Informe SCGN Grupo-06

UNIVERSIDAD NACIONAL DE CAJAMARCA
Facultad de Ingeniería
Escuela Académico Profesional Ingeniería de Sistemas
DOCENTE:
CUEVA ARAUJO, PAUL OMAR
ALUMNOS:
• Acuña Alarcón, Elmer Armando
• Chávez Ludeña, Neiser
• Lezama Saldarriaga, Diego Orlando
CURSO:
GESTIÓN DE RIESGOS Y SEGURIDAD DE LA INFORMACIÓN
INFORME:
ANÁLISIS DE LA CONTINUIDAD DEL NEGOCIO PARA LA
MUNICIPALIDAD DISTRITAL DE CHALAMARCA
CICLO ACADEMICO:
2021 – II
Cajamarca, mayo del 2022

ÍNDICE
INTRODUCCIÓN ............................................................................................................................................................................................................. 1
CAPÍTULO I....................................................................................................................................................................................................................... 2
1. FORMULACIÓN Y DELIMITACIÓN DEL PROBLEMA............................................................................................................... 2
1.1. Descripción de la realidad problemática .............................................................................................................................. 2
1.2. Planteamiento del problema ...................................................................................................................................................... 2
1.3. Delimitación de la investigación ............................................................................................................................................... 3
2. JUSTIFICACIÓN ............................................................................................................................................................................................ 3
3. OBJETIVOS ..................................................................................................................................................................................................... 4
3.1. Objetivo general................................................................................................................................................................................ 4
3.2. Objetivos específicos ...................................................................................................................................................................... 4
CAPÍTULO II ..................................................................................................................................................................................................................... 4
1. GLOSARIO DE TÉRMINOS ........................................................................................................................................................................ 4
2. BASE LEGAL .................................................................................................................................................................................................... 8
3. ESTADO SITUACIONAL ............................................................................................................................................................................. 8
4. PROBLEMAS Y FACTORES CAUSALES ............................................................................................................................................ 10
CAPITULO III ................................................................................................................................................................................................................ 10
DISEÑO DE INVESTIGACIÓN ......................................................................................................................................................................... 10
1. FASES DEL PLAN DE CONTINUIDAD DEL NEGOCIO ........................................................................................................... 10
1.1. Fase de análisis de impacto del negocio ............................................................................................................................ 11
1.1.1. Métodos para la obtención de información ...................................................................................................................... 12
1.1.2. Requerimientos de tiempo de recuperación ................................................................................................................... 13
1.1.3. Metodología del análisis de impacto del negocio .......................................................................................................... 14
1.1.3.1. Identificación de funciones y procesos .................................................................................................................................. 14
1.1.3.2. Evaluación de impactos operacionales ................................................................................................................................ 14
1.1.3.3. Identificación de procesos críticos .......................................................................................................................................... 15
1.1.3.4. Establecimiento de tiempos de recuperación .................................................................................................................... 16
1.1.3.5. Identificación de recursos .......................................................................................................................................................... 16
1.1.3.6. Disposición de los RTO/RPO (Recovery Time Objetive/ Recovery Point Objetive) ............................................ 18
1.1.3.7. Identificación de procesos alternos ........................................................................................................................................ 19
2. FASE DE GESTIÓN DE RIESGO.......................................................................................................................................................... 21
2.1. Riesgos Tecnológicos .................................................................................................... ¡Error! Marcador no definido.
2.2. Riesgos Humanos ............................................................................................................ ¡Error! Marcador no definido.
2.3. Desastres Naturales ....................................................................................................... ¡Error! Marcador no definido.
CONCLUSIONES ........................................................................................................................................................................................................... 25
BIBLIOGRAFÍA ............................................................................................................................................................................................................ 25
Escuela Académico Profesional de Ingeniería de Sistemas
INTRODUCCIÓN
La Gestión del plan análisis de la continuidad del negocio y como parte dentro de la
continuidad tenemos el impacto del negocio en las entidades del estado debe responder
a una variedad de políticas de restablecimiento de actividades y servicios que apoyen
el normal funcionamiento de las infraestructuras de TI y minimicen las interrupciones
o fallas presentadas dentro de la organización.
Las entidades deben permanentemente monitorear y reconocer las amenazas más

importantes de incidentes que afecten la normal operatividad de los servicios y los
sistemas, de tal manera que se debe garantizar la continuidad del negocio a través de
mecanismos de recuperación previamente probados y ajustados y que respondan en el
menor tiempo posible a las soluciones de los problemas de interrupción generados.
El fin de la implementación del plan de continuidad de TI, es la protección y

recuperación de los servicios críticos que se vean afectados por desastres naturales o
interrupciones del servicio ocasionadas ya sea por los sistemas de información y
comunicación o ya sean por el hombre en virtud de acciones involuntarias o para
beneficio propio.
Así mismo, el análisis de impacto de negocios debe convertirse en una herramienta para
minimizar los riesgos de indisponibilidad de los servicios e infraestructuras de TI, que
afectan las operaciones regulares de las organizaciones, por consiguiente, debe formar
parte de un sistema de gestión de riesgos, que sea utilizado como mecanismo de control
para ejecutar tareas de monitoreo de crisis, planes de contingencia, capacidad de
marcha atrás y prevención y atención de emergencias.
Las entidades deben contar con un plan de continuidad de Tecnología de Información,

que le permita a la organización continuar con sus operaciones, en caso de presentarse
fallas o inconvenientes en sus sistemas que le impidan el normal funcionamiento de los
servicios de TI, de esta manera, la correcta implementación del plan deberá permitir
restaurar en el menor tiempo posible las operaciones de la entidad.
Gestión de Riesgos y Seguridad de la información 1

CAPÍTULO I
1. FORMULACIÓN Y DELIMITACIÓN DEL PROBLEMA
1.1. Descripción de la realidad problemática
La continuidad del negocio se ha convertido en un elemento esencial para una empresa
entidad u organización ya que esta es la capacidad estratégica y táctica de la organización,
para planificar responder exitosamente ante incidentes e interrupciones de negocio ente
las operaciones del mismo.Teniendo en cuenta que se puede presentar cualquier problema
dentro de cada proceso que realiza dicha organización, cada empresa debe realizar el
análisis de continuidad del negocio para que así pueda prevenir posibles riesgos en sus
procesos y estar en un nivel aceptable predefinido.
Hoy en día, este tema es la mayoría de las veces controversial, ya que no es sencillo
encontrar información al respecto, pues es un concepto relativamente joven que surge
como necesidad a que algunas empresas organizaciones o entidades llegan hasta el punto
extremo de llegar a desaparecer por no prevenir los riesgos que se podrían suscitar en una
organización empresa o entidad de cualquier índole. Con el propósito de dar a conocer y
llevar el análisis de continuidad del negocio de la Municipalidad de Chalamarca provincia
de Chota; es que hemos tenido conveniente de investigar y desarrollar de manera sucinta
este trabajo.
1.2. Planteamiento del problema

1.2.1. Problema principal
¿Cómo es posible llevar a cabo el análisis de la continuidad del negocio y cuál es
el nivel de preparación de la Municipalidad Distrital de Chalamarca con respecto
a los riesgos que puedan ocurrir dentro de la realización de sus procesos?
La manera de llevar a cabo el análisis de la continuidad del negocio dentro de

cualquier organización o empresa es sabiendo primero los pasos que se deben
seguir ya que si no se pone en práctica lo que se de nada sirve y además cada
decisión estratégica que se tome debe ser que beneficie de manera conjunta a
toda la organización o empresa. Podemos decir que una empresa u organización
para que cada día mejore debe tener gran precaución en la realización de sus
procesos; pero esto es posible lograrlo gracias a ciertas herramientas y a la vez
metodologías y una de ellas es BIA, que basándonos en cada fase y en cada
proceso ayuda a que la empresa surja cada día y así logre establecer una
continuidad de mejora diaria a largo plazo.

1.2.2. Problema secundario

¿Cuáles son las actividades críticas de la Municipalidad Distrital de Chalamarca
qué deben restablecerse para que dicha Municipalidad siga en una mejora
continua?
En nuestros días sabemos que son pocas las empresas, organizaciones o

entidades que se preocupan por el desarrollo efectivo de cada proceso; lo que
mas se ve es que se centra en que obtengan mayores ganancias; sin embargo, se
puede afirmar que las empresas, organizaciones y entidades que se centrar mas
en la eficiencia y eficacia de sus procesos y sobre todo en el lema que dice que el
cliente es lo mas importante, son las que mas surgen y llegan al éxito a gran
escala a nivel mundial. La Municipalidad Distrital de Chalamarca su principal
propósito es surgir cada día y llegar a un punto de auge en la cual sea reconocida
a nivel provincial, es por ello que conjuntamente todo el personal administrativo
se enfoca en realizar cada día mejor sus labores y procesos específicos
asignados.
¿Qué recursos tiene la Municipalidad Distrital de Chalamarca para restablecer

sus actividades y con agilice sus procesos de atención a las comunidades?
En toda empresa, organización o entidad para que la misma llegue a tener éxito
se debe tener por una parte el apoyo de la alta dirección y por otro lado se debe
tener también los recursos necesarios para que puedan realizar cada proceso,
gestión o proyecto que se quiera hacer; teniendo estos dos puntos bien definidos
se puede llegar a tener éxito en una empresa u organización. En la Municipalidad
Distrital de Chalamarca también lo que se quiere como objetivo principal es
logra la atención efectiva y eficiente a cada persona que acuda a dicha
municipalidad es por ello por lo que el propósito de dicha municipalidad es que
cada persona que labora dentro de la misma esté bien capacitada y sobre todo
se identifique con lo que hace.
1.3. Delimitación de la investigación
En la investigación que se realiza se tomará en cuenta la situación actual de la

Municipalidad Distrital de Chalamarca en donde nos basaremos de información
bien clara y precisa brindada por dicha Municipalidad y con ello lograr el objetivo
que cualquier persona pueda entender y poner en práctica dicho escrito para poder
llegar al punto de evitar riesgos dentro de una organización, empresa o entidad.
2. JUSTIFICACIÓN
En los últimos años, hemos vistos que, en diferentes lugares tanto del Perú como a nivel
mundial, el problema de no realizar tanto el análisis de continuidad del negocio y así
determinar que posibles riesgos se puede tener ha futuro y con ello se ha elevado el

número de empresas que van a la bancarrota e incluso llegan a tener grandes pérdidas
llegando al extremo de desaparecer. Por lo tanto, es necesario realizar una
concientización más detallada acerca del análisis que debe tener una empresa con
respecto a la continuidad de su negocio y así llegar a prevenir y reconocer el problema
raíz que puede generar el riesgo en la empresa u organización. Por ello es necesario que
cada empresa, organización o entidad llegue a saber y al mismo tiempo poner en
práctica dichos análisis para que la empresa entre en una mejora continua y fortalezca
cada proceso.
3. OBJETIVOS
3.1. Objetivo general
Disponer de un documento guía por medio del cual las Entidades del estado puedan
consultar los lineamientos de seguridad ante situaciones de emergencia a fin de
mitigar el impacto producido por la interrupción de los servicios de alta criticidad
que afectan sensiblemente las operaciones del negocio, y así lograr la continuidad
del negocio.
3.2. Objetivos específicos

• Identificar las actividades críticas que requieran ser ejecutadas de manera más
efectiva gracias al análisis respectivo.
• Determinar los recursos humanos, materiales, equipos, así como los sistemas
de información necesarios para ejecutar las actividades críticas.
• Establecer los mecanismos de activación de la continuidad operativa municipal
ante eventos adversos que afecten la disponibilidad de la Municipalidad
Distrital de Chalamarca.
• Mantener la continuidad operativa municipal a través de la ejecución de
procedimientos básicos de contingencia de las actividades críticas.
• Definir las acciones de recuperación de sistemas administrativos y tecnológicos
ante cualquier posible riesgo.
• Lograr un nivel de desarrollo y mejora de la cultura de continuidad y mejora
continua como parte de la visión a largo plazo.
CAPÍTULO II
1. GLOSARIO DE TÉRMINOS
a) Activo
En relación con la seguridad de la información se refiere a cualquier información
o elemento relacionado con el tratamiento de esta (sistemas, soportes, edificios,
personas) que tenga valor para la organización. (ISO/IEC 27000).

b) Actividades Críticas
Están constituidas por las actividades que la entidad haya identificado como
indispensables y que no pueden dejar de realizarse, conforme a sus
competencias y atribuciones señaladas en las normas sobre la materia.
c) Gestión de la Continuidad Operativa del Estado

Están constituidas por las actividades que la entidad haya identificado como
indispensables y que no pueden dejar de realizarse, conforme a sus
competencias y atribuciones señaladas en las normas sobre la materia.
d) Gestión del Riesgo Operativo

Proceso efectuado por todos los niveles de las organizaciones de una entidad
mediante el cual se identifican, valoran y tratan potenciales eventos, de riesgo
operativo, tales como, fallas en los procesos, personas, sistemas y eventos
externos, con la finalidad de coadyuvar en el grupo de los objetivos de la Entidad.
e) Plan de Continuidad Operativa

Instrumento que debe formar parte de las operaciones habituales de la Entidad,
incluye la identificación de las actividades y servicios críticos que requieren ser
ejecutados y prestados de manera ininterrumpida, la determinación de las
medidas y acciones que permitan que la entidad de manera eficiente y eficaz siga
cumpliendo con sus objetivos, así como la relación del personal que se
encontrará a cargo de la ejecución de las mencionadas actividades. Incluye los
protocolos, la realización de pruebas y ensayos, entre otros elementos señalados
en los presentes lineamientos.
f) Amenazas
Causa potencial de un incidente no deseado, que puede provocar daños a un
sistema o a la organización. (ISO/IEC 27000).
g) Análisis del Impacto del Negocio

Proceso del análisis de actividades y el efecto que una interrupción del negocio
podría tener sobre ellas. (ISO 22301).
h) Análisis de Riesgo
Proceso para comprender la naturaleza del riesgo y determinar el nivel de
riesgo. (ISO/IEC 27000).
i) Auditoría

Proceso sistemático, independiente y documentado para obtener evidencias de

auditoría y obviamente para determinar el grado en el que se cumplen los
criterios de auditoría. (ISO/IEC 27000).
j) Ciberseguridad
Capacidad del Estado para minimizar el nivel de riesgo al que están expuestos
sus ciudadanos, ante amenazas o incidentes de naturaleza cibernética. (CONPES
3701).
k) Ciberespacio
Ámbito o espacio hipotético o imaginario de quienes se encuentran inmersos en
la civilización electrónica, la informática y la cibernética. (CONPES 3701,
Tomado de la Academia de la lengua española).
l) Plan de Continuidad de Negocio

Procedimientos documentados que guían a las organizaciones para responder,
recuperar, reanudar y restaurar a un nivel pre-definido de operación debido a
la interrupción. (ISO 22301).
m) Seguridad de la Información
Preservación de la confidencialidad, integridad, y disponibilidad de la
información. (ISO/IEC 27000).
n) Sistema de Gestión de Seguridad de la Información (SGSI)

Conjunto de elementos interrelacionados o interactuantes (estructura
organizativa, políticas, planificación de actividades, responsabilidades,
procesos, procedimientos y recursos) que utiliza una organización para
establecer una política y unos objetivos de seguridad de la información y
alcanzar dichos objetivos, basándose en un enfoque de gestión y de mejora
continua. (ISO/IEC 27000).
o) Trazabilidad
Cualidad que permite que todas las acciones realizadas sobre la información o
un sistema de tratamiento de la información sean asociadas de modo
inequívoco a un individuo o entidad. (ISO/IEC 27000).
p) Vulnerabilidad
Debilidad de un activo o control que puede ser explotada por una o más
amenazas. (ISO/IEC 27000).
q) Plan de Contingencia Informático

Plan que forma parte del Plan de Continuidad Operativa, el cual comprende
medidas preventivas necesarias para minimizar la probabilidad de que dichos
riesgos se materialicen y, por otra parte, si esto ocurriera, posibilitar que la
institución tenga una respuesta acorde, sin que ello suponga un grave impacto
para su continuidad operativa.
r) Evaluación de riesgos
Consiste en identificar y evaluar los riesgos que puede causar una interrupción de la
actividad de la Entidad.
s) Análisis de impacto
Consiste en determinar el impacto que tendría una interrupción de los procesos
que soportan el cumplimiento de las misiones de la Entidad. De ser posible, se
buscará establecer el período máximo tolerable de interrupción por cada uno de
estos procesos, sin que ello constituya una condición indispensable para la
implementación de las acciones destinadas a asegurar la continuidad operativa.
t) Determinación de las actividades críticas

Consiste en determinar las actividades que no pueden interrumpirse, en tanto
ello afectaría seriamente el cumplimiento de la misión Municipal; lo cual incluye
la determinación de las que requieren de la ejecución de actividades en el lugar
alterno acondicionado y aquellas que podrían desarrollarse desde los domicilios
del personal. Incluye la identificación de los servicios y proveedores internos y
externos críticos para su ejecución.
u) Determinación de los recursos humanos

Consiste en determinar el número de Personas, entre el personal existente, que
se necesita para la ejecución de las actividades críticas identificadas. Incluye la
identificación de las personas necesarias para ejecutar dichas actividades, así
como de aquéllas que se constituirán en primero y segundo suplente como
mínimo.
v) Determinación de los recursos informáticos e información críticos

Consiste en determinar los aplicativos informáticos necesarios para la ejecución
de las actividades críticas, así como la información que se requiere, sea en físico
y digital, según sea el caso. Dichos recursos deben encontrarse a disposición de
la Entidad en el menor plazo posible y respetando los principios de la gestión de
la seguridad de información.
w) Determinación de los recursos físicos críticos

Consiste en determinar los bienes y equipos que son indispensables para

asegurar la ejecución de las actividades críticas de la Entidad. Dichos recursos
deben encontrarse a disposición de la Entidad en el menor plazo posible.
x) Protocolos de actuación para la continuidad operativa

Acuerdos establecidos entre las Direcciones y Oficinas de la Entidad para
asegurar la continuidad de las operaciones durante una situación de crisis, las
cuales deben integrarse en procesos que ayuden a la toma de decisiones.
y) Equipo de avanzada
Es el personal clave designado a cargo de la ejecución de actividades críticas de
las Direcciones y Oficinas para garantizar la continuidad operativa de los
servicios de la Entidad.
2. BASE LEGAL
La ejecución del plan de continuidad se sustenta en el siguiente marco legal:
• Política de Estado N° 32 del Acuerdo Nacional - Gestión del Riesgo de Desastres.

• Ley N° 29158, Ley Orgánica del Poder Ejecutivo.
• D. S. N° 111-2012-PCM, que aprueba la Política Nacional de Gestión del Riesgo
de Desastres.
• Ley N° 29664, Ley que crea el Sistema Nacional de Gestión del Riesgo de
Desastres (SINAGERD).
• Decreto Supremo 048-2011-PCM, Reglamento de la Ley que crea el Sistema
Nacional de Gestión del Riesgo de Desastres (SINAGERD).
• Resolución Ministerial N° 276-2012-PCM, Lineamientos para la Constitución y
funcionamiento de los Grupos de Trabajo de la Gestión del Riesgo de Desastres
en los tres niveles de Gobierno.
• Resolución Ministerial N° 046-2013-PCM, Lineamientos que definen el marco de
responsabilidades en Gestión del Riesgo de Desastres, en las entidades del
Estado en los tres niveles de Gobierno.
• Decreto Supremo 034-2014-PCM, Decreto Supremo que aprueba el Plan
Nacional de Gestión del Riesgo de Desastres- PLANAGERD 2014-2021.
• Resolución Ministerial N° 028-2015-PCM, Lineamientos para la gestión de la
Continuidad Operativa de las entidades públicas en los tres niveles de Gobierno.
3. ESTADO SITUACIONAL
El Plan de Continuidad Operativa o también llamado análisis de continuidad del negocio
lo que se centra y se basa en considerar seis tipos de eventos adversos que constituyen
los posibles escenarios de riesgos que pueden materializarse, afectando a las
direcciones y oficinas a cargo de funciones o actividades críticas (indispensables o

fundamentales) es por ello por lo que cada evento se debe tener en cuenta, para lo cual
se menciona a continuación:
• Sismo de gran intensidad

• Lluvias intensas.
• Inundaciones
• Incendio
• Ataque informático
• Atentado terrorista
• Pandemia
• Alteración del orden público
Los que se mencionaron anteriormente son los más importante y los que más ocurren,
asimismo, se pueden registrar otros eventos, tales como: Caída del servicio eléctrico,
caída del servicio telefónico, caída de servicios tecnológicos (internet, correo
electrónico, red de datos), falla de servidores, falla de los sistemas de información entre
otros.
La Municipalidad Distrital de Chalamarca, para poder desarrollar sus procesos de

manera efectiva; tiene 3 objetivos estratégicos municipales alineados a sus prioridades
y a su visión como negocio:}
❖ Objetivo estratégico 1: Fortalecer la capacidad de gestión prospectiva y

correctiva del riesgo de desastres en las entidades públicas de los tres niveles
de gobierno.
❖ Objetivo estratégico 2: Fortalecer la gestión municipal de la Municipalidad
Distrital de Chalamarca.
❖ Objetivo estratégico 3: Implementar la gestión interna del riesgo de desastres.

4. PROBLEMAS Y FACTORES CAUSALES
Fuente: Elaboración propia
CAPITULO III
DISEÑO DE INVESTIGACIÓN
1. FASES DEL PLAN DE CONTINUIDAD DEL NEGOCIO
El análisis de impacto del negocio como parte del plan de continuidad del negocio,
debe entenderse como un marco conceptual sobre el cual las entidades deben
planear integralmente los alcances y objetivos, que permiten proteger la
información, en todas sus áreas críticas.
Las entidades deben establecer un análisis de impacto del negocio, que esté alineado
con el Plan General de Continuidad del Negocio de la Entidad; este debe tener una
estrategia de continuidad de TI, que contenga los objetivos globales de la entidad,
con respecto a las dimensiones de disponibilidad de datos, infraestructura
tecnológica y recurso humano.
Para desarrollar el plan de continuidad del negocio de TI se debe tener en cuenta:

• Diseñar una estrategia de continuidad de los servicios de TI, que tenga

como base la reducción del impacto de una interrupción en los servicios
críticos de TI del negocio, este debe estar difundido, aprobado y
respaldado por los directivos de la entidad.
• Realizar un análisis e identificación de recursos críticos de TI vitales, de

esta manera se establece una estrategia que genere prioridades en caso
de presentarse una o varias situaciones que causen interrupciones.
• Establecer procedimientos de control de cambio, que permita asegurar

que el plan de continuidad de TI se encuentre actualizado y permita
afrontar las amenazas que traen consigo las nuevas tendencias
tecnológicas sin perder el alcance de los requerimientos de la Entidad.
• Elaborar un plan de pruebas de continuidad de TI, que permita verificar

y asegurar que los sistemas de TI puedan ser recuperados de forma
segura y efectiva, atendiendo y corrigiendo errores, que atenten contra
la disponibilidad de las operaciones.
• Realizar capacitaciones del plan de continuidad de TI y análisis de

impacto del negocio, a los entes o partes involucradas de la organización
(Equipo de seguridad de sistemas de información de la entidad), para
que conozcan cuáles son sus roles y responsabilidades en caso de
incidentes o desastres. Es necesario verificar e incrementar el
entrenamiento de acuerdo con los resultados de las pruebas de
contingencia generadas dentro de la entidad.
• Tanto el plan de continuidad de TI como el análisis de impacto del

negocio deben estar disponibles apropiadamente dentro de la
organización y en manos de los responsables de las áreas de TI quienes
de forma segura deben garantizar su aplicabilidad en los momentos
críticos, a su vez la entidad debe propender por un plan de
sensibilización al interior de la misma con el propósito de indicar a todos
sus miembros sobre la importancia de contar con un plan de continuidad
y de análisis del negocio que van a garantizar el normal funcionamiento
de las operaciones regulares en caso de presentarse problemas críticos
en los sistemas de información y comunicaciones de la entidad.
1.1. Fase de análisis de impacto del negocio

La fase de Análisis de Impacto del Negocio BIA (Bussiness Impact Analysis) Por
sus siglas en inglés), permite identificar con claridad los procesos misionales de

cada entidad y analizar el nivel de impacto con relación a la gestión del negocio.
Como se ha venido mencionando, cada entidad debe disponer de un documento
que permita identificar todas las áreas críticas del negocio y sea un instrumento
para garantizar la medición de la magnitud del impacto operacional y financiero
de la entidad, al momento de presentarse una interrupción.
En esta etapa, el análisis de impacto del negocio, debe poder clarificar los
siguientes requerimientos:
• Identificar las funciones y procesos importantes para la supervivencia

de la entidad al momento de la interrupción, esto es tener en cuenta
cuales de los procesos son claves para que entren en operación
rápidamente asignándoles la mayor prioridad posible, frente a los de
menor prioridad; debe quedar claro que para los procesos identificados
como no tan prioritarios se deben preparar también planes de
recuperación.
• Revisar las consecuencias tanto operacionales como financieras, que una

interrupción tendrá en los procesos considerados de alta prioridad.
• Estimar los tiempos de recuperación, en razón a las posibles alteraciones

de los procesos considerados de alta prioridad para el funcionamiento
de las infraestructuras de TI.
Al final el entregable de esta fase es un informe con el detalle de las funciones y

procesos críticos del negocio. Este documento debe contener la información
básica de los recursos requeridos y los tiempos de recuperación para que las
entidades puedan poner en funcionamiento los servicios y por ende la
continuidad del negocio.
1.1.1. Métodos para la obtención de información

Es recomendable que las entidades posean un método estructurado
que facilite la obtención de la información requerida, según (Hiles,
2004)1, se debe disponer de encuestas, entrevistas y talleres.
• Encuesta: Conjunto de preguntas que se envían a las distintas

entidades de la organización.

• Entrevistas: La información del Análisis de Impacto del

Negocio (BIA), se obtiene personalmente, entrevistando a una o
más personas. La información detallada puede obtenerse
creando preguntas para cada entrevista, de acuerdo con las
necesidades de la organización que hace las preguntas.
• Talleres: Permite a un grupo de personas trabajar de forma

colectiva para que de esta manera se provea de información
para el análisis de impacto del negocio.
1.1.2. Requerimientos de tiempo de recuperación

Como parte del plan de continuidad del negocio de una
organización, es importante poder definir y entender los
requerimientos de tiempo necesarios para recuperar a las
entidades de servicios que han sido interrumpidos por diferentes
motivos dentro de la organización; estos requerimientos obedecen
a varios componentes que hacen referencia concreta al tiempo
disponible en la cual una organización puede recuperarse oportuna
y ordenadamente a las interrupciones en los servicios e
infraestructuras de TI. Los componentes se describen a
continuación:
• MTD (Maximum Tolerable Downtime) o Tiempo Máximo de

Inactividad Tolerable: Espacio de tiempo durante el cual un
proceso puede estar inoperante hasta que la empresa empiece a
tener pérdidas y colapse.
• RTO (Recovery Time Objective) o Tiempo de Recuperación

Objetivo. Es el tiempo transcurrido entre una interrupción y la
recuperación del servicio. Indica el tiempo disponible para
recuperar sistemas y recursos interrumpidos.
• RPO (Recovery Point Objective) o Punto de Recuperación

Objetivo. Es el rango de tolerancia que la entidad puede tener
sobre la pérdida de datos y el evento de desastre.
• WRT (Work Recovery Time): Es el tiempo invertido en buscar

datos perdidos y la realización de reparaciones. Se calcula como
el tiempo entre la recuperación del sistema y la normalización
de los procesos.

1.1.3. Metodología del análisis de impacto del negocio

La metodología del Análisis de Impacto del Negocio consiste en
definir una serie de pasos interactivos con el objeto de identificar
claramente los impactos de las interrupciones y tomar decisiones
respecto a aquellos procesos que se consideran críticos para la
organización y que afectan directamente el negocio ante la
ocurrencia de un desastre.
1.1.3.1. Identificación de funciones y procesos

En este paso se identifican las funciones del negocio útiles
para apoyar la misión y los objetivos a alcanzar en el Sistema
de Gestión de Seguridad de Información de la Entidad. Este
punto tiene como resultado generar un listado de roles y
procesos, que sirven de análisis para el cumplimiento de los
siguientes pasos del BIA.
• Entender previamente los procesos del negocio de
SISTESEG sobre los que se realizará el BIA.
• Entender los sistemas o componentes de TI.
• Definir qué aspectos del negocio se desean cubrir con la

información que se suministrará.
• Identificar el personal a ser entrevistado.

• Definir los cuestionarios a utilizar para recolectar la
información, capacitar a los entrevistadores, unificar
criterios y términos utilizados.
• Definir las fechas en que se realizarán las entrevistas.
1.1.3.2. Evaluación de impactos operacionales

Teniendo en cuenta los elementos operacionales de la
organización, se requiere evaluar el nivel de impacto de una
interrupción dentro de la Entidad. El impacto operacional
permite evaluar el nivel negativo de una interrupción en
varios aspectos de las operaciones del negocio; el impacto se

puede medir utilizando un esquema de valoración, con los

siguientes niveles: A, B o C.
• Nivel A: La operación es crítica para el negocio. Una

operación es crítica cuando al no contar con ésta, la función
del negocio no puede realizarse.
• Nivel B: La operación es una parte integral del negocio, sin
ésta el negocio no podría operar normalmente, pero la
función no es crítica.
• Nivel C: La operación no es una parte integral del negocio.
Los niveles de criticidad en la entidad, que contempla un

sistema de tolerancia a fallas por horas, cuya propiedad
permite que un sistema pueda seguir operando normalmente
a pesar de que una falla haya ocurrido en alguno de los
componentes del sistema; por lo tanto, la tolerancia a fallas es
muy importante en los sistemas que deben funcionar todo el
tiempo.
1.1.3.3. Identificación de procesos críticos

Los Procesos Críticos son aquellas que una institución,
empresa u organización no pueden dejar de llevar a cabo bajo
ningún escenario de emergencia mayor. Para poder identificar
estos procesos nos debemos plantear los indicadores que
deben cumplir estos:
Valor Interpretación del proceso crítico
A Crítico para el Negocio, la función del negocio no

puede realizarse
B No es crítico para el negocio, pero la operación

es una parte integral del mismo.
C La operación no es parte integral del negocio.
• Logística (A)
• Proceso de Contrataciones (B)
• Presupuesto (A)

• Ejecución de pagos (A)

• Tesorería (B)
• Ejecución de proyectos (A)
• Infraestructura (C)
• Recursos Humanos (B)
1.1.3.4. Establecimiento de tiempos de recuperación

El tiempo de recuperación simple compara directamente los
flujos de efectivo operativos netos generados por el negocio o
proyecto, con la inversión neta para determinar el periodo
(número de años, meses, semanas o días) que se requiere para
que el dinero que genera el negocio o proyecto sea igual al
dinero que se invirtió.
Hace referencia también, al tiempo que se toma la

municipalidad en descubrir, analizar y responder ante una
amenaza en la información.
1.1.3.5. Identificación de recursos

Las diferentes actividades contempladas en la función crítica
del negocio deben considerarse de vital importancia cuando
apoyan los procesos críticos del negocio; por lo tanto, es clave
en este punto, la identificación de recursos críticos de
Sistemas.
NOMBRE DEL DESCRIPCIÓN DEL TIPO DE CATEGORÍA CLASIFICACIÓN PROCESO AL QUE

ACTIVO ACTIVO ACTIVO DEL ACTIVO PERTENECE
Servidores La institución Información Información Restringido Administrar

de Base de presenta bases de Electrónica información
datos datos, localmente
posee la base de
datos SQLServer y en
la nube usa Mysql.

Servidores Aplicación web Software Desarrollo Restringido Administrar

Web alojada en la nube, Propio información
encargada de la
gestión de
información como
usuarios y pagos.
Módulo de Aplicación web Software Desarrollo Confidencial Controlar

control alojada en la nube, Propio incidencias
para gestionar
operaciones de
administración de
bienes
Seace Plataforma creada Software Terceros Restringido Realizar

por terceros, que da gestiones
soporte para realizar
Gestiones
Perú Plataforma creada Software Terceros Restringido Realizar

Compras por terceros, que da gestiones
soporte para realizar
operaciones de
compra
Servidor La municipalidad Información Información Confidencial Administrar

Local cuenta con un Electrónica información
servidor físico
corriendo el sistema
operativo Windows
Server.

Servidor en Servidor en la nube Información Información Confidencial Administrar

la nube otorgada al adquirir Electrónica información
un servicio de Host.
Equipos de sistema informático Hardware Terceros Restringido Administrar

computo de componentes información
electrónicos
Documentaci La municipalidad Información Desarrollo Restringido Informar

ón cuenta con archivos Física Propio
confidenciales que
documentan la
estructura interna de
la institución,
funciones, horarios,
cuentas
institucionales,
información de
pagos, etc.
1.1.3.6. Disposición de los RTO/RPO (Recovery Time

Objetive/ Recovery Point Objetive)
• RTO: Tiempo de Recuperación Objetivo: Asociado con la

restauración de los recursos que han sido alterados de las
Tecnologías de la Información; comprende el tiempo
disponible para recuperar recursos alterados.
Adicionalmente, se aplica el WRT, es decir el tiempo que es

requerido para completar el trabajo que ha estado
interrumpido con el propósito de volverlo a la normalidad.
• RPO: Punto de Recuperación Objetivo: Este punto es

importante para determinar por cada uno de los procesos
críticos (servicios), el rango de tolerancia que una Entidad

puede tener sobre la pérdida de información y el evento de

desastre.
Una vez identificados los procesos críticos del negocio, función
que hace parte del análisis de los impactos operacionales, se
procede a identificar el MTD, que corresponde al tiempo
máximo de inactividad que puede tolerar una organización
antes de colapsar y se hace la clasificación a fin de priorizar la
recuperación del proceso (servicio). Esto quiere decir que si
por ejemplo un proceso tiene un periodo máximo de tiempo de
inactividad (MTD) de un (1) día, este debe tener mayor
prioridad para iniciar el evento de recuperación, en razón al
poco tiempo de tolerancia de la inactividad, frente a otros que
tienen mayor tolerancia. El siguiente ejemplo ilustra esta
situación
CATEGORÍA (FUNCIÓN MTD PRIORIDAD DE

CRÍTICA DEL NEGOCIO) (EN DÍAS) RECUPERACIÓN
Logística 0,5 1
Proceso de Contrataciones 2 3
Presupuesto 0,5 1
Ejecución de pagos 0,5 1
Tesorería 1 2
Ejecución de proyectos 0,5 1
Infraestructura 1 2
Recursos Humanos 1 2
1.1.3.7. Identificación de procesos alternos

La identificación de procesos alternos hace posible que los
procesos del negocio puedan continuar operando en caso de
presentarse una interrupción; para ello es oportuno que las
Entidades tengan métodos alternativos de manera temporal
que ayuden a superar la crisis que ha generado una
interrupción; por lo tanto, para cada proceso crítico que se
establezca (en los servicios), se debe poseer un procedimiento
manual de continuidad del servicio:
• Logística: La actividad se puede llevar de manera alterna

mediante el trabajo colaborativo del administrador y el jefe
de logística.
• Tesorería: Se puede ejecutar haciendo uso de la caja chica

como medida de soporte alternativa mientras se restaura
el sistema.

1.1.3.8. Generación del informe de Impacto del Negocio
En este punto es necesario presentar un informe de impacto

de negocio que corresponde a la guía para el BIA con los
siguientes resúmenes:
● Listado de procesos críticos
● Listado de prioridades de sistemas y aplicaciones
● Listado de tiempos MTD, RTO y RPO
● Listado de procedimientos alternos.
1.1.3.9. Clasificación de escenarios de riesgo

A fin de conocer con precisión los riesgos potenciales de la
prestación de servicios de tecnologías de la información en las
Entidades, es recomendable clasificar los posibles escenarios
de los riesgos potenciales y describir su nivel de impacto por
cada función crítica del negocio. La siguiente tabla describe
un ejemplo de esta clasificación.
CATEGORÍAS ESCENARIOS DESCRIPCIÓN

IMPACTO
Fallas en el fluido Fallas del servicio eléctrico de la
eléctrico entidad que afecta equipos
eléctricos normales y los servicios
Red
Eléctrica de Tecnología de Información.
Falla general de los servicios de TI
Falla Total en los de todos los componentes que tiene
Red Dispositivos Seguridad: que ver con elementos de seguridad
Datos, de TI (Elementos de Hardware,
Internet y Software) y ausencia de políticas y
Seguridad controles de TI.
Falla parcial de los servicios de TI
Pérdida conectividad por ausencia en la conexión hacia el
total Internet.
Falla Total de Hardware Falla total de los servicios de los

de Servidores sistemas de información que usan la
plataforma de servidores.
Falla de los servicios de los sistemas
Problemas en sistema de Información que usan la
Hardware Almacenamiento plataforma de almacenamiento de
distribuido información.

Problemas Hardware Falla de los servicios de los sistemas

de Servidores de información que usan la
plataforma de servidores.
Falla o degradación del servicio
Problemas Capa
de prestado en el sistema de información
Aplicaciones afectado por problemas en las
aplicaciones.
Falla o degradación de las
Aplicaciones aplicaciones soportadas por las
Problemas Capa de Bases herramientas y motores de Base de
infraestructu de Datos Datos, por tanto se puede presentar
ra
degradación o ausencia del servicio
distribuida
prestado.
Disminución de capacidad de
Ausencia de funcionarios, atención a los clientes y usuarios,
incapacidades y rotación lentitud en la atención a
Recurso requerimientos e incidentes.
Humano Contempla desde la degradación de
un servicio hasta la pérdida de este.
Errores humanos en
operación
2. FASE DE GESTIÓN DE RIESGO

Ante la posible materialización de algún evento que ponga en riesgo la operatividad
de la Entidad y con el fin de establecer prioridades para la mitigación de los riesgos,
se hace necesario disponer de metodologías para su evaluación.
La metodología del plan de continuidad del negocio determina los diversos

escenarios de amenazas de una Entidad, el cual permite desarrollar las estrategias
de continuidad y los planes para reanudar los servicios que estaban en operación.
La gestión del riesgo debe contemplar el “cálculo del riesgo, la apreciación de su

impacto en el negocio y la posibilidad de ocurrencia”.
2.1. Análisis de riesgos

Se realiza la identificación de los peligros y la probabilidad de que ocurran en un
tiempo y área específica; para una mayor concientización e internalización de la
Cultura de Prevención, es necesario que este levantamiento de información se
realice de forma participativa con las áreas y trabajadores de la empresa.

Probabilidad Valor Descripción Frecuencia
Baja 4 El evento puede ocurrir solo en Se puede presentar

circunstancias excepcionales al menos una vez en
5 años o más.
Media 6 El evento podría ocurrir en Se puede presentar

algún momento. al menos una vez en
3 años
Alta 8 El evento probablemente Se puede presentar

ocurrirá en la mayoría al menos una vez al
año
Muy Alta 10 Se espera que el evento ocurra Se puede presentar

en la mayoría de las más de 1 vez al año
circunstancias.
• DeterminaciónRobos.
• Acto Hostil.
• Marchas, mítines.
• Artefactos explosivos.
• Problemas organizacionales (huelgas, leyes aceptadas por el congreso,
regulaciones gubernamentales, leyes internacionales)
• Problemas de terceros involucrados en la producción o soporte a un
servicio.
• Problemas con los proveedores de insumos o subproductos.
2.2. Determinación del impacto

Se consideran las consecuencias que puede ocasionar a la organización la
materialización del riesgo”. Considerando para ello la siguiente tabla:
Impacto Valor Descripción
Bajo 4 No representa un impacto importante. Se cuenta con

controles suficientes que responden a un programa de
mantenimiento (evaluados y mejorados), se evidencia que
han respondido a acontecimientos ocurridos y ejercicios
realizados, se puede prescindir del servicio por un tiempo
limitado

Medio 6 El impacto sobre la confidencialidad, integridad y

disponibilidad de la información es limitado en tiempo y
alcance. Su efecto es para un proceso de soporte o actividad
específica que puede subsanarse en un corto plazo.
Alto 8 Impacta en forma grave a un área o servicio específico, se

puede llegar a comprometer documentos internos
clasificados como confidenciales, paralizar o retrasar
procesos claves por un tiempo considerable. Su efecto está
limitado dentro de la IEP. Segundo Cabrera Muñoz
Muy Alto 10 Impacta en forma severa a todo la Municipalidad Distrital de

Chalamarca y su efecto no solo se limita a éste.
Compromete la confidencialidad o integridad de información
crítica o la continuidad de las operaciones por paralización
de los servicios más allá de los tiempos tolerables por el
negocio.
2.3. Evaluación de riesgos

La evaluación del riesgo es el conjunto de acciones y procedimientos para la
identificación de los peligros y análisis de la vulnerabilidad de la empresa con fines
de evaluar los riesgos y en función de ello, recomendar medidas de prevención y/o
mitigación para reducir los efectos de los desastres. En ese sentido, el análisis y
clasificación de los riesgos determinan de manera cualitativa el nivel de riesgo,
variando desde riesgo bajo hasta riesgo muy alto, tal como se muestra a
continuación.
CODIG RIESGO CALIFICACIÓN TIPO DE EVALUACI MEDIDA

O DEL IMPACTO ÓN DE
RIESG RESPUES
O Probabilida Impacto Nivel de TA
d riesgo
R1 Sobrecarga de 4 4 Bajo Bajo asumir el

equipos riesgo
R2 Robo de 4 8 Alto Medio reducir el

credenciales por riesgo
terceros

R3 Ejecución de 6 8 Alto Alto evitar

malware en los
computadores de
la institución.
R4 Descifrar 4 8 Alto Medio reducir el

contraseñas riesgo
R5 Adulteración de 4 8 Alto Medio reducir el

los servicios en la riesgo
nube.
R6 Robo de equipos 4 8 Alto Medio reducir el

en la institución riesgo
R7 Daños a los 6 8 Alto Alto evitar el

equipos y la riesgo
infraestructura de
telecomunicación
R8 Acceso de 4 8 Alto Medio reducir el

dispositivos no riesgo
autorizados a la
red
R9 Detener servicios 6 10 Muy alto Alto evitar

o aplicativos

CONCLUSIONES
• Con la información antes vista podemos confirmar que se contribuye a mejorar el
rendimiento sobre las afectaciones de la empresa, así como de la forma y el tiempo
de responder ante la mismas, ya que con el proceso sistemático de análisis de la
continuidad del negocio de la mano con la metodología BIA podremos analizar,
determinar y evaluar los efectos de cualquier imprevisto que pueda afectar a la
continuidad del negocio y con ello será posible reducir la probabilidad de que los
riesgos que afecten a una empresa se disminuyan y esto beneficiará a la empresa a
que tenga menos perdidas tanto económicas como en otros aspectos.
• Gracias al análisis de la continuidad del negocio se puede identificar con claridad

los procesos misionales de cada entidad y analizar el nivel de impacto con relación
a la gestión del negocio, es por ello que muchas empresas realizan este análisis ya
que permite desarrollar arreglos previos y procedimientos que capaciten a la
organización para responder a un evento de tal manera que las funciones críticas
del negocio continúen con los niveles planeados de interrupción o cambios
esenciales y así permitir a la empresa logar el éxito y mayor posicionamiento en el
mercado pero sobre todo prevenir algunos errores, problemas o riesgos que
pueden afectar a la empresa.
• La Municipalidad Distrital de Chalamarca, según lo visto; posee una limitada

preparación para la respuesta que les permita restablecer sus actividades después
de la ocurrencia de un problema o riesgos de cualquier tipo lo cual impide que la
continuidad operativa de la organización se desarrolle de manera más sofisticada
y además las acciones de respuesta y rehabilitación ante cualquier problema puede
llevar más tiempo de lo que se puede establecer, ya que se podría decir que no
cuenta con recursos específicos asignados para el restablecimiento de sus
actividades ante la ocurrencia de cualquier problema, así mismo no dispone de un
documento de gestión que le permita planificar la continuidad operativa de sus
actividades críticas y es por ello que se realiza este trabajo que sirve de gran ayuda
para dicha Municipalidad.
BIBLIOGRAFÍA
• Alexander, A., (2007). Diseño de un Sistema de Gestión de Seguridad de Información,

óptica ISO 27001:2005, Alfaomega.
• Hiles, A., (2004). Bussiness Continuity Best Practices, Connecticut: Rothstein

Associates, Inc.
• ISO/IEC 27001:2006, Norma Técnica NTC-ISO/IEC Colombiana, Tecnología de la

Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la
Información (SGSI). Requisitos.

Informe SCGN Grupo-06

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe SCGN Grupo-06

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL DE CAJAMARCA

Cajamarca, mayo del 2022

Las entidades deben permanentemente monitorear y reconocer las amenazas más

El fin de la implementación del plan de continuidad de TI, es la protección y

Las entidades deben contar con un plan de continuidad de Tecnología de Información,

Gestión de Riesgos y Seguridad de la información 1

1.2. Planteamiento del problema

La manera de llevar a cabo el análisis de la continuidad del negocio dentro de

Gestión de Riesgos y Seguridad de la información 2

1.2.2. Problema secundario

En nuestros días sabemos que son pocas las empresas, organizaciones o

¿Qué recursos tiene la Municipalidad Distrital de Chalamarca para restablecer

1.3. Delimitación de la investigación

En la investigación que se realiza se tomará en cuenta la situación actual de la

Gestión de Riesgos y Seguridad de la información 3

3.2. Objetivos específicos

Gestión de Riesgos y Seguridad de la información 4

c) Gestión de la Continuidad Operativa del Estado

d) Gestión del Riesgo Operativo

e) Plan de Continuidad Operativa

g) Análisis del Impacto del Negocio

Gestión de Riesgos y Seguridad de la información 5

Proceso sistemático, independiente y documentado para obtener evidencias de

l) Plan de Continuidad de Negocio

n) Sistema de Gestión de Seguridad de la Información (SGSI)

q) Plan de Contingencia Informático

Gestión de Riesgos y Seguridad de la información 6

t) Determinación de las actividades críticas

u) Determinación de los recursos humanos

v) Determinación de los recursos informáticos e información críticos

w) Determinación de los recursos físicos críticos

Gestión de Riesgos y Seguridad de la información 7

Consiste en determinar los bienes y equipos que son indispensables para

x) Protocolos de actuación para la continuidad operativa

• Política de Estado N° 32 del Acuerdo Nacional - Gestión del Riesgo de Desastres.

Gestión de Riesgos y Seguridad de la información 8

• Sismo de gran intensidad

La Municipalidad Distrital de Chalamarca, para poder desarrollar sus procesos de

❖ Objetivo estratégico 1: Fortalecer la capacidad de gestión prospectiva y

Gestión de Riesgos y Seguridad de la información 9

4. PROBLEMAS Y FACTORES CAUSALES

Fuente: Elaboración propia

Para desarrollar el plan de continuidad del negocio de TI se debe tener en cuenta:

Gestión de Riesgos y Seguridad de la información 10

• Diseñar una estrategia de continuidad de los servicios de TI, que tenga

• Realizar un análisis e identificación de recursos críticos de TI vitales, de

• Establecer procedimientos de control de cambio, que permita asegurar

• Elaborar un plan de pruebas de continuidad de TI, que permita verificar

• Realizar capacitaciones del plan de continuidad de TI y análisis de

• Tanto el plan de continuidad de TI como el análisis de impacto del

1.1. Fase de análisis de impacto del negocio

Gestión de Riesgos y Seguridad de la información 11

• Identificar las funciones y procesos importantes para la supervivencia

• Revisar las consecuencias tanto operacionales como financieras, que una

• Estimar los tiempos de recuperación, en razón a las posibles alteraciones

Al final el entregable de esta fase es un informe con el detalle de las funciones y

1.1.1. Métodos para la obtención de información

• Encuesta: Conjunto de preguntas que se envían a las distintas

Gestión de Riesgos y Seguridad de la información 12

• Entrevistas: La información del Análisis de Impacto del

• Talleres: Permite a un grupo de personas trabajar de forma

1.1.2. Requerimientos de tiempo de recuperación

• MTD (Maximum Tolerable Downtime) o Tiempo Máximo de

• RTO (Recovery Time Objective) o Tiempo de Recuperación