) FPC-13 Software
y
FPC-16 Software FPC-17 Software FPC-13 Software
Antivirus proteccin servidores estaciones trabajo
para FPC-14 Software de y FPC-15 Software de FPC-16 Software
FPC-17 Software Informacin

Base de datos FPC-13 Software utilizadas por los Aplicativos FPC-15 Software Respaldo informacin de
Sistemas Sistemas Sistemas
FPC-13 Software
23
PLAN DE CONTINGENCIA DESARROLLADO CDIGO ALCANCE SUBFACTOR generada con Contingencia Sistemas FPC-15 Software software base y de Informacin Ofimtica Contingencia Sistemas FPC-16 Software Informacin ELEMENTO
Respaldo de las FPC-13 Software Aplicaciones utilizadas por el FPC-16 Software IMARPE Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Contingencia Informacin Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas
FPC-13 Software
Respaldo de Base de FPC-15 Software Datos
FPC-16 Software
Respaldos de FPC-15 Software Informacin y Configuracin de los FPC-16 Software Servidores Equipos Diversos
Contingencia Sistemas de alumbrado UPS FPC-06 Servicios Pblicos Contingencia Siniestros Aire Acondicionado FPC-06 Servicios Pblicos Contingencia Siniestros Infraestructura Fsica FPC-01 Infraestructura Contingencia Siniestros FPC-02 Infraestructura Contingencia Siniestros FPC-03 Infraestructura Contingencia Siniestros Oficinas (Sede FPC-04 Infraestructura Contingencia Siniestros Central y local Av. FPC-05 Infraestructura Contingencia Siniestros Argentina del Contingencia Seguridad IMARPE) FPC-25 Infraestructura Fsica Contingencia Seguridad FPC-26 Infraestructura Fsica FPC-01 Infraestructura Contingencia Siniestros FPC-02 Infraestructura Contingencia Siniestros FPC-03 Infraestructura Contingencia Siniestros Laboratorios FPC-04 Infraestructura Contingencia Siniestros Descentralizados de FPC-05 Infraestructura Contingencia Siniestros Investigacin y BICs Contingencia Seguridad FPC-25 Infraestructura Fsica Contingencia Seguridad FPC-26 Infraestructura Fsica Servicios Pblicos Suministro de FPC-06 Servicios Pblicos Contingencia Siniestros Energa Elctrica Servicio de Telefona FPC-08 Servicios Pblicos Contingencia Siniestros fija analgica/digital y/o mvil
Grupo Electrgeno
FPC-09 Operativo
24
ELEMENTO Suministro de Agua Recursos Humanos
PLAN DE CONTINGENCIA DESARROLLADO CDIGO ALCANCE SUBFACTOR FPC-07 Servicios Pblicas Contingencia Siniestros
FPC-21 Recursos Humanos Contingencia Humanos FPC-22 Recursos Humanos Contingencia Disponibilidad Humanos personal de FPC-24 Infraestructura Contingencia direccin Fsica FPC-25 Infraestructura Contingencia Fsica FPC-20 Recursos Humanos Contingencia Humanos FPC-22 Recursos Humanos Contingencia Humanos Disponibilidad personal operativo FPC-24 Infraestructura Contingencia Fsica FPC-25 Infraestructura Contingencia Fsica
Recursos Recursos Seguridad Seguridad Recursos Recursos Seguridad Seguridad
Elaboracin del Plan de Contingencia
Una vez identificados los eventos de contingencia y los elementos considerados afectados o causantes de los mismos, pasamos a desarrollar los Planes de Contingencia agrupados por los Subfactores.
A manera de resumen, presentamos un flujo general que explica la forma de responder ante la ocurrencia de un evento de contingencia:
25
Los cuadros siguientes muestran los funcionarios responsables de cada evento de contingencia identificado:
Subfactor: Siniestros
Cdigo FPC-01
Descripcin del Evento de Contingencia Incendio
Responsable(s) Titulares o sus Representantes Director Ejecutivo, Director de administracin y/o Director Cientfico
Telfonos 625-0805, 625-0870 625-0808

625-0805,
FPC-02
Sismo
Director Ejecutivo, Director de
administracin y/o Director Cientfico FPC-03 Inundacin por desperfecto de los servicios sanitarios Director de Administracin y/o Director Cientfico
625-0870 625-0808 625-0870 625-0808
26
FPC-04
Inundacin por oleajes anmalos
Director Ejecutivo, Director de Administracin y/o Director Cientfico
625-0805, 625-0870 625-0808 625-0805, 625-0870 625-0808

625-0870
FPC-05
Tsunamis
Director Ejecutivo, Director de Administracin y/o Director Cientfico
FPC-06
Interrupcin de energa
Director de Administracin
elctrica
y/o Jefe de Logstica e Infraestructura
625-0886
FPC-07
Falta de suministro de agua
Director de Administracin y/o Jefe de Logstica e Infraestructura
625-0870 625-0886
FPC-08
Interrupcin de servicios de telefona
Director de Administracin y/o Jefe de Informtica

625-0870 625-0925
625-0870 625-0886
FPC-09
Falla de grupo
Electrgeno
y/o jefe de Logstica e Infraestructura
Subfactor: Sistemas de Informacin

Cdigo Descripcin del Evento Responsable(s) Titulares o Telfonos
de Contingencia
FPC-10 Extravo de documentos
sus Representantes
Director de Administracin 625-0870 6250808 625-0870 6250808 626-0925
y/o Director Cientfico

FPC-11 Sustraccin o robo de Director de administracin
informacin
FPC-12 Infeccin de equipos por
y/o Director Cientfico

Jefe de Informtica
virus
FPC-13 Prdidas de los sistemas Jefe de Informtica 626-0925
centrales
FPC-14 Perdida del servicio de Jefe de Informtica 626-0925
correo
FPC-15 Falla del motor de la base Jefe de Informtica 626-0925
de datos
27
FPC-16
Falla del sistema operativo
Jefe de Informtica
626-0925
FPC-17
Fallas en la red de comunicaciones interna
Jefe de Informtica
626-0925
FPC-18
Falla de equipos personales
Jede de Informtica
626-0925
FPC-19
Falla de equipos multimedia, impresoras, scanner y otros
Jefe de Logstica
625-0886
Subfactor: Recursos Humanos Cdigo

Descripcin del Evento Responsable(s) Titulares o
Telfonos
de Contingencia FPC-20
Ausencia imprevista del
sus Representantes
625-0870 625-0881 625-0805 625-0808 625-0870
personal de soporte tcnico FPC-21 Ausencia decisiones situaciones informtico FPC-22 Falta de idoneidad del personal en la reserva de informacin de la Base de Datos. de de
y/o Unidad de Personal
personal Director Ejecutivo, Director(a) ante Administracin riesgo
ejecutivo para la toma de Cientfico(a) y/o Director de
625-0870
Subfactor: Seguridad Fsica
Cdigo
Descripcin del Evento de Contingencia
Responsable(s) Titulares o sus Representantes Director cientfico y/o Director de Administracin Director de Administracin y/o Director Cientfico
Telfonos
FPC-23
Sustraccin de equipos y software diversos
625-0808 625-0870 625-0870 625-0808
FPC-24
Sabotaje
28
FPC-25
Vandalismo
Director de Administracin y/o Director Cientfico
625-0870 625-0808 625-0870 625-0808
FPC-36
Actos terroristas
Director de Administracin y/o Director Cientfico
Los siguientes puntos de este captulo, tratarn del desarrollo de los Planes de Contingencia por cada Sub Factor identificado, utilizando el formato anexo A02
5.2
Desarrollo de las Actividades 5.2.1 Subfactor: Contingencias relacionadas a siniestros
Siniestro: Se entiende por Siniestro a las emergencias originadas por la naturaleza (sismos, inundaciones, erupciones volcnicas, deslizamientos, entre otros), y aquellas producidas por causas no controlables tales como choques elctricos, explosiones, derrames, etc.
A continuacin se indica los puntos a desarrollarse para el presente subfactor:
5.2.1.1 Objetivo Incluir en el Plan de Contingencia todos los eventos relacionados a siniestros que permitan proveer de un conjunto de acciones destinadas a planificar, organizar, preparar, controlar y mitigar una emergencia que se presente en las instalaciones, con la finalidad de reducir al mnimo las posibles consecuencias humanas y operativas TIC que pudieran derivarse de la misma.
5.2.1.2 Alcance El alcance est circunscrito a los eventos de contingencia o emergencias que pudieran afectar, paralizar o daar las instalaciones, el personal o los recursos Tics. Una consideracin adicional a tenerse en cuenta ante la ocurrencia de un siniestro que inhabilite total o parcialmente el Centro de Datos , es la coordinacin que debe realizarse con la Alta Direccin del IMARPE
29
para determinar el uso de un ambiente alterno para la continuidad de la operacin, hasta que se restablezca el funcionamiento normal.
Por otro lado, consideramos que como parte del desarrollo del subfactor de Siniestros, se debe incluir los elementos relativos a Servicios Pblicos, por afectar o ser consecuencia de siniestros que pueden presentarse: Interrupcin de Energa Elctrica; al momento de restablecerse la energa elctrica, pudiera realizarse con cargas altas que pudieran ocasionar algn tipo de siniestros, afectando la seguridad fsica.(resumir y orientado a siniestros)
El siguiente cuadro es un resumen de la Matriz de Riesgos, considerando las contingencias relacionadas a los Siniestros:
Cdigo del Formato
Descripcin del Evento Probabilidad Impacto Pondera- Alerta de Contingencia Ocurrencia cin
SUB FACTOR : CONTINGENCIA RELACIONADAS A
SINIESTROS
INFRAESTRUCTURA
FPC-01 FPC-02 FPC-03
Incendio Sismo
Inundacin
0.04 0.10
por 0.02 de los
4 4 1
0.16 0.40 0.02
desperfecto
FPC-04 FPC-05
servicios sanitarios
Inundacin por oleajes 0.10 2 4 0.20 0.16
anmalos
Tsunamis 0.04
SERVICIOS PBLICOS FPC-06 FPC-07 FPC-08

Interrupcin de energa 0.10
4 3 3
0.40 0.03 0.03
elctrica
Falta de suministro de 0.01
agua
Interrupcin de servicios 0.01
de telefona EQUIPO
FPC-09 Falla del grupo 0.03 4 0.12
30
Cdigo del Formato
Descripcin del Evento Probabilidad Impacto Pondera- Alerta de Contingencia Ocurrencia cin
SUB FACTOR : CONTINGENCIA RELACIONADAS A
SINIESTROS electrgeno
5.2.1.3 Plan de pruebas El plan de pruebas correspondiente a los eventos desarrollados como parte del Subfactor Siniestros, seguir la metodologa expuesta en el punto 4.5 del Plan de Contingencia. El plan de pruebas se determinar luego del anlisis de los procesos crticos del servicio y de identificar los eventos que pudieran presentarse. La aprobacin del plan de pruebas ser efectuada por el Comit de Contingencias de Pruebas previamente a su ejecucin.
5.2.1.4 Descripcin de Planes Se detallarn los Planes de Contingencia de los eventos de mayor impacto identificados en la Matriz de Riesgo de Contingencia.
IMARPE
Evento: Incendio Entidad involucrada: IMARPE
FPC-01 Versin: 1.1 Pag.
Fecha: 15/01/2011
Entidad responsable: IMARPE 1. PLAN DE PREVENCIN a. Descripcin del evento
Es un proceso de combustin caracterizado por la emisin de calor acompaado de humo, llamas o ambas que se propaga de manera incontrolable en el tiempo y en el espacio. Se producen en materiales slidos, lquidos combustibles inflamables, equipos e instalaciones bajo carga elctrica entre otros. Este evento incluye los siguientes elementos mnimos identificados por IMARPE, los mismos que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia:
Infraestructura
31
Centro de Datos de la Sede central del IMARPE Centro de Datos del Local de la Av. Argentina.
Recursos Humanos Personal debidamente entrenado para afrontar el evento
b. Objetivo Establecer las acciones que se ejecutaran ante un incendio a fin de minimizar el tiempo de interrupcin de las operaciones del IMARPE sin exponer la seguridad de las personas. c. Criticidad El IMARPE determina que el presente evento tiene un nivel de gran impacto en el servicio y se identifica como CRITICO. d. Entorno Este evento se puede dar en las instalaciones de la Alta Direccin, Direcciones de Lneas y Unidades Operativas de la Sede Central y el Local de la Av. Argentina e. Personal Encargado El Director y/o Jefe de rea, es quien debe dar cumplimiento a lo descrito en las Condiciones de Prevencin de Riesgo del presente Plan. f. Condiciones de Prevencin de Riesgo Realizar inspecciones de seguridad peridicamente. Mantener las conexiones elctricas seguras en el rango de su vida til. Charlas sobre el uso y manejo de extintores de cada uno de los tipos. Acatar las indicaciones del INDECI, en torno al evento Contar con una relacin de telfonos de emergencia que incluya a los bomberos, ambulancias, y personal del IMARPE responsable de las acciones de prevencin y ejecucin de la contingencia. Igualmente se contar con los siguientes elementos para la deteccin y extincin de un posible incendio, los cuales cubrirn los ambientes del Centro de Datos y reas afines a Informtica del IMARPE.: Implementar detectores de humo en el Centro de Datos Considerar la Implementacin de la Central de deteccin de incendios Mantener actualizado los extintores (Agente Limpio FE-25)
2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia La Contingencia se activar al ocurrir un incendio.
32
El proceso de contingencia se activar inmediatamente despus de ocurrir el evento. b. Procesos Relacionados antes del evento. Identificar la ubicacin de las estaciones manuales de alarma contra incendio. Identificar la ubicacin de los extintores. Conocer el nmero de emergencia del Departamento de seguridad y Vigilancia del IMARPE. Tener nmero de telfono del personal responsable en seguridad Informtica y contingencia del IMARPE. Conocer el nmero de emergencia de los bomberos. c. Personal que autoriza la contingencia. El Director de Administracin, Director Cientfico o sus Representantes pueden activar la contingencia. d. Descripcin de las actividades despus de activar la contingencia. Tratar de apagar el incendio con extintores. Comunicar al personal responsable del IMARPE. Evacuar el rea. En todo momento se coordinar con el Comit de Contingencia y Seguridad, para las acciones que deban ser efectuadas por ellos. Luego de extinguido el incendio, se debern realizar las siguientes actividades: Evaluacin de los daos ocasionados al personal, bienes e instalaciones. En caso de daos del personal prestar asistencia mdica inmediata Inventario general de la documentacin, personal, equipos, etc. y/o recursos afectados, indicando el estado de operatividad de los mismos. En caso se haya detectado bienes afectados por el evento, se evaluar el caso para determinar la reposicin o restauracin. La Coordinacin Ejecutora del Plan de Contingencias deber coordinar con la Alta Direccin del IMARPE en caso se requiera la habilitacin de ambientes provisionales alternos para restablecer la funcin de los ambientes afectado. e. Duracin La duracin de la contingencia depender del tiempo que demande controlar el incendio.
33
3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin es la Direccin Administrativa y el equipo del rea afectada, cuyo rol principal es asegurar el normal desarrollo de las operaciones del IMARPE. b. Descripcin El plan de recuperacin estar orientado a recuperar en el menor tiempo posible las actividades afectadas durante la interrupcin del servicio. c. Mecanismos de Comprobacin El Jefe y/o Director del rea afectada presentar un informe a la Coordinacin Ejecutora del Plan explicando qu parte de las actividades u operaciones ha sido afectada y cules son las acciones tomadas. d. Mecanismos de Recuperacin Se efectuara de acuerdo a las instrucciones impartidas que se menciona en el punto a. e. Desactivacin del Plan de Contingencia Director de Administracin, Director(a) Cientfico o sus representantes desactivar el Plan de Contingencia una vez que se haya tomado las acciones descritas en la descripcin del presente Plan de Recuperacin, mediante una comunicacin a la Coordinacin Ejecutora del Plan. f. Proceso de Actualizacin El proceso de actualizacin ser en base al informe presentado por el Director de Administracin y/o Director Cientfico luego de lo cual se determinar las acciones a tomar.
IMARPE
Evento: Sismo
Entidad responsable: IMARPE Entidad involucrada: IMARPE
Fecha: 15/01/2011
1. PLAN DE PREVENCIN a. Descripcin del evento
Los sismos son movimientos en el interior de la tierra y que generan una liberacin repentina de energa que se propaga en forma de
34
ondas provocando el movimiento del terreno.

Este evento incluye los siguientes elementos mnimos identificados por IMARPE, los mismos que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia, como se muestran a continuacin: Infraestructura Sede central del IMARPE Oficinas del IMARPE en el local de la Av. Argentina.
Recursos Humanos Personal
b. Objetivo Establecer las acciones que se tomarn ante un sismo a fin de minimizar el tiempo de interrupcin de las operaciones del IMARPE evitando exponer la seguridad de las personas. c. Criticidad El IMARPE determina que el presente evento tiene un nivel de gran impacto en el servicio y se identifica como CRITICO. d. Entorno Este evento se puede dar en las instalaciones de la Alta Direccin, Direcciones de Lneas y Unidades Operativas de la Sede Central y el Local de la Av. argentina e. Personal Encargado El Director y/o Jefe de rea, es quien debe de dar cumplimiento a lo descrito en las Condiciones de Prevencin de Riesgo del presente Plan f. Condiciones de Prevencin de Riesgo Contar con un plan de evacuacin de las instalaciones del IMARPE, el mismo que debe ser de conocimiento de todo el personal que labora. Realizar simulacros de evacuacin con la participacin de todo el personal de la Sede Central y del local de la Av. Argentina del IMARPE. Mantener las salidas libres de obstculos. Sealizar todas las salidas. Sealizar las zonas seguras. Definir los puntos de reunin en caso de evacuacin.
2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia Sismo.
35
El proceso de contingencia se activar inmediatamente despus de ocurrir el evento. b. Procesos Relacionados antes del evento. Tener la lista de los empleados por Direcciones y/o Oficinas actualizada. Mantenimiento del orden y limpieza. Inspecciones diarias de seguridad interna. Inspecciones trimestrales de seguridad externa. Realizacin de simulacros internos en horarios que no afecten las actividades c. Personal que autoriza la contingencia. El Director Ejecutivo y/o Director cientfico y/o Director de Administracin pueden activar la contingencia d. Descripcin de las actividades despus de activar la contingencia. Desconectar el fluido elctrico y cerrar las llaves de gas u otros lquidos inflamables si corresponde. Evacuar las oficinas de acuerdo a las disposiciones del Director Cientfico y/o Director de administracin utilizando las rutas establecidas durante los simulacros. Considerar las escaleras de emergencia, sealizacin de rutas, zonas de agrupamiento del personal, etc. Por ningn motivo
utilizar los ascensores. Verificar que todo el personal del IMARPE que labora en el rea se encuentren bien. Brindar los primeros auxilios al personal afectado si fuese necesario. (ver procedimiento FPC-24 en caso se presente una emergencia mdica). Alejarse de las lunas (ventanas) para evitar sufrir cortes por roturas y/o desprendimiento de trozos de vidrio. Evaluacin de los daos ocasionados por el sismo sobre las instalaciones fsicas, ambientes de trabajo, estanteras, instalaciones elctricas, documentos, etc. En caso requerirse personal especializado (ejemplo INDECI), coordinar su presencia a travs de la Coordinacin Ejecutora del Plan de Contingencias. Inventario general de documentacin, personal, equipos, etc. y/o recursos afectados, indicando el estado de operatividad de los mismos. Limpieza de las reas afectadas por el sismo. En todo momento se coordinar con personal de mantenimiento del
36
IMARPE, para las acciones que deban ser efectuadas por ellos. La Coordinacin Ejecutora del Plan de Contingencias deber coordinar con la Alta Direccin del IMARPE en caso se requiera la habilitacin de ambientes provisionales alternos para restablecer la funcin de los ambientes afectado. e. Duracin Los procesos de evacuacin del personal del IMARPE sern calmados y demorar 5 minutos como mximo. La duracin total del evento depender del grado del sismo, la probabilidad de rplicas y los daos a la infraestructura. 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin es la Jefatura y el equipo del rea afectada, cuyo rol principal es asegurar el normal desarrollo de las operaciones de la Institucin. b. Descripcin El plan de recuperacin estar orientado a recuperar en el menor tiempo posible la produccin pendiente durante la interrupcin del servicio. c. Mecanismos de Comprobacin El Director y/o Jefe del rea afectada presentar un informe a la
Coordinacin Ejecutora del Plan explicando qu parte del Servicio u operaciones ha sido afectada y cules son las acciones tomadas. d. Desactivacin del Plan de Contingencia El Director cientfico y/o Director de Administracin desactivar el Plan de Contingencia una vez que se haya tomado las acciones descritas en la Descripcin del presente Plan de Recuperacin, mediante una comunicacin electrnica a la Coordinacin Ejecutora del Plan. e. Proceso de Actualizacin El proceso de actualizacin ser en base al informe presentado por El Director cientfico y/o Director de Administracin quien determinar las acciones a tomar.
IMARPE
Evento: anmalos
FPC-04 Inundacin por Oleajes Nivel: C Autoriza: A3 Versin: 1.1 37
Fecha: 15/01/2009
Entidad responsable: IMARPE 1. PLAN DE PREVENCIN

a. Descripcin del evento
Entidad involucrada: IMARPE
Pag.
Oleajes anmalos son un crecimiento anormal del nivel del mar asociado con huracanes y otras tormentas martimas, causadas por fuertes vientos de la costa y/o por celdas de muy baja presin y tormentas ocenicas. Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, los mismos que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia, los cuales se muestran a continuacin: Infraestructura Sede central del IMARPE
Operativo Archivos y/o Documentacin
Equipos Diversos Aire Acondicionado, Computadoras, etc.
b. Objetivo Establecer las acciones que se tomarn ante una inundacin por Oleajes anmalos, a fin de minimizar el tiempo de interrupcin del Servicio ofrecido por el IMARPE evitando exponer la seguridad de las personas de la Institucin. c. Criticidad El IMARPE determina que el presente evento tiene un nivel de gran impacto en el servicio y se identifica como CRITICO. d. Entorno Este evento se puede dar en las instalaciones de la Alta Direccin, Direcciones de Lneas y Unidades Operativas de la Sede Central. e. Personal Encargado El Director y/o Jefe de reas, es quien debe de dar cumplimiento a lo descrito en las Condiciones de Prevencin de Riesgo del presente Plan. b. Condiciones de Prevencin de Riesgo Mantener constantemente comunicacin con Hidrografa y Capitana de Puertos sobre eventos como: maretazos y maremotos Mantener los muros de contencin cercanas a la Sede Central del
38
IMARPE. Contar con un pozo de agua en el stano de la Sede Central, donde se acumule el agua para su posterior bombeo, este sistema debe ser revisada peridicamente. 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia El evento que activa la contingencia es cuando ocurre: maretazos y maremotos cercanos al puerto del Callao - Sede Central del IMARPE. El proceso de contingencia se activar inmediatamente despus de ocurrir el evento. b. Procesos Relacionados antes del evento Cualquier proceso relacionado con la operatividad del IMARPE. c. Personal que autoriza la contingencia. El responsable que autoriza la contingencia es el Director Ejecutivo y/o Director Cientfico y/o director de Administracin. d. Descripcin de las actividades despus de activar la contingencia. Desconectar el fluido elctrico y cerrar las llaves de gas u otros lquidos inflamables si corresponde. En caso de Maremotos y Maretazos se debe evacuar de acuerdo a las disposiciones del Director Cientfico y/o Director de administracin a zonas altas donde no llegue el agua del mar (lugares asignadas por las autoridades de INDECI) Evacuar el agua a travs del sistema de bombeo Evaluacin de los daos ocasionados por el agua sobre la instalacin, estanteras, documentos, etc. Inventario general de documentacin, personal, equipos, etc. y/o recursos afectados, indicando el estado de operatividad de los mismos. Limpieza de las reas afectadas por la inundacin. En caso sea necesario, se utilizarn equipos especializados (motobombas) para realizar el trabajo. Fumigacin del lugar para prevenir aparicin de hongos. En todo momento se coordinar con personal de mantenimiento del IMARPE, para las acciones que deban ser efectuadas por ellos. La Coordinacin Ejecutora del Plan de Contingencias deber coordinar con la alta Direccin en caso se requiera la habilitacin de ambientes
39
provisionales alternos para restablecer la funcin de los ambientes afectado. e. Duracin La duracin del evento depender del grado de Oleaje anmalo. 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin es la Jefatura y el equipo del rea afectada, cuyo rol principal es asegurar el normal desarrollo del servicio. b. Descripcin Controlado el evento, se debern iniciar las actividades de trabajo en forma normal. c. Mecanismos de Comprobacin El Director y/o Jefe del rea afectada presentar un informe a la Coordinacin Ejecutora del Plan explicando qu parte del Servicio ha sido afectada y cules son las acciones tomadas. Se llenar el formato de ocurrencia de eventos para ste fin. d. Desactivacin del Plan de Contingencia El Director Cientfico y/o Director de Administracin desactivar el Plan de Contingencia una vez que se haya tomado las acciones descritas en el presente Plan de Recuperacin, mediante una comunicacin electrnica a la Coordinacin Ejecutora del Plan. e. Proceso de Actualizacin El proceso de actualizacin ser en base al informe presentado por el Director Cientfico y/o Director de Administracin quien determinar las acciones a tomar.
IMARPE Fecha: 15/01/2011
Evento: Tsunamis Entidad responsable: IMARPE Entidad involucrada: IMARPE
1. PLAN DE PREVENCIN a. Descripcin del evento Un tsunami es una ola o un grupo de olas que se producen en el agua cuando stas son empujadas por una gran fuerza que las hace desplazarse hacia la
40
costa.
Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, los mismos que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia, los cuales se muestran a continuacin: Infraestructura Sede central del IMARPE Oficinas de la Av. Argentina
Operativo Archivos y/o Documentacin
Equipos Diversos Aire Acondicionado, Computadoras, etc.
c. Objetivo Establecer las acciones que se tomarn ante Inundacin por Tsunamis, a fin de minimizar el tiempo de interrupcin del Servicio ofrecido por el IMARPE evitando exponer la seguridad de las personas, archivos y documentos de la Institucin. d. Criticidad El IMARPE determina que el presente evento tiene un nivel de gran impacto en el servicio y se identifica como CRITICO. e. Entorno Este evento se puede dar en las instalaciones de la Alta Direccin, Direcciones de Lneas y Unidades Operativas de la Sede Central y el local de la Av. Argentina. f. Personal Encargado El Director y/o Jefe de reas, es quien debe de dar cumplimiento a lo descrito en las Condiciones de Prevencin de Riesgo del presente Plan. g. Condiciones de Prevencin de Riesgo Mantener constantemente comunicacin con Hidrografa y Capitana de Puertos sobre eventos como: Tsunami Mantener los muros de contencin cercanas a la Sede Central del IMARPE en buen estado Contar con un pozo de agua en el stano de la Sede Central, donde se acumule el agua para su posterior bombeo, este sistema debe ser
41
revisada peridicamente. Realizar labores de mantenimiento a las instalaciones y/o equipos que trabajen con agua(ejemplo redes de agua, sanitarios, lavaderos, duchas, equipo de aire acondicionado, entre otros, de acuerdo a una planificacin previamente acordada Revisin e inspeccin diaria al termino del horario de trabajo, de las instalaciones de agua, sanitarios, lavaderos, etc. Para prevenir fugas fuera de horas trabajo. Cerrar dichas llaves de agua en caso de ser necesario. Contar con llaves principales de corte de agua en los ambientes del IMARPE, las cuales deben ser revisadas peridicamente, 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia El evento que activa la contingencia es cuando ocurre: Tsunami cercanos al puerto del Callao - Sede Central del IMARPE. As, como presencia de agua en las instalaciones de la Sede Central y de la Av. Argentina. El proceso de contingencia se activar inmediatamente despus de ocurrir el evento. b. Procesos Relacionados antes del evento Cualquier proceso relacionado con la operatividad del IMARPE. c. Personal que autoriza la contingencia. El responsable que autoriza la contingencia es el Director Ejecutivo y/o Director Cientfico y/o director de Administracin. d. Descripcin de las actividades despus de activar la contingencia. Desconectar el fluido elctrico y cerrar las llaves de gas u otros lquidos inflamables si corresponde. En caso de Tsunami, Maremotos, Maretazos se debe evacuar de acuerdo a las disposiciones del Director Cientfico y/o Director de administracin a zonas altas donde no llegue el agua del mar (lugares asignadas por las autoridades de INDECI) Cierre la toma principal de agua a las instalaciones del IMARPE si le corresponde Correccin del problema encontrado en tuberas, llaves de agua, etc. Evacuar el agua a travs del sistema de bombeo Evaluacin de los daos ocasionados por el agua sobre la instalacin,
42
estanteras, documentos, etc. Inventario general de documentacin, personal, equipos, etc. y/o recursos afectados, indicando el estado de operatividad de los mismos. Limpieza de las reas afectadas por la inundacin. En caso sea necesario, se utilizarn equipos especializados (motobombas) para realizar el trabajo. Fumigacin del lugar para prevenir aparicin de hongos. En todo momento se coordinar con personal de mantenimiento del IMARPE, para las acciones que deban ser efectuadas por ellos. La Coordinacin Ejecutora del Plan de Contingencias deber coordinar con la Alta Direccin en caso se requiera la habilitacin de ambientes provisionales alternos para restablecer la funcin de los ambientes afectado. e. Duracin La duracin del evento depender del nivel de la Inundacin por Agua. 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin es el Director y/o jefe del rea afectada, cuyo rol principal es asegurar el normal desarrollo del servicio. b. Descripcin Controlado el evento, se debern iniciar las actividades de trabajo en forma normal. c. Mecanismos de Comprobacin El Director y/o Jefe del rea afectada presentar un informe a la Coordinacin Ejecutora del Plan explicando qu parte del Servicio ha sido afectada y cules son las acciones tomadas. Se llenar el formato de ocurrencia de eventos para ste fin. d. Desactivacin del Plan de Contingencia El Director Cientfico y/o Director de Administracin desactivar el Plan de Contingencia una vez que se haya tomado las acciones descritas en el presente Plan de Recuperacin, mediante una comunicacin electrnica a la Coordinacin Ejecutora del Plan. e. Proceso de Actualizacin El proceso de actualizacin ser en base al informe presentado por el Director Cientfico y/o Director de Administracin quien determinar las acciones a tomar.
43
IMARPE
Evento: Interrupcin de Energa Elctrica Entidad involucrada: IMARPE
Fecha: 15/01/2011
Entidad responsable: IMARPE 1. PLAN DE PREVENCIN a. Descripcin del evento
Falla general del suministro de energa elctrica. Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, los mismos que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia: Servicios Pblicos Suministro de Energa Elctrica
Hardwa Servidores Estaciones de Trabajo
Equipos Diversos UPS
b. Objetivo Restaurar las funciones consideradas como crticas para el servicio. c. Criticidad Este evento se considera como CRITICO. d. Entorno Se puede producir durante la operatividad, afectando el fluido elctrico de las instalaciones del IMARPE. e. Personal Encargado El Director de Administracin y/o Jefe de Informtica del IMARPE son responsables de realizar las coordinaciones para restablecer el suministro de energa elctrica. f. Condiciones de Prevencin de Riesgo Durante las operaciones diarias del servicio u operaciones del IMARPE se contar con los UPS necesarios para asegurar el suministro elctrico en las estaciones de trabajo consideradas como crticas. Asegurar que los equipos UPS cuenten con el mantenimiento debido y con suficiente energa para soportar una operacin continua de 30
44
minutos como mximo. El tiempo variar de acuerdo a la funcin que cumplan los equipos UPS. Realizar pruebas peridicas de los equipos UPS para asegurar su correcto funcionamiento. Contar con UPS para proteger los servidores de correo y desarrollo, previniendo la prdida de datos durante las labores. La autonoma del equipo UPS no deber ser menor a 30 minutos. Contar con UPS para proteger los equipos de vigilancia (cmaras, sistemas de grabacin) y de control de acceso a las instalaciones del IMARPE (puertas, contactos magnticos, etc.) Contar con equipos de luces de emergencia con tolerancia de 15 minutos, accionados automticamente al producirse el corte de fluido elctrico, los cuales deben estar instalados en los ambientes crticos. Contar con procedimientos operativos alternos para los casos de falta de sistemas, de tal forma que no se afecten considerablemente las operaciones en curso. 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia Corte de suministro de energa elctrica en los ambientes del IMARPE. b. Procesos Relacionados Antes del evento. Cualquier actividad de servicio dentro de las instalaciones del IMARPE. c. Personal que autoriza la contingencia El Director de administracin y/o Jefe de Informtica pueden activar la contingencia. d. Descripcin de las procedimientos despus de activar la contingencia Informar al Director de Administracin problema presentado. Dar aviso del corte de energa elctrica en forma oportuna a todas las reas del IMARPE y coordinar las acciones necesarias. Las actividades afectadas por la falta de uso de aplicaciones, debern iniciar sus procesos de contingencia a fin de no afectar las operaciones en curso. En el caso de los equipos que entren en funcionamiento automtico con UPSs, se deber monitorear el tiempo de autonoma del equipo y no exceder el indicado anteriormente. y/o Jefe de Informtica del
45
En caso la interrupcin de energa sea mayor a quince minutos, se debern apagar los servidores de produccin, desarrollo y correo hasta que regrese el fluido elctrico. e. Duracin El tiempo mximo de duracin de la contingencia depender del proveedor externo de energa elctrica. 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin son el Jefe de Informtica y/o el Director de administracin, quienes se encargarn de realizar las acciones de recuperacin necesarias. b. Descripcin El evento ser evaluado y registrado de ser necesario en el formato de ocurrencia de eventos. Se informar a la Coordinacin Ejecutora del Plan el problema presentado y el procedimiento usado para atender el problema. En funcin a esto, se tomarn las medidas preventivas del caso. c. Mecanismos de Comprobacin El Director de Administracin y/o Jefe de Informtica presentar un informe a la Coordinacin Ejecutora del Plan explicando que parte del Servicio u operacin ha fallado y cules son las acciones correctivas y/o preventivas a realizar. d. Desactivacin del Plan de Contingencia El Director de Administracin y/o Jefe de Informtica desactivar el Plan de Contingencia una vez que se recupere la funcionalidad de trabajo con los sistemas. e. Proceso de Actualizacin En base al informe que describe los problemas presentados, se
determinarn las acciones de prevencin a tomar.
5.2.2 Subfactor: informacin
Contingencias
relacionadas
los
sistemas
de
A continuacin se muestra los puntos a desarrollarse para el presente subfactor:
46
5.2.2.1 Objetivo Los planes de contingencia de los eventos relacionados a los Sistemas de Informacin tienen por objetivo que ante cualquier evento que atente contra la normal operacin tanto en hardware, software como en
cualquier elemento interno o externo relacionado a los mismos, se dispongan de alternativas de solucin frente al problema a fin de asegurar la operacin del servicio y/o minimizar el tiempo de interrupcin.
5.2.2.2 Alcance El alcance de dichos planes se circunscribe a las actividades de uso de sistemas y/o aplicaciones, as como a las operaciones del servicio que son afectadas durante la operatividad del IMARPE. Resumen de la Matriz de Riesgos, considerando las contingencias relacionadas a los Sistemas de Informacin que se describirn en detalle ms adelante
Probabili Impact Ponderac Alert dad o in a Ocurrenci a SUB FACTOR : CONTINGENCIA RELACIONADAS A SISTEMA DE INFORMACION INFORMACION FPC-10 FPC-11 Extravo de documentos Sustraccin o robo de informacin SOFTWARE
FPC-12 Infeccin de equipos por virus 0.05 4 0.20
Cdigo del Formato
0.02 0.02
3 3
0.06 0.06
FPC-13
FPC-14
Prdidas de los sistemas centrales

Perdida del servicio de correo
0.05
0.01
4
2
0.20
0.02
FPC-15 FPC-16 FPC-17
Falla del Motor de la base de datos Falla del Sistema Operativo COMUNICACIONES Fallas en la red de comunicaciones interna
0.04 0.04 0.02
4 4 4
0.16 0.16 0.08
47
Probabili Impact Ponderac Alert dad o in a Ocurrenci a SUB FACTOR : CONTINGENCIA RELACIONADAS A SISTEMA DE INFORMACION HARDWARE FPC-18 Fallas de equipos personales RECURSOS OPERATIVOS Y LOGSTICOS FPC-19 Falla de equipos multimedia, impresoras, scanner y otros 5.2.2.3 Plan de Pruebas El plan de pruebas correspondiente a los eventos desarrollados como parte del Sub Factor Sistemas de Informacin, seguir la metodologa expuesta en el punto 4.5 del Plan de Contingencia. El plan de pruebas se determinar luego del anlisis de los procesos crticos de las operaciones y de identificar los eventos que pudieran presentarse. La aprobacin del plan de pruebas ser efectuada por el Comit de Contingencias de Pruebas previamente a su ejecucin. 0.01 2 0.02 0.02 2 0.04
Cdigo del Formato
5.2.2.4 Descripcin de Planes Se detallarn los Planes de Contingencia de alguno de los eventos identificados en la Matriz de Riesgo de Contingencia.
IMARPE
Evento: Infeccin de Equipos por FPC-12 Virus Versin: 1.1 Entidad responsable: IMARPE Entidad involucrada: IMARPE Pag.
Fecha: 15/01/2011
1. PLAN DE PREVENCIN a. Descripcin del evento Virus informtico es un programa de software que se propaga de un equipo a otro y que interfiere el funcionamiento del equipo. Adems, Un virus informtico puede daar o eliminar los datos de un equipo. Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, los mismos que por su naturaleza pueden ser considerados como
48
parte afectada o causa de la contingencia, los cuales se muestran a continuacin: Hardware Servidores Estaciones de Trabajo
Software Software Base Aplicativos utilizados por el IMARPE
b. Objetivo Restaurar la operatividad de los equipos despus de eliminar los virus o reinstalar las aplicaciones daadas. c. Criticidad El nivel de ste evento es considerado CRITICO. d. Entorno Las estaciones de trabajo PCs, se encuentran instaladas en la Sede Central y el local de la Av. Argentina del IMARPE. e. Personal Encargado Jefe de Informtica del IMARPE es el responsable en la supervisin del correcto funcionamiento de las estaciones PCs f. Condiciones de Prevencin de Riesgo Establecimiento de polticas de seguridad para prevenir el uso de aplicaciones no autorizadas en las estaciones de trabajo. Restringir el acceso a Internet a las estaciones de trabajo que por su uso no lo requieran. Eliminacin de disketteras, quemadores de CD, etc. en estaciones de trabajo que no lo requieran. Deshabilitar los puertos de comunicacin USB en las estaciones de trabajo que no los requieran habilitados, para prevenir la conexin de unidades de almacenamiento externo. Aplicar filtros para restriccin de correo entrante, y revisin de archivos adjuntos en los correos y as prevenir la infeccin de los terminales de trabajo por virus. Contar con antivirus instalados en cada estacin de trabajo, el mismo que debe estar actualizado permanentemente. Contar con equipos de respaldo ante posibles fallas de las estaciones,
49
para su reemplazo provisional hasta su desinfeccin y habilitacin. 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia Mensajes de error durante la ejecucin de programas. Lentitud en el acceso a las aplicaciones. Falla general en el equipo (sistema operativo, aplicaciones).
b. Procesos Relacionados Antes del evento. Cualquier proceso relacionado con el uso de las aplicaciones en las estaciones de trabajo. c. Personal que autoriza la contingencia Jefe de Informtica del IMARPE Tcnico de Soporte de Sistemas del IMARPE
d. Descripcin de las Actividades despus de activar la contingencia Desconectar la estacin infectada de la red del IMARPE Verificar si el equipo se encuentra infectado, utilizando un detector de virus actualizado. Rastrear de ser necesario el origen de la infeccin (archivo infectado, correo electrnico, etc.) Eliminar el agente causante de la infeccin. Remover el virus del sistema. Probar el sistema. En caso no solucionarse el problema : Formatear el equipo Personalizar la estacin para el usuario
Conectar la estacin a la red del IMARPE. Efectuar las pruebas necesarias con el usuario. Solicitar conformidad del servicio.
e. Duracin La duracin del evento no deber ser mayor a DOS HORAS en caso se confirme la presencia de un virus. Esperar la indicacin del personal de soporte para reanudar el trabajo. 3. PLAN DE RECUPERACIN a. Personal Encargado El Tcnico de Soporte de Sistemas del IMARPE, luego de restaurar el correcto funcionamiento de la estacin de trabajo (PC), coordinar con el
50
usuario responsable y/o Jefe del rea para reanudar las labores de trabajo con el equipo. b. Descripcin Se informar al Jefe de Informtica del IMARPE el tipo de virus encontrado y el procedimiento usado para removerlo. En funcin a esto, se tomarn las medidas preventivas del caso enviando una alerta va correo al personal del IMARPE. El evento ser evaluado y registrado de ser necesario en el formato de ocurrencia de eventos. c. Mecanismos de Comprobacin Se llenar el formato de ocurrencia de eventos y se remitir a la Coordinacin Ejecutora del Plan para su revisin. d. Desactivacin del Plan de Contingencia Con el aviso del Tcnico de Soporte de Sistemas del IMARPE, se desactivar el presente Plan. e. Proceso de Actualizacin El problema de infeccin presentado en la estacin de trabajo, no debe detener la Aplicacin de actualizacin de datos en las Aplicaciones del IMARPE.
IMARPE
Evento: Prdida de los Sistemas Centrales

Entidad responsable: IMARPE Entidad involucrada: IMARPE
Fecha: 15/01/2011
1. PLAN DE PREVENCIN a. Descripcin Del Evento
Es la ausencia de interaccin entre el Software y el Hardware haciendo inoperativa la mquina, es decir, el Software no enva instrucciones al Hardware imposibilitando su funcionamiento.
Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia, como se muestran a continuacin:
51
Software Software base Software base de datos Aplicativos utilizados por el IMARPE
Hardware Servidores
Informacin Respaldo de base de datos Respaldo de las aplicaciones utilizadas por el IMARPE Respaldo De Software Base
b. Objetivo Mantener operativo los servidores de produccin donde se ejecutan las aplicaciones del IMARPE. c. Criticidad El nivel de este evento es considerado crtico. d. Entorno Los servidores de aplicaciones estn situados en el centro de datos del IMARPE. e. Personal Encargado Jefe de Informtica del IMARPE es el responsable de asegurar el correcto funcionamiento de los servidores durante los servicios. Se coordinarn las acciones necesarias para restablecer el servicio en caso se produzca el evento. El Jefe de Informtica del IMARPE es el encargado de coordinar las
acciones necesarias con la ULeI y el personal de las reas usuarias, para asegurar un servicio continuo de los servidores y sus aplicaciones, de tal forma que no afecten el servicio brindado en el IMARPE. f. Condiciones de Prevencin de Riesgo Tomar las siguientes acciones preventivas que debe implementar la Unidad de Informtica del IMARPE para asegurar el servicio de las aplicaciones: Contar con equipos de respaldo ante posibles fallas de los servidores. Contar con mantenimiento preventivo para dichos equipos. Contar con los backups de informacin necesarios para restablecer las aplicaciones Anexo A04: Copias de Respaldo. Contar con backups de las aplicaciones y de las bases de datos Anexo
52
A04: Copias de Respaldo. Almacenar en un lugar seguro los backups referidos a aplicaciones y datos. Se recomienda el almacenamiento De Los Backups en un lugar externo fuera de las instalaciones del IMARPE.
2. PLAN DE EJECUCIN a. Eventos que Activan La Contingencia
Falla de Acceso a Aplicaciones. Mensaje Prdida de Conexin a La BD.
b. Procesos Relacionados Antes Del Evento. Cualquier proceso relacionado con el uso de las aplicaciones en los servidores del IMARPE. c. Personal que autoriza la contingencia Jefe de Informtica del IMARPE.
d. Descripcin de Las Actividades Despus de Activar La Contingencia Remitirse a los Procedimientos de recuperacin de sistemas del IMARPE. e. Duracin La duracin del evento estar en funcin de la complejidad del problema encontrado. Esperar la indicacin del jefe de Informtica de IMARPE para reanudar la operacin normal con las aplicaciones. 3. PLAN DE RECUPERACIN
a. Personal encargado
El Jefe de Informtica del IMARPE, luego de verificar la correccin del problema de acceso a los servidores, coordinar con los Directores y/o jefes de reas para la reanudacin de los trabajos operativos con las aplicaciones del IMARPE. b. Descripcin Se informar a la Alta Direccin la causa que motiv la paralizacin del servicio. En funcin a esto, se tomarn las medidas preventivas del caso y se revisar el plan de contingencia para actualizarlo en caso sea necesario. c. Mecanismos de Comprobacin Se llenar el formato de ocurrencia de eventos y se remitir a la coordinacin ejecutora del plan para su revisin. d. Desactivacin del plan de contingencia
53
Con el aviso del jefe de Informtica del IMARPE, se desactivar el presente plan. e. Proceso de actualizacin En caso existiese informacin pendiente de actualizacin, debido a la falla de los sistemas centrales, se coordinar con los Directores y/o jefes de reas, para iniciar las labores de actualizacin de los sistemas.
IMARPE
Evento: Falla en Motor de Base de Datos Entidad responsable: IMARPE Entidad involucrada: IMARPE
Fecha: 15/01/2011
1. PLAN DE PREVENCIN a. Descripcin del evento

Ausencia del servicio principal para almacenar, procesar y proteger los datos, para acceso controlado y procesamiento de transacciones rpidos para cumplir con los requisitos de las aplicaciones consumidoras de datos ms exigentes del IMARPE.
Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia: Software Aplicativos utilizados por el IMARPE
Hardware Servidores
Informacin Respaldo de Base de Datos Respaldo del Software Base
b. Objetivo Asegurar la continuidad de las operaciones, con los medios de respaldo
adecuados para restaurar los datos de las aplicaciones ejecutadas en los servidores centrales. c. Criticidad Este evento se considera como CRITICO.
54
d. Entorno Se puede producir durante el servicio, afectando a las aplicaciones usadas para dar soporte a las operaciones del IMARPE. e. Personal Encargado El Jefe de Informtica del IMARPE encargar al responsable de la base de datos (DBA) las acciones correspondientes. f. Condiciones de Prevencin de Riesgo Revisin peridica de los logs de la BD para prevenir mal funcionamiento de la Base de Datos. Contar con los backups diarios de datos de las aplicaciones en desarrollo/produccin en la Institucin. Se realizan copias de la informacin o de los registros con la finalidad de asegurar la informacin mantenida en la base de datos. La copia de seguridad de la informacin es un proceso diario, en donde se busca asegurar la integridad de la informacin. Tambin se obtienen copias de seguridad de la base de datos de acuerdo a requerimientos antes o despus de un determinado proceso Anexo A04: Copias de Respaldo. Mantener actualizado el software de gestin de BD, con todos los parches del producto segn el fabricante del producto. Contar con servicios de soporte vigentes para el software de gestin de BD. En caso sea necesario, este soporte debe incluir actividades de prevencin, revisin del sistema y mantenimiento general a la base de datos.
2. PLAN DE EJECUCIN
a. Eventos que activan la Contingencia Fallas en la conexin. Indisponibilidad del sistema aplicativo. Identificacin de falla en la pantalla de las estaciones de trabajo y/o servidores de aplicaciones. b. Procesos Relacionados Antes del evento. Respaldo disponible para el uso de las aplicaciones en los servidores del IMARPE. c. Personal que autoriza la contingencia El Jefe de Informtica del IMARPE es quien considera activar la contingencia. d. Descripcin de los procedimientos despus de activar la contingencia
55
Sistemas de Proveedores.- De producirse una falla al momento de la operacin de estos sistemas por efecto del programa ejecutable (cliente) o base de datos, deber ser comunicado y coordinado inmediatamente con el proveedor, para su correccin.
Sistemas Desarrollados por el IMARPE.- De producirse una falla al momento de la operacin de estos sistemas, el Jefe de Informtica asumir, delegar modificacin. o coordinar los trabajos de correccin o
e. Duracin El tiempo mximo de la contingencia no debe sobrepasar las CUATRO horas. 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin para las operaciones del IMARPE es el Jefe de Informtica. b. Descripcin Se informar al Jefe de Informtica del IMARPE la causa del problema presentado y el procedimiento usado para atender el problema. En funcin a esto, se tomarn las medidas preventivas del caso enviando una alerta va correo al personal del IMARPE. El evento ser evaluado y registrado de ser necesario en el formato de ocurrencia de eventos. c. Mecanismos de Comprobacin El Jefe de Informtica del IMARPE presentar un informe a la Coordinacin Ejecutora del Plan explicando que parte del Servicio ha fallado y cules son las acciones correctivas y/o preventivas a realizar. d. Desactivacin del Plan de Contingencia El Jefe de Informtica del IMARPE desactivar el Plan de Contingencia una vez que se recupere la funcionalidad de trabajo con la BD de las aplicaciones. e. Proceso de Actualizacin En base al informe presentado que identifica las causas de la prdida del sistema operativo en las estaciones de trabajo y/o servidores, se determinar las acciones de preventivas necesarias que debern incluirse en el presente plan. En caso existiese informacin pendiente de actualizacin, debido a la falla
56
de los sistemas centrales, se coordinar con los directores y/o jefes de reas, para iniciar las labores de actualizacin de los sistemas.
IMARPE
Evento: Falla del Sistema Operativo

Entidad involucrada IMARPE
Fecha:15/0/2011 1.
Entidad responsable IMARPE PLAN DE PREVENCIN

Falla en el control de computadoras, en el interfaz hombre-mquina, recursos hardware y software del IMARPE.
Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia: Software Aplicativos utilizados por el IMARPE
Hardware Servidores
Informacin Respaldo de Base de Datos Respaldo de las Aplicaciones utilizadas por el IMARPE
b. Objetivo Asegurar la continuidad de las operaciones, con los medios de respaldo adecuados para restaurar las funciones de los elementos identificados. c. Criticidad Este evento se considera como CRITICO. d. Entorno Se puede producir durante la operatividad, afectando a las estaciones de trabajo y/o servidores de aplicaciones usados para dar soporte a las operaciones. e. Personal Encargado El Jefe de Informtica del IMARPE es el responsable de coordinar las acciones necesarias para asegurar el correcto funcionamiento de las aplicaciones.
57
f. Condiciones de Prevencin de Riesgo Se debe asegurar de cubrir los siguientes aspectos: Contar con los backups diarios de datos de las aplicaciones en produccin en la institucin Anexo A04: Copias de Respaldo. Contar con servicios de soporte vigentes para los principales causantes del evento: El IMARPE debe asegurarse de mantener acuerdos con sus Proveedores de Servicio. Revisin peridica de los logs de actividad de los servidores para prevenir su mal funcionamiento. Estaciones de trabajo y servidores debern contar con actualizados.
2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia
antivirus
Detencin de las funciones de trabajo en estaciones de trabajo y/o servidores de aplicaciones.
Identificacin de falla en el monitor de los servidores de aplicaciones y/o estaciones de trabajo.
b. Procesos Relacionados Antes del evento. Respaldo disponible de los sistemas operativos para la ejecucin de las aplicaciones en los servidores. c. Personal que autoriza la contingencia El Jefe de Informtica contingencia, d. Descripcin de las Actividades despus de activar la contingencia En el caso de las estaciones de trabajo : Proceder a la revisin de la estacin de trabajo para determinar la causa de la falla. Verificar si el equipo se encuentra infectado, utilizando un detector de virus actualizado. Rastrear de ser necesario el origen de la infeccin (archivo infectado, correo electrnico, etc.) Remover el virus del sistema. Probar el sistema. En caso no solucionarse el problema : del IMARPE es quin considera activar la
58
Formatear el equipo Personalizar la estacin para el usuario Conectar la estacin a la red del Archivo.
Efectuar las pruebas necesarias con el usuario. Solicitar conformidad del servicio.
En el caso de los servidores de aplicaciones : Direcciones y/o Jefaturas: o o Reportar el problema al rea de soporte Tcnico. Coordinar las acciones a realizarse y el tiempo aproximado de interrupcin del servicio. o Comunicar a los directores y/o jefes de reas para que se tomen las acciones del caso y no se afecte en sus operaciones. e. Duracin El tiempo mximo de la contingencia no debe sobrepasar las CINCO horas. 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin para las operaciones del IMARPE es el Jefe de Informtica. b. Descripcin Se informar al Jefe de Informtica de IMARPE la causa del problema presentado y el procedimiento usado para atender el problema. En funcin a esto, se tomarn las medidas preventivas del caso enviando una alerta va correo al personal del IMARPE. El evento ser evaluado y registrado de ser necesario en el formato de ocurrencia de eventos. c. Mecanismos de Comprobacin El Jefe de Informtica del IMARPE presentar un informe a la Coordinacin Ejecutora del Plan, explicando que parte del Servicio ha fallado y cules son las acciones correctivas y/o preventivas a realizar. d. Desactivacin del Plan de Contingencia El Jefe de Informtica del IMARPE desactivar el Plan de Contingencia una vez que se recupere la funcionalidad de trabajo con los sistemas. e. Proceso de Actualizacin En base al informe presentado que identifica las causas de la prdida del sistema operativo en las estaciones de trabajo y/o servidores, se
59
determinar las acciones de prevencin a tomar. En caso existiese informacin pendiente de actualizacin, debido a la falla de los sistemas centrales, se coordinar con los directores y/o jefes de reas, para iniciar las labores de actualizacin de los sistemas.
5.2.3. Subfactor: Contingencias relacionadas a los Recursos Humanos A continuacin se muestra los puntos a desarrollarse para el presente subfactor:
5.2.3.1 Objetivo El desarrollo de este tipo de contingencias est relacionado con todos los elementos y factores que pueden afectar y/o ser afectados por el personal del IMARPE. 5.2.3.2 Alcance La seguridad referida al personal se contemplar desde las etapas de seleccin del mismo e incluir en los contratos y definiciones de puestos de trabajo para poder cumplir el objetivo de reducir los riesgos de:
Actuaciones humanas Indisponibilidad por enfermedades Emergencias mdicas Incapacidad temporal o permanente por accidentes Renuncias o ceses
Se deber comprobar que las definiciones de puestos de trabajo contemplan todo lo necesario en cuanto las responsabilidades encomendadas. A continuacin se presenta un resumen de la Matriz de Riesgos, considerando las contingencias relacionadas a los Recursos Humanos que se describirn en detalle ms adelante: Cdigo Descripcin del Evento de Probabilid Impact Ponder Alerta del Contingencia ad o acin Formato Ocurrencia SUB FACTOR : CONTINGENCIA RELACIONADAS A RECURSOS HUMANOS RECURSOS HUMANOS FPC-20 Ausencia imprevista del 0.05 3 0.15
60
personal de soporte tcnico FPC-21

Ausencia de personal 0.05
0.15
ejecutivo para la toma de

decisiones ante situaciones de
riesgo informtico
FPC-22 Falta de idoneidad del 0.01 personal en la reserva de informacin de la Base de Datos 4 0.04
5.2.3.3 Plan de Pruebas El plan de pruebas correspondiente a los eventos desarrollados como parte del tpico Recursos Humanos, seguir la metodologa expuesta en el punto 4.5 del Plan de Contingencia. El plan de pruebas se determinar luego del anlisis de los procesos crticos del servicio y de identificar los eventos que pudieran presentarse. La aprobacin del plan de pruebas ser efectuada por la Alta Direccin del IMARPE previamente a su ejecucin.
5.2.3.4 Descripcin de Planes Se detallarn los Planes de Contingencia de los eventos identificados en la Matriz de Riesgo de Contingencia.
IMARPE
Evento: Ausencia imprevista del personal de soporte tcnico Entidad responsable: IMARPE Entidad involucrada: IMARPE
FPC-20 Versin: 1.1
Fecha: 15/11/2011
Pag.
1. PLAN DE PREVENCIN
Ausencias del personal de Soporte Tcnico relevante (enfermedad, renuncias, ceses), en toma decisiones claves que garantice el normal funcionamiento de servidores y redes de la institucin. Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, los mismos que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia, los
61
cuales se muestran a continuacin: Recursos Humanos Personal
b. Objetivo Asegurar la continuidad del Servicio Informtico del IMARPE. c. Criticidad El IMARPE determina que el presente evento tiene un nivel de gran impacto en el servicio y se identifica como CRITICO. d. Entorno Este evento se puede dar en las instalaciones de la Alta Direccin, Direcciones de Lneas y Unidades Operativas de la Sede Central y el Local de la Av. Argentina e. Personal Encargado El Director Ejecutivo y/o Jefe de Informtica es quin debe disponer se cumplan las Condiciones de Previsin de Riesgo del presente Plan. f. Condiciones de Prevencin de Riesgo La existencia del presente evento se puede dar en cualquier momento, dependiendo de las circunstancias personales, por lo que se considera lo siguiente: Como primera prevencin, el Jefe de Informtica, se asegurar en capacitar a los analistas de sistemas del rea de soporte tcnico con el fin que cumpla el perfil, conocimiento y capacidad para reemplazar la ausencia ante la presencia de este evento. Como segunda prevencin, el jefe de informtica se asegurara en tener como mnimo a dos profesionales tcnicos en el rea de soporte tcnico y un asistente. Incluir como parte de las funciones del personal, anticipadamente la inasistencia a su centro de labores. Para el control del personal se cuenta con un software de control de asistencia, de donde se proveer informacin al Jefe de Informtica, para que tome las acciones preventivas correspondientes.
2. PLAN DE EJECUCIN
comunicar
a. Eventos que activan la Contingencia Reporte de inasistencia del personal de Soporte Tcnico:
administrador de la Red, administrador de
la Base de Datos,
62
helpdesk, etc. El proceso de contingencia se activa durante las DOS (02) HORAS iniciales del da. b. Procesos Relacionados Antes del evento. Se podra dar por: Conocimiento del Jefe de Informtica por parte del reporte de inasistencia del Sistema de Control de Asistencia. Conocimiento del Jefe de Informtica por comunicacin telefnica por parte del personal de Soporte Tcnico ausente o algn familiar. c. Personal que autoriza la contingencia El Jefe de Informtica. d. Descripcin contingencia Confirmado la inasistencia del personal de soporte Tcnico, el Jefe de Informtica asignar la responsabilidad al Asistente del rea de soporte tcnico capacitado para reemplazar en las funciones que el personal titular de soporte tcnico posea. El Jefe de Informtica solicitar al Director Ejecutivo del IMARPE, el reemplazo del personal. e. Duracin Mximo OCHO (08) horas. El fin del presente evento es la presencia del reemplazo que asume la responsabilidad; hasta que se confirme la presencia del personal de Soporte Tcnico en caso de renuncia u otras por fuerza mayor. 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin es el Jefe de Informtica, cuyo rol principal es asegurar el normal funcionamiento del Servicio Informtico. b. Descripcin Regularizacin en los servicios pendiente durante la ausencia. Revisin de los servicios atendidos si fuera el caso. Definir los ajustes para asegurar rpida y mejora en la accin y prevencin del presente evento. c. Mecanismos de Comprobacin de las Actividades despus de activar la
63
El Jefe de Informtica presentar un informe a la Coordinacin Ejecutora del Plan explicando que parte del Servicio Informtico ha sido afectado y cual son las acciones tomadas. d. Desactivacin del Plan de Contingencia El Jefe de Informtica desactivar el Plan de Contingencia una vez que se haya tomado las acciones descritas en la Descripcin del presente Plan de Recuperacin, mediante una comunicacin electrnica a la Coordinacin Ejecutora del Plan. e. Proceso de Actualizacin En base al informe presentado por el Jefe de Informtica y las causas identificadas en el Servicio informtico se determinar las acciones a tomar.
IMARPE
Fecha:15/01/2011 1.
Evento: Ausencia de personal FPC-21 ejecutivo para la toma de decisiones Versin: 1.1 ante situaciones de riesgo informtico Entidad Entidad responsable: involucrada: Pag. IMARPE IMARPE
PLAN DE PREVENCIN a. Descripcin del evento Ausencias del personal de Direccin y/o jefaturas (enfermedad, renuncias, ceses), en toma decisiones claves que garantice el normal funcionamiento de las actividades. Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, que por su naturaleza pueden ser considerados como parte
afectada o causa de la contingencia, los cuales se muestran a continuacin: Recursos Humanos Personal b. Objetivo Asegurar la continuidad de las operaciones en las diferentes direcciones y/o jefaturas del IMARPE, evitando el quiebre en la cadena de mandos, a travs de reemplazos de personal ejecutivos. c. Criticidad El IMARPE determina que el presente evento tiene un nivel de gran impacto
64
en el servicio y se identifica como CRITICO. d. Entorno Este evento se puede dar en las instalaciones de la Alta Direccin, Direcciones de Lneas y Unidades Operativas de la Sede Central y el Local de la Av. argentina e. Personal Encargado El Director Ejecutivo y/o Director cientfico, es quin debe de asegurarse de que se cumpla lo descrito en las Condiciones de Previsin de Riesgo del presente Plan. f. Condiciones de Prevencin de Riesgo La existencia del presente evento se puede dar en cualquier momento, dependiendo de las circunstancias personales que se presente a personal Direccional y/o Jefatural, por lo que se considera lo siguiente: Como primera prevencin, la Alta Direccin asegurar en capacitar a un empleado con ms de 5 aos de experiencia en la Institucin que cumpla el perfil, conocimiento y capacidad para reemplazar ante el evento. Incluir como parte de las funciones del personal en comunicar anticipadamente la inasistencia a su centro de labores, cuando se trate de ocasiones premeditadas. 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia Reporte de inasistencia de algn Director y/o jefe de rea. El proceso de contingencia se activa durante las DOS HORAS iniciales del da. b. Procesos Relacionados Antes del evento. Se podra dar por: Falta de decisin del Jefe Director y/o Jefe de rea para aplicar soluciones ante algn inconveniente en las actividades u operaciones de su competencia, donde se detecte la ausencia. Reporte de Control de Asistencia referente a inasistencias. siempre y
c. Personal que autoriza la contingencia El encargado de autorizar el proceso de contingencia es el cientfico y/o director Administrativo. d. Descripcin de las Actividades despus de activar la contingencia Director
65
Confirmado la inasistencia del Director Ejecutivo, se coordinar el reemplazo con el Director Cientfico y/o Directores de lnea del IMARPE
Confirmado la inasistencia del jefe de rea, el Director cientfico y/o director de rea coordinar con los Jefes de la Direccin el reemplazo correspondiente
e. Duracin Mximo tres horas. El fin del presente evento es la presencia del reemplazo, o el empleado ms antiguo que est capacitado para que asuma la responsabilidad; hasta que se confirme la presencia del director y/o jefe de rea o Nuevo Director y/o Jefe de rea en caso de renuncia u otras por fuerza mayor. 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin es el Director y/o jefe de rea o Nuevo director y/o jefe de rea, cuyo rol principal es asegurar el normal funcionamiento de las operaciones del IMARPE. b. Descripcin Regularizacin en las coordinaciones pendiente durante la ausencia. Definir los ajustes para asegurar rpida y mejora en la accin y prevencin del presente evento. c. Mecanismos de Comprobacin El director y/o jefe de rea presentar un informe a la Coordinacin Ejecutora del Plan explicando que parte del Servicio u operaciones ha sido afectado y cual son las acciones tomadas. d. Desactivacin del Plan de Contingencia El Director cientfico y/o director de administracin desactivar el Plan de Contingencia una vez que se haya tomado las acciones descritas en la Descripcin del presente Plan de Recuperacin, mediante una comunicacin electrnica a la Coordinacin Ejecutora del Plan. e. Proceso de Actualizacin En base al informe presentado por el Director y/o Jefe de rea y las causas identificadas en la operatividad, se determinar las acciones a tomar.
5.2.3
Subfactor: Contingencias relacionadas a Seguridad Fsica
66
A continuacin se muestra los puntos a desarrollarse para el presente subfactor:
5.2.4.1 Objetivo Definir acciones de prevencin a fin de eliminar o mitigar riesgos de seguridad fsica tanto de las instalaciones como de todos los elementos que operan en su interior (equipos, documentacin, mobiliario, etc.) por motivos de incidentes causados de manera intencional, eventual o natural y que puedan afectar las operaciones normales del servicio.
5.2.4.2 Alcance Sern tomados en cuenta lo siguientes elementos: Ubicacin y disposicin fsica Elementos de seguridad de los ambientes de trabajo Control de accesos de personal interno y externo al servicio Actos terroristas o de vandalismo que pudieran afectar
infraestructura, personal o documentacin. A continuacin se presenta un resumen de la Matriz de Riesgos, considerando las contingencias relacionadas a la Seguridad Fsica que se describirn en detalle ms adelante:
Cdigo
del Descripcin del Evento de Probabili Impacto Ponderac Alerta
Formato
Contingencia
dad Ocurrenci a
in
SUB FACTOR : PLAN DE SEGURIDAD FSICA INFRAESTRUCTURA FPC-23 Sustraccin de equipos y 0.02 software diversos FPC-24 FPC-29 FPC-30 Sabotaje Vandalismo Actos terroristas 0.01 0.01 0.01 2 3 4 0.02 0.03 0.04 2 0.04
67
5.2.4.3 Plan de Prueba El plan de pruebas correspondiente a los eventos desarrollados como parte del Sub Factor Seguridad Fsica, seguir la metodologa expuesta en el punto 4.5 del Plan de Contingencia. El plan de pruebas se determinar luego del anlisis de los procesos crticos del servicio y de identificar los eventos que pudieran presentarse. La aprobacin del plan de pruebas ser efectuada por la Alta Direccin del IMARPE previamente a su ejecucin. 5.2.4.4 Descripcin de Planes Estos eventos de contingencia son menores a 0.15. 5.3 Estrategias La estrategia aplicada para el presente Plan de Contingencia es contar con: Plan de Prevencin, Plan de Ejecucin, Plan de Recuperacin y Plan de Pruebas, desarrollados en el presente Plan de Contingencia. Se propone una organizacin para la gestin del Plan de Contingencia, el mismo que esta desarrollado en el presente Plan 4.1 Organizacin. Tener desarrollado y documentado los principales eventos susceptibles planteados en el presente Plan de Contingencia 5.2 Desarrollo de las Actividades
5.4 Programas En el presente Plan de Contingencia se ha desarrollado un conjunto de tems(cuadro Nro. 4), eventos o programas que permitan aadir valor a los sub-factores que ha priorizado El IMARPE. Un resumen de los items desarrollados son los siguientes:
Subfactor: Siniestros Item FPC-01 FPC-02 FPC-04 FPC-05 FPC-06 Alcance Infraestructura Infraestructura Infraestructura Infraestructura Servicios Pblicos Descripcin del Evento de Contingencia Incendio Sismo Inundacin por Oleajes anmalos Tsunamis Interrupcin de energa elctrica
68
Subfactor: Sistemas de Informacin Item FPC-12 FPC-13 FPC-15 FPC-16 Alcance Software Software Software Software Descripcin del Evento de Contingencia Infeccin de equipos por virus Prdidas de los sistemas centrales Falla del motor de la base de datos Falla del sistema operativo
Subfactor: Recursos Humanos Item Alcance Descripcin del Evento de Contingencia Ausencia imprevista del personal de soporte tcnico Ausencia de personal ejecutivo para la toma de decisiones ante situaciones de riesgo informtico
FPC-20 Recursos Humanos FPC-21 Recursos Humanos
5.5 Polticas El Plan de Contingencia ser actualizado con una periodicidad anual y entregado a la Alta Direccin del IMARPE para su validacin y aprobacin. Dicha actualizacin (a partir de la segunda versin en adelante) incluir un captulo donde se especificar las altas y bajas de los planes especficos de contingencia, as como aquellos que por uno u otro motivo fueron modificados respecto a su versin original. Se mantendrn 2 copias vigentes de respaldo y se repartir una copia a todas las reas involucradas en los planes. La implementacin del Plan de Contingencia est programado en el bimestre de su aprobacin. Se realizarn Plan de pruebas semestralmente.
6. RESPONSABLES
En el literal 5. Desarrollo de las actividades, fases, estrategias, programas y/o polticas del presente Plan; se ha considerado a los responsables de la ejecucin de los diferentes eventos susceptibles de contingencia. Para esto se ha desarrollado utilizando el formato Anexo A02: Formato Registro Plan de Contingencia tanto
69
para el Plan de Prevencin, Plan de Ejecucin, Plan de Recuperacin y Plan de Pruebas.
7. RECURSOS
En el literal 5. Desarrollo de las actividades, fases, estrategias, programas y/o polticas del presente Plan; se ha considerado los recursos a emplear durante la ejecucin de los diferentes eventos susceptibles de contingencia. Para esto se ha desarrollado utilizando el formato Anexo A02: Formato Registro Plan de Contingencia tanto para el Plan de Prevencin, Plan de Ejecucin, Plan de
Recuperacin y Plan de Pruebas.
8. PERIDOS Y/O PLAZOS

En el literal 5. Desarrollo de las actividades, fases, estrategias, programas y/o polticas del presente Plan; se ha considerado los plazos a emplear durante la ejecucin de los diferentes eventos susceptibles de contingencia. Para esto se ha desarrollado utilizando el formato Anexo A02: Formato Registro Plan de Contingencia tanto para el Plan de Prevencin, Plan de Ejecucin, Plan de
Recuperacin y Plan de Pruebas.
9. CRITERIOS EMPLEADOS
Disminuir el impacto de los eventos de riesgo que se puedan presentar y que atenten contra la normal operatividad del IMARPE, llegndose a detallar los procedimientos a seguir durante la prevencin, ejecucin, recuperacin y pruebas a desarrollarse.
70
10. Anexos
A01 : Formato de Ocurrencias de Eventos
71
Anexo A02: Formato Registro Plan de Contingencia
IMARPE
Evento:
Formato
Fecha:
Entidad responsable
Entidad involucrada
Pg.
1. PLAN DE PREVENCIN a. Descripcin del evento En este punto se describe el evento producido. b. Objetivo En esta seccin se describir el objetivo y funciones principales de un proceso, ejecutndose a condiciones normales, es decir, sin que se presente un evento que genere la contingencia. c. Criticidad Seala cuan crtico es un proceso, as como el nivel de impacto del mismo dentro del servicio como se clasifica a continuacin: Crtico: El proceso o actividad es altamente crtico, no puede detenerse nunca y no deber ser interrumpido. Importante: El proceso o actividad puede ser suspendido por un breve lapso de tiempo no mayor a las 2 horas. Menos Importante: El proceso o actividad puede ser suspendido por un lapso de tiempo no mayor a 24 horas. d. Entorno En esta seccin se describir la ubicacin y los ambientes, equipos informticos, equipos diversos (automticos, mecnicos o manuales) donde se ejecuta el proceso en forma normal, as como las condiciones bsicas para su operacin. e. Personal Encargado Aqu se especificar el (los) nombre(s) y cargo(s) del personal del servicio, encargado de ejecutar el proceso en forma normal, as como sus roles dentro del mismo. f. Condiciones de Prevencin de Riesgo
72
En esta seccin se debe describir detalladamente las acciones que se ejecutan durante el proceso normal y los puntos de control implementados, a efectos de prevenir que se presente el evento que genere la activacin de un estado de contingencia. 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia Aqu se describen los eventos que deciden la activacin de la contingencia. Asimismo, se especifica el lapso de tiempo en el cual se empieza a ejecutar el proceso de contingencia. b. Procesos Relacionados Antes del evento. Aqu se establecern en forma secuencial todos los procesos o actividades que se tengan que ejecutar con anterioridad al ingreso al proceso de contingencia. c. Personal que autoriza la contingencia Se especificar los cargos del personal que autorizar el inicio del proceso de contingencia. Se especificar los cargos del personal que iniciar el proceso de contingencia. Se especificar el nivel de coordinacin con funcionarios o responsables de IMARPE. d. Descripcin de las Actividades despus de activar la contingencia Se describir en forma detallada y secuencial los pasos a realizar para poner en marcha el proceso de contingencia. e. Duracin Aqu se especificar, de ser posible, el lapso de tiempo por el cual estar activada la contingencia, as como el evento que determine el trmino del mismo. 3. PLAN DE RECUPERACIN a. Personal Encargado Aqu se especificar el (los) nombre(s) y cargo(s) del personal del servicio, encargado del proceso de Recuperacin (volver al proceso normal), as como sus roles dentro del mismo. b. Descripcin Se describir en forma detallada y secuencial los pasos a ejecutar para retornar al proceso normal, debiendo indicar lo necesario para asegurar la recuperacin efectiva del mismo.
73
Deber tenerse en cuenta aquellas actividades que permiten actualizar los procesos con la nueva informacin generada en la contingencia, en caso sea necesario. c. Mecanismos de Comprobacin En esta seccin se describirn todas aquellas actividades a realizar y que permitan asegurar que el proceso recuperado opere en condiciones normales y sin volver a presentar la falla que origino la ocurrencia del evento. Mientras esta etapa se realiza, an sigue activado el Plan de Contingencia. d. Desactivacin del Plan de Contingencia Se especificar en forma secuencial y lgica cual es el procedimiento a seguir para desactivar el proceso de contingencia. e. Proceso de Actualizacin Se especificar en forma detallada y secuencial las actividades a ejecutar para actualizar el proceso normal recientemente recuperado.
74
Anexo A03: Control y Certificacin de Pruebas de Contingencia
Cdigo N
(del plan)
Control y Certificacin de Pruebas de Contingencia

Proceso en Prueba: Area responsable:
(Nombre del proceso a probar/certificar) (Area responsable del proceso probar/certificar)
Fecha :
Hora Inicio :
Hora Fin :
(de prueba)
Informacin del Proceso
Metodologia y Alcance:
( Que se va a hacer en la prueba y hasta donde va a abarcar la misma)
Condiciones de Ejecucin:
Equipo : (Nombre del servidor / pc / maquina en proceso de prueba o certificacin) Aplicacin/Software : Fecha de Backup : / / Version:
De la Prueba / Certificacin
Resultado de la Prueba: Observaciones:
Satisfactorio:
Satisfastorio con Observaciones:
Deficiente:
(en el caso de haber observaciones o que la prueba haya sido deficiente se iniciaran los motivos de dichas deficiencias, as como resultados de las pruebas en todos los casos)
Actualalizacin del Plan de Contingencia
Cambios o actualizaciones en el Plan de Contingencia
( Se indicar los cambios que se realizarn en el Plan de Contingencia como consecuencia de las observaciones detectadas en las pruebas correspondientes)
Participantes V B y Aprobacin
Participante
Cargo
Firma
75
Anexo A04: Copias de Respaldo

Todo nuevo desarrollo de aplicaciones que el IMARPE realice, considerar un proceso de respaldo de la informacin que incluye programas fuentes, ejecutables, objetos, base de datos, documentacin, configuraciones de los equipos y software entre otros.
La ejecucin de los respaldos ser responsabilidad del rea de Soporte Tcnico de la Unidad de Informtica, estar basada en una rutina de copias de seguridad tipo Normal o Bsico y la frecuencia y contenido de estas copias de respaldo se har tal como se indica en el cuadro siguiente: CUADRO 06: Rutinas de Respaldo
Frecuencia de Backup
Diario Semanal
RUTINA DE RESPALDOS (BACKUP) Da de Periodo Cantidad entrega de de retencin copias Base de Datos Lunes a Una 01 domingo semana Base de Datos Domingos Seis 02 meses
Contenido
Destino
Anual
Base de datos al cierre del ao. Programas fuentes y objetos.
Primer da til del siguiente ao
Tres aos
02
Uno para la Unidad de Informtica Uno para la Unidad de Informtica y otra para la Av. Argentina u empresa tercero Uno para la Unidad de Informtica y otra para la Av. Argentina u empresa tercero
Las caractersticas de los respaldos de informacin se mencionan a continuacin: Los respaldos se realizarn en medios magnticos removibles (LTO3 de 400:800 Gg), y sern etiquetados inmediatamente despus de acabada la operacin de backup. La terminologa que se utilice para identificacin de los cartuchos, estar basada principalmente en la fecha de realizacin del mismo, y tambin en la naturaleza de la data archivada. Los cartuchos sern almacenados en las instalaciones del IMARPE. Como medida de contingencia, se sugiere que se implemente una rutina de rotacin de cartuchos mediante el cual al menos una vez a la semana se almacene una copia de los sistemas desarrollados en las instalaciones del IMARPE.
76
Anexo A05: Subfactores entregados como parte del Plan de Instalacin

Sistema Anti-Intrusin Se ha instalado sensores de movimiento marca ROKONET, cuya finalidad es detectar el ingreso de personas al edificio. Este sistema ante la presencia de cualquier individuo o fuente de calos, hace sonar la alarma ubicado en el patio de ingreso. La seal tambin es registrada en la empresa HERMES mediante sistema de control remoto. En base a estas seales se toman las decisiones pertinentes. Del mismo modo urge la instalacin de este sistema para la sala de servidores. Sistema de Circuito Cerrado Se recomienda un sistema de circuito cerrado compuesto por cmaras de vigilancia por video con grabadora digital que permita almacenar registros durante 30 das. Este sistema nos permitir obtener registro e imagen del rea donde se encuentre para detectar intrusiones, eventos no deseados, sabotajes, entre otros. Sistema Anti-Inundacin Se recomienda reparacin completa en el sistema de drenaje y la instalacin de sensores de aniego. Sistema Contra Incendio (Extintores) La institucin en la sede central cuenta con un sistema de proteccin contra incendios, el cual se basa en extintores de polvo qumico seco (PQS) y gas carbnico (Co2) distribuidos en todos los pisos de la institucin desde el stano hasta la azotea (sptimo piso). As tambin en la explanada, Laboratorio Von Humboldt y el muelle. El IMARPE cuenta con los siguientes tipos de extintores para las diversas clases de incendios: Incendios de Clase A: Todo lo referente a Materiales slidos (Papel, Madera, Cartn). Incendios Clase B y C: Todo lo referente a Lquidos Inflamables y/o Equipos Elctricos (Gasolina, Pinturas, Solventes, Equipos elctricos conectados).
Sistema Contra Incendio (Agente Limpio) Se cuenta con gabinete de lucha contra incendios que consta de una manguera de 50 metros de largo dos pulgadas de dimetro, un hacha y un extintor PQS de 6 kilos adicional. As tambin tenemos en todas las oficinas y pasadizos extintores de gas carbnico y de polvo qumico seco de conformidad a la norma NFPA 10.
77
Luces de Emergencia Se ha instalado sistema de luces de emergencia, las cuales tiene una batera interna que se activan ante un corte de fluido elctrico con una autonoma de 02 horas y estn distribuidos en todas las reas los pasadizos de cada piso en la sede central. Se recomienda la activacin de estas luces por encontrarse actualmente inoperativas.
Grupo Electrgeno Existe un GRUPO ELECTROGENO DIESEL MODELO MP-30 DE 28 KW DE POTENCIA CONTINUA A 220 V. 60 hz., el cual se encuentra ubicado en el Stano 1 al costado de la Sub. Estacin elctrica del IMARPE Av. Esquina Gamarra y General Valle S/N - Chucuito Callao. Es recomendable la adquisicin de un GRUPO ELECTROGENO de mayor potencia en proporcin a la demanda de usuarios y equipos de investigacin de ltima tecnologa.
78

Plan de Contingencia

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Plan de Contingencia

Загружено:

Авторское право:

Доступные форматы

PLAN DE CONTINGENCIA INFORMTICO 2012-2015 INSTITUTO DEL MAR DEL PER

5. Desarrollo de fases, actividades, estrategias, programas y polticas.18

8. Perodos y/o Plazos. 70 9. Criterios Empleados... 70 10. Anexos

1. OBJETIVOS GENERALES Y ESPECFICOS

Ver Anexo A01: Formato de ocurrencia de evento.

Fase 1: Fase 2: Fase 3: Fase 4:

Definicin y Ejecucin del Plan de Pruebas Implementacin del Plan de Contingencia

Fases de la metodologa propuesta:

Por lo que se propone la siguiente organizacin segn grfico 1:

Grfico 1: Organizacin Administrativa del plan de Contingencia

Contralora del Plan de Contingencia

Anlisis del Riesgo

Probabilidad del Riesgo

Impacto del Riesgo

Definicin de eventos controlables y no controlables

Definicin de la Matriz de Riesgo

Cuadro N 1: Cuadro de Impactos IMPACTO Poco Impacto Moderado Impacto Alto

Cuadro N 2: Cuadro de Probabilidad de Ocurrencia PROBALIDAD DE OCURRENCIA Frecuente Probable

DESCRIPCION Incidentes repetidos Incidentes aislados Sucede alguna vez

4.3 Definicin de eventos susceptibles de contingencia

Equipos diversos o o o Grupo Electrgeno UPS Aire Acondicionado

Operativos o Logstica operativa (suministros Informticos).

Servicios Pblicos o Suministro de Energa Elctrica.

Servicio de Telefona Fija analgico/digital y mvil. Suministro de Agua.

Recursos Humanos o o Disponibilidad de personal de direccin. Disponibilidad de personal operativo.

4.4 Elaboracin de los Planes de Contingencia

El contenido de todos los eventos que conformarn el Plan de Contingencia son:

Formato de Registro del Plan de Contingencia

Validacin y Registro de Pruebas

DESARROLLO DE LAS FASES, ACTIVIDADES, ESTRATGIAS, PROGRAMAS Y POLTICAS

Identificacin y Priorizacin de Riesgos

Sub Factor. Riesgos relacionadas a Siniestros

desperfecto de los servicios sanitarios 4 Inundacin por 0.10 2 0.20 NC

0.40 0.03 0.03

Fallas en la red de 0.02 comunicaciones interna

Sub factor: Riesgos relacionadas a recursos humanos

Ausencia imprevista 0.05 del personal de soporte tcnico

Ausencia de personal 0.05

Vandalismo Actos terroristas

Cuadro N 5: Eventos Controlables

Inundacin por desperfecto de los servicios sanitarios

Falla del grupo Electrgeno

Falla del sistema operativo Fallas en la red de comunicaciones internas

Inundacin por oleajes anmalos Tsunamis

Definicin de Eventos susceptibles de Contingencia

PLAN DE CONTINGENCIA DESARROLLADO CDIGO ALCANCE SUBFACTOR

Estaciones Trabajo(laptops PCs)

Sistemas Sistemas Sistemas

Comunicaciones Comunicaciones Comunicaciones Comunicaciones

Sistemas Sistemas Sistemas Sistemas

PLAN DE CONTINGENCIA DESARROLLADO CDIGO ALCANCE SUBFACTOR

FPC-16 Software FPC-17 Software FPC-13 Software

Antivirus proteccin servidores estaciones trabajo

para FPC-14 Software de y FPC-15 Software de FPC-16 Software

FPC-17 Software Informacin

Sistemas Sistemas Sistemas

ELEMENTO Suministro de Agua Recursos Humanos

Recursos Recursos Seguridad Seguridad Recursos Recursos Seguridad Seguridad

Elaboracin del Plan de Contingencia

Descripcin del Evento de Contingencia Incendio

Telfonos 625-0805, 625-0870 625-0808

Director Ejecutivo, Director de

625-0870 625-0808 625-0870 625-0808

Inundacin por oleajes anmalos