3.1 Plan de Prevencin 4 3.2 Plan de Ejecucin.. 4 3.3 Plan de Recuperacin.. 5 3.4 Plan de Pruebas... 5
4. Metodologa... 5
4.1 Organizacin . 6 4.2 Identificacin y priorizacin de Riesgos 9 4.3 Definicin de eventos susceptibles de contingencia 13 4.4 Elaboracin de los Planes de Contingencia.. 15 4.5 Definicin y Ejecucin del Plan de Pruebas 16 4.6 Implementacin del Plan de Contingencia. 18
5. Desarrollo de fases, actividades, estrategias, programas y polticas.18
5.1 Fases.. 18 5.2 Desarrollo de las Actividades. 29 5.3 Estrategias. 68 5.4 Programas.. 68 5.5 Polticas 69
6. Responsables.. 69
7. Recursos 70
8. Perodos y/o Plazos. 70
9. Criterios Empleados... 70
10. Anexos
A01 : Formato de ocurrencia de eventos A02 : Formato Registro Plan de Contingencia A03 : Control y certificacin de prueba de Contingencia A04 : Copias de Respaldo A05 : Subfactores entregados como parte del Plan de Instalacin.
3
1. OBJETIVOS GENERALES Y ESPECFICOS Generales: Garantizar la continuidad de las actividades del IMARPE, ante eventos que podran alterar el normal funcionamiento de la Tecnologa de la Informacin y Comunicaciones - TICs, a fin de minimizar el riesgo no previsible, crticos o de emergencia, y responder de forma inmediata hacia la recuperacin de las actividades normales.
Especficos: Contar con documentacin prctica y actualizada que garantice al IMARPE la continuidad de las operaciones de los sistemas informticos sin sufrir paralizaciones o prdidas relevantes. Identificar y analizar riesgos posibles que pueden afectar las operaciones y procesos informticos de la institucin. Establecer las estrategias adecuadas para asegurar la continuidad de los servicios informticos en caso de interrupcin y que sta no exceda las 24 horas. Contar con personal debidamente capacitada y organizada para afrontar adecuadamente las contingencias que puedan presentarse en las actividades del IMARPE.
2. ALCANCE
La Implementacin del Plan de Contingencia informtico, incluye los elementos referidos a los sistemas de informacin, equipos, infraestructura, personal, servicios y otros, direccionado a minimizar eventuales riesgos ante situaciones adversas que atentan contra el normal funcionamiento de los servicios de la institucin.
3. MARCO TEORICO El Plan de Contingencia informtico es un documento que rene conjunto de procedimientos alternativos para facilitar el normal funcionamiento de las Tecnologas de Informacin y de Comunicaciones TICs del IMARPE, cuando alguno de sus servicios se ha afectado negativamente por causa de algn incidente interno o externo a la organizacin.
4 Acciones a ser consideradas: Antes, como un plan de respaldo o de prevencin para mitigar los incidentes. Durante, como un plan de emergencia y/o ejecucin en el momento de presentarse el incidente. Despus, como un plan de recuperacin una vez superado el incidente para regresar al estado previo a la contingencia.
El Plan de Contingencia permite minimizar las consecuencias en caso de incidente con el fin de reanudar las operaciones en el menor tiempo posible en forma eficiente y oportuna.
El trmino incidente en este contexto ser entendido como la interrupcin de las condiciones normales de operacin en cualquier proceso informtico en el IMARPE.
3.1 Plan de Prevencin
Es el conjunto de acciones, decisiones y comprobaciones orientadas a prevenir la presencia de un evento con el propsito de disminuir y mitigar la probabilidad de ocurrencia del mismo en los factores identificados en el presente plan.
El plan de prevencin es la parte principal del Plan de Contingencia porque permite aminorar y atenuar la probabilidad de ocurrencia de un estado de contingencia.
3.2 Plan de Ejecucin
Es el conjunto detallado de acciones a realizar en el momento que se presenta el incidente de contingencia y que activa un mecanismo alterno que permitir reemplazar a la actividad normal cuando este no se encuentra disponible.
Las acciones descritas dentro del plan de ejecucin deben ser completamente claras y definidas de forma tal que sean de conocimiento y entendimiento inequvoco del personal involucrado en atender la contingencia.
Ver Anexo A01: Formato de ocurrencia de evento. 5
3.3 Plan de Recuperacin
Es el conjunto de acciones que tienen por objetivo restablecer oportunamente la capacidad de las operaciones, procesos y recursos del servicio que fueron afectados por un evento de contingencia.
Todo Plan de Contingencia informtico debe tener un carcter recursivo que permita retroalimentar y mejorar continuamente los planes en cada una de las etapas descritas, logrando as tener un documento dinmico.
3.4 Plan de Pruebas
El Plan de Pruebas, ser presentado a la Direccin Ejecutiva del IMARPE para su aprobacin previa a su implementacin. El resultado de las pruebas efectuadas ser presentado igualmente para su conformidad.
Las pruebas relacionadas a este plan, se ejecutara semestralmente, mes de Junio y Diciembre con el fin de evaluar la preparacin de la organizacin ante la ocurrencia de un siniestro y realizar los ajustes necesarios.
4. METODOLOGA
La presente metodologa es el resultado de la experiencia prctica de IMARPE en la implementacin de planes de contingencia, mitigacin de riesgos y seguridad, tambin en base a experiencias en otras instituciones, lo cual garantiza que el documento final sea necesariamente objetivo y prctico, a fin de contar con una herramienta efectiva en caso de una contingencia real.
Para elaborar el Plan de Contingencia se seguir una metodologa que tiene las siguientes fases:
Fase 1: Organizacin Fase 2: Identificacin y priorizacin de riesgos Fase 3: Definicin de eventos susceptibles de contingencia Fase 4: Elaboracin del Plan de Contingencia 6 Fase 5: Definicin y Ejecucin del Plan de Pruebas Fase 6: Implementacin del Plan de Contingencia
Fases de la metodologa propuesta:
4.1 Organizacin del Plan de Contingencia
Uno de los aspectos que evidencia un carcter formal y serio en toda organizacin es que sta se encuentre siempre preparada para afrontar cualquier evento de contingencia o dificultades en general y que le permitan poder superarlos por lo menos de manera transitoria mientras dure dicho evento.
Es necesario entonces que la definicin de un Plan de Contingencia informtico deba hacerse de manera formal y responsable de tal forma que involucre en mayor o menor medida a toda la organizacin en el Plan de Prevencin, Ejecucin y Recuperacin, pero definiendo un grupo responsable para su elaboracin, validacin y mantenimiento.
Por lo que se propone la siguiente organizacin segn grfico 1:
Grfico 1: Organizacin Administrativa del plan de Contingencia
Comit de Contingencia y seguridad Director Ejecutivo del IMARPE Director de administracin del IMARPE Jefe de la Unidad de Informtica del IMARPE Otros que el Director Ejecutivo considere pertinente incluir
Contralora del Plan de Contingencia y Seguridad Oficina de Auditoria Interna Coordinacin Ejecutora del Plan Director Ejecutivo del IMARPE 7 A continuacin se describe las funciones y roles de la Organizacin Administrativa del Plan de Contingencia:
4.1.1 Coordinacin Ejecutora del Plan
La Coordinacin ejecutora del Plan de Contingencia ser responsabilidad del Director Ejecutivo, definiendo todas las polticas y acciones a llevarse a cabo durante un evento de contingencia, tambin ser responsable de que todas las actividades se cumplan de acuerdo a lo planeado. Dicha coordinacin ser asistida y ejecutada en colaboracin de las Direcciones de Lneas del IMARPE.
Funciones y Roles de la Coordinacin Ejecutora del Plan: Mantener permanentemente actualizado el Plan de Contingencia. Responsable de la ejecucin del plan de contingencia, cuando se presenten los eventos que lo activan. Evaluar el impacto de las contingencias que se presenten. Elaborar los informes referidos al Plan de contingencias Proponer incorporaciones de eventos al plan de contingencia al Comit de Contingencia. Proponer la capacitacin al personal nuevo del servicio, sobre las actividades que deben ejecutar cuando se presente la contingencia. Velar que el personal se encuentre debidamente capacitado y preparado para ejecutar el plan de contingencia. Proponer reuniones peridicas sobre el plan de contingencia.
4.1.2 Comit de Contingencia
El Comit de Contingencias es el rgano donde se coordinan y aprueban todas las actividades previamente planificadas para ejecutarse en el caso de contingencias del servicio. Este comit se reunir por lo menos con una periodicidad trimestral y en l se definirn los lineamientos a travs de los cuales se sustentar el Plan de Contingencia.
8 Dicho comit estar integrado por los siguientes miembros: Director Ejecutivo Director Cientfico Director de Asesora Jurdica Director de Asuntos Internacionales Director de Planificacin, Presupuesto y Evaluacin de Gestin Director de Oficina de Administracin Director de Investigaciones de Recursos Pelgicos Nerticos y Ocenicos Director de Investigaciones de Recursos Demersales Litorales Director de investigaciones Oceanogrficas Director de Investigaciones en Acuicultura, Gestin Costera y Aguas Continentales. Director de Investigaciones de Tecnologa de Pesca y Desarrollo Tecnolgico.
El Director Ejecutivo, Director Cientfico y Director de la Oficina de Administracin, designar a otros integrantes que considere pertinente a participar en el comit.
Funciones y Roles del Comit del Plan de Contingencia
Participar en las reuniones peridicas propuestas por el Coordinador del Plan de Contingencia. Proponer la incorporacin y/o modificaciones del Plan de contingencia. Aprobar y/o rechazar las incorporaciones y/o modificaciones del Plan de Contingencia propuesta por el coordinador de contingencia o sus miembros. Verificar que el personal a su cargo se encuentre debidamente capacitado en la ejecucin del plan de contingencia. Coordinar la ejecucin de las actividades del plan de pruebas. Aprobar los informes presentados por la coordinacin del plan respecto a cualquier evento relacionado con el mismo. Determinar las prioridades y plazos de recuperacin de los diferentes servicios que pudieran verse afectados. 9 Coordinar con los recursos y/o proveedores externos necesarios para soportar y restaurar los servicios afectados por la contingencia. Coordinar y ejecutar la capacitacin al personal nuevo del servicio sobre las actividades que deben de ejecutar cuando se presenta la contingencia.
4.1.3 Contralora del Plan de Contingencia
La Oficina de Auditora Interna sera el rgano que supervise todos los elementos y recursos descritos para intervenir en una situacin de contingencia estn disponibles y sean perfectamente viables de modo tal que se garantice que no se presenten carencias y/o fallas en una situacin real bajo las Funciones y Roles siguientes:
Verificar que el plan de contingencia se encuentre actualizado. Revisar y verificar que el documento de plan de contingencia se enmarque dentro del alcance establecido. Velar por suministrar los recursos necesarios para la viabilidad del plan de Contingencia y Seguridad. Corroborar que el plan de contingencia se cumpla correctamente. Presentar los informes del Plan de Contingencia al Comit de Contingencia del IMARPE. Certificar que todos los recursos descritos en el Plan de Contingencia (materiales, humanos, externos, etc.) sean viables y se encuentren disponibles para su uso cuando un evento de contingencia lo requiera. Auditar los procesos que forman parte del Plan de Contingencia, corroborando que se cumpla correctamente. Participar y visar las pruebas de validacin del Plan de Contingencia. Informar al Comit respecto a cualquier evento o anomala encontrada que ponga en riesgo la ejecucin de todo o parte del plan. Proponer y recomendar actividades o procesos de mejora que permitan minimizar los riesgos de operacin.
4.2 Identificacin y Priorizacin de Riesgos
Denominamos INCIDENCIA al hecho que se pueda presentar en cualquier momento, bajo una probabilidad de ocurrencia. 10
Riesgo: Es un suceso incierto que puede llegar a presentarse en un futuro dependiendo de variables externas o internas. Es entonces la cuantificacin de una amenaza.
4.2.1 Anlisis del Riesgo
El anlisis del riesgo se basa en la informacin generada en la fase de identificacin, que se convierte ahora en informacin para la toma de decisiones. En la fase del anlisis, se consideran tres elementos que permiten aproximar un valor objetivo de riesgo de la lista de riesgos principales: la probabilidad, impacto y exposicin del riesgo. Estos elementos permitirn al equipo coordinador categorizar los riesgos, lo que a su vez le permite dedicar ms tiempo y principalmente a la administracin de los riesgos ms importantes.
4.2.2 Probabilidad del Riesgo
Es la probabilidad de que una condicin se produzca realmente. La probabilidad del riesgo debe ser superior a cero, pues si no el riesgo no plantea una amenaza al servicio. Asimismo, la probabilidad debe ser inferior al 100% o el riesgo ser una certeza; dicho de otro modo, es un problema conocido. La probabilidad se puede entender tambin como la posibilidad de la consecuencia, porque si la condicin se produce se supone que la probabilidad de la consecuencia ser del 100%.
4.2.3 Impacto del Riesgo
El impacto del riesgo mide la gravedad de los efectos adversos, o la magnitud de una prdida, causados por la consecuencia. Es una calificacin aplicada al riesgo, para describir su impacto en relacin al grado de afectacin del nivel de servicio normal. Cuanto mayor sea el nmero, mayor es el impacto. Para nuestro caso, clasificaremos el impacto con una escala del 1 al 4.
11 4.2.4 Exposicin al Riesgo
La exposicin al riesgo es el resultado de multiplicar la probabilidad por el impacto. A veces, un riesgo de alta probabilidad tiene un bajo impacto y se puede ignorar sin problemas; otras veces, un riesgo de alto impacto tiene una baja probabilidad, por lo que tambin se podra pensar en ignorarlo, en cuyo caso habr que considerar tambin la criticidad de dicho evento. Los riesgos que tienen un alto nivel de probabilidad y de impacto son los que ms necesidad tienen de administracin, pues son los que producen los valores de exposicin ms elevados.
4.2.5 Definicin de eventos controlables y no controlables
Como parte de la identificacin de los riesgos, estos deben categorizarse en funcin a las acciones de prevencin que pueden estar en manos de El IMARPE, o cuya ocurrencia no puede predecirse con antelacin. As tenemos que los eventos pueden ser:
Eventos Controlables, si al identificarlos podemos tomar acciones que eviten su ocurrencia o minimicen el impacto en el servicio brindado.
Eventos No Controlables, cuando su ocurrencia es impredecible y nicamente podemos tomar acciones que permitan minimizar el impacto en el servicio. Esta identificacin se har en la matriz de riesgo explicada a continuacin.
4.2.6 Definicin de la Matriz de Riesgo
La ocurrencia de un evento tiene una implicancia sobre las actividades operativas del servicio, en tal sentido, resulta vital conocer el impacto del evento cuando este se presenta, por lo que resulta necesario cuantificar la misma, a efectos de ser muy objetivos en su anlisis. El factor numrico asignado es directamente proporcional y va en ascenso con respecto al impacto o gravedad que su ocurrencia pueda generar sobre los diferentes alcances del servicio y se clasificarn como se indica en el cuadro N 1. 12 Cuadro N 1: Cuadro de Impactos IMPACTO DESCRIPCION VALOR Poco Impacto Prdida de Informacin y/o equipamiento no Sensitivo 1 Moderado Impacto Prdida de informacin sensible 2 Alto Impacto Prdida de informacin sensible, retraso o interrupcin 3 Gran Impacto Informacin crtica, dao serio, patrimonial 4
Cuadro N 2: Cuadro de Probabilidad de Ocurrencia PROBALIDAD DE OCURRENCIA DESCRIPCION Frecuente Incidentes repetidos Probable Incidentes aislados Ocasional Sucede alguna vez Remoto Improbable que suceda
Asimismo, la probabilidad de ocurrencia de un evento resulta de gran importancia para determinar que tan posible es que dicho evento se presente en la realidad. La determinacin de esta probabilidad se obtendr de la estadstica recogida de los eventos que se hayan presentado a lo largo de la administracin del servicio por otros proveedores, as como la informacin obtenida de otros planes de contingencia para servicios similares. Exposicin = Impacto X Probabilidad
Cuadro N 3: Exposicin al Riesgo
Probabilidad de Ocurrencia
Impacto
Finalmente, despus de haber ponderado y validado objetivamente las probabilidades de ocurrencia y los impactos asociados, se establecern las Poco Moderado Alto Gran Frecuente Probable Ocasional Remoto 13 polticas que se han de considerar para determinar cules son aquellos eventos que formarn parte del Plan de Contingencia, como sigue:
Todo evento cuya calificacin sea de Gran Impacto: 4, ser considerado obligatoriamente dentro del Plan de Contingencia.
Todo evento cuya exposicin al riesgo sea mayor o igual a 0.15 ser tambin considerado en el Plan de Contingencia (ver Cuadro N 4).
Despus de todo lo expuesto, se elaborar la Matriz de Riesgo de Contingencia en la cual se tendr en cuenta todos los eventos susceptibles de entrar en contingencia, indicando su ponderacin y categorizacin (controlable/ no controlable) para la elaboracin del Plan de Contingencia. Asimismo, se utilizarn los siguientes tpicos como una forma de agrupar a dichos eventos:
- Contingencias relacionadas a Siniestros - Contingencias relacionadas a los Sistemas de Informacin - Contingencias relacionadas a los Recursos Humanos - Plan de Seguridad Fsica
4.3 Definicin de eventos susceptibles de contingencia
El Plan de Contingencia abarca todos los aspectos que forman parte del servicio informtico, en tal sentido, resulta de vital importancia considerar todos los elementos susceptibles de provocar eventos que conlleven a activar la contingencia. Los principales elementos, que sern considerados para su evaluacin:
Hardware o Servidores o Estaciones de trabajo( laptops y PCs) o Impresoras, fotocopiadoras, scanner o Lectora de Cdigos de Barra o Equipos de radiofrecuencia o Equipos multimedia 14
Comunicaciones o Equipos de comunicaciones switch y conectores RJ-45 o Equipo de comunicaciones Router y LAN. o Equipo de Telefona fija o Enlaces de cobre y fibra ptica. o Cableado de Red de Datos.
Software o Software de Base de Datos (Oracle,SQL, PostgreSQL ) o Aplicativos utilizados por el IMARPE. o Software de Aplicaciones (WebLogic, Tomcat Apache). o Software Base (Sistemas operativos y Ofimtica). o Antivirus para proteccin de servidores y estaciones de trabajo.
Informacin sobre Sistemas Informticos o Base de datos utilizados por los Aplicativos. o Respaldo de informacin generada con Software Base y de Ofimtica. o Respaldo de las Aplicaciones utilizadas por IMARPE. o Respaldos de Base de Datos. o Respaldos de informacin y configuracin de los Servidores.
Equipos diversos o Grupo Electrgeno o UPS o Aire Acondicionado
Infraestructura Fsica o Oficinas (Sede Central y local Av. Argentina del IMARPE). o Laboratorios Descentralizados de Investigacin y BICs.
Operativos o Logstica operativa (suministros Informticos).
Servicios Pblicos o Suministro de Energa Elctrica. 15 o Servicio de Telefona Fija analgico/digital y mvil. o Suministro de Agua.
Recursos Humanos o Disponibilidad de personal de direccin. o Disponibilidad de personal operativo.
4.4 Elaboracin de los Planes de Contingencia
Una de las fases importantes del Plan de Contingencia es la documentacin y revisin de la informacin que se plasmar en una gua prctica y de claro entendimiento por el personal del IMARPE. Es por ello, que una fase importante de la metodologa considera un formato estndar de registro de todos los eventos definidos que forman parte del plan, as se tendr finalmente un entregable acorde con los requerimientos y polticas definidas para tal fin.
El contenido de todos los eventos que conformarn el Plan de Contingencia son:
4.4.1 Formato de Registro del Plan de Contingencia
Para una lectura fcil y rpida del Plan de Contingencia, se ha diseado un formato, Ver Anexo A02: Formato Registro Plan de Contingencia, el mismo que describimos a continuacin y que se compone de las siguientes partes:
Encabezado El formato tiene un encabezado, cuyo contenido se presenta como sigue: Elaborado: En todos los casos se indica IMARPE. Cdigo del Formato: FPC XX (ver matriz de riesgo de Contingencia). Nombre del evento: Claro y de fcil entendimiento. Cuerpo Principal En el cual se desarrollar cada uno de los eventos que formarn parte del Plan de Contingencia y se describe el contenido que deber ir en cada campo. 16
4.5 Definicin y ejecucin del plan de pruebas
Conscientes que una situacin de contingencia extrema puede presentarse en cualquier momento, y por ende convertirse en un problema prioritario de atender si ste se produjera en el horario de oficina que pueda resultar impactante durante las actividades del IMARPE; es que se hace necesario definir de manera especfica todas las acciones necesarias para asegurar que, en caso real de contingencia y tener un conjunto de prestaciones y funcionalidades mnimas que permitan posteriormente ejecutar el plan de recuperacin de manera rpida y segura.
En este sentido, la garanta del xito del Plan de Contingencia se basa en una validacin y certificacin anticipada del mismo, en cada uno de sus procesos.
4.5.1 Alcance y Objetivos
Dado que la mayor parte de los planes de contingencia estn orientados a temas de Siniestros, Seguridad y Recursos Humanos, cuyas situaciones son imposibles de reproducir en la vida real (Ej.: terremotos, robos, accidentes, problemas logsticos, etc.), es que el plan de pruebas estar enfocado principalmente a simular situaciones de contingencia en caso de incidencias producidas sobre equipos, informacin y procesos, manejados en situaciones reales y cuyos respaldos si pueden ser empleados y replicados en una hipottica situacin de contingencia.
En este contexto previo, podemos precisar los siguientes objetivos a alcanzar en la realizacin de las pruebas:
Programar la prueba y validacin de todas las actividades que se llevarn a cabo como parte del Plan de Ejecucin del Plan de Contingencia respecto a una posible interrupcin de los procesos identificados como crticos para el servicio del IMARPE.
Identificar por medio de la prueba, las posibles causas que puedan atentar contra su normal ejecucin y las medidas correctivas a aplicar 17 para subsanar los errores o deficiencias que se deriven de ella (retroalimentacin del plan).
Determinar los roles y funciones que cumplirn los responsables en la prueba, los mismos que sern los asignados para su ejecucin en caso de una situacin real de contingencia.
Con el fin de garantizar la ejecucin integral de la prueba, se disear un conjunto de casos de pruebas funcionales, que sern ejecutados por un grupo determinado de usuarios de las diferentes direcciones y jefaturas del IMARPE, los cuales probarn, verificarn y observarn cualquier incidencia que se origine durante dicha prueba, a fin de retroalimentar cualquier accin que pueda corregir el plan.
La informacin que se desarrollar como parte del Plan de Pruebas, tiene el siguiente esquema:
4.5.2 Validacin y Registro de Pruebas
Todas las actividades generales que forman parte de la prueba, debern validarse, registrarse (incluyendo observaciones) y firmarse por todos los responsables que participaron en cada una de ellas, a fin de dar fe de su ejecucin y certificacin. En el Anexo A03 Control y Certificacin de Pruebas de Contingencia se muestra el formato que se usar para la validacin y registro de dichas 1. OBJETIVOS DE LA PRUEBA DEL PLAN DE CONTINGENCIA Definicin Objetivos
2. ALCANCES reas Afectadas (relacin) Personal involucrado (relacin)
3. DESCRIPCIN DE LA PRUEBA A EFECTUARSE Evaluacin de una situacin de Emergencia Medios disponibles para operar Fechas y horas
4. RESULTADOS ESPERADOS DE LAS PRUEBAS Relacin de posibles acciones 18 pruebas, as como el detalle de la informacin que deber ser ingresada en cada campo:
4.6 Implementacin del Plan de Contingencia La implementacin del presente plan se realizar en el segundo mes de su aprobacin.
5. DESARROLLO DE LAS FASES, ACTIVIDADES, ESTRATGIAS, PROGRAMAS Y POLTICAS
5.1 Fases
Como parte del presente captulo, la Unidad de Informtica, plantea el desarrollo de los tpicos, utilizando la metodologa expuesta anteriormente. Este desarrollo incluir las siguientes fases de la metodologa: Identificacin y Priorizacin de riesgos Definicin de Eventos susceptibles de Contingencia. Elaboracin del Plan de Contingencia.
Identificacin y Priorizacin de Riesgos
El cuadro N 4 muestra la matriz de Riesgo de Contingencia, ponderado de acuerdo a los valores de riesgo e impacto en el servicio (operatividad), usando el conocimiento y la experiencia prctica de Informtica en Gestin de Sistemas de Informacin: Cuadro N 4: Matriz de Riesgo de Contingencia tem Descripcin del Riesgos Probabilidad Impacto Ponderacin Alerta Categora Sub Factor. Riesgos relacionadas a Siniestros INFRAESTRUCTURA 1 Incendio 0.04 4 0.16 C 2 Sismo 0.10 4 0.40 NC 3 Inundacin por desperfecto de los servicios sanitarios 0.02
1 0.02 C 4 Inundacin por 0.10 2 0.20 NC 19 Oleajes anmalos 5 Tsunamis 0.04 4 0.16 NC SERVICIOS PBLICOS 6 Interrupcin de energa elctrica 0.10 4 0.40 NC 7 Falta de suministro de agua 0.01 3 0.03 NC 8 Interrupcin de servicios de telefona 0.01 3 0.03 NC EQUIPO 9 Falla de grupo electrgeno 0.03 4 0.12 C Sub Factor. Riesgos relacionadas a Sistemas de Informacin INFORMACIN 10 Extravo de documentos 0.02 3 0.06 C 11 Sustraccin o robo de informacin 0.02 3 0.06 C SOFTWARE 12 Infeccin de equipos por virus 0.05 4 0.20 C 13 Perdidas de los sistemas centrales 0.05 4 0.20 C 14 Perdida del servicio de correo 0.01 2 0.02 C 15 Falla del Motor de la base de datos 0.04 4 0.16 C 16 Falla del sistema operativo 0.04 4 0.16 C COMUNICACIONES 17 Fallas en la red de comunicaciones interna 0.02 4 0.08 C HARDWARE 18 Fallas de equipos personales 0.02 2 0.04 C RECURSO OPERATIVOS Y LOGSTICOS 19 Falla de equipos multimedia, impresoras, scanner y otros 0.01 2 0.02 C 20 Sub factor: Riesgos relacionadas a recursos humanos RECURSO HUMANO 20 Ausencia imprevista del personal de soporte tcnico 0.05 3 0.15 C 21 Ausencia de personal ejecutivo para la toma de decisiones ante situaciones de riesgo informtico 0.05 3 0.15 C 22 Falta de idoneidad del personal en la reserva de informacin de la Base de Datos. 0.01 4 0.04 NC Sub factor: Plan de seguridad Fsica INFRAESTRUCTURA 23 Sustraccin de equipos y software diversos 0.02 2 0.04 C 24 Sabotaje 0.01 2 0.02 NC 25 Vandalismo 0.01 3 0.03 NC 26 Actos terroristas 0.01 4 0.04 NC
Nota: El color rojo de la alerta representa que el evento es altamente impactante en el servicio por lo tanto debe ser obligatoriamente controlado.
En la columna CATEGORA por cada evento, se considera la identificacin de aquellos eventos Controlables (C), y No Controlables (NC).
En los cuadros N 5 y N 6 se resumen los eventos segn la categorizacin de eventos controlables y no controlables:
Cuadro N 5: Eventos Controlables Item Cuadro N 4 Eventos controlables 1 Incendio 3 Inundacin por desperfecto de los servicios sanitarios 21 9 Falla del grupo Electrgeno 10 Extravi de documentos 11 Sustraccin o robo de informacin 12 Infeccin de equipos virus 13 Perdidas de los sistemas centrales 14 Perdida del servicio de correo 15 Falla del motor de la base de datos 16 Falla del sistema operativo 17 Fallas en la red de comunicaciones internas 18 Fallas de equipos personales 19 Falla de equipos multimedia, impresoras, scanner y otros 20 Ausencia imprevista del personal de soporte tcnico 21 Ausencia de personal ejecutivo para la toma de decisiones ante situaciones de riesgo informtico 23 Sustraccin de equipos y software diversos
Cuadro N 6: Eventos no Controlables Item Cuadro N 4 Eventos no controlables 2 Sismo 4 Inundacin por oleajes anmalos 5 Tsunamis 6 Interrupcin de energa elctrica 7 Falta de suministro de agua 8 Interrupcin de servicios de telefona 22 Falta de idoneidad del personal en la reserva de informacin de la Base de Datos. 24 Sabotaje 25 Vandalismo 26 Actos terroristas
Definicin de Eventos susceptibles de Contingencia
Una vez identificados los eventos de contingencia, presentamos el cuadro N 7 Elementos vs. Subfactores, donde se muestra la relacin existente entre los elementos mnimos definidos por la Unidad de Informtica, haciendo una referencia de todos los Planes de Contingencia relacionados al mismo e indicando a que subfactor desarrollado pertenecen.
22 Cuadro N 7: Elementos Vs. Subfactores a desarrollar ELEMENTO PLAN DE CONTINGENCIA DESARROLLADO CDIGO ALCANCE SUBFACTOR Hardware Servidores FPC-06 Servicios Pblicos Contingencia Siniestros FPC-11 Informacin Contingencia Sistemas Informacin FPC-12 Software Contingencia Sistemas Informacin FPC-13 Software Contingencia Sistemas Informacin FPC-15 Software Contingencia Sistemas Informacin FPC-16 Software Contingencia Sistemas Informacin FPC-24 Infraestructura Contingencia Seguridad Fsica Estaciones de Trabajo(laptops y PCs) FPC-06 Servicios Pblicos Contingencia Siniestros FPC-10 Informacin Contingencia Sistemas Informacin FPC-12 Software Contingencia Sistemas Informacin FPC-17 Comunicaciones Contingencia Sistemas Informacin FPC-25 Infraestructura Contingencia Seguridad Fsica FPC-26 Infraestructura Contingencia Seguridad Fsica Fotocopiadoras, Impresoras, y scanner y/o equipos multimedia FPC-19 Operativo Contingencia Sistemas Informacin Lectora de Cdigo de Barra FPC-10 Informacin Contingencia Sistemas Informacin Equipos de Radiofrecuencia FPC-10 Informacin Contingencia Sistemas Informacin Equipos multimedia FPC-19 Operativo Contingencia Sistemas Informacin Comunicaciones Equipos de comunicaciones switch y conectores RJ-45 FPC-17 Comunicaciones Contingencia Sistemas Informacin Equipo de comunicaciones Router y LAN FPC-17 Comunicaciones Contingencia Sistemas Informacin Equipo de telefona Fija FPC-17 Comunicaciones Contingencia Sistemas Informacin Enlaces de cobre y fibra ptica FPC-17 Comunicaciones Contingencia Sistemas Informacin Cableado de Red de Datos FPC-17 Comunicaciones Contingencia Sistemas Informacin 23 ELEMENTO PLAN DE CONTINGENCIA DESARROLLADO CDIGO ALCANCE SUBFACTOR Software Software de Base de Datos(Oracle, SQL Server, PostgreSQL) FPC-13 Software Contingencia Sistemas Informacin FPC-15 Software Contingencia Sistemas Informacin Aplicativos utilizados por el IMARPE FPC-10 Informacin Contingencia Sistemas Informacin FPC-11 Informacin Contingencia Sistemas Informacin FPC-12 Software Contingencia Sistemas Informacin FPC-13 Software Contingencia Sistemas Informacin FPC-15 Software Contingencia Sistemas Informacin FPC-16 Software Contingencia Sistemas Informacin FPC-17 Comunicaciones Contingencia Sistemas Informacin Software de Aplicaciones(WebLo gic, Tomcat Apache) FPC-13 Software Contingencia Sistemas Informacin FPC-15 Software Contingencia Sistemas Informacin FPC-16 Software Contingencia Sistemas Informacin FPC-17 Comunicaciones Contingencia Sistemas Informacin Software Base(sistemas Operativos y Ofimtica) FPC-13 Software Contingencia Sistemas Informacin FPC-16 Software Contingencia Sistemas Informacin FPC-17 Software Contingencia Sistemas Informacin Antivirus para proteccin de servidores y estaciones de trabajo FPC-13 Software Contingencia Sistemas Informacin FPC-14 Software Contingencia Sistemas Informacin FPC-15 Software Contingencia Sistemas Informacin FPC-16 Software Contingencia Sistemas Informacin FPC-17 Software Contingencia Sistemas Informacin Informacin Base de datos utilizadas por los Aplicativos FPC-13 Software Contingencia Sistemas Informacin FPC-15 Software Contingencia Sistemas Informacin Respaldo de informacin FPC-13 Software Contingencia Sistemas Informacin 24 ELEMENTO PLAN DE CONTINGENCIA DESARROLLADO CDIGO ALCANCE SUBFACTOR generada con software base y de Ofimtica FPC-15 Software Contingencia Sistemas Informacin FPC-16 Software Contingencia Sistemas Informacin
Respaldo de las Aplicaciones utilizadas por el IMARPE FPC-13 Software Contingencia Sistemas Informacin FPC-16 Software Contingencia Sistemas Informacin Respaldo de Base de Datos FPC-13 Software Contingencia Sistemas Informacin FPC-15 Software Contingencia Sistemas Informacin FPC-16 Software Contingencia Sistemas Informacin Respaldos de Informacin y Configuracin de los Servidores FPC-15 Software Contingencia Sistemas Informacin FPC-16 Software Contingencia Sistemas Informacin Equipos Diversos Grupo Electrgeno FPC-09 Operativo Contingencia Sistemas de alumbrado UPS FPC-06 Servicios Pblicos Contingencia Siniestros Aire Acondicionado FPC-06 Servicios Pblicos Contingencia Siniestros Infraestructura Fsica
Oficinas (Sede Central y local Av. Argentina del IMARPE) FPC-01 Infraestructura Contingencia Siniestros FPC-02 Infraestructura Contingencia Siniestros FPC-03 Infraestructura Contingencia Siniestros FPC-04 Infraestructura Contingencia Siniestros FPC-05 Infraestructura Contingencia Siniestros FPC-25 Infraestructura Contingencia Seguridad Fsica FPC-26 Infraestructura Contingencia Seguridad Fsica Laboratorios Descentralizados de Investigacin y BICs FPC-01 Infraestructura Contingencia Siniestros FPC-02 Infraestructura Contingencia Siniestros FPC-03 Infraestructura Contingencia Siniestros FPC-04 Infraestructura Contingencia Siniestros FPC-05 Infraestructura Contingencia Siniestros FPC-25 Infraestructura Contingencia Seguridad Fsica FPC-26 Infraestructura Contingencia Seguridad Fsica Servicios Pblicos Suministro de Energa Elctrica FPC-06 Servicios Pblicos Contingencia Siniestros
Una vez identificados los eventos de contingencia y los elementos considerados afectados o causantes de los mismos, pasamos a desarrollar los Planes de Contingencia agrupados por los Subfactores.
A manera de resumen, presentamos un flujo general que explica la forma de responder ante la ocurrencia de un evento de contingencia: 26
Los cuadros siguientes muestran los funcionarios responsables de cada evento de contingencia identificado: Subfactor: Siniestros Cdigo Descripcin del Evento de Contingencia Responsable(s) Titulares o sus Representantes Telfonos FPC-01 Incendio Director Ejecutivo, Director de administracin y/o Director Cientfico 625-0805, 625-0870 625-0808 FPC-02 Sismo Director Ejecutivo, Director de administracin y/o Director Cientfico 625-0805, 625-0870 625-0808 FPC-03 Inundacin por desperfecto de los servicios sanitarios Director de Administracin y/o Director Cientfico 625-0870 625-0808 27 FPC-04 Inundacin por oleajes anmalos Director Ejecutivo, Director de Administracin y/o Director Cientfico 625-0805, 625-0870 625-0808 FPC-05 Tsunamis Director Ejecutivo, Director de Administracin y/o Director Cientfico 625-0805, 625-0870 625-0808 FPC-06 Interrupcin de energa elctrica Director de Administracin y/o Jefe de Logstica e Infraestructura 625-0870 625-0886 FPC-07 Falta de suministro de agua Director de Administracin y/o Jefe de Logstica e Infraestructura 625-0870 625-0886 FPC-08 Interrupcin de servicios de telefona Director de Administracin y/o Jefe de Informtica 625-0870 625-0925 FPC-09 Falla de grupo Electrgeno Director de Administracin y/o jefe de Logstica e Infraestructura 625-0870 625-0886
Subfactor: Sistemas de Informacin Cdigo Descripcin del Evento de Contingencia Responsable(s) Titulares o sus Representantes Telfonos FPC-10 Extravo de documentos Director de Administracin y/o Director Cientfico 625-0870 6250808 FPC-11 Sustraccin o robo de informacin Director de administracin y/o Director Cientfico 625-0870 6250808 FPC-12 Infeccin de equipos por virus Jefe de Informtica 626-0925 FPC-13 Prdidas de los sistemas centrales Jefe de Informtica 626-0925 FPC-14 Perdida del servicio de correo Jefe de Informtica 626-0925 FPC-15 Falla del motor de la base de datos Jefe de Informtica 626-0925 28 FPC-16 Falla del sistema operativo Jefe de Informtica 626-0925 FPC-17 Fallas en la red de comunicaciones interna Jefe de Informtica 626-0925 FPC-18 Falla de equipos personales Jede de Informtica 626-0925 FPC-19 Falla de equipos multimedia, impresoras, scanner y otros Jefe de Logstica 625-0886
Subfactor: Recursos Humanos Cdigo Descripcin del Evento de Contingencia Responsable(s) Titulares o sus Representantes Telfonos FPC-20 Ausencia imprevista del personal de soporte tcnico Director de Administracin y/o Unidad de Personal 625-0870 625-0881 FPC-21 Ausencia de personal ejecutivo para la toma de decisiones ante situaciones de riesgo informtico Director Ejecutivo, Director(a) Cientfico(a) y/o Director de Administracin 625-0805 625-0808 625-0870 FPC-22 Falta de idoneidad del personal en la reserva de informacin de la Base de Datos. Director de Administracin 625-0870
Subfactor: Seguridad Fsica Cdigo Descripcin del Evento de Contingencia Responsable(s) Titulares o sus Representantes Telfonos FPC-23 Sustraccin de equipos y software diversos Director cientfico y/o Director de Administracin 625-0808 625-0870 FPC-24 Sabotaje Director de Administracin y/o Director Cientfico 625-0870 625-0808 29 FPC-25 Vandalismo Director de Administracin y/o Director Cientfico 625-0870 625-0808 FPC-36 Actos terroristas Director de Administracin y/o Director Cientfico 625-0870 625-0808
Los siguientes puntos de este captulo, tratarn del desarrollo de los Planes de Contingencia por cada Sub Factor identificado, utilizando el formato anexo A02
5.2 Desarrollo de las Actividades 5.2.1 Subfactor: Contingencias relacionadas a siniestros
Siniestro: Se entiende por Siniestro a las emergencias originadas por la naturaleza (sismos, inundaciones, erupciones volcnicas, deslizamientos, entre otros), y aquellas producidas por causas no controlables tales como choques elctricos, explosiones, derrames, etc.
A continuacin se indica los puntos a desarrollarse para el presente subfactor:
5.2.1.1 Objetivo Incluir en el Plan de Contingencia todos los eventos relacionados a siniestros que permitan proveer de un conjunto de acciones destinadas a planificar, organizar, preparar, controlar y mitigar una emergencia que se presente en las instalaciones, con la finalidad de reducir al mnimo las posibles consecuencias humanas y operativas TIC que pudieran derivarse de la misma.
5.2.1.2 Alcance El alcance est circunscrito a los eventos de contingencia o emergencias que pudieran afectar, paralizar o daar las instalaciones, el personal o los recursos Tics. Una consideracin adicional a tenerse en cuenta ante la ocurrencia de un siniestro que inhabilite total o parcialmente el Centro de Datos , es la coordinacin que debe realizarse con la Alta Direccin del IMARPE 30 para determinar el uso de un ambiente alterno para la continuidad de la operacin, hasta que se restablezca el funcionamiento normal.
Por otro lado, consideramos que como parte del desarrollo del subfactor de Siniestros, se debe incluir los elementos relativos a Servicios Pblicos, por afectar o ser consecuencia de siniestros que pueden presentarse: Interrupcin de Energa Elctrica; al momento de restablecerse la energa elctrica, pudiera realizarse con cargas altas que pudieran ocasionar algn tipo de siniestros, afectando la seguridad fsica.(resumir y orientado a siniestros)
El siguiente cuadro es un resumen de la Matriz de Riesgos, considerando las contingencias relacionadas a los Siniestros:
Cdigo del Formato Descripcin del Evento de Contingencia Probabilidad Ocurrencia Impacto Pondera- cin Alerta SUB FACTOR : CONTINGENCIA RELACIONADAS A SINIESTROS
INFRAESTRUCTURA FPC-01 Incendio 0.04 4 0.16 FPC-02 Sismo 0.10 4 0.40 FPC-03 Inundacin por desperfecto de los servicios sanitarios 0.02 1 0.02 FPC-04 Inundacin por oleajes anmalos 0.10 2 0.20 FPC-05 Tsunamis 0.04 4 0.16 SERVICIOS PBLICOS FPC-06 Interrupcin de energa elctrica 0.10 4 0.40 FPC-07 Falta de suministro de agua 0.01 3 0.03 FPC-08 Interrupcin de servicios de telefona 0.01 3 0.03 EQUIPO FPC-09 Falla del grupo 0.03 4 0.12 31 Cdigo del Formato Descripcin del Evento de Contingencia Probabilidad Ocurrencia Impacto Pondera- cin Alerta SUB FACTOR : CONTINGENCIA RELACIONADAS A SINIESTROS
electrgeno
5.2.1.3 Plan de pruebas El plan de pruebas correspondiente a los eventos desarrollados como parte del Subfactor Siniestros, seguir la metodologa expuesta en el punto 4.5 del Plan de Contingencia. El plan de pruebas se determinar luego del anlisis de los procesos crticos del servicio y de identificar los eventos que pudieran presentarse. La aprobacin del plan de pruebas ser efectuada por el Comit de Contingencias de Pruebas previamente a su ejecucin.
5.2.1.4 Descripcin de Planes Se detallarn los Planes de Contingencia de los eventos de mayor impacto identificados en la Matriz de Riesgo de Contingencia.
1. PLAN DE PREVENCIN a. Descripcin del evento Es un proceso de combustin caracterizado por la emisin de calor acompaado de humo, llamas o ambas que se propaga de manera incontrolable en el tiempo y en el espacio. Se producen en materiales slidos, lquidos combustibles inflamables, equipos e instalaciones bajo carga elctrica entre otros. Este evento incluye los siguientes elementos mnimos identificados por IMARPE, los mismos que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia:
Infraestructura 32 Centro de Datos de la Sede central del IMARPE Centro de Datos del Local de la Av. Argentina. Recursos Humanos Personal debidamente entrenado para afrontar el evento b. Objetivo Establecer las acciones que se ejecutaran ante un incendio a fin de minimizar el tiempo de interrupcin de las operaciones del IMARPE sin exponer la seguridad de las personas. c. Criticidad El IMARPE determina que el presente evento tiene un nivel de gran impacto en el servicio y se identifica como CRITICO. d. Entorno Este evento se puede dar en las instalaciones de la Alta Direccin, Direcciones de Lneas y Unidades Operativas de la Sede Central y el Local de la Av. Argentina e. Personal Encargado El Director y/o Jefe de rea, es quien debe dar cumplimiento a lo descrito en las Condiciones de Prevencin de Riesgo del presente Plan. f. Condiciones de Prevencin de Riesgo Realizar inspecciones de seguridad peridicamente. Mantener las conexiones elctricas seguras en el rango de su vida til. Charlas sobre el uso y manejo de extintores de cada uno de los tipos. Acatar las indicaciones del INDECI, en torno al evento Contar con una relacin de telfonos de emergencia que incluya a los bomberos, ambulancias, y personal del IMARPE responsable de las acciones de prevencin y ejecucin de la contingencia. Igualmente se contar con los siguientes elementos para la deteccin y extincin de un posible incendio, los cuales cubrirn los ambientes del Centro de Datos y reas afines a Informtica del IMARPE.: Implementar detectores de humo en el Centro de Datos Considerar la Implementacin de la Central de deteccin de incendios Mantener actualizado los extintores (Agente Limpio FE-25) 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia La Contingencia se activar al ocurrir un incendio. 33 El proceso de contingencia se activar inmediatamente despus de ocurrir el evento. b. Procesos Relacionados antes del evento. Identificar la ubicacin de las estaciones manuales de alarma contra incendio. Identificar la ubicacin de los extintores. Conocer el nmero de emergencia del Departamento de seguridad y Vigilancia del IMARPE. Tener nmero de telfono del personal responsable en seguridad Informtica y contingencia del IMARPE. Conocer el nmero de emergencia de los bomberos. c. Personal que autoriza la contingencia. El Director de Administracin, Director Cientfico o sus Representantes pueden activar la contingencia. d. Descripcin de las actividades despus de activar la contingencia. Tratar de apagar el incendio con extintores. Comunicar al personal responsable del IMARPE. Evacuar el rea. En todo momento se coordinar con el Comit de Contingencia y Seguridad, para las acciones que deban ser efectuadas por ellos. Luego de extinguido el incendio, se debern realizar las siguientes actividades: Evaluacin de los daos ocasionados al personal, bienes e instalaciones. En caso de daos del personal prestar asistencia mdica inmediata Inventario general de la documentacin, personal, equipos, etc. y/o recursos afectados, indicando el estado de operatividad de los mismos. En caso se haya detectado bienes afectados por el evento, se evaluar el caso para determinar la reposicin o restauracin. La Coordinacin Ejecutora del Plan de Contingencias deber coordinar con la Alta Direccin del IMARPE en caso se requiera la habilitacin de ambientes provisionales alternos para restablecer la funcin de los ambientes afectado. e. Duracin La duracin de la contingencia depender del tiempo que demande controlar el incendio. 34 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin es la Direccin Administrativa y el equipo del rea afectada, cuyo rol principal es asegurar el normal desarrollo de las operaciones del IMARPE. b. Descripcin El plan de recuperacin estar orientado a recuperar en el menor tiempo posible las actividades afectadas durante la interrupcin del servicio. c. Mecanismos de Comprobacin El Jefe y/o Director del rea afectada presentar un informe a la Coordinacin Ejecutora del Plan explicando qu parte de las actividades u operaciones ha sido afectada y cules son las acciones tomadas. d. Mecanismos de Recuperacin Se efectuara de acuerdo a las instrucciones impartidas que se menciona en el punto a. e. Desactivacin del Plan de Contingencia Director de Administracin, Director(a) Cientfico o sus representantes desactivar el Plan de Contingencia una vez que se haya tomado las acciones descritas en la descripcin del presente Plan de Recuperacin, mediante una comunicacin a la Coordinacin Ejecutora del Plan. f. Proceso de Actualizacin El proceso de actualizacin ser en base al informe presentado por el Director de Administracin y/o Director Cientfico luego de lo cual se determinar las acciones a tomar.
1. PLAN DE PREVENCIN a. Descripcin del evento Los sismos son movimientos en el interior de la tierra y que generan una liberacin repentina de energa que se propaga en forma de 35 ondas provocando el movimiento del terreno. Este evento incluye los siguientes elementos mnimos identificados por IMARPE, los mismos que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia, como se muestran a continuacin: Infraestructura Sede central del IMARPE Oficinas del IMARPE en el local de la Av. Argentina. Recursos Humanos Personal b. Objetivo Establecer las acciones que se tomarn ante un sismo a fin de minimizar el tiempo de interrupcin de las operaciones del IMARPE evitando exponer la seguridad de las personas. c. Criticidad El IMARPE determina que el presente evento tiene un nivel de gran impacto en el servicio y se identifica como CRITICO. d. Entorno Este evento se puede dar en las instalaciones de la Alta Direccin, Direcciones de Lneas y Unidades Operativas de la Sede Central y el Local de la Av. argentina e. Personal Encargado El Director y/o Jefe de rea, es quien debe de dar cumplimiento a lo descrito en las Condiciones de Prevencin de Riesgo del presente Plan f. Condiciones de Prevencin de Riesgo Contar con un plan de evacuacin de las instalaciones del IMARPE, el mismo que debe ser de conocimiento de todo el personal que labora. Realizar simulacros de evacuacin con la participacin de todo el personal de la Sede Central y del local de la Av. Argentina del IMARPE. Mantener las salidas libres de obstculos. Sealizar todas las salidas. Sealizar las zonas seguras. Definir los puntos de reunin en caso de evacuacin. 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia Sismo. 36 El proceso de contingencia se activar inmediatamente despus de ocurrir el evento. b. Procesos Relacionados antes del evento. Tener la lista de los empleados por Direcciones y/o Oficinas actualizada. Mantenimiento del orden y limpieza. Inspecciones diarias de seguridad interna. Inspecciones trimestrales de seguridad externa. Realizacin de simulacros internos en horarios que no afecten las actividades c. Personal que autoriza la contingencia. El Director Ejecutivo y/o Director cientfico y/o Director de Administracin pueden activar la contingencia d. Descripcin de las actividades despus de activar la contingencia. Desconectar el fluido elctrico y cerrar las llaves de gas u otros lquidos inflamables si corresponde. Evacuar las oficinas de acuerdo a las disposiciones del Director Cientfico y/o Director de administracin utilizando las rutas establecidas durante los simulacros. Considerar las escaleras de emergencia, sealizacin de rutas, zonas de agrupamiento del personal, etc. Por ningn motivo utilizar los ascensores. Verificar que todo el personal del IMARPE que labora en el rea se encuentren bien. Brindar los primeros auxilios al personal afectado si fuese necesario. (ver procedimiento FPC-24 en caso se presente una emergencia mdica). Alejarse de las lunas (ventanas) para evitar sufrir cortes por roturas y/o desprendimiento de trozos de vidrio. Evaluacin de los daos ocasionados por el sismo sobre las instalaciones fsicas, ambientes de trabajo, estanteras, instalaciones elctricas, documentos, etc. En caso requerirse personal especializado (ejemplo INDECI), coordinar su presencia a travs de la Coordinacin Ejecutora del Plan de Contingencias. Inventario general de documentacin, personal, equipos, etc. y/o recursos afectados, indicando el estado de operatividad de los mismos. Limpieza de las reas afectadas por el sismo. En todo momento se coordinar con personal de mantenimiento del 37 IMARPE, para las acciones que deban ser efectuadas por ellos. La Coordinacin Ejecutora del Plan de Contingencias deber coordinar con la Alta Direccin del IMARPE en caso se requiera la habilitacin de ambientes provisionales alternos para restablecer la funcin de los ambientes afectado. e. Duracin Los procesos de evacuacin del personal del IMARPE sern calmados y demorar 5 minutos como mximo. La duracin total del evento depender del grado del sismo, la probabilidad de rplicas y los daos a la infraestructura. 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin es la Jefatura y el equipo del rea afectada, cuyo rol principal es asegurar el normal desarrollo de las operaciones de la Institucin. b. Descripcin El plan de recuperacin estar orientado a recuperar en el menor tiempo posible la produccin pendiente durante la interrupcin del servicio. c. Mecanismos de Comprobacin El Director y/o Jefe del rea afectada presentar un informe a la Coordinacin Ejecutora del Plan explicando qu parte del Servicio u operaciones ha sido afectada y cules son las acciones tomadas. d. Desactivacin del Plan de Contingencia El Director cientfico y/o Director de Administracin desactivar el Plan de Contingencia una vez que se haya tomado las acciones descritas en la Descripcin del presente Plan de Recuperacin, mediante una comunicacin electrnica a la Coordinacin Ejecutora del Plan. e. Proceso de Actualizacin El proceso de actualizacin ser en base al informe presentado por El Director cientfico y/o Director de Administracin quien determinar las acciones a tomar.
1. PLAN DE PREVENCIN a. Descripcin del evento Oleajes anmalos son un crecimiento anormal del nivel del mar asociado con huracanes y otras tormentas martimas, causadas por fuertes vientos de la costa y/o por celdas de muy baja presin y tormentas ocenicas. Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, los mismos que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia, los cuales se muestran a continuacin: Infraestructura Sede central del IMARPE Operativo Archivos y/o Documentacin Equipos Diversos Aire Acondicionado, Computadoras, etc. b. Objetivo Establecer las acciones que se tomarn ante una inundacin por Oleajes anmalos, a fin de minimizar el tiempo de interrupcin del Servicio ofrecido por el IMARPE evitando exponer la seguridad de las personas de la Institucin. c. Criticidad El IMARPE determina que el presente evento tiene un nivel de gran impacto en el servicio y se identifica como CRITICO. d. Entorno Este evento se puede dar en las instalaciones de la Alta Direccin, Direcciones de Lneas y Unidades Operativas de la Sede Central. e. Personal Encargado El Director y/o Jefe de reas, es quien debe de dar cumplimiento a lo descrito en las Condiciones de Prevencin de Riesgo del presente Plan. b. Condiciones de Prevencin de Riesgo Mantener constantemente comunicacin con Hidrografa y Capitana de Puertos sobre eventos como: maretazos y maremotos Mantener los muros de contencin cercanas a la Sede Central del 39 IMARPE. Contar con un pozo de agua en el stano de la Sede Central, donde se acumule el agua para su posterior bombeo, este sistema debe ser revisada peridicamente. 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia El evento que activa la contingencia es cuando ocurre: maretazos y maremotos cercanos al puerto del Callao - Sede Central del IMARPE. El proceso de contingencia se activar inmediatamente despus de ocurrir el evento. b. Procesos Relacionados antes del evento Cualquier proceso relacionado con la operatividad del IMARPE. c. Personal que autoriza la contingencia. El responsable que autoriza la contingencia es el Director Ejecutivo y/o Director Cientfico y/o director de Administracin. d. Descripcin de las actividades despus de activar la contingencia. Desconectar el fluido elctrico y cerrar las llaves de gas u otros lquidos inflamables si corresponde. En caso de Maremotos y Maretazos se debe evacuar de acuerdo a las disposiciones del Director Cientfico y/o Director de administracin a zonas altas donde no llegue el agua del mar (lugares asignadas por las autoridades de INDECI) Evacuar el agua a travs del sistema de bombeo Evaluacin de los daos ocasionados por el agua sobre la instalacin, estanteras, documentos, etc. Inventario general de documentacin, personal, equipos, etc. y/o recursos afectados, indicando el estado de operatividad de los mismos. Limpieza de las reas afectadas por la inundacin. En caso sea necesario, se utilizarn equipos especializados (motobombas) para realizar el trabajo. Fumigacin del lugar para prevenir aparicin de hongos. En todo momento se coordinar con personal de mantenimiento del IMARPE, para las acciones que deban ser efectuadas por ellos. La Coordinacin Ejecutora del Plan de Contingencias deber coordinar con la alta Direccin en caso se requiera la habilitacin de ambientes 40 provisionales alternos para restablecer la funcin de los ambientes afectado. e. Duracin La duracin del evento depender del grado de Oleaje anmalo. 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin es la Jefatura y el equipo del rea afectada, cuyo rol principal es asegurar el normal desarrollo del servicio. b. Descripcin Controlado el evento, se debern iniciar las actividades de trabajo en forma normal. c. Mecanismos de Comprobacin El Director y/o Jefe del rea afectada presentar un informe a la Coordinacin Ejecutora del Plan explicando qu parte del Servicio ha sido afectada y cules son las acciones tomadas. Se llenar el formato de ocurrencia de eventos para ste fin. d. Desactivacin del Plan de Contingencia El Director Cientfico y/o Director de Administracin desactivar el Plan de Contingencia una vez que se haya tomado las acciones descritas en el presente Plan de Recuperacin, mediante una comunicacin electrnica a la Coordinacin Ejecutora del Plan. e. Proceso de Actualizacin El proceso de actualizacin ser en base al informe presentado por el Director Cientfico y/o Director de Administracin quien determinar las acciones a tomar.
1. PLAN DE PREVENCIN a. Descripcin del evento Un tsunami es una ola o un grupo de olas que se producen en el agua cuando stas son empujadas por una gran fuerza que las hace desplazarse hacia la 41 costa. Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, los mismos que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia, los cuales se muestran a continuacin: Infraestructura Sede central del IMARPE Oficinas de la Av. Argentina Operativo Archivos y/o Documentacin Equipos Diversos Aire Acondicionado, Computadoras, etc. c. Objetivo Establecer las acciones que se tomarn ante Inundacin por Tsunamis, a fin de minimizar el tiempo de interrupcin del Servicio ofrecido por el IMARPE evitando exponer la seguridad de las personas, archivos y documentos de la Institucin. d. Criticidad El IMARPE determina que el presente evento tiene un nivel de gran impacto en el servicio y se identifica como CRITICO. e. Entorno Este evento se puede dar en las instalaciones de la Alta Direccin, Direcciones de Lneas y Unidades Operativas de la Sede Central y el local de la Av. Argentina. f. Personal Encargado El Director y/o Jefe de reas, es quien debe de dar cumplimiento a lo descrito en las Condiciones de Prevencin de Riesgo del presente Plan. g. Condiciones de Prevencin de Riesgo Mantener constantemente comunicacin con Hidrografa y Capitana de Puertos sobre eventos como: Tsunami Mantener los muros de contencin cercanas a la Sede Central del IMARPE en buen estado Contar con un pozo de agua en el stano de la Sede Central, donde se acumule el agua para su posterior bombeo, este sistema debe ser 42 revisada peridicamente. Realizar labores de mantenimiento a las instalaciones y/o equipos que trabajen con agua(ejemplo redes de agua, sanitarios, lavaderos, duchas, equipo de aire acondicionado, entre otros, de acuerdo a una planificacin previamente acordada Revisin e inspeccin diaria al termino del horario de trabajo, de las instalaciones de agua, sanitarios, lavaderos, etc. Para prevenir fugas fuera de horas trabajo. Cerrar dichas llaves de agua en caso de ser necesario. Contar con llaves principales de corte de agua en los ambientes del IMARPE, las cuales deben ser revisadas peridicamente, 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia El evento que activa la contingencia es cuando ocurre: Tsunami cercanos al puerto del Callao - Sede Central del IMARPE. As, como presencia de agua en las instalaciones de la Sede Central y de la Av. Argentina. El proceso de contingencia se activar inmediatamente despus de ocurrir el evento. b. Procesos Relacionados antes del evento Cualquier proceso relacionado con la operatividad del IMARPE. c. Personal que autoriza la contingencia. El responsable que autoriza la contingencia es el Director Ejecutivo y/o Director Cientfico y/o director de Administracin. d. Descripcin de las actividades despus de activar la contingencia. Desconectar el fluido elctrico y cerrar las llaves de gas u otros lquidos inflamables si corresponde. En caso de Tsunami, Maremotos, Maretazos se debe evacuar de acuerdo a las disposiciones del Director Cientfico y/o Director de administracin a zonas altas donde no llegue el agua del mar (lugares asignadas por las autoridades de INDECI) Cierre la toma principal de agua a las instalaciones del IMARPE si le corresponde Correccin del problema encontrado en tuberas, llaves de agua, etc. Evacuar el agua a travs del sistema de bombeo Evaluacin de los daos ocasionados por el agua sobre la instalacin, 43 estanteras, documentos, etc. Inventario general de documentacin, personal, equipos, etc. y/o recursos afectados, indicando el estado de operatividad de los mismos. Limpieza de las reas afectadas por la inundacin. En caso sea necesario, se utilizarn equipos especializados (motobombas) para realizar el trabajo. Fumigacin del lugar para prevenir aparicin de hongos. En todo momento se coordinar con personal de mantenimiento del IMARPE, para las acciones que deban ser efectuadas por ellos. La Coordinacin Ejecutora del Plan de Contingencias deber coordinar con la Alta Direccin en caso se requiera la habilitacin de ambientes provisionales alternos para restablecer la funcin de los ambientes afectado. e. Duracin La duracin del evento depender del nivel de la Inundacin por Agua. 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin es el Director y/o jefe del rea afectada, cuyo rol principal es asegurar el normal desarrollo del servicio. b. Descripcin Controlado el evento, se debern iniciar las actividades de trabajo en forma normal. c. Mecanismos de Comprobacin El Director y/o Jefe del rea afectada presentar un informe a la Coordinacin Ejecutora del Plan explicando qu parte del Servicio ha sido afectada y cules son las acciones tomadas. Se llenar el formato de ocurrencia de eventos para ste fin. d. Desactivacin del Plan de Contingencia El Director Cientfico y/o Director de Administracin desactivar el Plan de Contingencia una vez que se haya tomado las acciones descritas en el presente Plan de Recuperacin, mediante una comunicacin electrnica a la Coordinacin Ejecutora del Plan. e. Proceso de Actualizacin El proceso de actualizacin ser en base al informe presentado por el Director Cientfico y/o Director de Administracin quien determinar las acciones a tomar.
1. PLAN DE PREVENCIN a. Descripcin del evento Falla general del suministro de energa elctrica. Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, los mismos que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia: Servicios Pblicos Suministro de Energa Elctrica Hardwa Servidores Estaciones de Trabajo Equipos Diversos UPS b. Objetivo Restaurar las funciones consideradas como crticas para el servicio. c. Criticidad Este evento se considera como CRITICO. d. Entorno Se puede producir durante la operatividad, afectando el fluido elctrico de las instalaciones del IMARPE. e. Personal Encargado El Director de Administracin y/o Jefe de Informtica del IMARPE son responsables de realizar las coordinaciones para restablecer el suministro de energa elctrica. f. Condiciones de Prevencin de Riesgo Durante las operaciones diarias del servicio u operaciones del IMARPE se contar con los UPS necesarios para asegurar el suministro elctrico en las estaciones de trabajo consideradas como crticas. Asegurar que los equipos UPS cuenten con el mantenimiento debido y con suficiente energa para soportar una operacin continua de 30 45 minutos como mximo. El tiempo variar de acuerdo a la funcin que cumplan los equipos UPS. Realizar pruebas peridicas de los equipos UPS para asegurar su correcto funcionamiento. Contar con UPS para proteger los servidores de correo y desarrollo, previniendo la prdida de datos durante las labores. La autonoma del equipo UPS no deber ser menor a 30 minutos. Contar con UPS para proteger los equipos de vigilancia (cmaras, sistemas de grabacin) y de control de acceso a las instalaciones del IMARPE (puertas, contactos magnticos, etc.) Contar con equipos de luces de emergencia con tolerancia de 15 minutos, accionados automticamente al producirse el corte de fluido elctrico, los cuales deben estar instalados en los ambientes crticos. Contar con procedimientos operativos alternos para los casos de falta de sistemas, de tal forma que no se afecten considerablemente las operaciones en curso. 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia Corte de suministro de energa elctrica en los ambientes del IMARPE. b. Procesos Relacionados Antes del evento. Cualquier actividad de servicio dentro de las instalaciones del IMARPE. c. Personal que autoriza la contingencia El Director de administracin y/o Jefe de Informtica pueden activar la contingencia. d. Descripcin de las procedimientos despus de activar la contingencia Informar al Director de Administracin y/o Jefe de Informtica del problema presentado. Dar aviso del corte de energa elctrica en forma oportuna a todas las reas del IMARPE y coordinar las acciones necesarias. Las actividades afectadas por la falta de uso de aplicaciones, debern iniciar sus procesos de contingencia a fin de no afectar las operaciones en curso. En el caso de los equipos que entren en funcionamiento automtico con UPSs, se deber monitorear el tiempo de autonoma del equipo y no exceder el indicado anteriormente. 46 En caso la interrupcin de energa sea mayor a quince minutos, se debern apagar los servidores de produccin, desarrollo y correo hasta que regrese el fluido elctrico. e. Duracin El tiempo mximo de duracin de la contingencia depender del proveedor externo de energa elctrica. 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin son el Jefe de Informtica y/o el Director de administracin, quienes se encargarn de realizar las acciones de recuperacin necesarias. b. Descripcin El evento ser evaluado y registrado de ser necesario en el formato de ocurrencia de eventos. Se informar a la Coordinacin Ejecutora del Plan el problema presentado y el procedimiento usado para atender el problema. En funcin a esto, se tomarn las medidas preventivas del caso. c. Mecanismos de Comprobacin El Director de Administracin y/o Jefe de Informtica presentar un informe a la Coordinacin Ejecutora del Plan explicando que parte del Servicio u operacin ha fallado y cules son las acciones correctivas y/o preventivas a realizar. d. Desactivacin del Plan de Contingencia El Director de Administracin y/o Jefe de Informtica desactivar el Plan de Contingencia una vez que se recupere la funcionalidad de trabajo con los sistemas. e. Proceso de Actualizacin En base al informe que describe los problemas presentados, se determinarn las acciones de prevencin a tomar.
5.2.2 Subfactor: Contingencias relacionadas a los sistemas de informacin A continuacin se muestra los puntos a desarrollarse para el presente subfactor:
47
5.2.2.1 Objetivo Los planes de contingencia de los eventos relacionados a los Sistemas de Informacin tienen por objetivo que ante cualquier evento que atente contra la normal operacin tanto en hardware, software como en cualquier elemento interno o externo relacionado a los mismos, se dispongan de alternativas de solucin frente al problema a fin de asegurar la operacin del servicio y/o minimizar el tiempo de interrupcin.
5.2.2.2 Alcance El alcance de dichos planes se circunscribe a las actividades de uso de sistemas y/o aplicaciones, as como a las operaciones del servicio que son afectadas durante la operatividad del IMARPE. Resumen de la Matriz de Riesgos, considerando las contingencias relacionadas a los Sistemas de Informacin que se describirn en detalle ms adelante
Cdigo del Formato Descripcin del Evento de Contingencia Probabili dad Ocurrenci a Impact o Ponderac in Alert a SUB FACTOR : CONTINGENCIA RELACIONADAS A SISTEMA DE INFORMACION
INFORMACION FPC-10 Extravo de documentos 0.02 3 0.06 FPC-11 Sustraccin o robo de informacin 0.02 3 0.06 SOFTWARE FPC-12 Infeccin de equipos por virus 0.05 4 0.20 FPC-13 Prdidas de los sistemas centrales 0.05 4 0.20 FPC-14 Perdida del servicio de correo 0.01 2 0.02 FPC-15 Falla del Motor de la base de datos 0.04 4 0.16 FPC-16 Falla del Sistema Operativo 0.04 4 0.16 COMUNICACIONES FPC-17 Fallas en la red de comunicaciones interna 0.02 4 0.08 48 Cdigo del Formato Descripcin del Evento de Contingencia Probabili dad Ocurrenci a Impact o Ponderac in Alert a SUB FACTOR : CONTINGENCIA RELACIONADAS A SISTEMA DE INFORMACION
HARDWARE FPC-18 Fallas de equipos personales 0.02 2 0.04 RECURSOS OPERATIVOS Y LOGSTICOS
FPC-19 Falla de equipos multimedia, impresoras, scanner y otros 0.01 2 0.02
5.2.2.3 Plan de Pruebas El plan de pruebas correspondiente a los eventos desarrollados como parte del Sub Factor Sistemas de Informacin, seguir la metodologa expuesta en el punto 4.5 del Plan de Contingencia. El plan de pruebas se determinar luego del anlisis de los procesos crticos de las operaciones y de identificar los eventos que pudieran presentarse. La aprobacin del plan de pruebas ser efectuada por el Comit de Contingencias de Pruebas previamente a su ejecucin.
5.2.2.4 Descripcin de Planes Se detallarn los Planes de Contingencia de alguno de los eventos identificados en la Matriz de Riesgo de Contingencia.
1. PLAN DE PREVENCIN a. Descripcin del evento Virus informtico es un programa de software que se propaga de un equipo a otro y que interfiere el funcionamiento del equipo. Adems, Un virus informtico puede daar o eliminar los datos de un equipo. Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, los mismos que por su naturaleza pueden ser considerados como 49 parte afectada o causa de la contingencia, los cuales se muestran a continuacin: Hardware Servidores Estaciones de Trabajo Software Software Base Aplicativos utilizados por el IMARPE b. Objetivo Restaurar la operatividad de los equipos despus de eliminar los virus o reinstalar las aplicaciones daadas. c. Criticidad El nivel de ste evento es considerado CRITICO. d. Entorno Las estaciones de trabajo PCs, se encuentran instaladas en la Sede Central y el local de la Av. Argentina del IMARPE. e. Personal Encargado Jefe de Informtica del IMARPE es el responsable en la supervisin del correcto funcionamiento de las estaciones PCs f. Condiciones de Prevencin de Riesgo Establecimiento de polticas de seguridad para prevenir el uso de aplicaciones no autorizadas en las estaciones de trabajo. Restringir el acceso a Internet a las estaciones de trabajo que por su uso no lo requieran. Eliminacin de disketteras, quemadores de CD, etc. en estaciones de trabajo que no lo requieran. Deshabilitar los puertos de comunicacin USB en las estaciones de trabajo que no los requieran habilitados, para prevenir la conexin de unidades de almacenamiento externo. Aplicar filtros para restriccin de correo entrante, y revisin de archivos adjuntos en los correos y as prevenir la infeccin de los terminales de trabajo por virus. Contar con antivirus instalados en cada estacin de trabajo, el mismo que debe estar actualizado permanentemente. Contar con equipos de respaldo ante posibles fallas de las estaciones, 50 para su reemplazo provisional hasta su desinfeccin y habilitacin. 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia Mensajes de error durante la ejecucin de programas. Lentitud en el acceso a las aplicaciones. Falla general en el equipo (sistema operativo, aplicaciones). b. Procesos Relacionados Antes del evento. Cualquier proceso relacionado con el uso de las aplicaciones en las estaciones de trabajo. c. Personal que autoriza la contingencia Jefe de Informtica del IMARPE Tcnico de Soporte de Sistemas del IMARPE d. Descripcin de las Actividades despus de activar la contingencia Desconectar la estacin infectada de la red del IMARPE Verificar si el equipo se encuentra infectado, utilizando un detector de virus actualizado. Rastrear de ser necesario el origen de la infeccin (archivo infectado, correo electrnico, etc.) Eliminar el agente causante de la infeccin. Remover el virus del sistema. Probar el sistema. En caso no solucionarse el problema : - Formatear el equipo - Personalizar la estacin para el usuario Conectar la estacin a la red del IMARPE. Efectuar las pruebas necesarias con el usuario. Solicitar conformidad del servicio. e. Duracin La duracin del evento no deber ser mayor a DOS HORAS en caso se confirme la presencia de un virus. Esperar la indicacin del personal de soporte para reanudar el trabajo. 3. PLAN DE RECUPERACIN a. Personal Encargado El Tcnico de Soporte de Sistemas del IMARPE, luego de restaurar el correcto funcionamiento de la estacin de trabajo (PC), coordinar con el 51 usuario responsable y/o Jefe del rea para reanudar las labores de trabajo con el equipo. b. Descripcin Se informar al Jefe de Informtica del IMARPE el tipo de virus encontrado y el procedimiento usado para removerlo. En funcin a esto, se tomarn las medidas preventivas del caso enviando una alerta va correo al personal del IMARPE. El evento ser evaluado y registrado de ser necesario en el formato de ocurrencia de eventos. c. Mecanismos de Comprobacin Se llenar el formato de ocurrencia de eventos y se remitir a la Coordinacin Ejecutora del Plan para su revisin. d. Desactivacin del Plan de Contingencia Con el aviso del Tcnico de Soporte de Sistemas del IMARPE, se desactivar el presente Plan. e. Proceso de Actualizacin El problema de infeccin presentado en la estacin de trabajo, no debe detener la Aplicacin de actualizacin de datos en las Aplicaciones del IMARPE.
1. PLAN DE PREVENCIN a. Descripcin Del Evento Es la ausencia de interaccin entre el Software y el Hardware haciendo inoperativa la mquina, es decir, el Software no enva instrucciones al Hardware imposibilitando su funcionamiento. Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia, como se muestran a continuacin:
52 Software Software base Software base de datos Aplicativos utilizados por el IMARPE Hardware Servidores Informacin Respaldo de base de datos Respaldo de las aplicaciones utilizadas por el IMARPE Respaldo De Software Base b. Objetivo Mantener operativo los servidores de produccin donde se ejecutan las aplicaciones del IMARPE. c. Criticidad El nivel de este evento es considerado crtico. d. Entorno Los servidores de aplicaciones estn situados en el centro de datos del IMARPE. e. Personal Encargado Jefe de Informtica del IMARPE es el responsable de asegurar el correcto funcionamiento de los servidores durante los servicios. Se coordinarn las acciones necesarias para restablecer el servicio en caso se produzca el evento. El Jefe de Informtica del IMARPE es el encargado de coordinar las acciones necesarias con la ULeI y el personal de las reas usuarias, para asegurar un servicio continuo de los servidores y sus aplicaciones, de tal forma que no afecten el servicio brindado en el IMARPE. f. Condiciones de Prevencin de Riesgo Tomar las siguientes acciones preventivas que debe implementar la Unidad de Informtica del IMARPE para asegurar el servicio de las aplicaciones: Contar con equipos de respaldo ante posibles fallas de los servidores. Contar con mantenimiento preventivo para dichos equipos. Contar con los backups de informacin necesarios para restablecer las aplicaciones Anexo A04: :: : Copias de Respaldo. Contar con backups de las aplicaciones y de las bases de datos Anexo 53 A04: :: : Copias de Respaldo. Almacenar en un lugar seguro los backups referidos a aplicaciones y datos. Se recomienda el almacenamiento De Los Backups en un lugar externo fuera de las instalaciones del IMARPE. 2. PLAN DE EJECUCIN a. Eventos que Activan La Contingencia Falla de Acceso a Aplicaciones. Mensaje Prdida de Conexin a La BD. b. Procesos Relacionados Antes Del Evento. Cualquier proceso relacionado con el uso de las aplicaciones en los servidores del IMARPE. c. Personal que autoriza la contingencia Jefe de Informtica del IMARPE. d. Descripcin de Las Actividades Despus de Activar La Contingencia Remitirse a los Procedimientos de recuperacin de sistemas del IMARPE. e. Duracin La duracin del evento estar en funcin de la complejidad del problema encontrado. Esperar la indicacin del jefe de Informtica de IMARPE para reanudar la operacin normal con las aplicaciones. 3. PLAN DE RECUPERACIN a. Personal encargado El Jefe de Informtica del IMARPE, luego de verificar la correccin del problema de acceso a los servidores, coordinar con los Directores y/o jefes de reas para la reanudacin de los trabajos operativos con las aplicaciones del IMARPE. b. Descripcin Se informar a la Alta Direccin la causa que motiv la paralizacin del servicio. En funcin a esto, se tomarn las medidas preventivas del caso y se revisar el plan de contingencia para actualizarlo en caso sea necesario. c. Mecanismos de Comprobacin Se llenar el formato de ocurrencia de eventos y se remitir a la coordinacin ejecutora del plan para su revisin. d. Desactivacin del plan de contingencia 54 Con el aviso del jefe de Informtica del IMARPE, se desactivar el presente plan. e. Proceso de actualizacin En caso existiese informacin pendiente de actualizacin, debido a la falla de los sistemas centrales, se coordinar con los Directores y/o jefes de reas, para iniciar las labores de actualizacin de los sistemas.
1. PLAN DE PREVENCIN a. Descripcin del evento Ausencia del servicio principal para almacenar, procesar y proteger los datos, para acceso controlado y procesamiento de transacciones rpidos para cumplir con los requisitos de las aplicaciones consumidoras de datos ms exigentes del IMARPE. Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia: Software Aplicativos utilizados por el IMARPE Hardware Servidores Informacin Respaldo de Base de Datos Respaldo del Software Base b. Objetivo Asegurar la continuidad de las operaciones, con los medios de respaldo adecuados para restaurar los datos de las aplicaciones ejecutadas en los servidores centrales. c. Criticidad Este evento se considera como CRITICO.
55 d. Entorno Se puede producir durante el servicio, afectando a las aplicaciones usadas para dar soporte a las operaciones del IMARPE. e. Personal Encargado El Jefe de Informtica del IMARPE encargar al responsable de la base de datos (DBA) las acciones correspondientes. f. Condiciones de Prevencin de Riesgo Revisin peridica de los logs de la BD para prevenir mal funcionamiento de la Base de Datos. Contar con los backups diarios de datos de las aplicaciones en desarrollo/produccin en la Institucin. Se realizan copias de la informacin o de los registros con la finalidad de asegurar la informacin mantenida en la base de datos. La copia de seguridad de la informacin es un proceso diario, en donde se busca asegurar la integridad de la informacin. Tambin se obtienen copias de seguridad de la base de datos de acuerdo a requerimientos antes o despus de un determinado proceso Anexo A04: :: : Copias de Respaldo. Mantener actualizado el software de gestin de BD, con todos los parches del producto segn el fabricante del producto. Contar con servicios de soporte vigentes para el software de gestin de BD. En caso sea necesario, este soporte debe incluir actividades de prevencin, revisin del sistema y mantenimiento general a la base de datos. 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia Fallas en la conexin. Indisponibilidad del sistema aplicativo. Identificacin de falla en la pantalla de las estaciones de trabajo y/o servidores de aplicaciones. b. Procesos Relacionados Antes del evento. Respaldo disponible para el uso de las aplicaciones en los servidores del IMARPE. c. Personal que autoriza la contingencia El Jefe de Informtica del IMARPE es quien considera activar la contingencia. d. Descripcin de los procedimientos despus de activar la contingencia 56 Sistemas de Proveedores.- De producirse una falla al momento de la operacin de estos sistemas por efecto del programa ejecutable (cliente) o base de datos, deber ser comunicado y coordinado inmediatamente con el proveedor, para su correccin. Sistemas Desarrollados por el IMARPE.- De producirse una falla al momento de la operacin de estos sistemas, el Jefe de Informtica asumir, delegar o coordinar los trabajos de correccin o modificacin. e. Duracin El tiempo mximo de la contingencia no debe sobrepasar las CUATRO horas. 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin para las operaciones del IMARPE es el Jefe de Informtica. b. Descripcin Se informar al Jefe de Informtica del IMARPE la causa del problema presentado y el procedimiento usado para atender el problema. En funcin a esto, se tomarn las medidas preventivas del caso enviando una alerta va correo al personal del IMARPE. El evento ser evaluado y registrado de ser necesario en el formato de ocurrencia de eventos. c. Mecanismos de Comprobacin El Jefe de Informtica del IMARPE presentar un informe a la Coordinacin Ejecutora del Plan explicando que parte del Servicio ha fallado y cules son las acciones correctivas y/o preventivas a realizar. d. Desactivacin del Plan de Contingencia El Jefe de Informtica del IMARPE desactivar el Plan de Contingencia una vez que se recupere la funcionalidad de trabajo con la BD de las aplicaciones. e. Proceso de Actualizacin En base al informe presentado que identifica las causas de la prdida del sistema operativo en las estaciones de trabajo y/o servidores, se determinar las acciones de preventivas necesarias que debern incluirse en el presente plan. En caso existiese informacin pendiente de actualizacin, debido a la falla 57 de los sistemas centrales, se coordinar con los directores y/o jefes de reas, para iniciar las labores de actualizacin de los sistemas.
1. PLAN DE PREVENCIN a. Descripcin del evento Falla en el control de computadoras, en el interfaz hombre-mquina, recursos hardware y software del IMARPE. Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia: Software Aplicativos utilizados por el IMARPE Hardware Servidores Informacin Respaldo de Base de Datos Respaldo de las Aplicaciones utilizadas por el IMARPE b. Objetivo Asegurar la continuidad de las operaciones, con los medios de respaldo adecuados para restaurar las funciones de los elementos identificados. c. Criticidad Este evento se considera como CRITICO. d. Entorno Se puede producir durante la operatividad, afectando a las estaciones de trabajo y/o servidores de aplicaciones usados para dar soporte a las operaciones. e. Personal Encargado El Jefe de Informtica del IMARPE es el responsable de coordinar las acciones necesarias para asegurar el correcto funcionamiento de las aplicaciones. 58 f. Condiciones de Prevencin de Riesgo Se debe asegurar de cubrir los siguientes aspectos: Contar con los backups diarios de datos de las aplicaciones en produccin en la institucin Anexo A04: :: : Copias de Respaldo. Contar con servicios de soporte vigentes para los principales causantes del evento: El IMARPE debe asegurarse de mantener acuerdos con sus Proveedores de Servicio. Revisin peridica de los logs de actividad de los servidores para prevenir su mal funcionamiento. Estaciones de trabajo y servidores debern contar con antivirus actualizados. 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia Detencin de las funciones de trabajo en estaciones de trabajo y/o servidores de aplicaciones. Identificacin de falla en el monitor de los servidores de aplicaciones y/o estaciones de trabajo. b. Procesos Relacionados Antes del evento. Respaldo disponible de los sistemas operativos para la ejecucin de las aplicaciones en los servidores. c. Personal que autoriza la contingencia El Jefe de Informtica del IMARPE es quin considera activar la contingencia, d. Descripcin de las Actividades despus de activar la contingencia En el caso de las estaciones de trabajo : Proceder a la revisin de la estacin de trabajo para determinar la causa de la falla. Verificar si el equipo se encuentra infectado, utilizando un detector de virus actualizado. Rastrear de ser necesario el origen de la infeccin (archivo infectado, correo electrnico, etc.) Remover el virus del sistema. Probar el sistema. En caso no solucionarse el problema : 59 - Formatear el equipo - Personalizar la estacin para el usuario - Conectar la estacin a la red del Archivo. Efectuar las pruebas necesarias con el usuario. Solicitar conformidad del servicio. En el caso de los servidores de aplicaciones : Direcciones y/o Jefaturas: o Reportar el problema al rea de soporte Tcnico. o Coordinar las acciones a realizarse y el tiempo aproximado de interrupcin del servicio. o Comunicar a los directores y/o jefes de reas para que se tomen las acciones del caso y no se afecte en sus operaciones. e. Duracin El tiempo mximo de la contingencia no debe sobrepasar las CINCO horas. 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin para las operaciones del IMARPE es el Jefe de Informtica. b. Descripcin Se informar al Jefe de Informtica de IMARPE la causa del problema presentado y el procedimiento usado para atender el problema. En funcin a esto, se tomarn las medidas preventivas del caso enviando una alerta va correo al personal del IMARPE. El evento ser evaluado y registrado de ser necesario en el formato de ocurrencia de eventos. c. Mecanismos de Comprobacin El Jefe de Informtica del IMARPE presentar un informe a la Coordinacin Ejecutora del Plan, explicando que parte del Servicio ha fallado y cules son las acciones correctivas y/o preventivas a realizar. d. Desactivacin del Plan de Contingencia El Jefe de Informtica del IMARPE desactivar el Plan de Contingencia una vez que se recupere la funcionalidad de trabajo con los sistemas. e. Proceso de Actualizacin En base al informe presentado que identifica las causas de la prdida del sistema operativo en las estaciones de trabajo y/o servidores, se 60 determinar las acciones de prevencin a tomar. En caso existiese informacin pendiente de actualizacin, debido a la falla de los sistemas centrales, se coordinar con los directores y/o jefes de reas, para iniciar las labores de actualizacin de los sistemas.
5.2.3. Subfactor: Contingencias relacionadas a los Recursos Humanos A continuacin se muestra los puntos a desarrollarse para el presente subfactor:
5.2.3.1 Objetivo El desarrollo de este tipo de contingencias est relacionado con todos los elementos y factores que pueden afectar y/o ser afectados por el personal del IMARPE. 5.2.3.2 Alcance La seguridad referida al personal se contemplar desde las etapas de seleccin del mismo e incluir en los contratos y definiciones de puestos de trabajo para poder cumplir el objetivo de reducir los riesgos de: Actuaciones humanas Indisponibilidad por enfermedades Emergencias mdicas Incapacidad temporal o permanente por accidentes Renuncias o ceses Se deber comprobar que las definiciones de puestos de trabajo contemplan todo lo necesario en cuanto las responsabilidades encomendadas. A continuacin se presenta un resumen de la Matriz de Riesgos, considerando las contingencias relacionadas a los Recursos Humanos que se describirn en detalle ms adelante: Cdigo del Formato Descripcin del Evento de Contingencia Probabilid ad Ocurrencia Impact o Ponder acin Alerta SUB FACTOR : CONTINGENCIA RELACIONADAS A RECURSOS HUMANOS
RECURSOS HUMANOS FPC-20 Ausencia imprevista del 0.05 3 0.15 61 personal de soporte tcnico FPC-21 Ausencia de personal ejecutivo para la toma de decisiones ante situaciones de riesgo informtico 0.05 3 0.15 FPC-22 Falta de idoneidad del personal en la reserva de informacin de la Base de Datos 0.01 4 0.04
5.2.3.3 Plan de Pruebas El plan de pruebas correspondiente a los eventos desarrollados como parte del tpico Recursos Humanos, seguir la metodologa expuesta en el punto 4.5 del Plan de Contingencia. El plan de pruebas se determinar luego del anlisis de los procesos crticos del servicio y de identificar los eventos que pudieran presentarse. La aprobacin del plan de pruebas ser efectuada por la Alta Direccin del IMARPE previamente a su ejecucin.
5.2.3.4 Descripcin de Planes Se detallarn los Planes de Contingencia de los eventos identificados en la Matriz de Riesgo de Contingencia.
IMARPE
Evento: Ausencia imprevista del personal de soporte tcnico FPC-20 Versin: 1.1
Fecha: 15/11/2011
Entidad responsable: IMARPE
Entidad involucrada: IMARPE
Pag.
1. PLAN DE PREVENCIN a. Descripcin del evento Ausencias del personal de Soporte Tcnico relevante (enfermedad, renuncias, ceses), en toma decisiones claves que garantice el normal funcionamiento de servidores y redes de la institucin. Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, los mismos que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia, los 62 cuales se muestran a continuacin: Recursos Humanos Personal b. Objetivo Asegurar la continuidad del Servicio Informtico del IMARPE. c. Criticidad El IMARPE determina que el presente evento tiene un nivel de gran impacto en el servicio y se identifica como CRITICO. d. Entorno Este evento se puede dar en las instalaciones de la Alta Direccin, Direcciones de Lneas y Unidades Operativas de la Sede Central y el Local de la Av. Argentina e. Personal Encargado El Director Ejecutivo y/o Jefe de Informtica es quin debe disponer se cumplan las Condiciones de Previsin de Riesgo del presente Plan. f. Condiciones de Prevencin de Riesgo La existencia del presente evento se puede dar en cualquier momento, dependiendo de las circunstancias personales, por lo que se considera lo siguiente: Como primera prevencin, el Jefe de Informtica, se asegurar en capacitar a los analistas de sistemas del rea de soporte tcnico con el fin que cumpla el perfil, conocimiento y capacidad para reemplazar la ausencia ante la presencia de este evento. Como segunda prevencin, el jefe de informtica se asegurara en tener como mnimo a dos profesionales tcnicos en el rea de soporte tcnico y un asistente. Incluir como parte de las funciones del personal, comunicar anticipadamente la inasistencia a su centro de labores. Para el control del personal se cuenta con un software de control de asistencia, de donde se proveer informacin al Jefe de Informtica, para que tome las acciones preventivas correspondientes. 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia Reporte de inasistencia del personal de Soporte Tcnico: administrador de la Red, administrador de la Base de Datos, 63 helpdesk, etc. El proceso de contingencia se activa durante las DOS (02) HORAS iniciales del da. b. Procesos Relacionados Antes del evento. Se podra dar por: Conocimiento del Jefe de Informtica por parte del reporte de inasistencia del Sistema de Control de Asistencia. Conocimiento del Jefe de Informtica por comunicacin telefnica por parte del personal de Soporte Tcnico ausente o algn familiar. c. Personal que autoriza la contingencia El Jefe de Informtica. d. Descripcin de las Actividades despus de activar la contingencia Confirmado la inasistencia del personal de soporte Tcnico, el Jefe de Informtica asignar la responsabilidad al Asistente del rea de soporte tcnico capacitado para reemplazar en las funciones que el personal titular de soporte tcnico posea. El Jefe de Informtica solicitar al Director Ejecutivo del IMARPE, el reemplazo del personal. e. Duracin Mximo OCHO (08) horas. El fin del presente evento es la presencia del reemplazo que asume la responsabilidad; hasta que se confirme la presencia del personal de Soporte Tcnico en caso de renuncia u otras por fuerza mayor. 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin es el Jefe de Informtica, cuyo rol principal es asegurar el normal funcionamiento del Servicio Informtico. b. Descripcin Regularizacin en los servicios pendiente durante la ausencia. Revisin de los servicios atendidos si fuera el caso. Definir los ajustes para asegurar rpida y mejora en la accin y prevencin del presente evento. c. Mecanismos de Comprobacin 64 El Jefe de Informtica presentar un informe a la Coordinacin Ejecutora del Plan explicando que parte del Servicio Informtico ha sido afectado y cual son las acciones tomadas. d. Desactivacin del Plan de Contingencia El Jefe de Informtica desactivar el Plan de Contingencia una vez que se haya tomado las acciones descritas en la Descripcin del presente Plan de Recuperacin, mediante una comunicacin electrnica a la Coordinacin Ejecutora del Plan. e. Proceso de Actualizacin En base al informe presentado por el Jefe de Informtica y las causas identificadas en el Servicio informtico se determinar las acciones a tomar.
IMARPE
Evento: Ausencia de personal ejecutivo para la toma de decisiones ante situaciones de riesgo informtico
1. PLAN DE PREVENCIN a. Descripcin del evento Ausencias del personal de Direccin y/o jefaturas (enfermedad, renuncias, ceses), en toma decisiones claves que garantice el normal funcionamiento de las actividades. Este evento incluye los siguientes elementos mnimos identificados por el IMARPE, que por su naturaleza pueden ser considerados como parte afectada o causa de la contingencia, los cuales se muestran a continuacin: Recursos Humanos Personal b. Objetivo Asegurar la continuidad de las operaciones en las diferentes direcciones y/o jefaturas del IMARPE, evitando el quiebre en la cadena de mandos, a travs de reemplazos de personal ejecutivos. c. Criticidad El IMARPE determina que el presente evento tiene un nivel de gran impacto 65 en el servicio y se identifica como CRITICO. d. Entorno Este evento se puede dar en las instalaciones de la Alta Direccin, Direcciones de Lneas y Unidades Operativas de la Sede Central y el Local de la Av. argentina e. Personal Encargado El Director Ejecutivo y/o Director cientfico, es quin debe de asegurarse de que se cumpla lo descrito en las Condiciones de Previsin de Riesgo del presente Plan. f. Condiciones de Prevencin de Riesgo La existencia del presente evento se puede dar en cualquier momento, dependiendo de las circunstancias personales que se presente a personal Direccional y/o Jefatural, por lo que se considera lo siguiente: Como primera prevencin, la Alta Direccin asegurar en capacitar a un empleado con ms de 5 aos de experiencia en la Institucin que cumpla el perfil, conocimiento y capacidad para reemplazar ante el evento. Incluir como parte de las funciones del personal en comunicar anticipadamente la inasistencia a su centro de labores, siempre y cuando se trate de ocasiones premeditadas. 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia Reporte de inasistencia de algn Director y/o jefe de rea. El proceso de contingencia se activa durante las DOS HORAS iniciales del da. b. Procesos Relacionados Antes del evento. Se podra dar por: Falta de decisin del Jefe Director y/o Jefe de rea para aplicar soluciones ante algn inconveniente en las actividades u operaciones de su competencia, donde se detecte la ausencia. Reporte de Control de Asistencia referente a inasistencias. c. Personal que autoriza la contingencia El encargado de autorizar el proceso de contingencia es el Director cientfico y/o director Administrativo. d. Descripcin de las Actividades despus de activar la contingencia 66 Confirmado la inasistencia del Director Ejecutivo, se coordinar el reemplazo con el Director Cientfico y/o Directores de lnea del IMARPE Confirmado la inasistencia del jefe de rea, el Director cientfico y/o director de rea coordinar con los Jefes de la Direccin el reemplazo correspondiente e. Duracin Mximo tres horas. El fin del presente evento es la presencia del reemplazo, o el empleado ms antiguo que est capacitado para que asuma la responsabilidad; hasta que se confirme la presencia del director y/o jefe de rea o Nuevo Director y/o Jefe de rea en caso de renuncia u otras por fuerza mayor. 3. PLAN DE RECUPERACIN a. Personal Encargado El personal encargado del Plan de Recuperacin es el Director y/o jefe de rea o Nuevo director y/o jefe de rea, cuyo rol principal es asegurar el normal funcionamiento de las operaciones del IMARPE. b. Descripcin Regularizacin en las coordinaciones pendiente durante la ausencia. Definir los ajustes para asegurar rpida y mejora en la accin y prevencin del presente evento. c. Mecanismos de Comprobacin El director y/o jefe de rea presentar un informe a la Coordinacin Ejecutora del Plan explicando que parte del Servicio u operaciones ha sido afectado y cual son las acciones tomadas. d. Desactivacin del Plan de Contingencia El Director cientfico y/o director de administracin desactivar el Plan de Contingencia una vez que se haya tomado las acciones descritas en la Descripcin del presente Plan de Recuperacin, mediante una comunicacin electrnica a la Coordinacin Ejecutora del Plan. e. Proceso de Actualizacin En base al informe presentado por el Director y/o Jefe de rea y las causas identificadas en la operatividad, se determinar las acciones a tomar.
5.2.3 Subfactor: Contingencias relacionadas a Seguridad Fsica 67 A continuacin se muestra los puntos a desarrollarse para el presente subfactor:
5.2.4.1 Objetivo Definir acciones de prevencin a fin de eliminar o mitigar riesgos de seguridad fsica tanto de las instalaciones como de todos los elementos que operan en su interior (equipos, documentacin, mobiliario, etc.) por motivos de incidentes causados de manera intencional, eventual o natural y que puedan afectar las operaciones normales del servicio.
5.2.4.2 Alcance Sern tomados en cuenta lo siguientes elementos: Ubicacin y disposicin fsica Elementos de seguridad de los ambientes de trabajo Control de accesos de personal interno y externo al servicio Actos terroristas o de vandalismo que pudieran afectar infraestructura, personal o documentacin. A continuacin se presenta un resumen de la Matriz de Riesgos, considerando las contingencias relacionadas a la Seguridad Fsica que se describirn en detalle ms adelante:
Cdigo del Formato Descripcin del Evento de Contingencia Probabili dad Ocurrenci a Impacto Ponderac in Alerta SUB FACTOR : PLAN DE SEGURIDAD FSICA INFRAESTRUCTURA FPC-23 Sustraccin de equipos y software diversos 0.02 2 0.04 FPC-24 Sabotaje 0.01 2 0.02 FPC-29 Vandalismo 0.01 3 0.03 FPC-30 Actos terroristas 0.01 4 0.04
68 5.2.4.3 Plan de Prueba El plan de pruebas correspondiente a los eventos desarrollados como parte del Sub Factor Seguridad Fsica, seguir la metodologa expuesta en el punto 4.5 del Plan de Contingencia. El plan de pruebas se determinar luego del anlisis de los procesos crticos del servicio y de identificar los eventos que pudieran presentarse. La aprobacin del plan de pruebas ser efectuada por la Alta Direccin del IMARPE previamente a su ejecucin.
5.2.4.4 Descripcin de Planes Estos eventos de contingencia son menores a 0.15.
5.3 Estrategias La estrategia aplicada para el presente Plan de Contingencia es contar con: Plan de Prevencin, Plan de Ejecucin, Plan de Recuperacin y Plan de Pruebas, desarrollados en el presente Plan de Contingencia. Se propone una organizacin para la gestin del Plan de Contingencia, el mismo que esta desarrollado en el presente Plan 4.1 Organizacin. Tener desarrollado y documentado los principales eventos susceptibles planteados en el presente Plan de Contingencia 5.2 Desarrollo de las Actividades
5.4 Programas En el presente Plan de Contingencia se ha desarrollado un conjunto de tems(cuadro Nro. 4), eventos o programas que permitan aadir valor a los sub-factores que ha priorizado El IMARPE. Un resumen de los items desarrollados son los siguientes:
Subfactor: Siniestros Item Alcance Descripcin del Evento de Contingencia FPC-01 Infraestructura Incendio FPC-02 Infraestructura Sismo FPC-04 Infraestructura Inundacin por Oleajes anmalos FPC-05 Infraestructura Tsunamis FPC-06 Servicios Pblicos Interrupcin de energa elctrica
69
Subfactor: Sistemas de Informacin Item Alcance Descripcin del Evento de Contingencia FPC-12 Software Infeccin de equipos por virus FPC-13 Software Prdidas de los sistemas centrales FPC-15 Software Falla del motor de la base de datos FPC-16 Software Falla del sistema operativo
Subfactor: Recursos Humanos Item Alcance Descripcin del Evento de Contingencia FPC-20 Recursos Humanos Ausencia imprevista del personal de soporte tcnico FPC-21 Recursos Humanos Ausencia de personal ejecutivo para la toma de decisiones ante situaciones de riesgo informtico
5.5 Polticas El Plan de Contingencia ser actualizado con una periodicidad anual y entregado a la Alta Direccin del IMARPE para su validacin y aprobacin. Dicha actualizacin (a partir de la segunda versin en adelante) incluir un captulo donde se especificar las altas y bajas de los planes especficos de contingencia, as como aquellos que por uno u otro motivo fueron modificados respecto a su versin original. Se mantendrn 2 copias vigentes de respaldo y se repartir una copia a todas las reas involucradas en los planes. La implementacin del Plan de Contingencia est programado en el bimestre de su aprobacin. Se realizarn Plan de pruebas semestralmente.
6. RESPONSABLES En el literal 5. Desarrollo de las actividades, fases, estrategias, programas y/o polticas del presente Plan; se ha considerado a los responsables de la ejecucin de los diferentes eventos susceptibles de contingencia. Para esto se ha desarrollado utilizando el formato Anexo A02: Formato Registro Plan de Contingencia tanto 70 para el Plan de Prevencin, Plan de Ejecucin, Plan de Recuperacin y Plan de Pruebas.
7. RECURSOS En el literal 5. Desarrollo de las actividades, fases, estrategias, programas y/o polticas del presente Plan; se ha considerado los recursos a emplear durante la ejecucin de los diferentes eventos susceptibles de contingencia. Para esto se ha desarrollado utilizando el formato Anexo A02: Formato Registro Plan de Contingencia tanto para el Plan de Prevencin, Plan de Ejecucin, Plan de Recuperacin y Plan de Pruebas.
8. PERIDOS Y/O PLAZOS En el literal 5. Desarrollo de las actividades, fases, estrategias, programas y/o polticas del presente Plan; se ha considerado los plazos a emplear durante la ejecucin de los diferentes eventos susceptibles de contingencia. Para esto se ha desarrollado utilizando el formato Anexo A02: Formato Registro Plan de Contingencia tanto para el Plan de Prevencin, Plan de Ejecucin, Plan de Recuperacin y Plan de Pruebas.
9. CRITERIOS EMPLEADOS Disminuir el impacto de los eventos de riesgo que se puedan presentar y que atenten contra la normal operatividad del IMARPE, llegndose a detallar los procedimientos a seguir durante la prevencin, ejecucin, recuperacin y pruebas a desarrollarse.
71 10. Anexos
A01 : :: : Formato de Ocurrencias de Eventos
72
Anexo A02: Formato Registro Plan de Contingencia
IMARPE
Evento: Formato
Fecha:
Entidad responsable
Entidad involucrada
Pg.
1. PLAN DE PREVENCIN a. Descripcin del evento En este punto se describe el evento producido. b. Objetivo En esta seccin se describir el objetivo y funciones principales de un proceso, ejecutndose a condiciones normales, es decir, sin que se presente un evento que genere la contingencia. c. Criticidad Seala cuan crtico es un proceso, as como el nivel de impacto del mismo dentro del servicio como se clasifica a continuacin: Crtico: El proceso o actividad es altamente crtico, no puede detenerse nunca y no deber ser interrumpido. Importante: El proceso o actividad puede ser suspendido por un breve lapso de tiempo no mayor a las 2 horas. Menos Importante: El proceso o actividad puede ser suspendido por un lapso de tiempo no mayor a 24 horas. d. Entorno En esta seccin se describir la ubicacin y los ambientes, equipos informticos, equipos diversos (automticos, mecnicos o manuales) donde se ejecuta el proceso en forma normal, as como las condiciones bsicas para su operacin. e. Personal Encargado Aqu se especificar el (los) nombre(s) y cargo(s) del personal del servicio, encargado de ejecutar el proceso en forma normal, as como sus roles dentro del mismo. f. Condiciones de Prevencin de Riesgo 73 En esta seccin se debe describir detalladamente las acciones que se ejecutan durante el proceso normal y los puntos de control implementados, a efectos de prevenir que se presente el evento que genere la activacin de un estado de contingencia. 2. PLAN DE EJECUCIN a. Eventos que activan la Contingencia Aqu se describen los eventos que deciden la activacin de la contingencia. Asimismo, se especifica el lapso de tiempo en el cual se empieza a ejecutar el proceso de contingencia. b. Procesos Relacionados Antes del evento. Aqu se establecern en forma secuencial todos los procesos o actividades que se tengan que ejecutar con anterioridad al ingreso al proceso de contingencia. c. Personal que autoriza la contingencia Se especificar los cargos del personal que autorizar el inicio del proceso de contingencia. Se especificar los cargos del personal que iniciar el proceso de contingencia. Se especificar el nivel de coordinacin con funcionarios o responsables de IMARPE. d. Descripcin de las Actividades despus de activar la contingencia Se describir en forma detallada y secuencial los pasos a realizar para poner en marcha el proceso de contingencia. e. Duracin Aqu se especificar, de ser posible, el lapso de tiempo por el cual estar activada la contingencia, as como el evento que determine el trmino del mismo. 3. PLAN DE RECUPERACIN a. Personal Encargado Aqu se especificar el (los) nombre(s) y cargo(s) del personal del servicio, encargado del proceso de Recuperacin (volver al proceso normal), as como sus roles dentro del mismo. b. Descripcin Se describir en forma detallada y secuencial los pasos a ejecutar para retornar al proceso normal, debiendo indicar lo necesario para asegurar la recuperacin efectiva del mismo. 74 Deber tenerse en cuenta aquellas actividades que permiten actualizar los procesos con la nueva informacin generada en la contingencia, en caso sea necesario. c. Mecanismos de Comprobacin En esta seccin se describirn todas aquellas actividades a realizar y que permitan asegurar que el proceso recuperado opere en condiciones normales y sin volver a presentar la falla que origino la ocurrencia del evento. Mientras esta etapa se realiza, an sigue activado el Plan de Contingencia. d. Desactivacin del Plan de Contingencia Se especificar en forma secuencial y lgica cual es el procedimiento a seguir para desactivar el proceso de contingencia. e. Proceso de Actualizacin Se especificar en forma detallada y secuencial las actividades a ejecutar para actualizar el proceso normal recientemente recuperado.
75
Anexo A03: Control y Certificacin de Pruebas de Contingencia
Cdigo N Proceso en Prueba: Area responsable: Fecha : / / Hora Inicio : Hora Fin : (de prueba) Informacin del Proceso Metodologia ( Que se va a hacer en la prueba y hasta donde va a abarcar la misma) y Alcance: Condiciones Equipo : de Ejecucin: Aplicacin/Software : Version: Fecha de Backup : / / De la Prueba / Certificacin Resultado de Satisfactorio: Satisfastorio con Observaciones: Deficiente: la Prueba: Observaciones: (en el caso de haber observaciones o que la prueba haya sido deficiente se iniciaran los motivos de dichas deficiencias, as como resultados de las pruebas en todos los casos) Actualalizacin del Plan de Contingencia Cambios o ( Se indicar los cambios que se realizarn en el Plan de Contingencia como consecuencia actualizaciones de las observaciones detectadas en las pruebas correspondientes) en el Plan de Contingencia Participantes V B y Aprobacin Firma Participante Cargo Control y Certificacin de Pruebas de Contingencia (del plan) (Nombre del proceso a probar/certificar) (Area responsable del proceso probar/certificar) (Nombre del servidor / pc / maquina en proceso de prueba o certificacin)
76 Anexo A04: :: : Copias de Respaldo
Todo nuevo desarrollo de aplicaciones que el IMARPE realice, considerar un proceso de respaldo de la informacin que incluye programas fuentes, ejecutables, objetos, base de datos, documentacin, configuraciones de los equipos y software entre otros.
La ejecucin de los respaldos ser responsabilidad del rea de Soporte Tcnico de la Unidad de Informtica, estar basada en una rutina de copias de seguridad tipo Normal o Bsico y la frecuencia y contenido de estas copias de respaldo se har tal como se indica en el cuadro siguiente: CUADRO 06: Rutinas de Respaldo
RUTINA DE RESPALDOS (BACKUP) Frecuencia de Backup Contenido Da de entrega Periodo de retencin Cantidad de copias Destino Diario Base de Datos Lunes a domingo Una semana 01 Uno para la Unidad de Informtica Semanal Base de Datos Domingos Seis meses 02 Uno para la Unidad de Informtica y otra para la Av. Argentina u empresa tercero Anual Base de datos al cierre del ao. Programas fuentes y objetos. Primer da til del siguiente ao Tres aos 02 Uno para la Unidad de Informtica y otra para la Av. Argentina u empresa tercero
Las caractersticas de los respaldos de informacin se mencionan a continuacin: Los respaldos se realizarn en medios magnticos removibles (LTO3 de 400:800 Gg), y sern etiquetados inmediatamente despus de acabada la operacin de backup. La terminologa que se utilice para identificacin de los cartuchos, estar basada principalmente en la fecha de realizacin del mismo, y tambin en la naturaleza de la data archivada. Los cartuchos sern almacenados en las instalaciones del IMARPE. Como medida de contingencia, se sugiere que se implemente una rutina de rotacin de cartuchos mediante el cual al menos una vez a la semana se almacene una copia de los sistemas desarrollados en las instalaciones del IMARPE.
77 Anexo A05: :: : Subfactores entregados como parte del Plan de Instalacin
Sistema Anti-Intrusin Se ha instalado sensores de movimiento marca ROKONET, cuya finalidad es detectar el ingreso de personas al edificio. Este sistema ante la presencia de cualquier individuo o fuente de calos, hace sonar la alarma ubicado en el patio de ingreso. La seal tambin es registrada en la empresa HERMES mediante sistema de control remoto. En base a estas seales se toman las decisiones pertinentes. Del mismo modo urge la instalacin de este sistema para la sala de servidores. Sistema de Circuito Cerrado Se recomienda un sistema de circuito cerrado compuesto por cmaras de vigilancia por video con grabadora digital que permita almacenar registros durante 30 das. Este sistema nos permitir obtener registro e imagen del rea donde se encuentre para detectar intrusiones, eventos no deseados, sabotajes, entre otros. Sistema Anti-Inundacin Se recomienda reparacin completa en el sistema de drenaje y la instalacin de sensores de aniego. Sistema Contra Incendio (Extintores) La institucin en la sede central cuenta con un sistema de proteccin contra incendios, el cual se basa en extintores de polvo qumico seco (PQS) y gas carbnico (Co2) distribuidos en todos los pisos de la institucin desde el stano hasta la azotea (sptimo piso). As tambin en la explanada, Laboratorio Von Humboldt y el muelle. El IMARPE cuenta con los siguientes tipos de extintores para las diversas clases de incendios: Incendios de Clase A: Todo lo referente a Materiales slidos (Papel, Madera, Cartn). Incendios Clase B y C: Todo lo referente a Lquidos Inflamables y/o Equipos Elctricos (Gasolina, Pinturas, Solventes, Equipos elctricos conectados).
Sistema Contra Incendio (Agente Limpio) Se cuenta con gabinete de lucha contra incendios que consta de una manguera de 50 metros de largo dos pulgadas de dimetro, un hacha y un extintor PQS de 6 kilos adicional. As tambin tenemos en todas las oficinas y pasadizos extintores de gas carbnico y de polvo qumico seco de conformidad a la norma NFPA 10.
78 Luces de Emergencia Se ha instalado sistema de luces de emergencia, las cuales tiene una batera interna que se activan ante un corte de fluido elctrico con una autonoma de 02 horas y estn distribuidos en todas las reas los pasadizos de cada piso en la sede central. Se recomienda la activacin de estas luces por encontrarse actualmente inoperativas.
Grupo Electrgeno Existe un GRUPO ELECTROGENO DIESEL MODELO MP-30 DE 28 KW DE POTENCIA CONTINUA A 220 V. 60 hz., el cual se encuentra ubicado en el Stano 1 al costado de la Sub. Estacin elctrica del IMARPE Av. Esquina Gamarra y General Valle S/N - Chucuito Callao. Es recomendable la adquisicin de un GRUPO ELECTROGENO de mayor potencia en proporcin a la demanda de usuarios y equipos de investigacin de ltima tecnologa.