RESOLUCIN JEFATURAL N 070-2007-J-CONIDA FECHA DE APROBACIN:09.MAY.

2007

Lima, El Jefe Institucional de la Comisin Nacional de Investigacin y Desarrollo Aeroespacial - CONIDA; CONSIDERANDO Que, la Institucin cuenta con equipos informticos y perifricos necesarios para el desarrollo de sus actividades, los mismos que son susceptibles de siniestros; Que, la Oficina General de Administracin ha elaborado la Directiva N 0132007-CONIDA/OGA, sobre Plan de Contingencia de Equipos Informticos que norma las acciones y procedimientos que permite reducir y eliminar el riesgo de siniestros; siendo necesario aprobarla; De conformidad con el Decreto Ley N 20643, Ley de Creacin de CONIDA; y dems normas legales concordantes y conexas; Estando a lo propuesto por el Director General de Administracin, a lo opinado por la Asesora Legal y a lo acordado con el Jefe Institucional; SE RESUELVE: ARTICULO PRIMERO.- APROBAR, la Directiva N 013-2007 CONIDA/OGA, sobre Plan de Contingencias de Equipos Informticos, que norma institucionalmente las acciones sobre el tema, y que forma parte integrante de la presente Resolucin. Encargar a la Direccin de Capacitacin la ARTICULO SEGUNDO.formulacin, programacin, coordinacin, ejecucin y control de lo dispuesto en la Directiva aprobada en el Artculo precedente. REGISTRESE y COMUNIQUESE

COMISION NACIONAL DE INVESTIGACIN Y DESARROLLO AEROESPACIAL CONIDA DIRECTIVA N 013-2007 CONIDA/OGA PLAN DE CONTINGENCIA DE EQUIPOS INFORMTICOS

I.

ASPECTOS GENERALES El Plan de Contingencia implica un anlisis de los posibles riesgos a los cuales pueden estar expuestos los equipos de cmputo y la informacin contenida en los diversos medios de almacenamiento. OBJETIVO Reducir el riesgo sobre la posibilidad de ocurrencia de siniestro de hardware, software, informacin y de los equipos perifricos. FINALIDAD Establecer los procedimientos que permitan reducir el riesgo de siniestro de cualquier ndole. ALCANCE La presente Directiva es de observancia y estricto cumplimiento de todo el personal de CONIDA, sea cual fuere su rgimen laboral. VIGENCIA La presente Directiva tendr vigencia desde la fecha de aprobacin mediante Resolucin Jefatural y hasta el 31 de Diciembre de 2007. PLAN DE CONTINGENCIA 6.1 El Plan de Contingencia de equipos de cmputo y bienes colaterales considera dos aspectos importantes: o a. Incluye las actividades que se deben realizar y los grupos de trabajo responsables de operar. b. El control, referido a las pruebas y verificaciones peridicas sobre la operatividad y actualizacin del plan de contingencia. 6.2 Forman parte del plan de contingencias: El plan de reduccin de riesgos o plan de seguridad y el plan de recuperacin de desastres. 6.3 El plan de recuperacin de desastres tiene tres fases claramente definidas: Actividades previas al desastre; Actividades durante el desastre y Actividades despus del desastre. 6.4 Las actividades previas al desastre son: a. Establecimiento del plan de accin, que comprende a.1 Sistema de informacin: son los sistemas producidos en la entidad y que son vitales para el adecuado funcionamiento de la misma. a.2 Equipos de cmputo: Se cuenta con el inventario actualizado de Hardware y Software, especificacin tcnica, ubicacin fsica y el rea a la que est asignada. Se cuenta con plizas de seguros. Se encuentran

II.

III.

IV.

V.

VI.

6.5

etiquetados los computadores de acuerdo a la importancia de su contenido a fin de tener prioridad en caso de evacuacin. La Sub Direccin de Informtica es la responsable de identificar las computadoras de acuerdo a su importancia, para lo cual deber hacer uso del inventario de equipos de informtica, el mismo que les proporcionar la informacin para probables reemplazos de equipos. a.3 Obtencin y almacenamiento de los Respaldos de Informacin (BACKUPS), que incluye: Dos Backups del Sistema Operativo por cada versin. Backup del Software Base (paquetes y/o lenguajes de programacin con los cuales han sido desarrollados o interactan los aplicativos institucionales). Backup del Software Aplicativo. Backup de los Datos. Backup del Hardware. Procedimiento para los equipos, que por sus caractersticas tcnicas y capacidades, son susceptibles de ser usados como equipos de emergencia. a.4 Polticas (normas y procedimientos de Backup), que considera: Determinacin de responsabilidades en la obtencin del Backup mencionado anteriormente; debindose incluir: El Backup se realizar cada tres meses, y en casos muy importantes con carcter mensual. Almacenamiento del Backup en condiciones ambientales ptimas, dependiendo del medio magntico empleado. Reemplazo del Backup, en forma peridica, antes que el medio magntico de soporte se pueda deteriorar (reciclaje o refresco). Pruebas peridicas del Backup, verificando su funcionalidad, a travs de los sistemas, comparando contra resultados anteriores confiables. b. Formacin de equipos operativos, mediante la designacin del responsable de seguridad de la informacin en cada rgano. Las funciones de los responsables sern: Ponerse en contacto con los propietarios de las aplicaciones y trabajar con ellos. Proporcionar soporte tcnico para las copias de respaldo de las aplicaciones. Planificar y establecer los requerimientos de los sistemas operativos en cuanto ha archivos, bibliotecas, utilitarios, etc., para los principales sistemas y subsistemas. Supervisar procedimientos de respaldo y restauracin. Supervisar la carga de archivos de datos de las aplicaciones, y la creacin de respaldos incrementales. Coordinar lneas, terminales, modem y otros para comunicaciones. Establecer procedimientos de seguridad en los sitios de recuperacin. Organizar la prueba de hardware y software. Realizar labor de recupero de inventario y seguridad del almacenamiento. Participar en las pruebas y simulacros de desastres. c. Formacin de equipos de evaluacin para realizar la auditora de los procedimientos de seguridad; cuyas funciones sern: Revisar la aplicacin y cumplimiento de las normas y procedimientos con respecto a Backups, seguridad de equipos y data. Supervisar la realizacin peridica de los backups, por parte de los equipos operativos, comprobando fsicamente su realizacin, adecuado registro y almacenamiento. Revisar la correlacin entre la relacin de sistemas e informacin necesarios para la buena marcha de la Institucin, y los backups realizados. Informar sobre el cumplimiento e incumplimiento de las normas, para las acciones de correccin respectivas. Las actividades durante el desastre son: a. Plan de emergencias: Sealizacin de los extintores. Cobertores contra el agua b. Formacin de equipos: El personal de la Sub Direccin de Informtica es el responsable del salvamento de equipos informticos, de acuerdo a la prioridad del equipo.

6.6

c. Entrenamiento: Establecer un programa de prcticas peridicas para el personal, en la lucha contra los diferentes tipos de siniestros, de acuerdo a los roles que se le haya asignado en los planes de evacuacin de personal o equipos. Para este caso la Oficina de Logstica deber aprovechar las fechas de recarga de los extintores y propiciar charlas con organismos vinculados a siniestros. El personal debe tomar conciencia de que los siniestros (incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y deben asumir con seriedad y responsabilidad los entrenamientos. Los Funcionarios tambin estn en la obligacin de participar en los entrenamientos. Las actividades despus del desastre son: a. Evaluacin de los daos: Inmediatamente despus de concluido el siniestro, se deber evaluar la magnitud del dao producido. Qu sistemas se afectaron; qu equipos estn no operativos; cules se pueden recuperar y en cunto tiempo, etc. Comunicar a los organismos con los que se tiene convenio de respaldo a fin de preparar la reposicin de equipos b. Priorizar las actividades del plan de accin.: Si el plan de accin es general y contempla una prdida total; la evaluacin de daos reales y su comparacin contra el plan, proporcionar la lista de las actividades a realizar en funcin de la prioridad. Es importante evaluar la dedicacin del personal a actividades que puedan no haberse afectado, a fin de asignarlos en forma temporal a las actividades afectadas, en apoyo al personal de los sistemas afectados y soporte tcnico. c. Ejecucin de actividades: Conformacin de equipos de trabajo para realizar las actividades previamente establecidas en el plan de accin. Cada uno de los equipos deber contar con un coordinador que deber reportar diariamente el avance de los trabajos de recuperacin y, en caso de producirse algn problema, reportarlo de inmediato a la jefatura a cargo del Plan de Contingencias. El trabajo de recuperacin consta de dos etapas: la primera, la restauracin del servicio usando los recursos de la Institucin o local de respaldo, y la segunda, volver a contar con los recursos en las cantidades y lugares apropiados, debiendo ser esta etapa lo suficientemente rpida y eficiente para no perjudicar la operatividad de la institucin o local de respaldo. d. Evaluacin de resultados: Concluida la labor de recuperacin del sistema afectada por el siniestro, se debe evaluar objetivamente, todas y cada una de las actividades realizadas, considerndose entre otros aspectos: Qu tan bien se hicieron; qu tiempo demando; qu circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan de accin; cmo se comportaron los equipos de trabajo. De la Evaluacin de resultados y del siniestro en si, deben obtenerse dos tipos de recomendaciones: una la retroalimentacin del plan de Contingencias y otra una lista de recomendaciones para minimizar la prdida que ocasion el siniestro. e. Retroalimentacin del plan de accin: Con la evaluacin de resultados, debe optimizarse el plan de accin original, mejorando las actividades que tuvieron algn tipo de dificultad y reforzando los elementos que funcionaron adecuadamente. Evaluar cual hubiera sido el costo de no tener un plan de contingencias. El riesgo es la probabilidad de ocurrencia de eventos negativos que perjudiquen los equipos informticos y perifricos. El anlisis supone obtener una evaluacin econmica del impacto de dichos sucesos negativos. El valor calculado se utiliza

6.7

para contrastar el costo de la proteccin de la informacin con el costo de una nueva produccin. 6.8 Se considerarn los siguientes factores de riesgo Factor de riesgo muy bajo Factor de riesgo bajo Factor de riesgo medio Factor de riesgo alto Factor de riesgo muy alto Se efectuar un resumen de los riesgos ordenados por el factor de riesgo de cada uno de ellos contemplados en el numeral 6.12 de la presente Directiva 6.9 El anlisis de riesgos supone responder a preguntas y determinar su grado de confiabilidad: Qu puede ir mal? Con qu frecuencia puede ocurrir? Cules seran las consecuencias? 6.10 La evaluacin de riesgos supone responder a preguntas con la mayor confiabilidad: Qu se intenta proteger Cul es el valor para la organizacin o para la persona Frente a qu se intenta proteger Cul es la probabilidad de un ataque 6.11 Los rganos de la institucin, sin excepcin, estn obligados a brindar todo el apoyo necesario a la Subdireccin de Informtica de la Direccin de Capacitacin. 6.12 Los Directores Generales, Directores de Lnea o Jefes de Oficina, segn sea el caso, designarn a los responsables de cada rea usuaria para que brinden apoyo al personal de la Sub Direccin de Informtica en los siguientes aspectos: A qu riesgos en la seguridad informtica se enfrenta la Institucin? Al fuego, que puede destruir los equipos y archivos: .- La Institucin cuenta con proteccin contra incendios .- Se cuenta con sistemas de aspersin automtica .- Diversos extintores .- Detectores de humo .- Los empleados estn preparados para enfrentar un posible incendio Al robo comn, llevndose los equipos y archivos. .- En qu tipo de vecindario se encuentra la Institucin .- Hay venta de drogas .- Las computadoras se ven desde la calle .- Hay personal de seguridad en la Institucin .- Cuntos vigilantes hay .- Los vigilantes, estn ubicados en zonas estratgicas Al vandalismo, que daen los equipos y archivos. .- Existe la posibilidad qu un ladrn desilusionado o frustrado cause daos .- Hay la probabilidad qu causen algn otro tipo de dao intencionado A fallas en los equipos, que daen los archivos .- Los equipos tienen mantenimiento continuo por parte de personal calificado .- Cules son las condiciones actuales del hardware .- Es posible predecir las fallas a que estn expuestos los equipos A equivocaciones, que daen los archivos. .- Cunto saben los empleados de computadoras o redes .- El que no conocen el manejo de la computadora, sabe a quin pedir ayuda .- Durante el tiempo de vacaciones de los empleados, qu tipo de personal los sustituye y qu tanto saben del manejo de computadoras?

A la accin de virus, que daen los equipos y archivos. .- Se prueba software en la oficina sin hacerle un examen previo .- Est permitido el uso de disquetes en la oficina .- Todas las mquinas tienen unidades de disquetes .- Se cuentan con procedimientos contra los virus A terremotos, que destruyen el equipo y los archivos. .- La Institucin se encuentra en una zona ssmica? .- El edificio cumple con las normas antissmicas? .- Un terremoto, cunto dao podra causar? A accesos no autorizados, filtrndose datos no autorizados. .- Cunta competencia hay para la Institucin .- Qu probabilidad hay que un extrao intente hacer un acceso no autorizado .- El MODEM se usa para comunicarse hacia fuera y hacia dentro .- Se cuenta con Sistemas de Seguridad en el Correo Electrnico o Internet Al robo de datos, difundindose los datos sin cobrarlos. .- Cunto valor tienen actualmente las Bases de Datos .- Cunta prdida podra causar en caso de que se hicieran pblicas .- Se ha elaborado una lista de posibles sospechosos que pudieran robar .- La lista de sospechosos, es amplia o corta? Al fraude, desviando fondos merced a la computadora .- Cuntas personas se ocupan de la contabilidad de la Institucin .- El sistema de contabilidad es confiable .- Los que trabajan en contabilidad, tienen antecedentes laborales, de qu tipo .- Existe acceso al sistema contable desde otros sistemas o personas 6.13 La Sub Direccin de Informtica evaluar las probables fallas en el sistema de seguridad. 6.14 Las Direcciones Generales, Direcciones de Lnea y Jefes de Oficina, segn sea el caso, dispondrn que el personal realice con carcter obligatorio las siguientes acciones de proteccin de los equipos e informacin. Generales: Una copia mensual de los archivos que son vitales para la Institucin Robo comn: Cerrar las puertas de entrada y ventanas de cada Oficina. Se cuenta con personal de seguridad en la entrada del local y cerco elctrico perimtrico Vandalismo: Cerrar las puertas de ingreso Falla de los equipos: Tratar con cuidado, realizar el mantenimiento en forma regular, no fumar, debe estar previsto el prstamo de otros equipos. Dao por virus: Todo el software que llega se analiza en un sistema utilizando software antivirus. Los programas de dominio pblico y de uso compartido (Shareware), slo se usan si proceden de una fuente fiable. Equivocaciones: El servidor debe tener buena formacin. Terremoto: Aplicar la proteccin contra incendio. Acceso no autorizado: Cerrar la puerta de entrada, la vigilancia debe rondar por todo el permetro de las Instalaciones de CONIDA. Robo de datos: Mantener cerrada la puerta principal. Todas las Pcs deben estar bloqueadas con claves de acceso. Fuego: Colocar extintores en sitios estratgicos y la oficina de Logstica debe propender a entrenamiento para el uso de los mismos. VII. DISPOSICIONES ESPECFICAS 7.1 La Direccin de Capacitacin a travs de la Sub Direccin de Informtica es la responsable formular, programar, realizar, coordinar, ejecutar, evaluar y controlar el Plan de Contingencias de equipos informticos y perifricos.

7.2

7.3

7.4

7.5

7.6

7.7

La Oficina General de Administracin a travs de la Oficina de Logstica es la responsable del entrenamiento en el uso de extintores, para lo cual deber programar las fechas en que se realizar tal entrenamiento. La Oficina General de Administracin a travs de la Oficina de Logstica es la responsable de proporcionar a la Sub Direccin de Informtica el inventario de equipos informticos y perifricos debidamente actualizados. Las Direcciones Generales, Direcciones de Lnea y Jefes de Oficina, segn sea el caso, y bajo responsabilidad proporcionarn a la Direccin de Capacitacin el nombre del responsable (nombrado o contratado por servicios personales) para que forme parte del equipo del plan de contingencia, dentro de los cinco (05) das tiles de aprobado la presente Directiva. El nombre del responsable no debe coincidir con el nombre de personal alguno de la Sub Direccin de Informtica. Copia de la designacin se alcanzar a la Jefatura Institucional. La Direccin de Capacitacin a travs de la Sub Direccin de Informtica elaborar y ejecutar, dentro de los treinta (30) das calendario posteriores a la aprobacin de la presente Directiva, la encuesta o cuestionario que desarrollar todo el personal de la entidad. El personal institucional est en la obligacin, bajo responsabilidad, de desarrollar objetivamente la encuesta o cuestionario que la sub Direccin de Informtica le presentar. El desarrollo de la encuesta o cuestionario se desarrollar en un solo acto. Los Directores Generales, Directores de Lnea y Jefes de Oficina, segn sea el caso, brindarn a su personal las facilidades para el cumplimiento de los objetivos. Previo al desarrollo de la encuesta o cuestionario, la Sub Direccin de Informtica brindar charlas al personal.

VIII. DISPOSICIONES COMPLEMENTARIAS 8.1 El Plan de Contingencias de equipos informticos y perifricos tiene la clasificacin de prioridad muy alta. 8.2 El Director de Capacitacin es el responsable de velar por el estricto cumplimiento de lo dispuesto en la presente Directiva. 8.3 El personal de la entidad, independientemente de su nivel y cargo forma parte como un todo del plan de contingencias. 8.4 La Direccin de Capacitacin remitir va correo electrnico, a cada trabajador, la presente Directiva. 8.5 El personal har suyo lo establecido en la presente Directiva, bajo responsabilidad. 8.6 El Director de Capacitacin, bajo responsabilidad informar, dentro los 10 das calendarios posteriores al trmino de cada mes, a la Jefatura institucional sobre la ejecucin del Plan de Contingencias, formulando las recomendaciones a que hubiere lugar. DIRECCIN GENERAL DE ADMINISTRACIN