UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

Facultad Ingeniería de Sistemas e informática

E.A.P. de Ingeniería de Sistemas 

PROFESOR:    Valcárcel Asencios, Sergio

CURSO:         Gestión de la Seguridad y Riesgos de TI

TEMA:         Plan de Continuidad del Negocio

INTEGRANTES:    

● Agama Escobedo, Ronald Diego 15200098

● Arenas Machaca, Cristian Jesús 15200158
● Berrios Matheus, Emanuel Dugal 15200160
● Cobeñas De la Cruz, Guillermo Daniel 15200014
● Dionisio Triveño, Christian Bryan 15200118
● Sambrano Aranda, Carlos Alfredo 15200153
● Santisteban Condori, Susan Karina 15200179
● Urcuhuaranga Velásquez, Moisés Joaquín 15200041
● Villanueva Fernandez, Alejandro Antonio          15200043

2019
PLAN DE CONTINUIDAD DE NEGOCIOS
1. Marco Teórico del Plan de Continuidad de Negocios

1.1. Propósito del Plan.

El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no

disponibilidad de recursos necesarios para el normal desarrollo de las operaciones,
formando parte del sistema de gestión de riesgo operacional. Ofrece como
elementos de control la prevención y atención a emergencias, gestión de crisis,
planes de contingencia y capacidad de retomar operaciones. El PCN es el
documento que permite que los objetivos de la continuidad del negocio se cumplan,
sean medibles y consistentes con las políticas, de igual forma como con las
normativas regulatorias y legales. En este documento se definen y determinan las
responsabilidades, los responsables, planes de acción, recursos para su adecuada
gestión, control, supervisión y mejoramiento.

1.2. Alcance del Plan de Continuidad de Negocios.

El presente documento constituye el PCN desarrollado para la municipalidad de

Piura que comprende un conjunto estructurado y detallado de procedimientos
documentados, factores o recursos y sistemas que dirigen las actividades de la
municipalidad y permiten responder, recuperar y restablecer las operaciones en caso
de interrupción minimizando eventuales riesgos que atentan contra el normal
funcionamiento de los servicios.

1.3. Descripción del equipo de trabajo (Formule un organigrama)

 Gerencia de Tecnologías y Sistema Gerente de Tecnologías y Sistemas de
de Información Información

Secretaria

Oficina del Centro de Información y Jefe de Oficina

Estadística
Jefe de Desarrollo de Sistemas

Programador de Sistemas

Oficina de informática Jefe de Oficina

Administrador de TI

Administrador de Redes y
Telecomunicaciones

Oficina de Seguridad de Información Jefe de Oficina

e Informática
Oficial de Seguridad de Información

Oficina de Soporte Técnico Jefe de Oficina

Asistentes Técnicos

1.4. Roles y Responsabilidades

Comité Operativo de Seguridad de la Información

Es el grupo designado para supervisar, revisar e informar constantemente el

cumplimiento de las políticas y procedimientos de seguridad de la información y está
conformado por:

- Gerente Municipal
- Gerente de Tecnologías y Sistemas de Información
- Oficial de Seguridad de la Información
- Jefe del Área de Desarrollo de Sistemas
- Jefe del Área de Soporte Técnico
- Administrador de TI

Las funciones de este comité son:

1. Supervisar la ejecución de análisis de riesgos y proponer controles de

tratamiento de riesgos.
2. Revisar los procedimientos de seguridad de la información verificando la
correcta implementación.
3. Hacer seguimiento a los incidentes de seguridad de la información.
4. Elaborar el plan de Continuidad de Negocio, Plan de Contingencia de
Sistemas de Información, guardando relación con el Plan Operativo
Institucional y el Plan Operativo Informático.

Gerencia Municipal
Organo de direccion de más alto nivel técnico que se encarga de dirigir y conducir la
gestión administrativa, financiera y económica.

Gerencia de Tecnología y Sistemas de Información

Encargado de administrar actividades como la comunicación, coordinación y control
del uso adecuado de los recursos informáticos físicos y lógicos.

El Oficial de Seguridad de la Información

Evalúa los incidentes de seguridad de la información, Registra los incidentes de

seguridad, Gestiona la actualización y mantenimiento del Plan de Contingencia para
la Continuidad de las operaciones de los servicios y Elabora un programa de
mantenimiento preventivo-correctivo de los equipos informáticos de la Municipalidad.
2. Procesos Misionales y Riesgos

2.1. Dibuje el diagrama general de los procesos misionales del negocio

2.2. Dibuje la descomposición de cada proceso misional.

2.3. Priorice un proceso misional

Fiscalización Municipal:
El cumplimiento de normas y disposiciones municipales administrativas, contienen
obligaciones y prohibiciones que son de cumplimiento estricto de los ciudadanos. La
labor de fiscalización se realiza dentro del marco de los dispositivos legales
aplicables, con la finalidad de lograr que los administrados cumplan de forma
voluntaria las normas y disposiciones municipales.

2.4. Detalle y priorice las actividades del proceso misional escogido en el 2.3.

● Formulación del Plan Operativo de Fiscalización

Este documento es un instrumento de orientación y consulta de gestión

administrativa en que se establecen estrategias y actividades para el
monitoreo del cumplimiento de la normatividad proporcionada por la
municipalidad.

● Desarrollo de las Operaciones de Supervisión de Cumplimiento

Es un conjunto de acciones, actividades y procedimientos en que se

inspecciona el incumplimiento de la normatividad de la municipalidad y se
toma nota y evidencia para el análisis y resolución.

● Fiscalización y ejecución de Procedimiento Administrativo

Se evalúa los resultados de la supervisión, se evalúa la existencia o

inexistencia del incumplimiento a la normatividad de la municipalidad y se
determina la aplicación de la infracción.

● Atención de Apelaciones

Se atiende y resuelve en última instancia las apelaciones de los

administrados sancionados.

2.5. Elabore una matriz indicando los tiempos que son usados en producción y
aquellos donde se establezcan tiempos de mínimos y máximos de
recuperación
Recuperación de correo electrónico

El impacto que genera la pérdida de correo electrónico es alto, considerando que se

puede perder la comunicación, perjudicar la imagen y de igual manera la
interrelación con los proveedores de servicios se verá afectada

Recuperación de información digital de clientes

La recuperación de la información recopilada de los pobladores es vital para poder

proseguir con las actividades de auditoría al mismo, sin ella se pierde. el esfuerzo
realizado en el tiempo que se llevó la auditoría.

Recuperación de servidores

La recuperación de los servidores debe ser inmediata para poder seguir con las
actividades, teniendo en cuenta esto debemos tener un lugar donde poder levantar
los servidores, de manera que los servicios con los que cuenta la municipalidad sean
levantados uno por uno de manera correcta y seguir obteniendo los resultados
correspondientes.
2.6. Elabore una lista de equipos, personas y tecnologías necesarias para
implementar la continuidad de sus operaciones.

● Personal

Denominación del cargo N° de Personal

Gerencia de tecnologías y sistemas de información

Gerente 1

Secretaria 1

Oficina de Centro de información y Estadística

Jefe de Oficina 1

Especialista de Soporte Técnico 1

Oficina de Informática

Jefe de Oficina 1

Analista de Sistemas 1

Programador de Sistemas 3

Soporte Técnico 7

Oficina de Seguridad de Información e Informática

Jefe de Oficina 1

Oficial de Seguridad de Información 1

● Sistemas Informáticos

Sistema Informático

Sistemas de Gestión de
Expedientes

Certificados de Zonificación

Licencias de Funcionamiento

Sistema Integrado de Atención al Fiscalización

Transportes
 Usuario Móviles

Sistema de Planificación

Sistema de Presupuesto

Sistema de Logística/ Control de

Inventario

Sistema de Contabilidad

Sistema Integrado Gestión Sistema Integral de Obras

Administrativa Sistema de Recursos Humanos

Sistema de Margesí de Bienes

Sistema de Inventario de Hw y Sw

SIAF

● Lista de Equipos

Equipos Cantidad

Servidores 8

Pc’s 471

Switches 5

Routers 6
 2.7. Identifique y evalúe los riesgos estrictamente para la continuidad de las
operaciones.

Establecer los riesgos a los cuales está propenso el negocio lo clasificaremos en un

factor de riesgo el cual determinará cuán alto o bajo es el nivel de riesgo

Factor de Riesgo
RIESGO
Muy bajo Bajo Medio Alto Muy Alto

Incendio x

Inundación x

Robo Comun x

Daño de equipos y archivos x

Fallas en los equipos, daño de x

archivos

Equivocaciones, daños de x
archivos
 Virus, daño de equipos y archivo x

Terremotos, daño de equipos y x

archivos

Acceso no autorizado, filtración x

de información

Fraude, alteración de x
información.

Desastre Total x

3. Estrategias de Supervivencia

3.1. Elabore los controles de protección previa al desastre.

Es importante definir los controles de acción para el caso de una posible falla,
siniestro o desastre en la que la Gerencia de Tecnología y Sistemas de Información
y otras áreas pudieran estar expuestas. Los procedimientos deberán ser de
ejecución obligatoria y estarán involucrados todo el personal del municipio,
específicamente las áreas que trabajan con sistemas informáticos municipales y
otros sistemas.l

Riesgo: Posible Destrucción total o parcial del Datacenter

Controles:
● Plan de Contingencia de Sistemas de Información
● Stock de material técnico para todo el año (Discos duros externos de gran
capacidad, cds, memorias USBs, etc)
● Realizar diariamente Backups de seguridad de los diversos sistemas
informáticos y de la información relevante para la municipalidad.
● Actualizar los Backups de información fuente de los sistemas informáticos en
forma semanal o quincenal y de las bases de datos en forma diaria o
semanal.

Riesgo: Apagones de fluido eléctrico

Controles:
● Poseer generador de luz y un UPS (sistema de alimentación ininterrumpida)
● Revisión y evaluación total del sistema eléctrico del municipio, por parte del
personal electricista.

Riesgo: Pérdida de información

Controles:
● Contar con los backups o medios de almacenamiento.
● Poseer un control interno a los administradores de servidores.
● Contar con alianza estratégica con órgano policial a fin de deslindar
responsabilidades.

Riesgo: Transmisión de virus informático

Controles:
● Contar con el plan de contingencia.
● Poseer y tener conocimientos en el uso del software Antivirus
● Actualización diaria del software Antivirus

Riesgo: Relación desactualizada de usuarios añadidos a la red municipal

Controles:
● Regulación y control a la red controlado por el administrador de conectividad.
● Depuraciones semanales en casos de despidos o términos de contrato.

Riesgo: Sin control de cámaras de video poniendo en riesgo la información

Controles:
● Repuestos en casos de deterioro o robo.
● El acceso a la sala de servidores es limitado a cierto personal.
● El control de horarios fuera de oficina
● Ingreso y salida de equipos es controlado por el personal de Soporte Técnico

3.2. Defina el método de mitigación de riesgos.

En este caso, se usará una herramienta que se enfocan exclusivamente en la
cuantificación de los riesgos. Es decir, aplicará una serie de indicadores (de carácter
numérico) para medir el impacto que tienen los riesgos en la municipalidad y, a partir
de ese cálculo, elaborar acciones coordinadas para su gestión, tratamiento o,
incluso, eliminación.

Magerit: se trata de una metodología de análisis y gestión de riesgos que ha sido

elaborada por el Consejo Superior de Administración. Está específicamente
diseñada para usarse en nuestra municipalidad ya que se trabaja con información
digital y servicios de tipo informático. Su función principal es evaluar cuánto valor se
le brinda a un proceso y cómo protegerlo. También nos ayudará a la planificación de
tratamientos oportunos(como prevención de de algunos sucesos inoportunos) y a
prepararnos de cara a procesos de auditoría, mantenimiento etc.

3.3. Elabore una matriz de respuesta de emergencia ante el desastre.

Una vez presentada la Contingencia o Siniestro, se deberá ejecutar las siguientes

actividades, planificadas previamente:
3.4. Dibuje las estrategias de continuidad de operaciones para su inmediata
reanudación.

Evaluación de Desastre

Inmediatamente después que el siniestro ha concluido, se debe evaluar la magnitud

del daño que se ha producido, por ejemplo; qué sistemas se han afectado, qué
equipos han quedado inoperativos, cuales se pueden recuperar, y en cuanto tiempo,
etc.
Priorización de actividades del Plan de Acción

El Plan, nos dará la lista de las actividades que debemos realizar, siempre
priorizando las actividades estratégicas y urgentes de nuestra institución. Es
importante evaluar la dedicación del personal a actividades que puedan no haberse
afectado, para ver su ubicación temporal y asignación de funciones.

Ejecución de Actividades

La ejecución de actividades implica la creación de equipos de trabajo para realizar

las actividades previamente planificadas en el Plan de acción.

Cada uno de estos equipos debe contar con un coordinador que deben reportar
diariamente el avance de los trabajos de recuperación.

● Restauración del servicio informático, usando los recursos de la Institución

y/o copias de respaldo que se encuentran en el otro local.
 ● Volver a contar con los recursos en las cantidades y lugares propios del
Sistema de Información, debiendo ser esta última etapa lo suficientemente
eficiente para no perjudicar el buen servicio a los contribuyentes delSistema
e imagen Institucional.

Evaluación de Resultados

Una vez concluidas las labores de recuperación de los sistemas informáticos que
fueron afectados por el siniestro, debemos de evaluar objetivamente, todas las
actividades realizadas, que tan bien se hicieron, que tiempo tomaron, qué
circunstancias modificaron, etc.

Retroalimentación del Plan de Acción

Con los resultados de la evaluación, debemos de optimizar el plan de acción original,

mejorando las actividades que tuvieron algún tipo de dificultad y reforzando los
elementos que funcionaron adecuadamente.
 3.5. Elabore el presupuesto y costos para su implementación.

Descripción Medida Cantidad Precio Precio

unitario total (S/.)

Servidores Unidad 3 2500 7 500

Pc’s Unidad 8 1200 9 600

Switches Unidad 2 650 1 300

Routers Unidad 4 85 340

Disco Duro 1TB Unidad 5 250 1 250

Video Camaras Unidad 2 950 1 900

….

TOTAL 21 890
 3.6. Elabore el procedimiento para las pruebas.

4. Elabore un flujo de mejora continua

La fase de Monitoreo nos dará la seguridad de que podamos reaccionar en el tiempo

preciso y con la acción correcta. Cada vez que se da un cambio en la infraestructura,
debemos de realizar un mantenimiento correctivo. Un punto donde se tiene que actuar
es por ejemplo cuando se ha identificado un nuevo riesgo o una nueva solución. En
este caso, toda la evaluación del riesgo se cambia, y comienza un nuevo ciclo
completo, a pesar de que este esfuerzo podría ser menos exigente que el primero. Es
importante ya que surgen nuevas posibilidades de soluciones ante nuevos casos que
se puedan presentar.