PDF

EsSalud
MAS SALUD PARA MAS PERUANOS
RESOLUCION DE GERENCIA GENERAL N' 035 -GG-ESSALUD-2006
Lima, 1 7 de Enero del 2006
VISTA:
La Carta N 007-GCOl-ESSALUD-2006 por medio de la cual la Gerencia Central de

Organizacin e Informtica propone la aprobacin de la Directiva "Norr:na de Soporte
Informtico para la Continuidad del Negocio Frente a Eventos de Desastre en
ESSALUD", y;
CONSIDERANDO:
Que, por Resolucin de Presidencia Ejecutiva N 792-PE-ESSALUD-2005, de fecha

28 de diciembre del 2005, se aprob el Reglamento de Organizacin y Funciones del
Seguro Social de Salud - ESSALUD;
Que, mediante Resolucin de Presidencia Ejecutiva N 957-PE-ESS/l.LUD-2003, de

fecha 03 de diciembre del 2003, se aprob, entre otros, la Estructura Orgnica y el
Reglamento de Organizacin y Funciones de la Gerencia de Divisin de
Administracin y Organizacin;
Que, de conformidad con lo establecido en el literal c) del Artculo 23 del mencionado

Reglamento, la Gerencia Central de Organizacin e Informtica de la Gerencia de
Divisin de Administracin y Organizacin es responsable de formular y emitir
directivas que permitan establecer procesos, mtodos y procedimientos para una
adecuada administracin, seguridad y gestin de los recursos informticos de
ESSALUD, a nivel nacional;
Que, de acuerdo a lo sealado en el literal f) del Artculo 9 del mismo Reglamento, la

Oficina de Seguridad Informtica de la Gerencia de Divisin de Administracin y
Organizacin es responsable de Qjpear, coordinar e implantar procedimientos que
permitan el desarrollo y esta~ecimiento de Planes de Contingencias en los centros de
cmputo de la lnstitucin, a fin de permir la recuperacin de las operaciones
informticas ante eventuales desastres mayores;
~
Que, resulta necesario dictar las disposiciones que permitan establecer las polticas,
roles, acciones y responsabilidades que faciliten contar con Planes de Contingencias
Informticos en nuestra Institucin, para hacer frente a imprevistos originados por
desastres naturales o humanos, catalogados como situaciones de emergencia que
pueden afectar el normal funcionamiento de los Centros de Procesamiento de
Informacin de ESSALUD y en consecuencia los recursos, atenciones y servicios
soportados por los mismos;
Que, el literal b). del Articulo 9 de la Ley N 27056, Ley de Creacin del Seguro Social
de Salud, establece que le compete al Gerente General, dirigir el funcionamiento de la
Institucin, emitir las directivas Y. los procedimientos internos necesarios, en
,,:;.TL<;.. concordancia con las polticas, lineamientos y dems disposiciones del Consejo
("/'>rr." . : ~', Directivo y del Presidente Ejecutivo;
"" " swct.o , ..
\\>. "' ' ,. ' '1:
,j
\~~1, ...::,~ ;.
-.:.::.~~:
EsSalud
MAS SALUD Pf<RA MAS PERUANOS
RESOLUCION DE GERENCIA GENERAL N 035 -GG-ESSALUD-2006
Estando a lo propuesto y en uso de las atribuciones conieridas;
SE RESUELVE:
ARTCULO UNICO.- APROBAR la Directiva de Gerencia General

N 004 -GG-ESSALUD-2006, "Norma de Soporte Informtico para la Continuidad
del Negocio Frente a Eventos de Desastre en ESSALUD", que forma parte de la
presente Resolucin.
REGSTRESE Y C UNQUESE.
DR. CAR OS SOTELO BAMBAREN

Gerente General
ESSALUD
DIRECTIVA DE GERENCIA GENERAL N 004 -GG-ESSALUD-2006
NORMA DE SOPORTE INFORMATICO PARA LA CONTINUIDAD DEL NEGOCIO

FRENTE A EVENTOS DE DESASTRE EN ESSALUD
GERENCIA DE DIVISIN DE ADMINISTRACIN Y ORGANIZACIN

OFICINA DE SEGURIDAD INFORMATICA
1de39

INDICE Pgina
1. Objetivo 3
2. Finalidad 3
3. Base Legal 3
4. Alcance 4
5. Responsabilidad 4
6. Conceptos de Referencia 5
7. Disposiciones 6
7 .1 Disposiciones Generales y de Organizacin 6
7.2 De la Elaboracin del Plan de Contingencias Informtico 10
7. 3 De Ja Aprobacin del Plan de Contingencias Informtico 11
7.4 De la Implantacin del Plan de Contingencias Informtico 12
7.5 De la Simulacin y/o Prueba del Plan de Contingencias Informtico 12
7.6 De la Actualizacin del Plan de Contingencias Informtico 13
7. 7 De la Operatividad y DeclaratoFia de la Situacin de Emergencia 14

' , r: 't"
7.8 Labores de Control yEvaluacin 16
Disposiciones Complemntarias 17
21
Anexos
21
Anexo N 01 - Metodologa Para el Desarrollo de Planes de Contingencias
Informticos
Anexo N 02 - Diagrama de Aprobacin de los Planes de Contingencias 38
Informticos Integrales
39
Anexo N 03 - Formato para el Registro de Actividades de Ja Simulacin
/
!:
2 de 39

1. OBJETIVO
Definir las polticas, roles, acciones y responsabilidades necesarias para contar con
instrumentos debidamente planificados que permitan hacer frente ante eventos
catalogados como situaciones de emergencia que alteran el normal funcionamiento de
los Centros de Procesamiento de Informacin de EsSalud, y en consecuencia afectan
a los recursos, atenciones y servicios soportados por los .mismos.
2. FINALIDAD
Lograr ante una Situacin de Emergencia la continuidad de los servicios y procesos

que se encuentran soportados bajo soluciones informticas residentes en los Centros
de Procesamiento de Informacin de EsSalud.
3. BASE LEGAL
Ley N 27056, Ley de Creacin del Seguro Social de Salud (ESSALUD) y el Decreto
Supremo N 002-99-\R que aprob su reglamento.
Resolucin de Contralora N 072-98-CG Normas Tcnicas de Control Interno para
el Sector Pblico NTC 500 - Normas Tcnicas de Control Interno para Sistemas
Computarizados.
Resolucin Ministerial N 224-2004-PCM, uso obligatorio de la Norma Tcnica
Peruana "NTP-ISO/IEC 17799:2004 EDI. Tecnologa de la Informacin. Cdigo de
Buenas Practicas para la Gestin de la Seguridad de la Informacin. 1" Edicin" en
entidades del Sistema Nacional de lnformatica.
Reglamento Interno de Trabaj-;-laprobado por Resolucin de Presidencia Ejecutiva
N 139-PE-ESSALUD-99"y sus modificatorias.
Resolucin de Gerncia General N 1070-GG-ESSALUD-2000 que aprob la
Directiva N 018-GG,ESSALUD-2000, Normas para la Formulacin de Documentos
Tcnicos Normativos de Gestin en el Seguro Social de Salud (ESSALUD).
Resolucin de Gerencia General N 378-GG-ESSALUD-2003, que aprob la
Directiva N 004-GG-ESSALUD-2003 "Normas de Dependencia Funcional de las
Areas de lnformatica de EsSalud".
Resolucin de Presidencia Ejecutiva N 927-PE-ESSALUD-2003 que aprob la
-- - Estructura Organica y el Reglamento de Organizacin y Funciones de EsSalud .
.1.<:>"-;.:;;;;;,, Resolucin de Presidencia Ejecutiva N 957-PE-ESSALUD-2003 que aprob la
!..,f.~.i;i:;;,r ,;;;:i> Estructura Organica y el Reglamento de Organizacin y Funciones de la Gerencia
\1
. ....... ~7/ de Divisin de Administracin y Organizacin.
:. ,, ' Resolucin de Gerencia General N 236-GG-ESSALUD-2005, que aprob la
' Directiva N 002-GG-ESSALUD-2005 "Polticas de Seguridad lnformatica de
sSalud" .
r'
. .,
,/(.-,
,111~\
(e_/ \r' .~
V
\
l 1
l' I; l' 10U. ~~\ 3 de 39
... ' 0:1
~Ji
\~~. . '" ~ !1,Jl
\..,'f'~ '.:;./
'~.!;..9-="'
4. ALCANCE
Esta norma es de aplicacin a todas las Gerencias y Jefaturas de Ja Sede Central y de

los Organos Desconcentrados.
5. RESPONSABILIDAD
Son responsables de Ja difusin y control de la presente Directiva:
Gerentes de Divisin.
Gerentes Centrales.
Jefes de las Oficinas.
Gerentes Generales de Hospitales Nacionales.
Gerentes Administrativos de Redes Asistenciales.
Gerentes Administrativos de los Institutos Especializados.
Son responsables de hacer efectivo y supervisar Jo dispuesto en la presente norma:
Gerente Central de Organizacin e Informtica.

Los Gerentes Administrativos, encargados o los que hagan sus veces, de las
Gerencias de Redes Asistenciales, Hospitales Nacionales, o Institutos
Especializados.
Jefe de Ja Oficina de Seguridad Informtica, y
Jefes de Ja Oficinas de Soporte Informtico de los Organos Desconcentrados.
Responsabilidades de Uso
Responsables de la Informacin, los responsables de la informacin son los

gerentes de las reas que producen dicha informacin y/o tienen a su cargo la
actualizacin y explotacin de Ja misma, siendo ellos o sus representantes dentro
de la organizacin quienes tienen la responsabilidad de autorizar los accesos a las
aplicaciones en produccin que procesan la informacin que les pertenece y definir
los niveles de proteccin para la misma. Todos los aplicativos en produccin deben
tener un responsable designado.
Custodios, los custodios de la informacin son aquellos que tienen Ja posesin

fsica lgica de Jo&- aplicativos y Ja informacin. Los custodios de Jos principales
\. sistemas de informain corporativos: centralizados o distribuidos, y residentes en
el centro de cmputo de Ja Sede Central son miembros de Ja Gerencia Central de
Organizacin e Informtica. Los custodios de los sistemas de informacin
corporativos y/o distribuidos residentes en el Centro de Soporte Informtico de Jos
Organos Desconcentrados son los encargados de las Oficinas de Soporte
Informtico. Si la informacin se maneja en el disco duro de una computadora
personal, el usuario necesariamente ser el custodio de la misma. Los custodios
son los:responsables de salvaguardar Ja informacin: implementando mecanismos
de control de accesos para prevenir los accesos no autorizados, manutencin de
las copias de respaldo de la informacin crtica y velar por las mejores condiciones
de la seguridad fsica y ambiental.
Usuafios, los usuarios son aquellas personas que utilizan la informacin como
parte de su trabajo diario.
4 de39
Los Responsables de la Informacin, los Custodios y los Usuarios son responsables
de conocer y cumplir las polticas, procedimientos y normas establecidas en seguridad
informtica.
6. CONCEPTOS DE REFERENCIA
Activos Informticos: Son bienes tangibles e intangibles asociados con los sistemas
de informacin, como son los activos de informacin ( archivos y base de
datos, documentacin, manuales, planes de continuidad), activos de software
(aplicacin, sistema operativo, herramientas de desarrollo), activos fisicos
(computadoras personales, equipos de comunicacin, medios magnticos) y servicios
(alumbrado, energia, aire acondicionado).
Aplicativos, Sistemas Crticos:-- Sistemas de informacin cuya interrupcin en su

funcionamiento o mal funcionamiento ocasionan un mayor impacto negativo en los
servicios y en las funciones bsicas de la organizacin.
Amenaza: Fenmeno natural o provocado por la actividad humana, cuya ocurrencia es

peligrosa para las personas, propiedades, instalaciones y ambiente
J~i~~~I. Centro de Cmputo (CC): Es un Area de trabajo cuya funcin es la de concentrar,

(y~ !J.'~<),~ almacenar y procesar los datos y funciones operativas de una empresa de manera
G lk bns ~
\ .!", .. 1.!Kln:t ~ sistematizada.
7;. :;,! 'J i11(c1n1~lka ~t
~ ... " . ~"':
~~,., Centro de Soporte Informtico: Ambiente fsico de los Organos Desconcentrados en
.. -- ,--- --~
0 donde se tiene instalado: servidores que contienen sistemas corporativos y
i, ' : 60;\distribuidos, otros equipos de cmputo y dispositivos de soporte informtico. Estas
'Jl!,_ ~outz "~reas informticas dependen funcionalmente de la Gerencia Central de Organizacin e
<:1 ""'"''" fl formtica.
~~;j;>' Centro de Procesamiento de Informacin: Son las reas informticas conformadas

por el Centro de Cmputo de la Sede Central y por los Centros de Soporte Informtico
de los Organos Desconcentrados, ambos bajo la administracin funcional de la
Gerencia Central de Organizacin e.-.lnformtica
' ~
Datos Crticos: Llamados tambin registros vitales, son datos muy importantes para
EsSalud los cuales se encuentran almacenados en archivos, en base de datos, en
documentos, procedimintos, entre otros y cuya prdida ocasionan un impacto
negativo en el normal desarrollo de labores en la Institucin.
Declaracin de la Situacin de Emergencia: Se refiere al proceso que informa de la

presencia de un evento inesperado definido como Situacin de Emergencia, que afecta
el normal funcionamiento de los recursos, servicios y procesos informticos y activa el
Plan de Contingencia.
Desastre: Un acontecimiento repentino que interrumpe el normal desenvolvimiento de

las funciones a realizar por una persona, grupo, entidad, sociedad o poblacin. Para el
caso de una entidad su capacidad operativa se ve disminuida al punto de no poder
,<.,:;:-~ ~ 1 ;Po'\prestar ni siquiera sus servicios bsicos.
i1 ~,Informacin: Conjunto de datos sobre una materia determinada. Tras la revolucin

\~,.c.s::f.'t''_;#}ndustrial, se habla de la revolucin de la informacin, que se ha convertido en el mayor
\',', ' ,.,_.,.
~,1c1, !j~,/
5 de 39
.. ~ .... :..!:~ ,,...
(
l
valor de las empresas y de las personas. Adopta diversas formas puede estar impresa
o escrita en papel, almacenada electrnicamente, transmitida por correo o por medios
electrnicos, mostrada en vdeo o reproducida verbalmente.
Organos Desconcentrados: Se refiere a las Redes Asistenciales con sus respectivos

Centros Asistenciales y a los Institutos Especializados
Procedimientos Manuales: Secuencia de pasos debidamente ordenados que permite

lograr un proceso determinado y se realizan sin el uso de un sistema de informacin.
Procesos Alternos: Secuencia de pasos debidamente ordenados cuyo fin es obtener

un resultado determinado y es utilizado en reemplazo de un proceso primario.
Plan de Contingencias Informtico: Es el plan destinado a proteger la informacin

contra los daos producids por hechos naturales o por el hombre.
Recursos Informticos: Ver el concepto "Activos Informticos".
Situacin de Emergencia: Es la presencia de algn evento que afecta el normal

funcionamiento de los recursos, servicios y procesos informticos, puede ser desastres
naturales tales como: un sismo, un incendio, un terremoto, una inundacin, un
derrumbe; pueden ser desastres originados por causas humanas, actos delictivos,
atentados, entre otros.
DISPOSICIONES
7.1. Disposiciones Generales y de Organizacin
a) Los escenarios que comprenden una Situacin de Emergencia son los

siguientes:
Prdida parcial o total del Centro de Computo de la Sede Central o Centro

de Soporte Informtico del Organo Desconcentrado y su equipamiento o del
control de los mismos.
Prdida del acceso o del;edificio de la Sede Central, sede del Centro de
Cmputo de la ,Sed.e Central.
Prdida del acceso al Centro de Soporte Informtico del Organo
Desconcentrado.
Prdida del srvicio de una aplicacin corporativa o critica.
Estos escenarios pueden presentarse debido a los eventos siguientes:
Destruccin completa del Centro de Cmputo de la Sede Central o Centro

de Soporte Informtico del Organo Desconcentrado.
Destruccin parcial del Centro de Cmputo de la Sede Central o Centro de
Soporte Informtico del Organo Desconcentrado.
Destruccin o mal funcionamiento de los equipos auxiliares del Centro,,de
Cmputo de la Sede Central o Centro de Soporte Informtico del Organo
Desconcentrado (aire acondicionado, UPS, grupo electrgeno, entre otros).
Falla parcial o total de los equipos centralizados.
Prdida total o parcial de informacin critica almacenada en medos
informticos.
6 de 39
1., "
;tc(:f~L!~.. -' ~'- --
~\ _J''\Yt!i>~~aiud
...-,:: :,;;:-,;; :.:,c,c
Huelgas, conmocin civil o problemas laborales.

Actos de sabotaje.
Prdida parcial o total de los equipos debido al tiempo de uso, o al
cumplimiento de su vida til.
b) Para hacer frente a la Situacin de Emergencia, la Institucin debe contar con

dos (2) Planes de Contingencias Informticos Integrales: un Plan de
Contingencias Informtico para el Centro de Cmputo de la Sede Central y un
Plan de Contingencias Informtico Base para Jos Centros de Soporte
Informtico de los Organos Desconcentrados.
c) Para efecto de Ja continuidad de Jos servicios informticos se constituirn los

siguientes equipos de trabajo en el mbito institucional:
i. Comit Ejecutivo: Comit que dirige las acciones antes, durante y despus
de una Situacin de Emergencia.
Conformado por cinco (5) miembros:

Gerente Central de Organizacin e Informtica.
Gerente de Produccin de Ja Gerencia Central de Organizacin e
Informtica.
Gerente de Desarrollo de Sistemas de Ja Gerencia Central de
Organizacin e Informtica.
Gerente de Organizacin de la Gerencia Central de Organizacin e
Informtica.
Jefe de Ja Oficina de Seguridad Informtica de la Gerencia de Divisin de
Administracin y Organizacin.
La conduccin del Comit Ejecutivo esta a cargo del Gerente Central de

El nmero mnimo de miembros para la instalacin y/o funcionamiento de
este Comit es de tres (3) funcionarios.
Pueden integrarse nuevoi.;miembros al Comit Ejecutivo, de acuerdo a las

funciones que spn c.ompetencia de su desempeo.
Funciones a ser Cubiertas para Atender una Situacin de Emergencia
1. Evaluacin y aceptacin de los Planes de Contingencias Informticos

Integrales presentados por el Comit de Apoyo.
2. Evaluacin de los resultados de las simulaciones de los Planes de
Contingencias Informticos.
3. Asegurarse que Jos Planes de Contingencias Informticos aprobados se
encuentren implementados en las Redes y Centros Asistenciales.
"
Funciones Durante la Situacin de Emergencia
1. Liderar Jos equipos de trabajo que estn a cargo de la recuperac1on ae 1a

Situacin de Emergencia.
2. Mantener informado a Ja Gerencia General del estado de Ja Situacin de
Emergencia presentada y de los avances en la recuperacin.
3. Evaluacin y supervisin del desempeo de los Equipos de Recuperacin
sobre la base del informe del Comit de Apoyo.
Funciones Despus de la Situacin de Emergencia
1. Evaluacin del informe escrito emitido por el Comit de Apoyo respecto a

las acciones asumidas para cubrir Ja Situacin de Emergencia. Como
resultado de la evaluacin pueden surgir medidas correctivas de carcter
institucional que sern elevadas a Ja Gerencia General proponiendo su
aprobacin e implantacin.
2. Recepcin y revisin de Jos informes emitidos por la Polica, los
Bomberos y el Serenazgo respecto al origen de la Situacin de
Emergencia, en caso existieran.
3.. Aprobacin de las actualizaciones a los Planes de Contingencias
1nformticos 1ntegrales.
ii. Comit de Apoyo: Comit que elabora y dirige la ejecucin de los Planes de
Contingencias Informticos, asimismo es responsable de dirigir y coordinar la
simulacin de dichos Planes.
Conformado por cinco (5) miembros:
Gerente de Produccin de la Gerencia Central de Organizacin e

Informtica.
Sub Gerente de Operaciones de la Gerencia de Produccin.
Sub Gerente de Soporte al Usuario de la Gerencia de Produccin.
Sub Gerente de Comunicaciones de la Gerencia de Produccin.
Jefe de la Oficina de Seguridad Informtica de la Gerencia de Divisin de
Administracin y Organizacin.
El Comit de Apoyo esta liderado por el Gerente de Produccin.

El numero mnimo de miembros para la instalacin y/o funcionamiento de
este Comit es de tres (3) funcionarios.
~..J
Pueden integrarse ruevos miembros al Comit de Apoyo, de acuerdo a las
funciones que.' son competencia de su desempeo, como son los
representantes de las reas responsables de los sistemas y datos criticas
que hay que pr-oteger, entre otros.
Funciones a ser Cubiertas para Atender una Situacin de Emergencia
1. Es responsable de la elaboracin de los Planes de Contingencias

Informticos Integrales.
2. Es responsable de dirigir la simulacin del Plan de Contingencias
Informtico de la Sede Central; como minimo, una vez al ao.
3. Debe verificar que los respaldos del sistema operativo, programas
productos y datos de los sistemas de informacin sean realizados
peridicamente y enviados al almacenamiento alterno
4. Debe verificar la correcta actualizacin de la docurnentacin sobre Ja
configuracin de los sistemas y de los procedimientos de recuperacin.
Funciones Durante la Situacin de Emergencia

8 de 39
>
'1!.2~~:~--~~-s.~-~-~~
- . .,. ..
. - "" ~ ; -.
1. Control y direccin de las labores a realizar por los equipos de

recuperacin para atender la Situacin de Emergencia de acuerdo a lo
que seala el Plan de Contingencias Informtico.
2. Informar al Comit Ejecutivo sobre el estado de las actividades realizadas
en la recuperacin.
3. Verificacin de la operatividad y funcionalidad de las aplicaciones y datos
restaurados.
Funciones Despus de la Situacin de Emergencia
1. Elaboracin del informe escrito que ser expuesto y presentado al Comit

Ejecutivo, el cual contendr entre otros aspectos, las causas y acciones
emprendidas para superar la situacin de emergencia, sugerencias a
considerarse en el Plan de Contingencias Informtico y de ser el caso,
propuestas de mejoras de carcter institucional.
2. Es responsable de la actualizacin de los Planes de Contingencias
Informticos Integrales.
iii. Equipos de Recuperacin: Equipos de personas que se encuentran bajo la

direccin del Comit de Apoyo y sern conformados por personal
multidisciplinario que ejecutar el Plan de Contingencias Informtico. La
conformacin y el nmero de integrantes estarn definidos en el Plan de
Contingencias Informtico de la Sede Central y de los Organos
Desconcentrados, respectivamente.
d) Los comits descritos en el punto anterior, indicado como literal c, sern

convocados a Sesin Ordinaria por quienes la presiden conforme a la siguiente
frecuencia:
COMIT PERIODICIDAD
Comit Ejecutivo Mnimo 2 veces al ao
Comit de Apoyo Mnimo 4 veces al ao
.
La convocatoria _a Sesiones Extraordinarias para todos los Comits es a
iniciativa de quienes la presiden, a demanda de dos de sus miembros o a
peticin de la Ge:encia General o de la Presidencia Ejecutiva.
e) El ejercicio de las funciones de los comits indicados se desarrollar a travs de

la emisin de informes escritos y de la presentacin de sugerencias y
recomendaciones sobre los temas sometidos a su consideracin, los cuales se
vern reflejadas en las actas de reunin emitidas.
f) Los comits podrn solicitar la presencia de personas que estimen conveniente

en sus reuniones.
g) Los representantes de las reas, designados como responsables de los

{'..:';: ':0r-, sistemas o de la informacin, que integran el Comit de Apoyo deben
('' , '\ desarrollar y actualizar los procedimientos manuales asociados a los sistemas
:' . .,!' crticos a proteger para ser aplicados como proceso alterno durante la Situacin
: '. :::;-,", \_., ..~5,'
\'. ~ ,. ifj! de Emergencia a fin de mantener la continuidad del servicio.
~~(:~~~;~~- r;.~::~
9 de 39
h) La representatividad de quienes integran el Comit Ejecutivo y el Comit de
Apoyo no pueden ser delegadas salvo por motivos de salud o ausencia fsica, la
cual debe ser previamente comunicada a la Gerencia Central de Organizacin e
Informtica.
i) Durante la elaboracin de los Planes de Contingencias Informtico Integrales, la

Gerencia de Produccin encargada de la administracin y funcionamiento del
Centro de Cmputo en la Sede Central y los Jefes de las Oficinas de Soporte
Informtico o quien haga sus veces, deben establecer los controles,
mecanismos y procedimientos para hacer frente a problemas informticos que
se presenten en su correspondiente rea o mbito.
7.2. De la Elaboracin del Plan de Contingencias Informtico
El Comit de Apoyo es el encargado de elaborar los dos (2) Planes de

Contingencias Informticos Integrales mencionados en la presente norma para lo
cual debe tomar como referencia la metodologa propuesta en el Anexo N 01.
7.2.1. De la Sede Central
a) Las Gerencias designadas como responsables de los sistemas y datos

crticos a proteger, a solicitud del Comit Ejecutivo deben nombrar
representantes a integrarse al Comit de Apoyo.
7.2.2. De los Organos Desconcentrados
a) Para el desarrollo del Plan de Contingencias Informtico Base de los

Organos Desconcentrados se integrarn adicionalmente al Comit de
Apoyo:
Tres Jefes de Soporte Informtico de tres Redes Asistenciales en

representacin de los custodios de los Organos Desconcentrados.
La Gerencia de Prodi>tcin debe designar las tres Redes Asistenciales

que se integrarn al Comit de Apoyo .
..
i: J b) Una vez aprobado el Plan de Contingencias Informtico Base para los
'.>"':-,., Organos esconcentrados; el Comit de Apoyo entrega a cada Gerente
Administrativo o quien haga sus veces una copia del mismo.
c) Cada Gerente Administrativo o quien haga sus veces lo har llegar al

Jefe de la Oficina de Soporte Informtico o quien haga sus veces, el cual
debe completarlo con la informacin de su entorno (directorio telefnico,
lista de proveedores de servicios, lista de los responsables de los
aplicativos, entre otros).
d) Como resultado se obtiene el Plan de Contingencias Informtico

individual para cada Organo Desconcentrado, el cual se remite una copia
a . la Gerencia Administrativa' o Administrador del Organo
Desconcentrado y otra copia al Comit de Apoyo.
10 de 39
7.3. De la Aprobacin del Plan de Contingencias Informtico
7.3.1. De la Aprobacin Inicial
a) El Comit de Apoyo, designa los representantes que al trmino de la

fecha establecida, entrega y expone al Comit Ejecutivo para su
evaluacin y conformidad lo siguiente:
1. Plan de Contingencias Informtico de la Sede Central

ii. Plan de Contingencias Informtico Base para los Organos
Desconcentrados
b) El Comit Ejecutivo evala y otorga la conformidad, caso contrario remite

las observaciones pertinentes al Comit de Apoyo en un plazo no mayor
a cinco dias tiles, las cuales deben ser incluidas por este ltimo Comit
para luego proceder nuevamente con el proceso de aprobacin acorde
con lo descrito en el literal anterior del presente capitulo.
c) El Comit Ejecutivo una vez otorgada la conformidad y por intermedio de

los representantes del Comit de Apoyo presenta y expone ante la
Gerencia General el Plan de Contingencias de la Sede Central y el Plan
de Contingencias Informtico Base para los Organos Desconcentrados a
fin de ser aprobados.
d) La Gerencia General evala los Planes de Contingencia Informticos y

de considerarlo procedente los aprueba, caso contrario remite las
observaciones pertinentes al Comit de Ejecutivo, y este a su vez al
Comit de Apoyo para realizar las correcciones correspondientes, y
luego se procede nuevamente con el proceso de aprobacin acorde con
lo descrito desde el literal a) del captulo "De la Aprobacin del Plan de
Contingencias Informtico - De la Aprobacin Inicial".
7.3.2. De la Aprobacin de la Actualizacin
a) Las actualizaciones de cualquiera de los dos (2) Planes de

Contingenci,as ifformticos_. Integrales deben ser aprobadas conforme al
mismo procedimiento establecido segn el captulo "De la Aprobacin
del Plan de Contingencias Informtico - De la Aprobacin Inicial".
b) Para el caso de actualizaciones en el plan de contingencias base de los

Organos Desconcentrados una vez lograda la aprobacin se proceder
segn lo sealado en el punto 7.2.2 del captulo "De la Elaboracin del
Plan de Contingencias Informtico - De /os rganos Desconcentrados" a
excepcin del literal a).
c) Para el caso de cambios en aspectos propios del Organo

Desconcentrado bastar con elevar un informe escrito dirigido a la
/) ::::_Jo"-~\ Gerencia Administrativa del Organo Desconcentrado y otro a la Gerencia
!. .
. .,~1
~ :-~ \
/\J. ~1
de Produccin.
::;::-.~~!JI Los Planes de Contingencias Informticos Integrales una vez aprobados por la
1
'' ''"' Gerencia General, deben formalizarse a travs de una Resolucin de Gerencia
General.
11 de 39
Una copia de los Planes de Contingencia Informticos Integrales aprobados es
remitida en calidad de custodia y respaldo al Centro de Almacenamiento
Externo del Centro de Cmputo de la Sede Central.
En el Anexo N 02 se muestra el flujograma de aprobacin de los Planes de

Contingencias Informtico~ Integrales.
7.4. De la Implantacin del Plan de Contingencias Informtico
a) La Gerencia Central de Organizacin e Informtica a travs de la Gerencia de

Produccin y las Gerencias Administrativas de los Organos Oesconcentrados o
quien haga sus veces en estrecha colaboracin con el encargado de la Oficina
de Soporte Informtico son responsables de implantar los planes dentro de su
mbito correspondiente, bajo la direccin del Comit de Apoyo.
b) Los Planes de Contingencias Informticos incluyen labores, exigencias y

acciones que establecen su implantacin en las unidades orgnicas
correspondientes, como pueden ser:
i. Capacitacin del personal de los equipos de recuperacin y del personal

usuario.
ii. Difusin de los Planes de Contingencias Informticos.
iii. Adecuacin y mejoras de ambientes relacionados directa e indirectamente al
Centro de Cmputo de la Sede Central o a los Centros de Soporte
Informtico de los Organos Desconcentrados.
iv. Adquisicin de equipos y/o dispositivos de soporte informtico.
v. Contratacin de servicios relacionados a mejorar la proteccin de los bienes
informticos, entre otros.
De la Simulacin y/o Prueba del Plan de Contingencias Informtico
7.5.1. En la Sede Central
a) El Comit de A:poy "debe definir el alcance, cobertura y plazos para la

simulacin en la Sede Central.
b) La simulaein y/o prueba del Plan de Contingencia Informtico del

Centro de Cmputo de la Sede Central debe realizarse como mnimo
una vez al ao por el Comit de Apoyo, el mismo que nicamente,
puede ser suspendido o postergado por la Gerencia General sobre la
base de una solicitud remitida y sustentada del Comit Ejecutivo.
c) El Comit de Apoyo debe elaborar un informe escrito conteniendo los

resultados de la simlllacin y/o prueba, incluyendo apreciaciones y
mejoras para la actualizacin.
7.5.2 .. En los Organos Desconcentrados
a) El Comit de Apoyo dbe definir los alcances generales a ser cubiertos

por la simulacin en los Organos Oesconcentrados, el mismo que
nicamente, puede ser suspendido o postergado por la Gerencia
12 de 39
General sobre la base de una solicitud remitida y sustentada del Comit
Ejecutivo.
b) Tomando como premisa lo planteado por el Comit de Apoyo, la

Gerencia Administrativa o quien haga sus veces en coordinacin con la
Jefatura de Soporte Informtico o quien haga sus veces debe definir el
cronograma de trabajo para la simulacin.
c) La simulacin y/o prueba de los Planes de Contingencias Informticos

de los Organos Desconcentrados debe realizarse mnimo una vez al
ao por la Jefatura de la Oficina de Soporte Informtico o quien haga
sus veces, supervisado por la Gerencia Administrativa o quien haga sus
veces, y en coordinacin con el Comit de Apoyo.
d) El Jefe de la Oficina de Soporte Informtico o quien haga sus veces

debe elaborar un informe escrito conteniendo los resultados de las
pruebas, mejora a considerar en el plan y el total de gastos incurridos.
Este informe se producir en dos copias: una a remitirse a la Gerencia
Administrativa del Organo Desconcentrado y otra al Comit de Apoyo.
Dentro de los 30 das calendarios despus de la ejecucin de la
simulacin.
Dado el nmero de Organos Desconcentrados el Comit de Apoyo debe

establecer una programacin anual de simulacin que considere y ordene la
secuencia de ejecucin de todos los Organos Desconcentrados.
El Comit de Apoyo debe elevar un informe escrito acerca de los resultados de

la simulacin en la Sede Central y en los Organos Desconcentrados dirigido al
Comit Ejecutivo y a la Jefatura del Organo de Control Institucional, indicando
tambin los Organos Desconcentrados en los que no se llev a cabo la
simulacin y/o prueba.
El Anexo N 03 presenta el Formato a emplearse en las actividades de

simulacin.
7.6. De la Actualizacin ael Pfaii ae Contingencias Informtico
La actualizacin de .Jos Planes de Contingencias Informticos se da por tres

motivos:
a) Como resultado de la Simulacin: El Comit de Apoyo sobre la base de los

informes elaborados como resultado de las simulaciones efectuadas, evala las
recomendaciones planteadas sobre los planes de contingencia validando si
existen elementos faltantes o ausentes y procede a efectuar los cambios que
correspondan.
Cambios Operacionales: Se da en los siguientes casos:
i. Cambio en la estructura organizacional.

ii. Cambio en la infraestructura tecnolgica del Centro de Cmputo de la Sede
Central o de los Centros de Soporte Informtico de los Organos
Desconcentrados.
13 de 39
iii. Reubicacin del Centro de Cmputo de la Sede Central o de los Centros de
Soporte Informtico.
c) Resultados de la Contingencia: sobre la base del informe producido por la

atencin de una Situacin de Emergencia, el Comit de Apoyo evala las
recomendaciones de mejora para los planes y en caso de proceder inicia las
acciones para el ajuste de los planes.
7.7. De la Operatividad y Declaratoria de la Situacin de Emergencia
Las instancias para la declaratoria de la Situacin de Emergencia son las

siguientes:
7.7.1. En la Sede Central
a) Al presentarse un problema catalogado dentro de los escenarios de

Situacin de Emergencia en el Centro de Cmputo de la Sede Central,
el mismo debe ser comunicado de inmediato a la Gerencia de
Produccin a travs de la Sub Gerencia de Operaciones.
b) Si la Gerencia de Produccin detemrina que no es viable la solucin de

los problemas reportados por medio de las reas de soporte de la Sede
Central, convoca a reunin al Comit de Apoyo.
c) El Comit de Apoyo recaba toda la informacin posible del hecho

ocurrido, evala la magnitud de los acontecimientos; y de no ser posible
brindar una pronta solucin, determina que estamos frente a una
Situacin de Emergencia, lo cual lo informa a quien Presida el Comit
Ejecutivo, dentro de las 6 horas de reportado inicialmente el problema.
d) Quien preside el Comit Ejecutivo convoca a sus miembros para

evaluar y atender el informe del Comit de Apoyo.
e) El Comit Ejecutivo luego de evaluar la situacin y de considerar

procedente la emerg.;mcia, a continuacin procede a analizar si los
da.p~P4e)ien,,ser cubiertos con recursos econmicos asignados a la
Gerencia Central de Organizacin e Informtica:
i. De sef factible, el Comit Ejecutivo declara la Situacin de

Emergencia en el rea orgnica afectada, dentro de las 12 horas de
reportado inicialmente el problema, comunicando de este hecho a la
Gerencia General.
ii. Caso. contrario, de existir la necesidad de contar con recursos

excepcionales para la atencin de la Situacin de Emergencia, el
Comit Ejecutivo, dentro de las 12 horas de reportado inicialmente el
prqplema, gestiona ante la Gerencia General para que por su
inte'rrnedio el Consejo Directivo declare la Situacin de Emergencia, y
por .consecuencia se emplee los fondos de la partida presupuesta\
"Atencin a una Situacin de Emergencia".
El Consejo Directivo, con la informacin recibida y conforme a la

gravedad de los hechos decide declarar la Situacin de Emergencia
14 de 39
para las reas orgnicas correspondientes y/o los sistemas de
informacin; comunicando dicha decisin a la Gerencia General, y
este a su vez al Comit Ejecutivo.
f) Luego de haberse declarado la Situacin de Emergencia; el Comit

Ejecutivo instruye a la Gerencia de Produccin para que convoque a
los equipos de recuperacin conforme al Plan de Contingencias
Informtico correspondiente.
7.7.2. En los Organos Desconcentrados
a) Si el problema se encuentra en un Centro Asistencial: La jefatura del

rea informtica de dicho Centro afectado lo reporta inmediatamente al
Jefe de la Oficina de Soporte Informtico de la Red Asistencial
correspondiente, este ltimo de determinar que se est dentro de un
escenario de Situacin de Emergencia lo informa al Gerente
Administrativo. El Gerente Administrativo. evala lo reportado y de
confirmar la magnitud de los hechos, instruye al Jefe de la Oficina de
Soporte Informtico de la Red Asistencial para que notifique la
emergencia a la Mesa de Ayuda, dentro de las 2 horas de reportado
inicialmente el problema.
b) Si el problema se encuentra en una Red Asistencial o Instituto

Especializado: el Jefe de la Oficina de Soporte Informtico afectado lo
reporta al Gerente Administrativo, este ltimo de determinar que se
est dentro de un escenario de Situacin de Emergencia, instruye al
Jefe de la Oficina de Soporte Informtico para que notifique la
emergencia a la Mesa de Ayuda, dentro de las 2 horas de reportado
c) La Mesa de Ayuda informar telefnicamente y/o personalmente a la

Sub Gerencia de Soporte al Usuario, a la Sub Gerencia de Operaciones
y a la Sub Gerencia de Comunicaciones los problemas reportados como
Situacin de Emergencia, dentro de 1.as 3 horas de reportado
d) Si la Suti Gerencia de Soporte al Usuario, la Sub Gerencia de

Operaciones y la Sub Gerencia de Comunicaciones en forma conjunta
determina que estamos frente a un escenario de Situacin de
Emergencia lo comunica a la Gerencia de Produccin, dentro de las 6
horas de reportado inicialmente el problema.
e) Si la Gerencia de Produccin determina que no es viable la solucin de

los problemas reportados por medio de las reas de soporte de la Sede
Central, convoca a reunin al Comit de Apoyo.
f) El Comit de Apoyo recaba toda la informacin posible del hecho

/'?)}?o~\ ocurrido, evalua la magnitud de los acontecimientos; y de no ser posible
brindar una pronta solucin, determina que estamos frente a una
;' _I\
Situacin de Emergencia, lo cual lo informa a quien Presida el Comit
\?:~;,,:)/~~;;'{/ Ejecutivo, dentro de las 1 O horas de reportado inicialmente el problema.
15 de 39
g) Quien preside el Comit Ejecutivo convoca a sus miembros para
evaluar y atender el informe del Comit de Apoyo.
h) El Comit Ejecutivo luego de evaluar la situacin y de considerar

procedente la emergencia, a continuacin procede a coordinar con el
Gerente Administrativo de la Red Asistencial a cargo del rea orgnica
afectada la evaluacin de los daos y la viabilidad de ser atendidos con
recursos propios de dicha Red Asistencial:
i. De ser factible, la Gerencia Central de Organizacin e Informtica y

el Gerente Administrativo de la Red Asistencial respectiva, de
manera conjunta declaran la Situacin de Emergencia en el rea
orgnica afectada, dentro de las 20 horas de reportado inicialmente
el problema, comunicando de este hecho a la Gerencia General.
iL Caso contrario, de existir la necesidad de contar con recursos

excepcionales para la atencin de la Situacin de Emergencia, la
Gerencia Central de Organizacin e Informtica y el Gerente
Administrativo de la Red Asistencial respectiva, dentro de las 20
horas de reportado inicialmente el problema, de manera conjunta
gestionan ante la Gerencia General para que por su intermedio el
Consejo Directivo declare la Situacin de Emergencia, y por
consecuencia se emplee los fondos de la partida presupuesta!
"Atencin a una Situacin de Emergencia".
El Consejo Directivo, con la informacin recibida y conforme a la

gravedad de los he.chas decide declarar la Situacin de Emergencia
para las reas orgnicas correspondientes y/o los sistemas de
informacin; comunicando dicha decisin a la Gerencia General, y
este a su vez al Comit Ejecutivo.
i) Luego de haberse declarado la Situacin de Emergencia; el Comit

Ejecutivo instruye a la Gerencia de Produccin para que convoque a
los equipos de recuperacin conforme al Plan de Contingencias
Informtico correspondiente.
Labores de Control y Evaluacin
a) A continuacin s describen algunas labores de prevencin que deben ser

realizadas por las Jefaturas de las Unidades dedicadas a la Gestin Informtica,
dentro de su mbito:
i. Con respecto a las Copias de Respaldo:

Revisar que las normas y procedimientos relacionados a backups y
seguridad de equipos y data se cumplan y se mantengan actualizadas.
Supervisar la realizacin peridica de los backups, comprobando
fsicamente su realizacin, adecuado registro y almacenamiento.
Revisar la correlacin entre los sistemas y las informaciones necesarias
para la buena marcha de la Institucin, y el contenido de los Backups
realizados.
16 de 39
ii. Informar de los incumplimientos de las normas de seguridad y proteccin,
para las acciones de correccin respectivas.
iii. Supervisin del registro de la bitcora de incidencias diarias.
iv. Verificar que se proceda con el mantenimiento preventivo programado a los
equipos y dispositivos informticos.
v. Verificacin del correcto funcionamiento del aire acondicionado, grupo
electrgeno y el UPS.
vi. Entrega mensual a la Oficina de Seguridad Informtica sobre el estado de
las labores de prevencin realizadas.
b) La Oficina de Seguridad Informtica debe realizar el control de estas

actividades segn cronograma previamente establecido.
8. DISPOSICIONES COMPLEMENTARIAS
a) Para la aplicacin de la presente norma, debe procederse conform; a las

siguientes cinco (5) fases descritas lneas abajo:
1. Fase 1: Instalacin de los Equipos de Trabajo.-

Duracin: Treinta (30) das calendario, siguientes a la vigencia de la presente
norma.
Responsable: La ejecucin de esta fase est a cargo de la Gerencia Central de
Actividades: Convocatoria a la instalacin de los comits y equipos de trabajo a
fin de dar inicio al desarrollo de los Planes de Contingencias Informticos
establecidos segn la presente norma.
Resultado que indica la culminacin de la fase: Esta primera fase concluye
cuando el Comit Ejecutivo y el Comit de Apoyo estn formalmente
constituidos y organizados.
ii. Fase 2: Pre-estudio del desarrollo de los Planes de Contingencias

Informticos.-
Duracin: Setenta y cinco (75) das calendario, siguientes a la finalizacin de la
Fase 1.
Responsable: La responsabittdad de esta fase est a cargo del Comit Ejecutivo
y la ejecucin es a \rav~s del Comit de Apoyo.
Actividades: Elaboracin del plan de trabajo, gestin y aprobacin de la
disponibilidad de recursos econmicos.
Resultado que indca la culminacin de la fase: Esta fase concluye al haberse
concretado las actividades siguientes:
1. Identificacin de las prioridades institucionales a ser cubiertas en los

Planes de Contingencias Informticos, que consiste en contar con un
documento denominado Evaluacin de Impacto que incluya la relacin de
procesos crticos, riesgos por cada proceso critico y probabilidad de
ocurrencia, el impacto institucional, alternativas de solucin y una estimacin
de sus implicancias econom1cas, tiempo de implementacin;
responsabilidades y el planteamiento de una propuesta de aprobacin. Este
documento es elaborado por el Comit de Apoyo y presentado al Comit
Ejecutivo para su revisin y conformidad.
2. Instancias para su conformidad y aprobacin, el Comit Ejecutivo eleva
el documento Evaluacin de Impacto a la Gerencia General. La Gerencia
General evala este documento y de considerarlo procedente da su
17 de39
conformidad, planteando una propuesta de aprobacin y lo eleva al Consejo
Directivo para su aprobacin definitiva. Caso contrario, lo devuelve al Comit
Ejecutivo con sus observaciones y comentarios a ser incluidos, este ltimo
Comit lo entrega al Comit de Apoyo para que realice las correcciones
correspondientes, y luego se proceda nuevamente con el proceso de
conformidad acorde con lo descrito desde el numeral 1 de la presente fase.
3. Seleccin de las prioridades institucionales a ser cubiertas en los
Planes de Contingencia Informticos, el Consejo Directivo aprueba los
procesos crticos, las soluciones y los recursos econmicos a destinarse.
Sobre esta decisin los Planes de Contingencias Informticos Integrales
sern desarrollados. El Consejo Directivo comunica de su decisin a la
Gerencia General, y este a su vez al Comit Ejecutivo.
4. Propuesta de los recursos econmicos de elaboracin, Una vez
aprobado por el Consejo Directivo los alcances del documento Evaluacin
de Impacto, el Comit Ejecutivo determina el monto de la partida
presupuesta! a asignarse para atender el proceso de elaboracin. de los
Planes de Contingencias Informticos Integra les y lo eleva a consideracin
de la Gerencia General.
5. Evaluacin de la propuesta sobre los recursos econmicos de
elaboracin, la Gerencia General de considerarlo procedente presenta al
Consejo Directivo el monto planteado para su aprobacin.
6. Aprobacin de los recursos econmicos de elaboracin, el Consejo
Directivo aprueba e instruye a la Gerencia correspondiente la disposicin del
monto asignado para atender el proceso de elaboracin de los Planes de
Contingencias Informticos Integrales de la Institucin.
7. Otorgamiento de los recursos econmicos e Inicio, Con la disponibilidad
eje los recursos econmicos sealados en el punto anterior indicado como
numeral 6 de la presente fase, se inicia la elaboracin de los Planes de
Contingencias Informticos Integrales de EsSalud.
Fase 3: Elaboracin del Plan de Contingencias Informtico.-

Duracin: La culminacin de esta fase ser dentro de los ciento ochenta (180)
das calendario, contados a partir de la finalizacin de la Fase 2.
Responsable: El Comit de Apoyo es el responsable de la ejecucin de la fase
3.
Actividades: Elaborpcifl de los dos (2) Planes de Contingencias Informticos
Integrales establecidos en la presente norma.
Resultado que indica la culminacin de la fase: Disponibilidad de los dos Planes
de Contingencias lformticos Integrales totalmente culminados.
iv. Fase 4: Presentacin, Conformidad y Aprobacin del Plan de

Contingencias.-
Duracin: La culminacin de esta fase se llevar a cabo dentro de los cuarenta
' y cinco (45) das calendario, contados a partir de la culminacin de la Fase 3.
Responsable: El Comit de Apoyo, Comit Ejecutivo y la Gerencia General.
Actividades: El Comit de Apoyo es responsable de presentar los Planes de
Contingencias Informticos al Comit Ejecutivo para su evaluacin y de
considerarlo procedente da la conformidad y lo remite a la Gerencia General
para su evaluacin y de considerarlo procedente da su aprobacin .
. Resultado que indica la culminacin de la fase: Se da por concluida esta fase
cuando el Plan de Contingencias Informtico de la Sede Central y el Plan de
Contingencias Informtico Base de los Organos Desconcentrados se
encuentren aprobados, a travs de una Resolucin de Gerencia GeneraL
18 de 39
v. Fase 5: Implantacin del Plan de Contingencias Informtico.-
Duracin: Los Planes de Contingencia Informticos aprobados fijarn los plazos
para concretar la implantacin de dichos planes, contados a partir de la
culminacin de la Fase 4.
Responsable: Esta fase es de responsabilidad de la Gerencia Central de
Organizacin e Informtica para la Sede Central y de los Gerentes
Administrativos o quien haga sus veces en los Organos Desconcentrados.
Actividades: Implantacin de los Planes de Contingencia Informticos.
Resultado que indica la culminacin de la fase: Se da por finalizada esta fase
cuando se ha cubierto todas las exigencias y los requerimientos planteados en
los Planes de Contingencias Informticos en lo referente a la implantacin de
los mismos.
Una fase se da m1c10 siempre y cuando la fase que la antecede haya sido
concluida, las actividades contenidas en el concepto "Resultado que indica la
culminacin de la fase" deben ser culminadas en su totalidad para dar por concluida
dicha fase.
b) La Gerencia General debe instruir a la Gerencia Central de Finanzas el

establecimiento de las partidas presupuestales para adquisicin de bienes y/o
contratacin de servicios, que permitan hacer frente a los siguientes casos:
i. Atencin a una Situacin de Emergencia,

ii. Elaboracin de los Planes de Contingencias Informtico,
iii. Implantacin y Simulacin de los Planes de Contingencias Informtico.
La Gerencia Central de Adquisiciones con la aprobacin de la Gerencia General

debe implementar el procedimiento que facilite la adquisicin de bienes ylo
contratacin de servicios a fin de atender la Situacin de Emergencia.
d) El uso de los fondos previstos en las partidas presupuestales correspondientes a la

elaboracin e implantacin o simulacin de los Planes de Contingencias
... ~
Informticos debe proceder conforme a los procedimientos vigentes .
<''
e) Los montos a ser asig{lados en las partidas presupuestales mencionadas

anteriormente, sern dterminados conforme a lo siguiente:
i. Atencin a una Situacin de Emergencia, un porcentaje del impacto econmico

global que demandaria la prdida de los activos informticos relacionados a los
procesos crticos a recuperar y que se encuentra descrito en los Planes de
Contingencias Informtico.
ii. Elaboracin de los Planes de Contingencias Informtico, el monto es propuesto
por el Comit Ejecutivo.
iii. Implantacin y Simulacin de los Planes de Contingencias Informtico, el monto
. <':;:;; -]}.-... . para la implantacin es determinado segn lo indicado en el Plan y para la
/'<'\r:. ~\ Simulacin el monto es determinado de un porcentaje de la partida
presupuesta! atribuida para el concepto "Atencin a una Situacin de
\ei.G.'.:.0 ~\::~B.~j Emergencia".
\~tt 1~'C!: ;fi~f
--. -f) Al quinto da til de culminada la Situacin de Emergencia, la Jefatura del Centro
de Cmputo de la Sede Central o del Centro de Soporte Informtico del Organo
19 de 39
..
,_.. '
~
t\j/':,if'...t.:!;-5asuu
". ,< '
r
".-
-, ..-!
" ', i, _;
'
..... L'.!..i............... .. . --------

'-; ... " [. )_ . , ; '. -~ i-
Desconcentrado afectado por la contingencia debe elaborar un mforme escrito a

remitirse al Comit de Apoyo, consignando lo siguiente:
i. Impacto informtico en el servicio.

ii. Rendicin de gastos, conforme a los procedimientos vigentes.
iii. Acciones tomadas.
iv. Soluciones brindadas.
Seguidamente, el Comit de Apoyo remite dicho documento al Comit Ejecutivo,

opcionalmente puede adicionar comentarios y conclusiones de lo actuado.
Una vez concluida, la evaluacin del documento en referencia el Comit Ejecutivo
lo entrega a la Gerencia General, de considerarlo pertinente adiciona comentarios y
observaciones.
g) La presente norma es de uso interno por lo que las disposiciones adoptadas en el

presente documento son confidenciales y no deben ser reveladas fuera de la
Institucin.
h) Todas las Jefaturas de la Sede Central y de los Organos Desconcentrados

involucrados en la elaboracin y pruebas de los Planes de Contingencias
Informticos dentro de su mbito correspondiente, son responsables del
cumplimiento de las actividades asignadas a sus representantes en los plazos
fijados, por lo que deben autorizar la dedicacin del tiempo necesario y el apoyo de
todo el personal de su Gerencia o Jefatura.
El Comit Ejecutivo puede dictar las directivas necesarias dentro de lo establecido

en la presente norma.
:'' .. ,, .
9. ANEXOS
ANEXO N 01
METODOLOGA PARA EL DESARROLLO DE PLANES DE

CONTINGENCIAS INFORMTICOS
A. Etapas de la Continuidad del Negocio
La continuidad de negocios define tres etapas, en las cuales es necesario establecer un

conjunto de actividades a realizar y deben estar incluidas en los Planes de
Contingencias Informticos, las mismas son:
Actividades Previas a la Situacin de Emergencia.

Actividades Durante la Situacin de Emergencia.
Actividades Despus de la Situacin de Emergencia.
a) Actividades Previas a la Situacin de Emergencia
Son todas las actividades de planeamiento, preparacin, entrenamiento y ejecucin

de las actividades de resguardo de la informacin, que nos aseguren un proceso de
recuperacin con el menor costo posible a la Institucin.
Podemos detallar las siguientes actividades generales:
( ~:~-~\. Establecimiento del Plan de Accin.

~I~. E"_;!,-~.\ e Formacin de Equipos de Recuperacin.
~ IZ ENTt: ~~::
\ ;.-
' . . . ,_---
..,,. . :,~',;~
- i. Establecimiento de Plan de Accin
,.
"
En esta fase de Planeamiento se debe de establecer los procedimientos relativos
a:
1. Sistemas e lnfrmacin. Identificacin de los Sistemas de Informacin
crticos para que la Institucin pueda recuperar su operatividad perdida en el
desastre (conting""encia).
2. Equipos de Cmputo. Inventario actualizado y etiquetado de los equipos

informticos de acuerdo a la importancia de su contenido y funcionalidad.
3. Obtencin y almacenamiento de los Respaldos de Informacin.

Obtencin de copias de Seguridad de todos los elementos de software y datos
necesarios para asegurar la correcta ejecucin de los planes de recuperacin.
Formacin de Equipos de Recuperacin
Se conforma los equipos de recuperacin, los cuales son responsables de realizar

la simulacin del Plan de Contingencia bajo la conduccin del Comit de Apoyo, Y
de declararse la Situacin de Emergencia se lleva a cabo las actividades
indicadas en los planes de contingencia para la recuperacin del serviciQ. El
21 de 39
nmero de integrantes de este equipo depende de la gravedad de la situacin
prevista y es determinado por el Comit de Apoyo.
Asimismo, el Equipo de Recuperacin informa sobre el resultado de las

simulaciones o pruebas efectuadas, y propone de existir; las actualizaciones
necesarias al Plan de Contingencias Informtico. El Comit de Apoyo debe
evaluar la conveniencia de realizar. la actualizacin de los planes de contingencia
siguiendo las pautas establecidas en la presente norma.
b) Actividades Durante la Situacin de Emergencia
Una vez presentada la Situacin de Emergencia, se debe ejecutar las siguientes

actividades, planificadas previamente:
Acciones de Emergencia.
Formacin de Equipos de Emergencia.
i. Acciones de Emergencia
Se deben iniciar las acciones de evacuacin, proteccin y reporte ante la

presencia de un siniestro, las cuales deben estar previamente definidas en un
Plan de Acciones de Emergencia, as como la difusin de las mismas.
Es conveniente prever los posibles escenarios de ocurrencia del siniestro:
Durante el da
Durante la noche o madrugada
Este plan debe incluir la participacin y actividades a realizar por todas y cada una
de las personas que se pueden encontrar presentes en el rea donde ocurra el
siniestro.
ii. Formacin de Equipos de Emergencia
Se establecen los equipos de "'e\-nergencia encargados de llevar a la prctica la

ejecucin de los planes 8e accin de emergencia, determinando claramente los
nombres, puestos, u6icacin, funciones especficas a ejecutar durante y despus
del siniestro.
c) Actividades Despus de la Situacin de Emergencia
Despus de ocurrido el Siniestro o Desastre es necesario realizar las actividades

que se detallan, las cuales deben estar especificadas en el Plan de Contingencia
Informtica:
Evaluacin de Daos.
Priorizacin de Actividades del Plan de Contingencia.
Ejecucin de Actividades.
Evaluacin de Resultados.
Retroalimentacin del Plan de Contingencia.
22 de 39
1. Evaluacin de Daos.
Inmediatamente despus que el siniestro ha concluido, se debe evaluar la

magnitud del dao que se ha producido, que sistemas estn afectados, que
equipos han quedado no operativos, cuales se pueden recuperar, y en cuanto
tiempo, entre otros.
ii. Priorizacin de Actividades del Plan de Contingencias Informtico.
La evaluacin de la magnitud de los daos plantea la necesidad de declarar la

Situacin de Emergencia. Toda vez que el Plan de Contingencias Informtico
contempla la evaluacin de daos reales, la comparacin del siniestro contra el
Plan, nos da la lista de las actividades de recuperacin que debemos realizar.
iii. Ejecucin de Actividades.
Implica la activacin de equipos de trabajo para realizar las actividades

estipuladas en el Plan sobre la reestructuracin completa de Jos servicios y/o
procesos afectados en la Situacin de Emergencia.
iv. Evaluacin de Resultados.
Una vez concluidas las labores de Recuperacin del(de los) Sistema(s) que
fue(ron) afectado(s) por el siniestro, debemos de evaluar objetivamente, todas
las actividades realizadas, qu tan bien se hicieron, qu tiempo tomaron, qu
circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan,
cmo se comportaron los equipos de trabajo, entre otros.
De la Evaluacin de resultados y del siniestro en si, deberian de salir dos tipos

de recomendaciones, una la retroalimentacin del plan de Contingencias y otra
una lisia de recomendaciones para minimizar los riesgos y prdida que
ocasionaron el siniestro.
v. Retroalimentacin del Plan cffi Contingencias Informtico.

Con la evaluacin: de resultados, debemos de optimizar el plan original,
mejorando las actividades que tuvieron algn tipo de dificultad y reforzando los
elementos que funcionaron adecuadamente.
B. Fases de la Metodologa
La metodologia planteada, se basa en la "Gua Prctica para el Desarrollo de

Planes de Contingencia de Sistemas de Informacin" formulado por el Instituto
Nacional de Estadstica e Informtica.
Son ocho (8) fases que se recomiendan utilizar como base en la elaboracin del
Plan de. Contingencias Informtico, sin embargo; .los responsables de la elaboracin
los emplearn y desarrollarn conforme a las caractersticas tcnicas actuales de
su mbito laboral.
Las fases planteadas son las siguientes:
23 de 39
,;. ';<
~--~."...:.,;:g.:r
.-~:.~.. E->lf:' ~- ":3 , ..,.it
.~ ~ .,-3>,:,.e,,t.,.,~
.j ,
,_ ,. , < ,, -. ~1. ~ , ",,,. '
1. Planificacin: Preparacin del desarrollo del Plan de Contingencias

Informtico y determinacin del nivel de criticidad de procesos y sistemas;
consecuentemente se determinan los ms prioritarios.
2. Anlisis y Evaluacin de Riesgos: Estimar las vulnerabilidades, evaluar las

amenazas y determinar el impacto cualitativo y econmico de las fallas.
3. Identificacin de soluciones: Evaluacin y seleccin de diferentes alternativas

de solucin ante amenazas y riesgos identificados. Se incluye la estimacin de
los costos.
4. Estrategias y Elaboracin: Formas de cmo llevar a cabo el Plan de

Contingencias.
5. Documentacin del Plan: Contenido del Plan de Contingencias Informtico.
6. Simulacin y/o Prueba: Validacin del Plan de Contingencias Informtico.
7. Distribucin e Implementacin del Plan de Contingencias Informtico:

Difusin y participacin a las reas de la Implementacin del Plan de
Contingencias Informtico
8. Actualizacin del Plan de Contingencias Informtico: Retroalimentacin del

Plan de Contingencias Informtico sobre la base de revisiones peridicas.
La metodologa para la elaboracin de Planes de Contingencias Informticos en

adelante puede ser enriquecida con nuevos aportes metodolgicos, mantenindose
los objetivos ya definidos.
1. Planificacin
En este punto se define y prepara el desarrollo del Plan de Contingencias

Informtico.
Las actividades a conslderar, son:
a) Definicin del objetivo y alcance del plan.
b) Formular un cronograma que contenga actividades a realizar, recursos,

estimacin de presupuesto, perodo definido para la elaboracin del Plan
de Contingencias Informtico incluyendo las pruebas del mismo.
e) Definicin de una estrategia de planificacin de la continuidad del negocio

apoyada en actividades a realizar en las etapas: previas al desastre,
durante el desastre y despus del desastre.
Tales actividades debern ser documentadas de forma que sea de fcil

consulta y de gil actualizacin.
24 de 39
1.1 Inventario de Recursos Informticos.
Cada Unidad Orgnica de la Institucin debe registrar el inventario de los

recursos informticos asignados a su cargo, usando el sistema de
Registro de Recursos Informticos.
1.2 Identificacin de Procesos Crticos
Para la seleccin de procesos crticos se recomienda utilizar el mtodo de

elipses; con lo cual se trata de relevar con precisin Jos distintos
procesos involucrados en la prdida o inhabilitacin de la
infraestructura tecnolgica de la Institucin.
La metodo\ogia de las elipses, es un mtodo sencillo que permite

identificar los procesos crticos y los distintos tipos de activos de
informacin existentes dentro del alcance del modelo.
!Entidad. 1
l~Externa2
!Entidad
Externa 1
1
i
Proceso Proceso Proceso

Crtico 1 Crtico 2 Critico 3
lSubproceso 3 subproceso 4j
.. ..
Entidad Entidad
Externa 3 Externa 4
1
Figura N 1
La figura N 1 presenta una ilustracin del mtodo de elipses. Para su

ap1lCacin se procede conforme a lo siguiente:
a). Como primer paso identificar los procesos crticos e indicarlos en la

parte central de la elipse. Seguidamente con Jos responsables de los
25 de 39
procesos crticos se identificar los activos informticos relacionados
a estos procesos.
b) El segundo paso en la metodologa, es el de identificar en la elipse

intermedia las distintas interacciones que los procesos de la elipse
concntrica, tienen con otros subprocesos de la Institucin.
Seguidamente, se identifica con los dueos de esos subprocesos,
los activos informticos involucrados en las interacciones con la
elipse concntrica. Las flechas indican las interacciones.
c) En la elipse externa, se identifican aquellas organizaciones

extrnsecas a la Institucin que tienen cierto tipo de interaccin con
los subprocesos identificados en la elipse concntrica.
d) Las flechas indican la interaccin. Aqu tambin se deben identificar

los distintos tipos de activos de informacin, con miras a averiguar el
entendimiento que existe o debe elaborarse, as como los contratos
existentes y los grados de acuerdos necesarios.
2. Anlisis y Evaluacin de Riesgos
El anlisis de riesgos permite estimar las vulnerabilidades de los activos

informticos, evaluar las amenazas y realizar un anlisis del impacto
econmico y del impacto generado a la poblacin asegurada, es decir.
determinar el efecto de fallas de los principales procesos informticos de la
organizacin.
Implica tres aspectos generales:

Determinar qu se necesita proteger.
De qu hay que protegerlo.
Cmo hacerlo.
En esencia lo que se exige es efectuar de manera disciplinada y sistemtica un

anlisis y evaluacin del riesgo de los activos de informacin identificados y
determinar cuales ,sorvaquellos que deben ser protegidos a fin de mitigar su
riesgo, as como definir tambin cual es el riesgo residual (el riesgo con el cual
la empresa est decidida a convivir). A continuacin, se muestra los pasos
metodolgicos pafa realizar el anlisis y evaluacin del riesgo, de los activos de
informacin:
26 de 39
i
, - - - - 1. '
Identificacin de ! Tasacin de Activos , Identificacin de

Activos de ~ r---. Amenazas ~
'
Informacin 1 1 ! !
L__ ------ --------- -
!
Poodemdo d~J
'
Posibilidad de
~
1
Identificacin de 1
1
Ocurrencia de
Amenazas H
i 1
Vulnerabilidades H
i
!
1
'
Vulnerabilidades
.
:
1
r
Estimado del Valor de
!
~ los Activos en Riesgo u

1 1
Valor del Riesgo de
los Activos
a) Identificacin de Activos.- Mediante el uso de la metodologa de las

elipses, se identifican los activos de informacin crticos.
b) Tasacin de Activos.- Para poder identificar la proteccin apropiada a los

activos, es necesario determinar su valor cuantitativo en trminos de la
importancia a la gestin comercial.
c) Identificacin de Amenazas.- Una amenaza tiene el potencial de causar

incidentes indeseables, los cuales podran resultar causando dao al
sistema, la organizacin y sus activos. A travs de la dinmica de grupos
utilizar la tcnica de la "lluvia de ideas", para hallar las principales
amenazas por cada activo de informacin.
d) Posibilidad de Ocurrei:'ia de Amenazas.- No todas las amenazas tienen

la misma posibilid~d de ocurrencia. Habr algunas que su presencia es
remota y otras que su probabilidad de ocurrencia podran ser altas. Por
cada amena::a, el Comit de Apoyo, basado en su experiencia y
conocimiento de los activos y las amenazas, debe determinar la posibilidad
de ocurrencia para cada amenaza.
e) Identificacin de Vulnerabilidades.- Las vulnerabilidades son debilidades

asociadas con cada activo de informacin. Son condiciones que pueden
permitir que las amenazas las exploten y causen dao. Aqu el Comit de
Apoyo, a travs de la dinmica de grupos, debe establecer por cada
amenaza las vulnerabilidades relacionadas con cada activo de informacin.
f) Ponderacin de Vulnerabilidades.- Tambin a travs de la dinmica de

grupos el Comit de Apoyo, determina una calificacin la cual est en
funcin de la posibilidad de ocurrencia como de la importancia de los
recursos informticos.
27 de 39
g) Estimado del Valor de los Activos en Riesgo.- Este elemento es
fundamental para evaluar y dimensionar el riesgo. El Comit de Apoyo
debe determinar el estimado del dao econmico que el riesgo puede
causar a los activos de informacin.
h) Valor del Riesgo de los Activos.- El Comit de Apoyo teniendo en cuenta

lo relevado por cada activo respecto a sus impactos, amenazas y
posibilidad de ocurrencia as como las vulnerabilidades y sus
ponderaciones, determina la posibilidad de ocurrencia de los riesgos
identificados, con lo cual se obtiene los activos de informacin de mayor
exposicin a daos, y por lo tanto seran aquellos a los cuales hay que
determinar sus respectivos controles.
Para efectos de conocer la prdida monetaria que representan las amenazas

en los procesos crticos, este anlisis debe tomar en considera:in la
valoracin comercial e intrnseca del activo de informacin.
En la tabla N 1 que se presenta a continuacin, se muestra una ilustracin de

la metodologa descrita, aprecindose que la valoracin y el impacto estn
representados mediante una evaluacin cualitativa.
28 de 39
A'itJ;sS.lud
-_.. '. '-~1 -,-,.;~--~
Tabla N 1
Realizacin del Anlisis y Evaluacin del Riesgo
Tasacin (b) Ponderacin Valor del

Posibilidad Valor Riesgo de
Activos Amenazas Vulnerabilidad dela
Confiden- lntegri- Disponi- Total Ocurrencia Activo los Activos
(a) (c) (e) Vulnerabilidad
cialidad Dad bilidad (d) (g) (h)
(f)
- Plagio B - Deficiencia Org. B
A A A
"A - Falsificacin
- Alteracin
B
B
- Deficiencia envo
- Acceso no autorizado
A
A A M
!: - Privacidad A - Control documentos M
- Mala interpretacin M - Personal no calificado M

B A A A - Poco detalle A - Reduccin costo A A M
Activo 2 - Servicio no solicitado M - Error digitacin M
- Fallas funcionamiento A - Energa Elctrica A

A A A A - Falta seguridad A - Errores Configuracin M A A
Activo 3 - Falta personal B - Poca disponibilidad B
,:~/~
- .. _.--;0..-
.(4;:~~ Leyenda: Alto ........... A

Mediano .... M
Bajo ........... B
, uc~\ ,
___
.<.:;->_~
((~~::~:i~',~;- \
1 !
- -_
(.;c. :",-"",;.
~,..,
'\t~s'.:,LA_<~'.;3~
29 de 39
E~..;.,$.lt~~~
-., .-.
'
3. Identificacin de Soluciones
Los planes deben plantear alternativas de soluciones viables que logren el

efecto de mitigar el impacto en caso de una falla.
Ejemplo
Matriz de Identificacin de Soluciones
U. ;..; q:;ci(rie~" Cf'!;\.%'. .;:;q_pef~~i9~.M.a~ri 4.a1 .. . x:c .~~efl1 !Jtai:o_.

Reparacin rpida Se recurre a procedimientos Disponibilidad de un equipo
y de defecto manuales para casos de reemplazo y una copia
prioritarios. del software respectivo.
Reparacin parcial Usar hojas de clculo para Usar una Base de Datos
ofrece'r algunas para reemplazar la
funcionalidades similares al funcionalidad del sistema.
sistema original (fecha de
captura).
Reparacin total Ofrecer operaciones Reemplazo del equipo
totalmente funcionales a afectado y/o reinstalacin
travs del proceso manual, del Sistema Operativo y
utilizando personal adicional aplicativos.
si es necesario.
A continuacin, se presenta como ilustracin algunos ejemplos de alternativas

de solucin:
a) Planificar la necesidad de personal adicional para atender los problemas

que ocurran de acuerdo al presupuesto asignado.
b) Para asegurar la disposicin de recursos humanos elaborar un programa

de vacaciones que garantice la presencia permanente del personal.
c) Identificacin de equipos para backup en caso de falla de alguno.
d) Referente a la disppsicin de servicios, proceder a almacenar combustible

adicional para !Os generadores, en caso de fallas elctricas prolongadas.
Sobre la base de'. las alternativas de solucin seleccionadas se procede a

presupuestar, gestionar los recursos disponibles y determinar el costo de la
implementacin del Plan de Contingencias Informtico.
4. Estrategias y Elaboracin
A continuacin se mencionan actividades a ser contempladas en el desarrollo

de las estrategias y de la elaboracin, como son:
a) La revisin de procesos, flujos, funciones y opciones referentes a los

sistemas crticos.
b) La seleccin de las soluciones adecuadas para. mitigar cada nesgo

identificado, as como determinar su costo de implementacin.
30 de 39
c) La determinacin de los impactos de las soluciones seleccionadas para
contrastarlos con estrategias de reduccin de gastos, como puede ser la
seleccin de una solucin para cubrir varios riesgos.
d) La determinacin de formas de financiamiento externo para cubrir las

exigencias de recursos fsicos y humanos relacionados a soluciones
seleccionadas para mitigar los riesgos o superar los posibles daos.
e) La elaboracin de un anlisis costo beneficio que justifique los gastos e

inversiones con relacin a las implicancias econmicas, sociales, imagen y
perjuicio en la salud pblica de no brindar Jos servicios asistenciales a los
asegurados y derechohabiemtes.
f) La e\aboracn de un programa tentativo de adquisiciones considerando

Jos posibles proveedores, oportunidad de compra, distribucin de Jos
bienes y/o materiales, Jugares de almacenaje, habilitacin de nuevos
ambientes, entre otros.
g) Definicin de las formas de implementacin del Plan.
h) Definicin y coordinacin de Jos programas de capacitacin al personal.
Documentacin del Plan
Los planes deben contemplar la identificacin al detalle del siniestro

presentado y el dao producido, as como estimar el tiempo en que se podr
recuperar la disponibilidad del servicio afectado.
5.1 Contenido del Plan de Contingencias Informticos
El Plan de Contingencias Informtico puede presentar la siguiente

estructura:
a) Nombre del Proces.Q;

b) Objetivo.
c) Alcance .
d) Anlisis y Evaluacin de Riesgos.
e) DesarroH:o del Plan de Contingencias.
i. Listas de notificacin, nmeros de telfono y direcciones.
ii. Prioridades, responsabilidades.
iii. Procedimientos conteniendo la descripcin de los equipos y las
tareas para ubicar las soluciones a las contingencias.
iv. Definicin de tiempos estimados para la recuperacin de los
servicios.
v. Informacin sobre adquisiciones y compras de activos
informticos sobre la base del presupuesto asignado.
vi. Diagramas de las instalaciones elctricas y de red.
vii. Descripcin de configuraciones de los equipos.
Es. importante tener presente que cada rgano Desconcentrado debe

relevar de manera particular, lo siguiente
31 de 39
a) Nmeros de telfono o direcciones actualizados del personal de
contacto y los nmeros de telfono de las organizaciones de
asistencia que pudieran requerirse.
b) Con relacin a los servicios brindado por terceros, elaborar un

directorio de empresas o instituciones que abastecen de energa,
comunicacin, transporte, y otros servicios resaltando la importancia
de ellos en el sistema de produccin y verificando la seguridad de
los servicios.
c) Evaluar un lugar alterno para instalar el centro de soporte

informtico en caso de siniestro del existente, y determinar las
condiciones mnimas para su habilitacin.
d) Asegurarse que se disponga y se mantenga actualizada la

documentacin sobre todas las operaciones y tareas realizadas en
la instalacin. Debe mantenerse en custodia u na copia de estos
documentos fuera del centro informtico.
e) Asegurarse que se cuente con un diagrama detallado de la red y

con el etiquetado de los cables de red y de los conductores
elctricos.
f) Es recomendable contar con una configuracin tcnica genrica de

los equipos informticos que facilite la restauracin y preparacin de
computadoras alternas.
Simulacin y/o Prueba
El objetivo principal, es determinar si los Planes de Contingencias Informticos

son capaces de proporcionar el mnimo de operatividad a la seccin o a los
procesos crticos de la Institucin, probando la efectividad de los
procedimientos expuestos en el plan de contingencias.
-::....
Realizando simulaciopes se descubrirn. elementos operacionales que
requieren ajustes para asegurar el xito en la ejecucin del plan, de tal forma
que dichos ajustes perfeccionen los planes preestablecidos.
Las simulaciones tambin permitirn efectuar una valoracin detallada de los

costos de operacin en el momento de ocurrencia de una contingencia.
6.1. Niveles de Simulacin y/o Prueba
a) Simulacin y/o pruebas a nivel Sede Central.

b) Simulacin y/o pruebas en Organos Desconcentrados.
c) Simulacin y/o pruebas externas con otras Instituciones.
6.2. Mtodos para Realizar Simulacione.s de Planes de Contingencia

Informticos
32 de 39
a) Simulacin Especifica
Consiste en probar una sota actividad, entrenando al personal en

una funcin especifica, basndose en tos procedimientos estndar
definidos en et Plan de Contingencias Informtico. De esta manera el
personal tendr una tarea bien definida y desarrollar la habilidad
para cumplirla.
b) Simulacin en Tiempo Real
La simulacin real tales como los cortes de fluido elctrico, pruebas

de sistemas crticos, entre otros, en un rea determinada de la
institucin est dirigido a una Situacin de Emergencia por un
periodo de tiempo definido.
1. La simulacin se hace en tiempo real en un horario que permita

realizar pruebas.
2. Permite probar las habilidades coordinativas y de trabajo en

equipo de tos grupos asignados para afrontar la contingencia.
6.3. Preparaciones Previas a la Simulacin
a) Repaso del Plan de Contingencias Informtico.
b) Verificacin de las responsabilidades asignadas.
c) Entrenamiento del personal involucrado, incluyendo orientacin

completa de los objetivos del plan, rotes, responsabilidades y la
apreciacin global del proceso.
d) Establecer la fecha y la hora para el inicio y trmino de la simulacin.
e) Desarrollar un docum~nto que indique los objetivos, alcances y metas

de la prueb~ y ~stribuirloantes de su ejecucin.
f) Asegurar la disponibilidad del ambiente donde se har la prueba y del

personal esencial en los dias de ejecucin de dichas pruebas.
g) La meta es aprender y descubrir las vulnerabilidades, no generar

fracaso y frustracin.
h) La prueba inicial se enfoca principalmente en entrenar al equipo que

debe ejecutar con xito el plan de contingencias, solucionando el
problema y reestableciendo a la normalidad las actividades realizadas.
i) Enfocar tos procesos crticos que dependen de sistemas especficos o

compaas externas dondese asume que hay problemas.
j) Definir el ambiente donde se realizar las reuniones del equipo de

recuperacin de contingencias.
33 de 39
k) Distribuir una copia de la parte del Plan de Contingencias Informtico a
ser ejecutado, a todos los miembros del Equipo de Recuperacin.
6.4. Comprobacin del Plan de Contingencias Informtico
La prueba final debe ser una prueba integrada que involucre todas las
reas de la Institucin. La capacidad funcional del plan de contingencia
radica en el hecho, de que tan cerca se encuentren los resultados de la
prueba con las metas planteadas. A continuacin, se presenta un
diagrama de bloques que representa los pasos necesarios, para la
ejecucin de las pruebas del Plan de Contingencias 1nformtico.
Proceso de Simulacin del Plan de Contingencias Informtico
~~~~~car
T al personal que h~r la _____ [
_---------i------ --
!; Preparar el Plan de Pruebas
;
_, ------------------------- _J
,---- ______ j._______________ ---1
Ejecutar el Plan y Observar el [
comportamiento 1
Analizar los resultados de !as Enviar al comit de

pruebas. Hacer reportes. Apoyo el reporte de
pruebas
El Plan
est OK?
No
Comit de
Apoyo
No
i
Emitir Informe, enviar una
copia al Comit Ejecutivo,
y al Organo de Control,
'" Institucional.
Evaluar
recomendaciones
1
....
Mantenimiento
[ del Plan

Instancias de
aprobacin
J
Difusin e
1 Implantacin
35 de 39
6.5. Entorno de la Simulacin del Plan de Contingencias Informtico
La siguiente estructura de entorno se sugiere para la documentacin del

plan de pruebas:
N Indice Descripcin
1 Pruebas de alcances y El estado que se piensa lograr tras la
Objetivos realizacin de las pruebas.
2 Pruebas metodolgicas Proporciona vna descripcin del tipo de

prueba que se realizar.
3 Precisar equipos yldentifica y establece lo necesario.
recursos
4 Demanda de personal Enumera y describe el personal y las
Capacitado necesidades de capacitacin.
5 Detallar itinerarios y Desarrolla las tareas, limites, y las

Localizaciones responsabilidades que muestran el plan para
la ejecucin de la prueba.
6 Control del proceso Describe la disposicin; desarrollo del
Escenario de ensayo, y procedimientos
7 Control de la accin del Detalla la secuencia de eventos para la
Tiempo prueba.
8 Objetivos trazados aDefine las medidas de xito para la prueba.

partir
Del control
9 Control de personal Define los procedimientos para terminar,

suspender, y reiniciar la prueba.
1 O Pruebas de evaluacin y Detalla los resultados de la evaluacin,
Observaciones adems planes de accin alternados para
rectificar fallas.
7. Distribucin e Implementacin del Plan de Contingencias Informtico
' .l-,:;:,~. Cuando se disponga de un plan definitivo y verificado, es necesario distribuirlo

/ '< 'U" , a las autoridades de la unidad orgnica y a todas las personas involucradas
{1 _)en el Plan de Contingencias Informtico. lntntese controlar las versiones del
Vt 1
ci'.:t.D .~;0 plan, de manera que no exista confusin con mltiples versiones. Asi mismo,
'<'~/ A ,-{::/ es neces.ario asegurar la disponibilidad de copias adicionales del plan para su
'-.. -- custodia en una instalacin exterior o en cualquier otro Jugar adems del lugar
de trabajo. Mantngase una lista de todas las personas y ubicaciones que
tienen una copia del plan. Cuando se actualice el plan, sustituya todas las
copias y r,ecoja las versiones previas.
La fase de implementacin se da cuando han ocurrido o estn por ocurrir los

problemas para este caso se tiene que tener preparado los planes de
contingenCia para poder aplicarlos.
36 de 39
. ".-
8. Actualizacin del Plan de Contingencias Informtico
La fase de Actualizacin nos da la seguridad de que podamos reaccionar en el

tiempo preciso y con la accin correcta. Cada vez que se da un cambio en la
infraestructura, o en la organizacin de la institucin, que incluye cambio de
roles y de responsabilidades, cuando se ha identificado un nuevo riesgo, una
nueva solucin, debemos de realizar un mantenimiento correctivo o de
adaptacin.
La actualizacin del plan es un proceso sencillo. Se comienza con una

revisin del plan existente y se examina en su totalidad, realizando cambios a
cualquier informacin que pueda haber variado. En ese instante, se debe
volver a evaluar los sistemas de aplicacin y determinar cules son los ms
importantes para la organizacin. Las modificaciones a esta parte del plan
causan modificaciones consecutivas a los procedimientos de recuperacin.
Sih embargo, esto no debera verse como un problema porque probablemente
19 seccin de procedimientos tenga que actualizarse de todas formas debido a
otros cambios. Si se han realizado modificaciones al sistema de copias de
seguridad, hay que cerciorarse de incluir la informacin sobre el
funcionamiento del nuevo o actualizado sistema.
A continuacin, se enumera las actividades principales a realizar:
a) Establecimiento de los procedimientos de mantenimiento para la

documentacin y elaboracin de informes referentes a los riesgos.
b) Revisin continua del funcionamiento de las aplicaciones.
c) Revisin continua de los procesos de backup.
d) Revisin de los sistemas de soporte elctrico del Centro de Cmputo de la
Sede Central o de los Centros de Soporte Informtico de los Organos
/ .. Desconcentrados.
e) Actualizacin del Plan.
" f) Distribucin de la versin actualizada.
37 de 39
~ i~ -
ANEXO N 02
DIAGRAMA DE APROBACION DE LOS PLANES DE CONTINGENCIAS

INFORMTICOS INTEGRALES
Elaboracin
del Plan de Comit de Apoyo ..,...._--11..~Gere nci a de
Contingencias Produccin
Elabora los Planes de

Contingencias
Informticos
Gerencia Central
Comit ........--1~~ de Organizacin e
Brinda Conformidad Ejecutivo Informtica
al Plan de Contingencia
NO
SI
Gerencia
General .. 1111 Gerencia General
Aprueba el Plan de
Contingencia
NO
SI
Difusin e
Implementacin
38 de 39
ANEXO N 03
FORMATO PARA EL REGISTRO DE ACTIVIDADES DE LA SIMULACIN
Documentar el da de la semana y la hora de ocurrencia del acontecimiento:
Bitcora de Incidencias
Unidad Orgnica: Sede:

Fecha Hora Dao Responsable Equipo Aplicativo Observaciones
Afectado Afectado
...
--
--
--
Firma Responsable de la Simulacin
39 de 39

PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

PDF

Cargado por

Copyright:

Formatos disponibles

EsSalud

MAS SALUD PARA MAS PERUANOS

RESOLUCION DE GERENCIA GENERAL N' 035 -GG-ESSALUD-2006

Lima, 1 7 de Enero del 2006

La Carta N 007-GCOl-ESSALUD-2006 por medio de la cual la Gerencia Central de

Que, por Resolucin de Presidencia Ejecutiva N 792-PE-ESSALUD-2005, de fecha

Que, mediante Resolucin de Presidencia Ejecutiva N 957-PE-ESS/l.LUD-2003, de

Que, de conformidad con lo establecido en el literal c) del Artculo 23 del mencionado

Que, de acuerdo a lo sealado en el literal f) del Artculo 9 del mismo Reglamento, la

RESOLUCION DE GERENCIA GENERAL N 035 -GG-ESSALUD-2006

Estando a lo propuesto y en uso de las atribuciones conieridas;

ARTCULO UNICO.- APROBAR la Directiva de Gerencia General

DR. CAR OS SOTELO BAMBAREN

NORMA DE SOPORTE INFORMATICO PARA LA CONTINUIDAD DEL NEGOCIO

GERENCIA DE DIVISIN DE ADMINISTRACIN Y ORGANIZACIN

NORMA DE SOPORTE INFORMATICO PARA LA CONTINUIDAD DEL NEGOCIO

7 .1 Disposiciones Generales y de Organizacin 6

7.2 De la Elaboracin del Plan de Contingencias Informtico 10

7. 3 De Ja Aprobacin del Plan de Contingencias Informtico 11

7.4 De la Implantacin del Plan de Contingencias Informtico 12

7.5 De la Simulacin y/o Prueba del Plan de Contingencias Informtico 12

7.6 De la Actualizacin del Plan de Contingencias Informtico 13

7. 7 De la Operatividad y DeclaratoFia de la Situacin de Emergencia 14

NORMA DE SOPORTE INFORMATICO PARA LA CONTINUIDAD DEL NEGOCIO

Lograr ante una Situacin de Emergencia la continuidad de los servicios y procesos

Esta norma es de aplicacin a todas las Gerencias y Jefaturas de Ja Sede Central y de

Son responsables de Ja difusin y control de la presente Directiva:

Son responsables de hacer efectivo y supervisar Jo dispuesto en la presente norma:

Gerente Central de Organizacin e Informtica.

Responsables de la Informacin, los responsables de la informacin son los

Custodios, los custodios de la informacin son aquellos que tienen Ja posesin

Aplicativos, Sistemas Crticos:-- Sistemas de informacin cuya interrupcin en su

Amenaza: Fenmeno natural o provocado por la actividad humana, cuya ocurrencia es

J~i~~~I. Centro de Cmputo (CC): Es un Area de trabajo cuya funcin es la de concentrar,

~~;j;>' Centro de Procesamiento de Informacin: Son las reas informticas conformadas

Declaracin de la Situacin de Emergencia: Se refiere al proceso que informa de la

Desastre: Un acontecimiento repentino que interrumpe el normal desenvolvimiento de

i1 ~,Informacin: Conjunto de datos sobre una materia determinada. Tras la revolucin

Organos Desconcentrados: Se refiere a las Redes Asistenciales con sus respectivos

Procedimientos Manuales: Secuencia de pasos debidamente ordenados que permite

Procesos Alternos: Secuencia de pasos debidamente ordenados cuyo fin es obtener

Plan de Contingencias Informtico: Es el plan destinado a proteger la informacin

Recursos Informticos: Ver el concepto "Activos Informticos".

Situacin de Emergencia: Es la presencia de algn evento que afecta el normal

7.1. Disposiciones Generales y de Organizacin

a) Los escenarios que comprenden una Situacin de Emergencia son los

Prdida parcial o total del Centro de Computo de la Sede Central o Centro

Estos escenarios pueden presentarse debido a los eventos siguientes:

Destruccin completa del Centro de Cmputo de la Sede Central o Centro

Huelgas, conmocin civil o problemas laborales.

b) Para hacer frente a la Situacin de Emergencia, la Institucin debe contar con

c) Para efecto de Ja continuidad de Jos servicios informticos se constituirn los

Conformado por cinco (5) miembros:

La conduccin del Comit Ejecutivo esta a cargo del Gerente Central de

Pueden integrarse nuevoi.;miembros al Comit Ejecutivo, de acuerdo a las

Funciones a ser Cubiertas para Atender una Situacin de Emergencia

1. Evaluacin y aceptacin de los Planes de Contingencias Informticos

1. Liderar Jos equipos de trabajo que estn a cargo de la recuperac1on ae 1a

Funciones Despus de la Situacin de Emergencia

1. Evaluacin del informe escrito emitido por el Comit de Apoyo respecto a

Conformado por cinco (5) miembros:

Gerente de Produccin de la Gerencia Central de Organizacin e

El Comit de Apoyo esta liderado por el Gerente de Produccin.