Plan de Contingencias Dreu 2015 2016

Plan de Contingencias de los Sistemas de Informacin
Centro de Cmputo DREU
PRESENTACIN
En toda entidad de la Administracin pblica se precisa contar con un Plan de

Contingencias de los Sistemas de Informacin que garantice la funcionalidad de los
mismos dentro de la entidad y teniendo en cuanta las consideraciones estipuladas en
la Norma Tcnica Peruana: NTP-ISO/IEC 17799:2007.
El presente Plan de Contingencias de la DREU lo estamos considerando a partir del
2015 al 2016 y comprende los siguientes puntos: Marco Terico, Identificacin de
riesgos, Calificacin de la probabilidad de que ocurra un riesgo, Evaluacin del impacto
en los procesos ms crticos, creacin de estrategias de contingencias y adems se
incluye las dificultades en la que actualmente nos encontramos como Institucin.
Ing. Karina Gordon Zumaeta

Analista de Sistemas PAD II
DREU

CAPITULO I: MARCO TEORICO

1. Introduccin
Con los avances de la tecnologa y el crecimiento de los Sistemas de Informacin en las
entidades pblicas y privadas, es vital considerar y elaborar el Plan de Contingencia de
estos Sistemas lo cual nos permitir mantener la continuidad de los mismos frente a
eventos crticos, que puedan ocurrir en nuestra entidad y minimizar el impacto negativo
sobre los trabajadores y usuarios finales. Deben ser parte integral de su organizacin y
servir para evitar interrupciones, estar preparado para fallas potenciales y guiar hacia una
solucin.
2. Qu son los Sistemas de Informacin?
Un Sistema Informtico utiliza ordenadores para almacenar los datos de una organizacin y
ponerlos a disposicin de su personal. Por ejemplo cuando una persona tiene una
computadora en la que inserta datos a una aplicacin o sistema. En nuestro caso nuestra
entidad
cuenta con varios sistemas de Informacin como el SUP(Sistema nico de
Planillas), NEXUS(Control de Plazas), SIRA( Sistema de Informacin de Racionalizacin) SIAF,

SIGA, entre otros en la que muchos usuarios hacen uso de estos para diferentes
transacciones: ingreso, modificacin y actualizacin de datos. Los sistemas de informacin
tienen muchas cosas en comn como por ejemplo todos estn formados por personas,
equipos y procedimientos. Este proceso en el que interactan
varios actores como
personas, computadoras, aplicaciones, procedimientos son importantes da a da y por ello

se hace imprescindible tomar medidas que nos permitan garantizar una continuidad en la
3

operatividad de los sistemas para que no se afecten los objetivos de los sistemas y no
perder la inversin de costos y tiempo.
La presente figura nos muestra que se puede considerar un Sistema de Informacin (SI) como
un conjunto de componentes que interactan para que nuestra entidad pueda alcanzar sus
objetivos y resultados de manera satisfactoria. Los componentes o recursos de un SI son los
siguientes:
Datos: En general se consideran datos tanto los estructurados como los no estructurados,
las imgenes, los sonidos, etc.
Aplicaciones: Se incluyen los manuales y las aplicaciones informticas.
Tecnologa: El software y el hardware; los sistemas operativos; los sistemas de gestin de

bases de datos; los sistemas de red, etc.
Instalaciones: En ellas se ubican y se mantienen los sistemas de informacin.
Personal: Los conocimientos especficos que ha de tener el personal de los sistemas de
informacin para planificarlos, organizarlos, administrarlos y gestionarlos.
3.
Qu es un Plan de Contingencia?

Podramos definir a un Plan de Contingencias como una estrategia planificada con una
serie de procedimientos que nos faciliten o nos orienten a tener una solucin alternativa
que nos permita restituir rpidamente los servicios de la organizacin ante la
eventualidad de todo lo que lo pueda paralizar, ya sea de forma parcial o total.
El Plan de Contingencia es una herramienta que nos ayudar a que los procesos crticos de
nuestra entidad continen funcionando a pesar de una posible falla en los sistemas
computarizados. Es decir, un plan que le permite seguir operando aunque sea al mnimo.
4. Objetivos del Plan de Contingencia.
Garantizar la continuidad de las operaciones de los elementos considerados

crticos que componen los Sistemas de Informacin.
Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos

que componen un Sistema de Informacin.
5. Aspectos Generales de la Seguridad de la Informacin.

5.1 Seguridad Fsica
La seguridad fsica garantiza la integridad de los recursos humanos, lgicos y
materiales de un Sistema de Informacin de datos. Si se entiende de la contingencia o
proximidad de un dao como la definicin de Riesgo de fallo, local o general, tres
seran las medidas a preparar para ser utilizadas en relacin a la cronologa de fallo.

5.1.1 Antes.
El nivel adecuado de seguridad fsica, o grado de seguridad, es un conjunto de
acciones utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias
que de l se puedan derivar.
Es un concepto aplicable a cualquier actividad, no slo a la informtica, en la que
las personas hagan uso particular o profesional de entornos fsicos.
Ubicacin del edificio.
Ubicacin del Centro de Procesamiento de Datos dentro del Edificio.
Compartimentacin.
Elementos de la Construccin.
Potencia elctrica
Acometida
Sistemas contra incendios, puesta a tierra.
Control de Accesos.
Seleccin de personal.
Seguridad de los medios.
Medidas de proteccin.
Duplicacin de medios.
5.1.2 Durante.

Se debe de ejecutar un Plan de Contingencia adecuado. En general, cualquier

desastre es cualquier evento que, cuando ocurre, tiene la capacidad de
interrumpir el normal proceso de una empresa.
La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el
impacto podra ser tan grande que resultara fatal para la organizacin. Por otra
parte, no es corriente que una organizacin responda por s mismo ante un
acontecimiento como el que se comenta, se deduce la necesidad de contar con
los medios necesarios para afrontarlo. Estos medios quedan definidos en el Plan
de Recuperacin de Desastres que junto con el Centro Alternativo de Proceso
de Datos constituye el Plan de Contingencia de las necesidades que coordina,
las necesidades del negocio y las operaciones de recuperacin del mismo.
Son puntos imprescindibles del plan de contingencia:
Realizar un anlisis de riesgos de sistemas crticos que determine la

tolerancia de los sistemas.
Establecer un periodo crtico de recuperacin, en la cual los procesos

deben ser reanudados antes de sufrir prdidas significativas o
irrecuperables.
Realiza un anlisis de aplicaciones crticas porque se establecern las

prioridades del proceso.
Determinar las prioridades del proceso por das del ao, que indiquen
cuales son las aplicaciones y sistemas crticos en el momento de ocurrir
el desastre y el orden de proceso correcto.
Establecer objetivos e recuperacin que determinen el periodo de

tiempo(horas, das, semanas) entre la declaracin de desastre y el
momento en el que el centro alternativo puede procesar las aplicaciones
crticas.
7

Designar entre los distintos tipos existentes, un centro alternativo de

proceso de Datos.
Asegurar la capacidad de las comunicaciones
Asegurar la capacidad de los servidores Back-up
5.1.3 Despus.
Los contratos de seguros vienen a compensar, en mayor o menor medida las
prdidas, gastos o responsabilidades que se puedan derivar para el centro de
proceso de datos una vez detectado y corregido el fallo. De la gama de seguros
existentes se pueden indicar los siguientes:
Centro de Proceso y Equipamiento: se contrata sobre el dao fsico en

el CPD (Centro de Procesamiento de Datos) y el equipo contenido en l.
Reconstruccin de medios de software: cubre el dao producido sobre

medios software tanto los que son de propiedad del tomador de seguro
como aquellos que constituyen su responsabilidad.
Gastos extra: cubre los gastos extras que derivan de la continuidad de

las operaciones tras un desastre o dao en el Centro de Proceso de
Datos. Es suficiente para compensar los costos de ejecucin del Plan de
Contingencia.
Interrupcin del negocio: cubre las prdidas de beneficios netos

causadas por la cadas de los medios informticos o por la suspensin de
las operaciones.
Documentos y registros valiosos: se contrata para obtener una

compensacin en el valor metlico real por la prdida o dao fsico
sobre documentos y registros valiosos no amparados por el seguro de
reconstruccin de medios de software.

Errores
Omisiones:
proporciona
proteccin
legal
ante
la
responsabilidad en que pudiera ocurrir que un trabajador que cometiera

un acto, error u omisin que ocasione una prdida financiera a la
organizacin.
Cobertura de fidelidad:
cubre las prdidas derivadas de actos
deshonestos o fraudulentos cometidos por empleados.
Transporte de medios: proporciona cobertura ante prdidas o daos a

los medios transportados.
Contratos con proveedores y de mantenimiento: proveedores o

fabricantes que aseguren la existencia de accesorios y consumibles, as
como las garantas de fabricacin.
5.2 Conceptos Generales.
5.2.1 Privacidad
Se define como el derecho que tienen los individuos y organizaciones para
determinar, ellos mismos, a quien, cuando y qu informacin referente a ellos
sern transfundidas o transmitidas a otros en concordancia con la Ley N 27806
de Transparencia y Acceso a la Informacin Pblica.
5.2.2 Seguridad
Se refiere a las medidas tomadas con la finalidad de preservar los datos o
informacin que en forma no autorizada, sea accidental o intencionalmente,
puedan ser modificados, destruidos o simplemente divulgados.
Es el caso de los datos de una organizacin, la privacidad y la seguridad guardan
estrecha relacin, aunque la diferencia entre ambas radica en que la primera se
9

refiere a la distribucin autorizada de informacin de acuerdo a una Ley ya dada,

mientras que la segunda, al acceso no autorizado de los datos.
El acceso a los datos queda restringido mediante el uso de palabras claves a
travs de los Sistemas de Informacin que utilizamos en la DREU, de forma que
los usuarios no autorizados no puedan ver o actualizar informacin de una base
de datos teniendo perfiles definidos para cada usuario.
5.2.3 Integridad
Se refiere a que los valores de los datos se mantengan tal como fueron puestos
intencionalmente en un sistema. Las tcnicas de integridad sirven para prevenir
que existan valores errados en los datos provocados por el software de la base
de datos, por fallas de programas, del sistema, Hardware o errores de personas.
El concepto de integridad abraca la precisin y la fiabilidad de los datos, as
como la discrecin que se debe tener con ellos.
5.2.4 Datos
Los datos
son hechos y cifras que al ser procesados constituyen una
informacin, sin embargo muchas veces los datos e informacin se utilizan

como sinnimos.
En su forma ms amplia los datos pueden ser cualquier forma de informacin:
campos de datos, registros, archivos y bases de datos, texto (coleccin de
palabras), hojas de clculo (datos en forma matricial), imgenes (lista de
vectores o cuadros de bits), vdeo (secuencia de tramas), etc
5.2.5 Base de Datos

Una base de datos es un conjunto de datos organizados, entre los cuales existe
una correlacin y que adems, estn almacenados con criterios independientes
10

de los programas que los utilizan. Tambin puede definirse, como un conjunto
de archivos interrelacionados que es creado y manejado por un Sistema de
Gestin o de Administracin de Base de Datos (Data Base Management SystemDBMS). Las caractersticas que presenta un DBMS son las siguientes:
Brinda seguridad e integridad a los datos.
Provee lenguajes de consulta (interactivo).
Provee una manera de introducir y editar datos en forma interactiva.
Existe independencia de los datos, es decir, que los detalles de la organizacin
de los datos no necesitan incorporarse a cada programa de aplicacin.
5.2.6 Acceso
Es la recuperacin o grabacin de datos que han sido almacenados en un
sistema de computacin. Cuando se consulta a una base de datos, los datos son
primeramente recuperados hacia la computadora y luego transmitidos a la
pantalla del terminal.
5.2.7 Ataque
Trmino general usado para cualquier accin o evento que intente interferir con
el funcionamiento adecuado de un sistema informtico, o intento de obtener de
modo no autorizado la informacin confiada a una computadora.
5.2.8 Ataque Activo

Accin iniciada por una persona que amenaza con interferir el funcionamiento
adecuado de una computadora, o hace que se difunda de modo no autorizado
informacin confiada a una computadora personal. Ejemplo: El borrado
intencional de archivos, la copia no autorizada de datos o la introduccin de un
virus diseado para interferir el funcionamiento de la computadora.
11

5.2.9 Ataque Pasivo

Intento de obtener informacin o recursos de una computadora personal sin
interferir con su funcionamiento, como espionaje electrnico, telefnico o la
intercepcin de una red. Todo esto puede dar informacin importante sobre el
sistema, as como permitir la aproximacin de los datos que contiene.
5.2.10 Amenaza
Cualquier cosa que pueda interferir con el funcionamiento adecuado de una
computadora personal, o causar la difusin no autorizada de informacin
confiada a una computadora. Ejemplo: Fallas de suministro elctrico, virus,
saboteadores o usuarios descuidados.
5.2.11 Incidente
Cuando se produce un ataque o se materializa una amenaza, tenemos un
incidente, como por ejemplo las fallas de suministro elctrico o un intento de
borrado de un archivo protegido.
5.2.12 Golpe (Breach)

Es una violacin con xito de las medidas de seguridad, como el robo de
informacin, el borrado de archivos de datos valiosos, el robo de equipos, PC,
etc.
6. Seguridad Integral de la Informacin

12

La funcin del procesamiento de datos es un servicio de toda la institucin, que apoya no

slo a los sistemas de informacin administrativa sino tambin a las operaciones
funcionales. La Seguridad un aspecto de mucha importancia en la correcta Administracin
Informtica, lo es tambin de toda la Institucin.
Las medidas de seguridad estn basadas en la definicin de controles fsicos, funciones,
procedimientos y programas que conlleven no slo a la proteccin de la integridad de los
datos, sino tambin a la seguridad fsica de los equipos y de los ambientes en que stos se
encuentren.
En relacin a la seguridad misma de la informacin, estas medidas han de tenerse en
cuenta para evitar la prdida o modificacin de los datos, informacin o software inclusive,
por personas no autorizadas, para lo cual se deben tomar en cuenta una serie de medidas,
entre las cuales figurarn el asignar nmeros de identificacin y contraseas a los usuarios.
1.1 Back-UP
Es la actividad de respaldo de informacin de las bases de datos de los Sistemas de
Informacin que se manejan en la entidad.
1.2 Cloud Computer

Es el resguardo de informacin en la nube de internet.
13

CAPITULO II: FASES DE LA METODOLOGIA PARA EL DESARROLLO DE UN

PLAN DE CONTINGENCIA DE LOS SISTEMAS DE
INFORMACIN.
Para determinar un modelo de un Plan de Contingencia mucho depender de la
infraestructura de nuestra entidad y de los servicios que se ofrecen. No existe un modelo nico
para todos, lo que se intenta es dar los puntos ms importantes y fases que considera el INEI
en base a la experiencia de las entidades pblicas.
La presente metodologa se podra resumir en 8 fases:
Planificacin: preparacin y aprobacin de esfuerzos y costos
Identificacin de Riesgos: Funciones y flujos del proceso de la empresa
Identificacin de soluciones: Evaluacin de riesgos de fallas o interrupciones.
Estrategias: Otras opciones, soluciones alternativas, procedimientos manuales.
Documentacin del Proceso: creacin de un manual del proceso.
Realizacin de pruebas: seleccin de casos soluciones que probablemente funcionen.
Implementacin: creacin de soluciones requeridas, documentacin de los casos.
Monitoreo: Probar nuevas soluciones o validar los casos.
FASE I: PLANIFICACIN
1.1 Diagnstico
La Direccin Regional de Educacin de Ucayali actualmente viene sufriendo una falta de
infraestructura propia. Las reas y diferentes oficinas se encuentran distribuidas en 5
locales temporales de funcionamiento:
14

LOCAL 1: Av. Saenz Pea 220; donde funcionan las oficinas de Remuneraciones,
Computo y Pensiones.
LOCAL 2: Sub-cafae Av. Pedro Paiva N214: donde funcionan las oficinas de
Administracin( Personal, Contabilidad, Tesorera, Presupuesto,Abastecimiento,
Escalafn, Patrimonio), Secretaria General, Direccin.
LOCAL 3: DGP Jr. Iquitos 383, donde funcionan las oficinas de la Direccin de
Gestin Pedaggica.
LOCAL 4: DGI I.E Jorge Chvez, donde funcionan las oficinas de la Direccin de
Gestin Institucional.
LOCAL 5: I.E. COMERCIO, donde funciona el rgano de Control Institucional.
Cada Local tiene una conexin independiente de red e Internet. Cada Local 2, 3, 4 y 5
cuenta con servicio de Internet Speedy y una red LAN. El Local 1 cuenta con una
interconexin LAN/WAN con el Ministerio de Educacin y el servicio de Internet es a
travs de fibra ptica, contando adems con servici de telefona IP. Sin embargo
nicamente estn siendo favorecidas por este servicio gratuito las oficinas de este Local.
Todas las infraestructuras no son las adecuadas para las personas ni para los equipos, ni
para la informacin. Sin embargo dentro de los limitados recursos presupuestales con lo
que contamos se han adecuado las oficinas para continuar con las labores de esta
Direccin Regional.
En total en la Direccin Regional existen 41 Oficinas las cuales estn distribuidas en los 5
Locales que describimos inicialmente, y dichos locales no son propios, se encuentran en
calidad de prstamo o alquiladas, teniendo muchas veces que regirnos a los servicios que
nos puedan brindar para el compromiso de nuestras funciones.
Otro tema es que actualmente las reuniones de coordinacin entre las reas no se
encuentran tan fluidas ni frecuentes como eran con anterioridad cuando nos
encontrbamos en un mismo local.
15

No se pueden implementar infraestructuras con mejores tecnologas debido a que los

locales con los que contamos actualmente no son propios y hacerlo implicara un mayor
costo.
16

1.1.1
Organizacin
Estructural
Funcional
17

Se Cuenta con un ROF y MOF, en el que se describen las funciones de cada rea y cada
personal que se encuentra dentro de ella.
La Direccin de Educacin de Ucayali cuenta con 5 direcciones:
Direccin General
Direccin de Administracin, Infraestructura y Equipamiento.
Direccin de Gestin Institucional.
Direccin de Gestin Pedaggica.
Direccin de Asesora Legal
Direccin General:
Tiene a su cargo dos oficinas:
Secretara General Mesa de partes: donde se realizan los procesos de trmite

documentario de entrada y salida de la entidad.
Imagen Institucional: que se encarga de difundir las actividades institucionales del

Director Regional
Direccin de Administracin, Infraestructura y Equipamiento

Tiene a su cargo a las siguientes oficinas:
Personal: se encarga de la administracin de los recursos humanos de la

Institucin, as como de los docentes y administrativos de Educacin Superior de
la Regin.
Procesos Administrativos: se encarga de realizar los procesos administrativos

al personal de la DREU y Educacin Superior cuando existan denuncias de la
ciudadana u otros organismos.
Pensiones: Se encarga de tramitar la documentacin y pagos del personal Cesante

de la Ley 20530.
18

Bienestar Social: se encarga de velar por el bienestar de los recursos humanos

cuando estos se encuentren gozando de licencias por salud u otros.
Remuneraciones/Computo: En el caso del rea de Remuneraciones se encarga

de programar mensualmente las planillas de personal activo de la DREU y de
Educacin Superior. Computo: se encarga del monitoreo y procesamiento de los
Sistemas de Informacin con los que cuenta la entidad, as como tambin el
monitoreo de la Red LAN/WAN con el Ministerio de Educacin, entre otros.
Escalafn: se encarga de elaborar las fichas escalafonarias de todo el personal de

la DREU y Educacin Superior de la Regin.
Infraestructura: Se encarga de verificar, monitorear y tratar temas sobre la

infraestructura de la DREU y los locales de Educacin Superior de la Regin.
Abastecimiento: se encarga de la distribucin de bienes y servicios durante el ao

en las oficinas de la DREU.
Patrimonio: Registrar los Bienes muebles e inmuebles de la DREU
Almacen: almacenar materiales, tiles de oficina para su distribucin a la
entidad
Servicios y Guardiana: Vigilancia a los locales de la DREU y servicios de
transporte local.
Contabilidad: se encarga de realizar los estados financieros, compromisos
presupuestales de la entidad, entre otros.
Tesorera: se encarga de efectivizar el pago de las planillas, viticos y bienes y

servicios de la entidad
Pagadura: se encarga de la entrega de las Boletas de Pago de todas las
planillas que se realizan en la entidad.
Direccin de Gestin Institucional : se encarga de tratar temas cruciales en las

decisiones institucionales de la DREU.
Tiene a su cargo las siguientes oficinas:
Planificacin: realiza los documentos de gestin, planes operativos de la DREU.
Presupuesto: formula, elabora y aprueba el presupuesto Institucional.

19

Racionalizacin: se encarga de administrar las plazas presupuestales y la

elaboracin del Presupuesto Analtico de Personal anualmente
Estadstica: se encarga de ingresar al Sistema Estadstico la informacin de la

jurisdiccin en coordinacin con el INEI
Direccin de Gestin Pedaggica: Se encarga de velar por los temas Pedaggicos de la

Regin de acuerdo a los niveles educativos.
Tiene a su cargo las siguientes oficinas:
Educacin Inicial
Educacin Primaria
Educacin Secundaria
Tutora y Prevencin Integral
Tecnologa Informtica y Comunicacin
Alfabetizacin
Educacin Especial
Educacin Tcnica Productiva
Educacin Superior
Investigacin Educativa
Educacin Bilinge intercultural
Educacin Rural
Educacin Cultura y deporte
Redes Educativas
Direccin de Asesora Legal: Se encarga de tratar los requerimientos jurdicos de la

DREU.
Oficina de Control Institucional: Se encarga de tratar temas de control interno

teniendo como ente rector a la Contralora.
1.1.2 Servicios y/o bienes producidos

La Direccin Regional de Educacin de Ucayali es una entidad estatal de lnea que
depende jerrquicamente y presupuestalmente del Gobierno Regional de Ucayali cuya
supervisin est a cargo de la Gerencia de Desarrollo de Social del mismo y depende
20

para sus funciones tcnico/normativo del Ministerio de Educacin, responsable de

dirigir, coordinar y evaluar el desarrollo de la educacin, la ciencia, tecnologa, la
cultura, la recreacin y el deporte en su mbito, con participacin de los diferentes
actores sociales (docentes, administrativos, ciudadana en general) a fin de asegurar
servicios administrativos, educativos y programas de atencin integral de calidad y
con equidad en los centros y programas educativos, y en las instituciones de
educacin superior no universitaria del mbito regional.
A continuacin se puede apreciar la relacin de los diferentes actores que forman
parte de los clientes de la Direccin Regional de Educacin de Ucayali, as como
tambin sus servicios y bienes finales que reciben por parte de nuestra entidad.
Clientes
personal docente
personal administrativo
persona natural
empresas juridicas
sindicatos
entidades del Estado
entidades autnomas de
control
Servicios
Trmites Administrativos
Pagos de Planilla
atencin a sentencias
judiciales
Concursos
Descuento por Planilla
Respaldo de Informacin
Bienes
Resoluciones
Certificados
Bsqueda de Informacin
Cheques
Constancias
Boletas
Informes
Oficios
Cuadro N 01: Servicios y Bienes de la DREU
Los bienes y servicios que se brindan en la Direccin Regional son continuos y

dentro de plazos determinados, algunos de ellos se emiten de manera anual,
semestral, mensual, quincenal, semanal y diaria.
Los servicios que tienen mayor demanda son los pagos mensuales del personal
docente y administrativo de la jurisdiccin es decir de los funcionarios, personal
administrativo, pedaggico de la DREU y del personal Docente y Administrativo
de los Institutos Superiores de toda la Regin.
1.1.3
Servicios y Materiales Utilizados

De acuerdo a los servicios que se utilizan en la Direccin Regional de Educacin de
Ucayali se muestran los Directorios de las empresas e Instituciones que nos abastecen
21

Directorio de entidades abastecedoras de materias primas o insumos para la produccin de informacion
materiales de oficina, computadoras, impresoras, toner, cartuchos
Nombre de la Empresa u Entidad
Titular o Representante de la
Empresa
Telfonos/
Celulares
Direccin
Ciudad
Villacorta Montoya Jos Luis

Villacorta Corporacin
Papelera EIRL
Villar Martinez Dario
Abraham
Jr. Inmaculada N 494
961903846 Pucallpa

Villar Martinez Dario
Abraham
Jr. Inmaculada N 494

Jr. Coronel Portillo N
399
961903846 Pucallpa
PC RED
Santilln Ruiz Friedler
Jr. Salaverry N 629
961607629 Pucallpa
961986909 Pucallpa
de los servicios bsicos y materias primas o insumos para la produccin de

Informacin:
Directorio de empresas o Instituciones que Abastezcan de Energia, Comunicacin, Transporte, Agua, Salud
Nombre de la Empresa u
Entidad
Titular o Representante de
la Empresa
Electro Ucayali S.A
Jose Julio Ribeyro

Dellepiane
Av. Circunvalacin N 300
061-570303
Pucallpa
Emapacop S.A
Reinaldo Castillo Morales
Jr. Julio C. Arana N433
061-575005
Pucallpa
Calle Schell N 310
01-2106245
Lima
Telfonica del Per S.A.A
1.1.4
Direccin
Telfonos/
Celulares
Ciudad
Inventario de Recursos Informticos.
En los Anexos del presente Plan de Contingencia de Sistemas de Informacin, se

adjunta los inventarios de recursos Informticos y son los siguientes:
Equipos Informticos: Computadoras Personales, Laptops (Celeron, AMD, Dual
Core, I3, I5), impresoras, scanners, proyectores, etc.
Programas: Sistemas Operativos, procesadores de Textos, hojas de clculo,
lenguajes de programacin, software de base de Datos.
Aplicativos Informticos: de los Sistemas implantados en la DREU- Sede
Equipos empotrados: Cajas fuertes, gabinetes, centrales telefnicas.
El procesamiento de estos inventarios se elabor con el tipo de procesamiento

Manual.
Dado que dentro del Plan Operativo Informtico que se encuentra en verificacin por
la Direccin de Gestin Institucional se est considerando como una de las actividades
informticas la adquisicin de un aplicativo para realizar los inventarios de los equipos
22

de cmputo de manera fsica(Hardware) y lgica(Software) para que el procesamiento

del inventario sea de forma Automatizada.
FASE I: PLANIFICACIN
1.2 Planificacin
Se tratarn de definir una serie de actividades de contingencia y asegurar la continuidad
de las labores de la Institucin.
Definicin clara del alcance : En la Direccin Regional de Educacin de Ucayali no

pueden dejar de funcionar los Sistemas de Informacin administrativos y de gestin
como son: de Control de Plazas (NEXUS), Planillas de pago (SUP), Racionalizacin(SIRA),
as como tambin los sistemas contables SIAF, abastecimiento y tesorera SIGA. Por lo
que su continuidad est sujeta a la Infraestructura y ambientacin ptima con la que
contamos, a la antigedad y garantas de los equipos Informticos y los equipos de
alimentacin que deben ser ininterrumpibles en todos los servidores en el que se
encuentren alojados estos Sistemas de Informacin.
FASE II: IDENTIFICACION DE RIESGOS

En esta fase se busca minimizar las fallas generadas por cualquier
incidente que va en contra del normal funcionamiento de los sistemas de
informacin de la entidad, a partir de los anlisis de las actividades que se
encuentran en evaluacin presupuestal a travs del POI( Plan Operativo
Informtico) que se encuentra en la Direccin Institucional los cuales tienen
que ser implementados a tiempo.
Entonces a partir de ello es necesario que exista un anlisis econmico y legal
para que se lleven a cabo estas actividades informticas que son cruciales para
23

asegurar el funcionamiento de los Sistemas de Informacin de manera ptima.

Ya que las fallas que se presentaran en los Sistemas de Informacin que
manejamos dependen de la atencin que nos brinden a estas actividades.
2.1 Anlisis y Evaluacin de Riesgos.

Para identificar los riesgos potenciales que afectan a la Direccin regional en cuanto a sus
servicios se debe considerar como primer paso la reduccin de Riesgos, de esta manera
se lograr cumplir con los objetivos institucionales.
Diagnstico Integral de los Sistemas de Informacin.
La Direccin Regional de Educacin de Ucayali depende presupuestalmente del

pliego: Gobierno regional de Ucayali y Ministerio de Economa y finanzas y
normativamente - funcional depende del Ministerio de Educacin.
Los sistemas de Informacin que se maneja en esta sede son de carcter
estndar, su uso es obligatorio y son los siguientes:
24

SUP : Sistema Unico de Planillas
NEXUS: Administracin de Plazas
SIRA: Sistema de Informacin de racionalizacin.
SIAF: Sistema integrado de Administracin Financiera.
MCPP: modulo Control de Pagos y Planillas.
RNSDD: Registro Nacional de Sanciones, Destitucin y Despidos.
SIGA: Sistema Integrado de Gestin Administrativa.
AIRH: Aplicativo Informtico de Recursos Humanos
Los que no son de uso obligatorio y realizados por el centro de cmputo son:
-
Aplicativo para planilla CAS y PROGRAMAS
Aplicativo para Importacin de datos para PDT
Aplicativo para Planillas de Deudas Sociales, CTS, Luto y Sepelio.
Se debe asegurar la continuidad y el uso de estos sistemas y aplicaciones que son de

suma importancia en los servicios que se realiza en la Sede Regional.
Servicios afectados en orden de importancia, magnitud del impacto.

a. Pago de Planillas
b. Pago de retenciones y PDT
c. Control de plazas
d. Liquidaciones de Deudas Judiciales.
e. Pago de proveedores
f.
Viticos
25

Identificacin de los procesos de los servicios afectados.
1. Elaboracin de Planillas de Pago(Cesantes, Activos, CAS y programas) a travs

del SUP y otros aplicativos.
2. Ingreso y actualizacin de datos en el AIRH.
3. Procesamiento de Planillas de Pago a travs del SUP y otros aplicativos.
4. Ingreso y validacin de datos en el MCPP.
5. Compromiso, Devengado y Girado de planillas en el SIAF
6. Emisin de retenciones de Planillas
7. Elaboracin y declaracin virtual del PDT
8. Actualizacin y envo de Informacin a travs del NEXUS semanalmente.
9. Actualizacin de datos en el SIRA.
10. Registro de Ordenes de Servicio al SIGA
11. Ingreso de rdenes de servicio al SIGA
12. Compromiso, devengado y girado de Ordenes de servicio al SIAF
13. Ingreso de Viticos al SIGA
14. Compromiso, devengado y girado de viticos al SIAF.
15. Actualizacin de datos al RNSDD
2.2 Identificacin de los procesos Crticos

Estos procesos los consideramos como crticos porque causaran el mayor impacto
negativo en los servicios y en las funciones crticas de nuestra sede:
1. Digitacin y Procesamiento de Planillas(cesantes, activos, CAS y Programas)

2. Compromiso, devengado y girado de planillas, ordenes de servicio y viticos.
3. Actualizacin de datos en el AIRH
4. Actualizacin de datos en el MCPP
26

5. Actualizacin de datos y envo de informacin del NEXUS

6. Actualizacin del SIRA.
7. Actualizacin del RNSDD.
8. Registro de Control de Asistencia.
2.3 Anlisis de las Operaciones actuales.

Actualmente las operaciones en la Direccin Regional de Educacin de Ucayali se realizan
de la siguiente manera:
Operaciones
Porcentaje
Descripcin
Automatizada
80%
Se hace uso de SUP,SIAF,SIGA,

NEXUS,AIRH, etc
Manual
20%
TOTAL
100%
Trmite documentario
FASE III: IDENTIFICACION DE SOLUCIONES
En plan de contingencias se debe contemplar todos los procesos de la Institucin sean

manuales o automatizados, evaluando el volumen de la informacin o materiales
afectados a fin de definir la complejidad de los sistemas.
Se debe considerar 3 aspectos importantes para el presente plan de contingencias:
o Complejidad de los Sistemas de Informacin.
o Importancia de los Sistemas de Informacin.
o Costo del servicio para proteger los Sistemas de Informacin.
o Riesgo asociado a cada servicio.
27

3.1 Identificacin de Alternativas de Solucin.

Consideramos las siguientes alternativas de emergencia para la recuperacin de fallas:
o
Necesidad de personal adicional.
Servidores Backup que suplan fallas de los servidores principales.
Contar con convenio con empresas informticas que brinden servicios serios y
con garantas para los equipos, y puedan asistirnos ante una eventualidad en la
falla de equipos de hardware y software.
Contar con convenio con una empresa para un sitio y el resguardo de los
Backups de los diferentes Sistemas de Informacin que maneja la Institucin.
Contar con un parqueo de UPS para los servidores y Pcs que cuenten con el
mayor tiempo de tolerancia, as mismo se debe contar con suministro de
energa elctrica: generadores ante cualquier eventualidad.
Contar con un Sistema de alarma contra incendios
Convenio con empresas que revisen y den mantenimiento 4 veces al ao como

mnimo al sistema elctrico de la sede.
Conformar un comit de Seguridad de la Informacin en la entidad integrado

de manera obligatoria por los siguientes cargos en la Institucin:
-
Administrador
Especialista Administrativo II (Recursos humanos)
Especialista Administrativo II (Abastecimiento)
Analista de Sistemas II( Informtica)
Planificador II.
Especialista en Finanzas II (Presupuesto)
Ingeniero II (Infraestructura)
Operador Pad II (Soporte tcnico).
28

Programa de Vacaciones para que siempre exista personal necesario que supla
las funciones de los miembros del Comit de Seguridad de la Informacin ante
cualquier eventualidad en caso de vacaciones, licencias u otros.
Contar con un centro opcional de procesamiento de informacin ante

cualquier incidente que sufra el Centro de Cmputo.
Que se adquiera un antivirus corporativo anual para todos los equipos de la

Institucin.
Programa
de
mantenimiento
actualizacin de
hardware(fsico)
Software(Lgico) de todos los equipos informticos en todas las reas de la

DREU.
o
Que se validen y se apruebe anualmente el Plan Operativo Informtico del ao

en curso.
3.2 Seguridad en Redes

En la Direccin Regional de Educacin no contamos con una Red local de la Institucin,
existen redes LAN en los 5 locales temporales en los que nos encontramos. Slo contamos
con una RED LAN/WAN con el Ministerio de Educacin con servicio gratuito de voz y datos
y no lo estamos aprovechando al 100%, debido a que en el lugar donde se encuentra
instalado esta conexin no existe la infraestructura optima y la organizacin Defensa civil
lo ha declarado como lugar inhabitable.
Otro punto que agregar es que el servidor de dominio es antiguo no pudiendo instalarse
ni repotenciarse porque su sistema operativo ya no se encuentra vigente en el mercado
debiendo renovarse lo ms pronto posible: Todos estas observaciones y requerimientos
se ha indicado en el Plan Operativo Informtico que se encuentra en verificacin para su
aprobacin.
29

3.2.1
Las funciones de Seguridad de Red.

Se considera lo siguiente:
el anfitrin promiscuo: debemos evitar e implementar los controles para que

nuestra red no est vulnerable a que otros puedan romper cualquier cuenta y
acceder a ella, para ello nosotros actualmente contamos con una ventaja por
parte del Ministerio de Educacin que implement un PROXY para que todas las
Direcciones Regionales y UGELs no puedan acceder a aplicaciones y sitios web no
autorizados as como tambin la descarga de archivos est siendo protegida por
un antivirus corporativo; faltando que de todas maneras se implement un PROXY
dentro de la red local y las dems REDES independientes que actualmente estn
habilitadas en los diferentes locales.
Autentificacin: a pesar de que nuestro servidor de dominio est desactualizado y

con recursos limitados para su funcionamiento, se implement una proteccin en
el acceso, loguendonos en cada inicio de sesin al servidor de dominio.
Autorizacin: Las unidades compartidas en el servidor se encuentran a modo de

lectura y se ha creado grupos para los usuarios que adquieren al sistema de
planillas en este caso, slo contamos con grupos de usuarios del Sistema Unico de
Planillas.
Contabilidad: se debe implementar una estrategia de conteo para examinar e

identificar el nmero de intentos de acceso a nuestra Red diariamente.
30

3.2.2
Componentes de Seguridad
A los usuarios de la red en la Direccin Regional se debe clasificarlos de acuerdo a
los 3 niveles de acceso:
Nivel de Administracin: disean, mantienen y ponen en marcha la red: el
administrador de Red o personal confiable de soporte y administracin de
equipos.
Usuarios fiables: usuarios sujetos a cumplir las normas con record de buena
conducta pueden contar con una cierta libertad de acceso a la Red.
Usuarios vulnerables: los que muestran falta de competencia, con record de
prdidas de archivos, que son excesivamente curiosos y no se pueden confiar,
debemos darles ms restricciones de acceso a la Red.
3.2.3
Control de acceso a la Red.
En la Direccin Regional de Educacin el personal de vigilancia capacitado y

conocedor de temas de seguridad de la Informacin debera tener llaves y la
puerta debe ser segura, tener sistemas biomtricos, tarjetas inteligentes.
31

Identificacin para la red con clave de acceso.

Proteccin con clave de cada grupo en la Red, sobre todo en las reas que se
maneja mucha informacin y cada usuario debe tener restricciones de
aplicaciones que no est designado a utilizar..
Debe haber un registro de las actividades en cada estacin de trabajo a
travs de una aplicacin que reporte (que lo guarde en un servidor de datos)
a la hora que cada usuario apague el equipo.
Proteccin de usuarios vulnerables con clave o bloqueo a todas las
operaciones de copia a disco duro externo, CD-DVD o USB.
Monitorear las copias o eliminacin de archivos de dispositivos externos.
3.2.4
Proteccin del Servidor.

Actualmente dentro del Plan Operativo presentado a las oficinas competentes, se
est solicitando la adquisicin de un parqueo de servidores, ya que nicamente la
Direccin Regional de Ucayali cuenta con un servidor de datos(Planillas), uno de
respaldo que se encuentra obsoleto, faltando varios ms para diferentes tipos de
soluciones que se necesita implementar, ya que un servidor es la parte ms
importante de la Red, all se concentran los datos que todos los usuarios de la
Sede ingresa, actualizan y utilizan por lo tanto es necesario y urgente protegerlo
de cualquier eventualidad. No debe ser accesible para nadie ms que para el
administrador de la Red.
Por ese motivo en los servidores se necesitan efectuar copias de seguridad de
acuerdo a las polticas que cada Sistema de Informacin tiene. Estas copias deben
estar guardadas en un lugar cerrado, seguro y con ptimas condiciones
ambientales. Otra copia de los mismos archivos de resguardo deben ser
custodiados en otro local o un lugar seguro (empresas que brindan servicio de
custodia de datos, Instituciones afines con mejor infraestructura y condiciones
32

para estas copias, etc). En nuestro caso una copia del sistema de Planillas mensual
lo enviamos a la Oficina de Informtica del Ministerio de Educacin y a la Unidad
de personal del mismo.
3.2.5
Protegiendo la Red
Contar con un sistema de proteccin antivirus automticamente apenas se inserte
en las estaciones de trabajo un USB o Disco duro externo, y que este antivirus se
actualice semanalmente.
3.2.6
Tecnologa RAID(Tolerancia a fallas y corrige errores)

RAID(arreglo redundante de discos asequibles), reemplaza los sistemas de
almacenamiento, grandes y costosos con mltiples unidades de disco duro. La
tecnologa RAID puede reducir el costo de almacenamiento, aumentar la
velocidad y mejorar la confiabilidad del sistema.
Esta tecnologa esta implementada en el servidor de Planillas que contamos
actualmente.
FASE IV: ESTRATEGIAS

En esta fase se identificarn las prioridades y se determinaran de manera razonable las
soluciones a ser seleccionadas en primera instancia o los riesgos a ser encarados en primer
lugar.
4.1 Actividades Importantes.
Actualizacin de datos, movimientos de personal: Licencias, destaques, reasignaciones
Elaboracin de contratos en el Sistema Nexus diariamente deben registrarse estos
movimientos.
Consulta, digitacin y procesamiento del Sistema de Planillas de manera diaria.
Ingreso de Datos al SIGA y SIAF diariamente.
33

Actualizacin del AIRH inter-diariamente dependiendo de los nuevos ingresos y/o

modificaciones que se realicen en el SUP,
Actualizacin del SIRA, RNSDD, y otros.
Sistemas de Informacin y Orden de Prioridad.

Prioridad
S.I
Transaccin
Sistema
Nexus
Sistema de
Planillas
Descripcin
Dias de uso
Resguardo de
informacin
consulta,
Control de Plazas y
actualizacin, ingreso
movimientos de personal
de datos
todos los dias
consulta, digitacin,
procesamiento
todos los dias mensual
Proceso de Pagos
Todos los
Viernes
Programa
mysql (cliente/servidor)
sybase
(cliente/servidor)
condicional a
la situacin
del personal
se guarda
automticamente
en la Bdd del
MEF
web - en lnea
AIRH
Alta y Baja de personal del

Ingreso, actualizacin
Sector
MCPP
ingreso de
informacin,
modificacin
Control de Pago de
Planillas antes de ser
ingresado al SIAF
dias de pago
se guarda
automticamente
en la Bdd del
MEF
Sql
Server(cliente/servidor)
SIAF
ingreso de
informacin,
modificacin,
actualizacin
para compromiso, girado y

devengado contable y
financiero
se guarda
automticamente
todos los dias
en la Bdd del
MEF
Sql
Server(cliente/servidor)
SIGA
ingreso de
informacin,
modificacin,
actualizacin
gestin para actividades de

contratacin y
adquisiciones del Estado
todos los dias semanal
RNSDD
ingreso de
informacin
Registrar sanciones y
despidos de personal de la
entidad
condicional a
la
informacin
se guarda
automticamente
en la Bdd de
SERVIR
aplicativos
CAS, PDT
y
programas
importacin de
informacin, registro,
emisin de reportes,
procesamiento
planillas de pago varias y

elaboracin del PDT
10 dias
mensual
Sql Server(cliente/s
ervidor)
web - en lnea
Visual FOX
En la Direccin Regional se necesita que todos estos sistemas de Informacin

continen funcionando sin ningn inconveniente da a da, para ello se debe contar en
primer lugar con una Infraestructura Institucional luego la implementacin de un
centro de datos con las caractersticas ptimas y un centro de datos opcional, con un
sistema de seguridad y de redes optimo que asegure la operatividad de los sistemas
de Informacin y se logre tener una buena administracin del mismo, ante cualquier
eventualidad. Adems es imprescindible la adquisicin de un parqueo de servidores, y
equipos de comunicaciones acordes a las tecnologas actuales.
34

Actualmente se ha considerado dentro del Plan Operativo actividades informticas

claves para empezar el trabajo de implementacin de la seguridad de la Informacin
en nuestra Institucin.
4.2 Preparativos para la Identificacin de soluciones preventivas

Respaldar la informacin importante en medios magnticos, Tape Backup, CD-DVD,
Discos externos: respaldar INFORMACION y no las aplicaciones.
Tener a disposicin los CDs de Instalacin de los sistemas operativos vigentes.
Contratar servicio de antivirus corporativo anual y con garantas para todas las
mquinas de la institucin.
Guardar una copia de los manuales, documentacin de los sistemas .
Realizar con una empresa tercera en servicios informticos el mantenimiento
preventivo de las pcs personales y servidores de la institucin dos veces al ao.
4.3 Medidas de Precaucin y Recomendacin.

rea de Informtica.
En este caso, en la Direccin Regional de Educacin no contamos con un rea de
informtica, sino con un Centro de Cmputo.
Es recomendable que el Centro de Cmputo no se encuentre ubicado en reas de alto
trfico ni cerca de las zonas de pista.
Hasta hace algunos aos la exposicin de los Equipos de Cmputo a travs de grandes
ventanales, constituan el orgullo de la organizacin, considerndose necesario que
estuviesen a la vista del pblico, siendo constantemente visitados. Esto ha cambiado
de modo radical, principalmente por el riesgo de huelgas, protestas,
35

Se deben evitar, en lo posible, los grandes ventanales, los cuales adems de que
permiten la entrada del sol y calor (inconvenientes para el equipo de cmputo), puede
ser un riesgo para la seguridad del Centro de Cmputo.
Otra precaucin que se debe tener en la construccin del Centro de Cmputo, es que
no existan materiales que sean altamente inflamables (papel, cartn), que despiden
humos sumamente txicos o bien paredes que no quedan perfectamente selladas y
despidan polvo.
El acceso al Centro de Cmputo debe estar restringido al personal autorizado. El
personal de la Institucin deber tener su carn de identificacin siempre en un lugar
visible.
Se debe establecer un medio de control de entrada y salida de visitas al centro de
cmputo. Si fuera posible, acondicionar un ambiente o rea de visitas.
El acceso a los sistemas compartidos por mltiples usuarios y a los archivos de
informacin contenidos en dichos sistemas, debe estar controlado mediante la
verificacin de la identidad de los usuarios autorizados.
Deben establecerse controles para una efectiva disuasin y deteccin, a tiempo, de los
intentos no autorizados de acceder a los sistemas y a los archivos de informacin que
contienen.
Se recomienda establecer polticas para la creacin de los password y establecer
periodicidad de cambios de los mismos.
Establecer polticas de autorizaciones de acceso fsico al ambiente y de revisiones
peridicas de dichas autorizaciones.
Establecer polticas de control de entrada y salida del personal, as como de los
paquetes u objetos que portan, debe tener puertas y ventanas seguras y lo ms
hermticas posibles.
Los controles de acceso, el acceso en s y los vigilantes deben estar ubicados de tal
manera que no sea fcil el ingreso de una persona extraa. En caso que ingresara
36

algn extrao al centro de Cmputo, que no pase desapercibido y que no le sea fcil a
dicha persona llevarse un archivo.
Asignar a una sola persona la responsabilidad de la proteccin de los equipos en cada
rea de la Institucin.
El centro de cmputo debe contar con falso techo y falso piso .
Debe contar con un sistema elctrico estable, con estabilizador y transformador de
aislamiento.
Un ambiente fsico donde estn los equipos, este ambiente debe contar con 2 metros
adicionales de espacio en todas las direcciones con respecto a los equipos que habr
en dicho ambiente y tambin deber contar con un espacio adicional para un futuro
crecimiento en el tiempo. (10 aos).
Un ambiente fsico para los especialistas que administraran los equipos, y realizan
trabajo de soporte tcnico.
Los ambientes deben contar con un falso techo y falso piso.
Los ambientes no deben estar en el stano, y no se recomienda el primer piso. Porque
la geografa de la Regin est propensa de sufrir inundaciones por tener un clima
Tropical Hmedo con lluvias torrenciales, en cualquier momento, lo cual pondra en
riesgo las conexiones elctricas y cableados de la red del Centro de Cmputo.
Deben contar con un sistema de aire acondicionado permanente y constante con
contrato de mantenimiento anual y con accesorios consumibles (gas) para cubrir la
demanda durante el ao.
Debe renovarse dichos contratos de mantenimiento de todo lo que haya en el centro
de datos.
Tiene que contar con UPS para toda la carga necesaria y con un 30% adicional por
posibles equipos que ingresen.
El tablero elctrico para el sistema de energa del centro de datos debe ser totalmente
independiente de las dems reas del lugar.
37

El lugar debe contar con las luminarias adecuadas.

Tiene que contar con un sistema de emergencia contra incendios con alarmas y
proteccin.
Contar con sensores de temperatura, incendio, flujo de corriente, humedad, agua,
movimiento. Estos sensores deben ser manejados por una central que comunique
mediante mensajes de texto o llamadas telefnicas a los responsables.
Deben contar con los gabinetes para servidores, equipos de comunicacin, central
telefnica y todo lo que requiera en el centro de datos.
Debe contar con un rea de almacn para los accesorios que se tengan de los equipos
y tengan que estar a buen recaudo.
Debe contar con cmaras video vigilancia de seguridad para el ingreso, dentro del
centro de datos, y reas que se considere necesarias.
Servidores vigentes y actuales para la demanda segn su necesidad.
Se debe contar con un cableado elctrico y de datos para todo el centro de datos, as
como para sus reas usuarias.
Se debe contar con un grupo electrgeno sincronizado con el ups y el sistema elctrico
del proveedor para que se active cuando haya un corte de energa.
Las puertas de acceso deben ser metlicas y recubiertas con un material adecuado
para evitar el xido y el deterioro por el clima y el ambiente, apertura hacia afuera giro posible de 180
Contratar personal para limpieza especializada del Centro de Cmputo.
El modelo de seguridad a implementar, estar basado en el entorno y en la poltica y

estrategias de la instalacin.
38

FASE V: REALIZACIN ESTRATEGIAS
5.1 Plan de recuperacin de Desastres.

A continuacin se listan los desastres que pone en riesgo a los Sistemas de Informacin y
al Centro de Cmputo:
a. Robo Comn de equipos y archivos.

b. Virus Informtico.
c. Terrorismo
d. Desastres naturales, terremotos, inundaciones.
e. Manipulacin y Sabotaje.
f.
Fallas en el Hardware, Software y comunicaciones.
g. Equivocaciones.
h. Fallas en el suministro Elctrico.
i.
Incendio.
Es importante que si en caso ocurra uno de estos desastres es necesario que se conozca a
detalle el motivo que lo origin y el dao que ha producido, lo que permitir recuperar en
el menor tiempo posible el proceso perdido.
La elaboracin de los procedimientos a seguir para un caso de emergencia deben ser
obligatorias y bajo la responsabilidad de todos los integrantes de los mismos, incluyendo
procesos de verificacin de su cumplimiento y en cada proceso deben estar involucrado
todo el personal de la Institucin.
Los procedimientos de los planes de recuperacin de desastres deben de emanar de la
mxima autoridad institucional para garantizar su difusin y estricto cumplimiento.
39

Existen 3 etapas para realizar el Plan de Recuperacin de desastres:
Actividades previas al desastre
Actividades durante el desastre
Actividades despus del desastre
5.1.1 Actividades previas al Desastre.

Son todas las actividades de planeamiento, preparacin, entrenamiento y ejecucin
del resguardo de la informacin que nos asegurar un proceso de recuperacin con
el menor costo posible a nuestra institucin.
Aqu debera ya estar conformado el comit Institucional de Seguridad de la
Informacin conformando equipos operativos para los planes de evaluacin del
cumplimiento de los procedimientos de seguridad.
Plan de Accin
Se debe considerar lo siguiente:
Sistemas de Informacin
Equipos de Cmputo
Obtencin y almacenamiento de los Respaldos de Informacin(BACKUPS)
Politicas: normas y procedimientos de backups.
a. Sistemas de Informacin
La DRE Ucayali debe tener una relacin de los sistemas de informacin con los
que cuenta, tantos los que han sido provistos por entidades como el Ministerio
de Educacin, Ministerio de Economa entre otros, as como tambin los que
han sido hechos por personal de la misma institucin , debiendo identificar
toda la informacin sistematizada o no, que sea necesaria para la buena
marcha institucional:
40

SISTEMAS DE INFORMACION DE L DIRECCION REGIONAL DE EDUCACION DE

UCAYALI
S.I
Lenguaje/manejador
Base de datos
rea donde se
genera la data
utilizan la
informacin
volumen
de
archivos
Transac.
Sistema
Nexus
mysql cliente/servidor
Personal
Personal
Sistema
de
Planillas
sybase - Visual basic

cliente/servidor
Centro de
Computo/MED
remuneraciones
pensiones/centro
de computo
9.50 GB
1000 diarias
SIRA
Visual FOX
Racionalizacin DGI
racionalizacin DGI
200 MB
50
mensuales
AIRH
web - mozilla firefox
MEF
remuneraciones/
pensiones
Presupuesto
100
mensuales
MCPP
Sql Server
cliente/servidor
1 GB
10 diarias
MEF
remuneraciones/
contabilidad
50
mensuales
2 GB
2000
mensuales
1 GB
50 diarias
10
mensuales
SIAF
Sql Server
cliente/servidor
MEF
contabilidad/
abastecimiento/
tesoreria/
presupuesto/
administracin
SIGA
Sql Server
cliente/servidor
MEF
todas las areas
SERVIR
personal y
comision de
procesos
500 MB
50
mensuales
RNSDD
web
aplicativo
CAS
Visual FOX
Centro de
Computo
remuneraciones
centro de
computo
10
aplicativo
de
programas
pptales
Visual FOX
Centro de
Computo
remuneraciones
centro de
computo
500 MB
50
mensuales
11
aplicativo
importaci
n de
archivos
para PDT
Visual FOX
Centro de
Computo
remuneraciones
centro de
computo
500 MB
50
mensuales
equipos
1 servidor 1
ups ( no
contamos
con el
equipo)
1servidor
nuevo
(reparacin
del actual
para
backup)
1 servidor 1
ups ( no
contamos
con el
equipo)
1 servidor
+1 ups(no
contamos
con el
equipo
funciona en
una I7)
1 servidor
+1 ups(no
contamos
con el
equipo
funciona en
una I7)
1 servidor
+1 ups(no
contamos
con el
equipo
funciona en
una I7)
servidor +
ups (no
contamos
con el
equipo)
servidor +
ups (no
contamos
con el
equipo)
servidor +
ups (no
contamos
con el
equipo)
fechas que se
necesita la
informacin
actividades para
restaurar
todos los dias
contar con un
servidor con UPS
todos los dias
contar con un
servidor de
respaldo y UPS de
mayor tolerancia
todos los dias
contar con un
servidor con UPS
todos los dias
contar con un
servidor con UPS
dis previos a
la fecha de
pago
contar con un
servidor con UPS
todos los dias
contar con un
servidor con UPS
todos los dias
contar con un
servidor con UPS
condicional a
la
informacin a
actualizar
se guarda
automticamente
en la Bdd de
SERVIR
5 dias
contar con un
servidor con UPS
5 dias
contar con un
servidor con UPS
5 dias
contar con un
servidor con UPS
41

b. Equipos de cmputo
Se cuenta con un inventario actualizado de equipos de cmputo(el cual se
adjunta).
Adems es importante que la Institucin cuente con una pliza de seguros
para la proteccin de activos institucionales, pero haciendo la salvedad en el
contrato que en casos de siniestros, la restitucin de los equipos de cmputo
se podr hacer por otro de mayor potencia (por actualizacin tecnolgica)
siempre y cuando este dentro de los montos asegurados.
El rea de Patrimonio deber etiquetar a las computadoras y servidores con
una sealizacin que indique la importancia de cada equipo para que en caso
de evacuacin sean priorizados los de mayor importancia estratgica e
institucional
c. Backups
Se cuenta con los siguientes Backups:
Backups mensuales del sistema de Planillas (SUP)
Backups del sistema Nexus en archivo y en el correo de todos los

viernes.
Backups del SIRA despus de alguna Instalacin o actualizacin(cada

dos meses)
Backups del SIAF(cada dos meses)
Backups de los aplicativos del CAS, PDT y Programas.(mensuales)
42

d. Polticas de Backups
En la Direccin Regional de Educacin se realizan los Backups de los sistemas
de informacin de acuerdo a polticas de seguridad estipuladas por el
Ministerio de Educacin y se resume en el siguiente cuadro:
item
S.I
PERIODOS DE
BACKUP
FECHAS DE
BACKUP
ENTIDADES
PARA
RESGUARDO
Sistema Nexus
semanal
todos los
viernes
Personal
Sistema de
Planillas
mensual
despues de
cada planilla
mensual
remuneraciones
pensiones/centro
de computo
SIRA
cada dos
meses
fines de mes
racionalizacin
DGI
AIRH
remuneraciones/
pensiones
Presupuesto
MCPP
cada dos
meses
MEF
MEF/centro de
cmputo
SIAF
cada dos
meses
MEF/centro de
cmputo
SIGA
cada dos
meses
MEF/centro de
cmputo
RNSDD
web
SERVIR
Centro de
Computo
aplicativo CAS
mensual
despus de
cada planilla
mensual
10
aplicativo de
programas
pptales
mensual
despus de
cada planilla
mensual
Centro de
Computo
11
aplicativo
importacin de
archivos para
PDT
mensual
despus de
cada planilla
mensual
Centro de
Computo
43

5.1.2 Actividades Durante y Despus del Desastre.

Para implementar esta serie de actividades, en la Direccin Regional se tiene que
crear un Comit de Seguridad de la Informacin que a la fecha no contamos y
como lo dijimos en lneas anteriores debe ser encabezada por el titular de la
entidad seguida por las personas de reas claves como es Administracin,
Recursos Humanos, Informtica, Abastecimiento, Presupuesto, Planificacin,
Infraestructura, entre otros de la Institucin y a la vez debe existir una estrategia
de capacitacin, entrenamiento y certificacin por personal competente por
ejemplo Defensa Civil en estos temas de seguridad tanto de informacin,
infraestructura, equipos y de las personas que formaran parte de este comit y
que tambin esta estrategia debe de incluir la concientizacin y formacin de
equipos de trabajo que involucre a todos los trabajadores en estos temas que
sern siempre para el beneficio y tranquilidad de los mismos y de nuestro trabajo.
44

FASE VI: IMPLEMENTACIN

Esta fase es utilizada cuando han ocurrido o estn por ocurrir los problemas. Esta etapa
tambin se le puede denominar como una prueba controlada.
6.1 De las Emergencias Fsicas

CASO A: Error fsico de Disco de un servidor (Sin RAID)
1. Ubicar el disco malogrado.
2. Avisar a los usuarios que deben salir del sistema, utilizar anexos, correos o telfono
mvil.
3. Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso.
4. Bajar los servicios y apagar el equipo.
5. Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y darle
particin.
6. Restaurar el ltimo backup en el disco nuevo.
7. Verificar el servidor con el nuevo disco, explorar los archivos si se encuentra todo en
buen estado.
8. Habilitar los accesos al sistema de los usuarios.
CASO B: Error de Memoria RAM

1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y anexos,
telfonos a los jefes de rea.
2. El servidor debe estar apagado, apagarlo correctamente.
3. Ubicar las memorias malogradas.
4. Retirar las memorias malogradas y reemplazarlas por otras iguales o similares.
5. Retirar la conexin del servidor con el gabinete de la red, esto evitara que al
encenderlo los usuarios ingresen.
6. Realizar pruebas, deshabilitar entradas, luego conectar el cable de red nuevamente,
habilitar el acceso a las estaciones de trabajo y realizar las pruebas.
45

7. Probar el sistema en diferentes estaciones de trabajo.

8. Finalmente luego de los resultados habilitar las entradas al sistema para los usuarios.
CASO C: Error de Tarjeta controladora de Disco:

1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes o a anexos
telfonos mviles a los jefes de rea.

2. El servidor debe estar apagado.
3. Ubicar la posicin de la tarjeta controladora.
4. Retirar la tarjeta con sospecha de deterioro y tener a la mano otra similar o igual.
5. Retirar la conexin de red del servidor, ellos evitara que los usuarios ingresen
6. Realizar las pruebas locales, deshabilitar las entradas, conectar el cable de red,
habilitar los accesos para los usuarios y realizar las pruebas.
CASO D: Incendio Total.

En el caso que se d este desastre lo primero es mantener la calma y priorizar
dependiendo la magnitud del siniestro: se debe salvaguardar en primer lugar la
seguridad personal, el equipo y los archivos de informacin que deben estar en cintas
o CD o discos externos.
1. Mantener la calma
2. Si alcanza el tiempo enviar mensajes en la red de salir y apagar la pc, seguidamente
apagar los servidores.
3. Poner en OFF el tablero elctrico del centro de cmputo.
4. Tomando en cuenta la magnitud se debe poner a resguardo e ir sacando fsicamente el
servidor, abandonando el local o edificio de forma ordenada lo ms pronto posible
por las salidas mas cercanas.
46

CASO D: Inundacin
1.
Se debe considerar la instalando tarimas de un promedio de 20 cm de altura para la

ubicacin de los servidores, para evitar el contacto del agua con el referido.
2. En lo posible los tomacorrientes deben ser instalados a un nivel razonable de altura.

3. Anular las conexiones de toma corrientes que estn en el piso y cambiarlas de
ubicacin.
4. Para prevenir cortocircuitos debemos asegurarnos que no exista fuentes de liquidos
cerca a las conexiones elctricas.
5. Apagar todas las conexiones elctricas del centro de cmputo.
6. Proveer cubierta protectoras cuando los equipos estn apagados.
CASO E: Fallas de Fludo Elctrico

1. Si se trata de un corto circuito el UPS mantendr activo a los servidores y algunas
estaciones, mientras se repara la avera elctrica o se enciendo el generador.
2. Para el caso de apagn se mantendr la autonoma de corriente que el UPS nos brinda
(corriente de emergencia(*)) hasta que los usuarios completen sus operaciones para
que corten bruscamente el proceso que tienen en el momento del apagn, hasta que
finalmente se realice el By-pass de corriente con el grupo electrgeno, previo aviso y
coordinacin.
3. Cuando el fluido de la calle se ha restablecido se tomarn los mismos cuidados para el
paso de grupo electrgeno a corriente normal (o UPS)
*Llmese corriente de emergencia a la brindada por grupo electrgeno y/o UPS.
**Llmese corriente normal a la brindada por la compaa elctrica.
***se debe contar con transformadores de aislamiento(nivelan la corriente)
asegurando que la corriente que ingrese y salga sea de 220v, evitando que los equipos
sufran de corto circuito por elevacin de voltaje(protegiendo de esta manera las
tarjetas, pantallas, y CPU de los computadores)
47

6.2 De las Emergencias Fsicas

CASO A: Error lgico de Datos.
Se puede dar por los siguientes motivos:
1. Cada del servidor de archivos por falta de software de red.
2. Falla el suministro de energa elctrica por mal funcionamiento del UPS.
3. Bajar incorrectamente el servidor de archivos.
4. Fallas causadas usualmente por un error de chequeo de inconsistencia fsica.
en caso de producirse este tipo de casos se debe realizar los siguientes pasos:
PASO 1: Verificar el suministro de energa elctrica. En caso de estar conforme, proceder

con el encendido del servidor de archivos, una vez mostrado el prompt de DOS, cargar el
sistema operativo de red.
PASO 2: Deshabilitar el ingreso de los usuarios del Sistema.
PASO 3: Descargar todos los volmenes del servidor, a excepcin del volumen raz de
encontrarse este volumen con problemas, se deber descargarlo tambin.
Paso 4: cargar un utilitario que nos permita verificar en forma global el contenido de los
discos duros del servidor.
Paso 5: al trmino de la operacin de reparacin se proceder a habilitar entradas a

estaciones para manejo de soporte tcnico, se proceder a revisar que las bases de datos
ndices estn correctas, para ello se debe empezar a correr los sistemas y as poder
determinar si el usuario puede hacer uso de ellos inmediatamente.
48

CASO B: Virus.
1. Se debe contar con antivirus para el sistema que aslan el virus que ingresa al
sistema llevndolo a un directorio para su futura investigacin.
2. El antivirus muestra el nombre del archivo infectado y quien lo us.
3. Estos archivos pueden tener extensin de archivos del sistema .exe, .com,
.ovl.nlm,.ini, etc y deben ser reemplazados de una Pc similar que no se
encuentre contagiada.
4. Si los archivos infectados son aislados y an persiste el mensaje de que existe
virus en el sistema lo mas probable es que una de las estaciones es la que caus
la infeccin, debiendo desconectar a todas las pcs de la Red e ir verificndola
una por una.
49

CONCLUSIONES
La realidad en la Direccin Regional de Educacin de Ucayali es que no contamos

con la Infraestructura ptima para el desarrollo de nuestras funciones. Nos
encontramos en condiciones psimas que Defensa Civil la ha declarado como
Inhabitable, nos referimos al local principal, en el que actualmente se encuentra el
Centro de Computo y las reas de remuneraciones, estadstica y pensiones.
Las dems oficinas administrativas, pedaggicas y de gestin Institucional, de

control, se encuentran distribuidas en locales diferentes como colegios o locales
en alquiler y que no son propios en el que no se puede implementar conexiones ni
arreglos demasiado costosos.
Se ha presentado a la Direccin de Gestin Institucional de nuestra sede el Plan

Operativo Informtico alineado al Plan Estratgico del Sector Educacin en el que
se incluyen varias actividades que pueden ser cruciales para la seguridad de la
Informacin
de nuestra institucin, pero todo depende de la revisin y
observaciones que esta Direccin realice a travs de sus reas competentes, lo

cual conocemos que lo han derivado al Gobierno Regional de Ucayali porque la
DREU no podr financiar estas actividades. Varias de estas actividades se deben
implementar por recomendaciones de la Contralora General de la Repblica y
hasta febrero del 2016 se debe presentar este Plan Operativo Informtico
aprobado a la ONGEI( Oficina Nacional de Gobierno Electrnico e Informtica), de
lo contrario estaramos incurriendo en falta.
50

Por todos los motivos expuestos, se hizo requerimientos de implementacin de un

Centro de Datos y la adquisicin de servidores y equipos de comunicaciones
durante este ao y aos anteriores, sin tener respuesta positiva, porque existe la
voluntad pero el presupuesto lamentablemente no alcanza para implementar este
tipo de soluciones informticas.
La DREU cuenta con el servicio de datos(internet con fibra) y de telefona IP ambos

gratuitos porque lo asume el Ministerio de Educacin. Sin embargo no se puede
aprovechar e implementar a todas las reas de la Institucin por los motivos
anteriormente descritos: que no tenemos local propio y que la sede que es propia
en donde se encuentran estas conexiones, se encuentra inhabitable.
No existe un rea de Informtica en la DREU, debidamente estructurada en el

ROF, y en el MOF existe una plaza de analista de sistemas que cumple las labores
de informtica y un personal operador de apoyo. Sin embargo se encuentra
dentro del rea denominada Remuneraciones y Computo, y en la mayor parte
durante muchos aos se design a todo el personal de Informtica a desarrollar la
mayora de las labores de Remuneraciones, lo cual se dio a conocer en varios
informes y que paulatinamente tambin debe irse ordenando.
Se requiere que se incluya en los planes estratgicos y en los proyectos de una

posible futura construccin la Implementacin de un Data Center que es el
corazn donde debe residir la informacin crtica de la Institucin y su
implementacin es esencial para garantizar la seguridad, disponibilidad y
eficiencia de la Informacin que manejamos en el sector Educacin, contando
51

adems con un centro de datos opcional en caso de emergencias tal y cual

recomend la Contralora General de la Repblica), adems se debe implementar
paulatinamente las Normas Tcnicas Peruanas(NTP 27001-2005 Poltica de
Seguridad de la Informacin y la NTP ISO/IEC12207:2004 Procesos del Ciclo de vida
del Software), a su vez la implementacin de una sola Red en la Direccin Regional
ampliando el servicio de ancho de banda.
Para finalizar el presente Plan de Contingencias se debe crear el Comit de

Seguridad de la Informacin de la Institucin con la capacitacin y entrenamiento
respectivo a los trabajadores para la formacin de equipos de trabajo y se logren
posteriormente realizar las pruebas y verificacin en caso de ocurrencia de
desastres y optar por mtodos y soluciones seguras.
No existe un Plan de Contingencias nico para todas las entidades pblicas

depender mucho de la capacidad de la Infraestructura fsica de toda la Institucin
como de las condiciones de los equipos y la conectividad de red y cableado
elctrico con el que contemos.
A pesar de todas estas dificultades y carencias descritas en la DRE Ucayali se hacen

uso de los recursos disponibles para cumplir y salvaguardar los datos de los
Sistemas de Informacin que se manejan diariamente.
52

BIBLIOGRAFIA
Guia para la elaboracin de Planes de Contingencia de los Sistemas de Informacin de las

Entidades Pblicas INEI:
http://www.ongei.gob.pe/seguridad/seguridad2_archivos/lib5131/libro.pdf
53

Plan de Contingencias Dreu 2015 2016

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Plan de Contingencias Dreu 2015 2016

Cargado por

Copyright:

Formatos disponibles

Plan de Contingencias de los Sistemas de Informacin

Centro de Cmputo DREU

En toda entidad de la Administracin pblica se precisa contar con un Plan de

Ing. Karina Gordon Zumaeta

Plan de Contingencias de los Sistemas de Informacin

CAPITULO I: MARCO TEORICO

2. Qu son los Sistemas de Informacin?

cuenta con varios sistemas de Informacin como el SUP(Sistema nico de

Planillas), NEXUS(Control de Plazas), SIRA( Sistema de Informacin de Racionalizacin) SIAF,

varios actores como

personas, computadoras, aplicaciones, procedimientos son importantes da a da y por ello

Plan de Contingencias de los Sistemas de Informacin

Aplicaciones: Se incluyen los manuales y las aplicaciones informticas.

Tecnologa: El software y el hardware; los sistemas operativos; los sistemas de gestin de

Plan de Contingencias de los Sistemas de Informacin

4. Objetivos del Plan de Contingencia.

Garantizar la continuidad de las operaciones de los elementos considerados

Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos

5. Aspectos Generales de la Seguridad de la Informacin.

Plan de Contingencias de los Sistemas de Informacin

Ubicacin del edificio.

Ubicacin del Centro de Procesamiento de Datos dentro del Edificio.

Sistemas contra incendios, puesta a tierra.

Seguridad de los medios.

Plan de Contingencias de los Sistemas de Informacin

Se debe de ejecutar un Plan de Contingencia adecuado. En general, cualquier

Realizar un anlisis de riesgos de sistemas crticos que determine la

Establecer un periodo crtico de recuperacin, en la cual los procesos

Realiza un anlisis de aplicaciones crticas porque se establecern las

Establecer objetivos e recuperacin que determinen el periodo de

Plan de Contingencias de los Sistemas de Informacin

Designar entre los distintos tipos existentes, un centro alternativo de

Asegurar la capacidad de las comunicaciones

Asegurar la capacidad de los servidores Back-up

Centro de Proceso y Equipamiento: se contrata sobre el dao fsico en

Reconstruccin de medios de software: cubre el dao producido sobre

Gastos extra: cubre los gastos extras que derivan de la continuidad de

Interrupcin del negocio: cubre las prdidas de beneficios netos

Documentos y registros valiosos: se contrata para obtener una

Plan de Contingencias de los Sistemas de Informacin

responsabilidad en que pudiera ocurrir que un trabajador que cometiera

cubre las prdidas derivadas de actos

deshonestos o fraudulentos cometidos por empleados.

Transporte de medios: proporciona cobertura ante prdidas o daos a

Contratos con proveedores y de mantenimiento: proveedores o

5.2 Conceptos Generales.

Plan de Contingencias de los Sistemas de Informacin

refiere a la distribucin autorizada de informacin de acuerdo a una Ley ya dada,

son hechos y cifras que al ser procesados constituyen una

informacin, sin embargo muchas veces los datos e informacin se utilizan

5.2.5 Base de Datos

Plan de Contingencias de los Sistemas de Informacin

5.2.8 Ataque Activo

Plan de Contingencias de los Sistemas de Informacin

5.2.9 Ataque Pasivo

5.2.12 Golpe (Breach)

6. Seguridad Integral de la Informacin

Plan de Contingencias de los Sistemas de Informacin

La funcin del procesamiento de datos es un servicio de toda la institucin, que apoya no

1.2 Cloud Computer

Plan de Contingencias de los Sistemas de Informacin

CAPITULO II: FASES DE LA METODOLOGIA PARA EL DESARROLLO DE UN

Planificacin: preparacin y aprobacin de esfuerzos y costos

Identificacin de Riesgos: Funciones y flujos del proceso de la empresa