Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Análisis de Riesgos y Vulnerabilidades
Análisis de Riesgos y Vulnerabilidades
1
Contenido
1. Resumen Ejecutivo .................................................................................................................................. 3
2
1. Resumen Ejecutivo
El Ministerio del Ambiente (MINAM) como parte de las actividades para actualizar el Plan de Continuidad
Operativa ha considerado realizar el análisis de riesgos y vulnerabilidades.
El análisis de riesgos y vulnerabilidades fue realizado durante el mes de julio de 2018. El procesamiento
de la información recogida permitió precisar lo siguiente:
Identificación de Amenazas:
Se consideró que la probabilidad extrema, moderada y menor de ocurrencia sería para las siguientes
amenazas: falla en telecomunicaciones, falla de energía eléctrica, pandemia, delitos informáticos, caída
de sistemas claves, terremoto, incendio, y actividad criminal. Estas amenazas fueron incluidas dentro de
los siguientes pasos para el cálculo del Nivel de Riesgo Controlado.
Las amenazas que resultaron con un nivel de probabilidad insignificante fueron: falla del aire
acondicionado, ataque terrorista, prensa amarrillo, sabotaje, lluvias, aniego e inundaciones y material
peligroso.
Identificación de Controles:
Se revisó la existencia y efectividad de los controles existentes sobre las 9 amenazas incluidas en el
análisis. De la revisión resultaron más de 51 controles, que en su mayoría se encuentran limitados, en
general sin mantenimiento o no forman parte de un programa de pruebas u otro que acorta la efectividad
del control, lo que hace que los recursos por proteger sean vulnerables.
Se hizo evidente en este análisis, la percepción de vulnerabilidad de los servicios del Centro de Computo
del Ministerio, por los problemas de implementación de un adecuado mecanismo de respaldo de los
servicios informáticos.
Evaluación de Riesgo:
Considerando la efectividad de los controles, se realizó el análisis sobre las 17 amenazas identificadas,
para determinar el nivel de riesgo, resultando que los niveles de riesgo de mayor efecto se presentan ante
la materialización de las amenazas: incendio, terremoto, pandemia y delitos informáticos, ya que los
controles existentes, que podrían mitigar la vulnerabilidad de MINAM ante estas amenazas, son mínimos,
y su alcance y efectividad es muy acotado, la mayoría de controles no cuenta con pruebas o un plan de
mantenimiento adecuado.
3
Identificación de Nuevos Controles y Mejoras:
Tomando en cuenta los resultados de los niveles de riesgo para cada amenaza y los recursos que podrían
afectarse, se identificaron mejoras en los controles existentes, principalmente:
• Implementación y fortalecimiento de Planes de Continuidad Operativo (PCO, DRP), Desarrollar los
Planes de Recuperación de las Operaciones en todos las órgano y unidades orgánicas que resulten
críticas para MINAM, así como desarrollar el Plan de Contingencia Informático que permita
recuperar los aplicativos/servicios TI. Esto permitirá disminuir el impacto en la paralización de
procesos de MINAM.
• Fortalecer las vías de evacuación. Monitorear permanentemente a través de los Brigadistas que
las vías de evacuación se encuentren libres, sin obstáculos, en su defecto comunicar al COE-
MINAM cualquier irregularidad al respecto.
• Centro de Cómputo Alterno (CCA), diseñar protocolos tal que la redundancia del CCA se active de
forma automática. El CCA debe también estar conectado con el Sitio Alterno.
• Simulacros de evacuación no programados, realizar simulacros de evacuación no programados a
fin de acrecentar el nivel de dificultad del ejercicio, e incluir escenarios de Inundación y otros.
Resultado de este análisis se determinó además que los posibles escenarios de riesgo serían:
• Indisponibilidad del Centro de Computo Principal como consecuencia de un terremoto, delito
informático, incendio, falla en las telecomunicaciones, falla en la energía eléctrica y caídas de
sistema.
• Afectación de registros vitales como consecuencia de un delito informático, terremoto e incendio
• Afectación del Personal y Recursos como consecuencia de un incendio o terremoto.
• Afectación de los Sistemas Informáticos como consecuencia de delitos informáticos, falla en la
energía eléctrica, caída de sistemas y terremoto.
• Afectación de la salud y psicológica de personal como consecuencia de la pandemia.
4
5. Fortalecer las actividades de concienciación respecto a cómo reaccionar frente a un evento de
desastre, generando una práctica constante de las actividades de evacuación de la sede (a través de
la ejecución de simulacros programados y no programados).
6. Fortalecer las campañas internas de concienciación respecto al uso de los mobiliarios y facilidades
brindadas en la sede, generando una cultura de cuidado y prevención respecto a los extintores, las
conexiones eléctricas, los equipos en cómputo, implementación de horarios de trabajo, modalidades
de trabajo, entre otros.
7. Continuar el reforzamiento progresivo de los controles de seguridad de acceso a las sedes,
reduciendo de esta manera la posibilidad de materialización de la amenaza actividad criminal.
8. Tomar en cuenta que la obtención del nivel de riesgo de cada componente considera los controles
existentes en la sede. Por lo que se sugiere realizar el mantenimiento respectivo y periódico a dichos
controles, y actualizar aquellos cuyo tiempo de vida útil podría generar la vulnerabilidad de la misma.
2. Aspectos Generales
2.1 Objetivo
• Identificar controles o “medidas de protección” adicionales en las sedes del MINAM, en la(s)
cual(es) se realizan los procesos más urgentes a recuperar, para dar continuidad a sus operaciones
en caso de ocurrir un evento de desastre de gran magnitud.
• Identificar escenarios para el diseño de las pruebas y ensayos de las estrategias de recuperación
del MINAM.
2.2 Alcance
De acuerdo con el objetivo general descrito, el alcance del presente Análisis de Riesgos y Vulnerabilidades
en Continuidad Operativa considera las siguientes sedes del MINAM:
5
Despacho Ministerial / Secretaría General 1103
Viceministerio de Desarrollo Estratégico de los 1104
Recursos Naturales/ Viceministerio de Gestión
Ambiental
Oficina General de Asesoría Jurídica 1106
Gabinete 1107
Despacho Ministerial / Directorios 1108
Oficina de Comunicaciones e Imagen Institucional 1110
Oficina General de Planeamiento y Presupuesto 1111 y
1112
Piso 14 Dirección General de Residuos Sólidos 1401,
1402 y
1403
Dirección General de Educación, Ciudadanía e 1404 y
Información Ambiental 1409
Dirección General de Ordenamiento Territorial 1405 y
Ambiental 1406
Dirección General Cambio Climático y Desertificación 1407 y
1408
Consultores/ DECA 1410
Dirección General de Políticas e Instrumentos de 1411
Gestión Ambiental
Dirección General de Economía y Financiamiento 1412 y
Ambiental 1413
Piso 16 Dirección General de Calidad Ambiental 1607,
1608 y
1609
Programa PNAR 1610
GIZ 1611
DGERN 1612
Oficina de Tecnologías de la Información y 1613
Comunicaciones
3. Sede OMICROM
La metodología para el Análisis de Riesgos y Vulnerabilidades en Continuidad Operativa está alineada con
la Resolución Ministerial n.° 028-2015-PCM, el estándar internacional ISO 22301, las mejores prácticas
profesionales y lineamientos del BCI. En este sentido, se consideró la ejecución de los siguientes pasos:
6
• Identificación de Nuevos Controles y Mejoras a los Existentes
Este primer paso permite identificar los recursos que se debe proteger, los cuales componen los procesos
que el Ministerio ejecuta. Se toman en cuenta principalmente los siguientes pasos:
Este paso, permite identificar aquellas amenazas que pudieran vulnerar la sede del MIMAN, considerando
la ubicación geográfica, el contexto actual de la sede y la percepción del juicio experto de los participantes.
El método utilizado, se describe a continuación:
# Ocurrencia Descripción
1 Rara Vez Se presentó al menos una vez en los últimos 20 años / Nunca se presentó
2 No Frecuente Se presentó al menos una vez en los últimos 10 años
3 Moderada Se presentó más de una vez en los últimos 5 años
4 Frecuente Se presentó por lo menos una vez al año en los últimos 5 años
# Percepción Descripción
• <= 1% probabilidad, o
1 Muy Difícil • El acontecimiento requiere de circunstancias excepcionales, o
• La probabilidad es nula, incluso en un futuro a largo plazo
• >1% ó <=10% de probabilidad, o
2 Difícil
• Puede ocurrir pero no será anticipada
• >10% ó <=50% de probabilidad, o
3 Mediana
• Puede ocurrir en el mediano plazo
• >50% ó <=75% de probabilidad, o
4 Posible
• Podría ocurrir anualmente
• >75% ó 100% de probabilidad, o
5 Muy Posible • El impacto está ocurriendo ahora, o
• Podría ocurrir dentro de unos meses
7
• Identificación de las amenazas que se tomaran en cuenta para la evaluación. De la combinación
de las variables descritas se obtiene la Probabilidad Estimada, que sirve como valor
discriminatorio para seleccionar que amenazas se deberían evaluar para la sede considerada en
el alcance. Los valores definidos para la Ocurrencia y Percepción fueron promediados y
consolidados a fin de obtener una Probabilidad de Ocurrencia consensuada, asociada a cada
amenaza en evaluación. Aquellas que resultan en un nivel de probabilidad estimada insignificante,
según la tabla siguiente, no son tomados en cuenta.
La identificación de controles existentes, permiten conocer que tan protegidos están los recursos de
MINAM frente a cada amenaza. La identificación debe cuidar que dichos controles ayuden a mitigar la
probabilidad e impacto de afectación de los recursos críticos del negocio. Para esta identificación se
toman en cuenta principalmente los siguientes pasos:
• Observación del contexto actual de las sedes, considerando los controles mínimos necesarios para
las posibles amenazas a evaluar.
• Validación de la efectividad de los controles con los expertos participantes en las sesiones.
• Identificación de los recursos que protegen los controles existentes para cada amenaza.
Para determinar el Nivel de Riesgo de un recurso crítico del MINAM en la sede, se consideraron los
controles existentes que mitigan la afectación de la amenaza; siguiendo lo indicado a continuación:
• Cálculo de la Probabilidad de Afectación del Recurso, el cual se estimó por votación (utilizando el
método cualitativo). Por ejemplo, para determinar la probabilidad de afectación que tendrían los
recursos en caso se materializara la amenaza Terremoto; los participantes consideraron la
existencia de controles tales como anclaje de equipos pesados, entre otros, y en base a eso
realizaron la votación. Se consideró la siguiente tabla de valores para el cálculo:
Probabilidad Descripción
Se cuenta con controles razonablemente suficientes que responden a un programa de
Improbable mantenimiento (evaluados y mejorados), se evidencia que han respondido a acontecimientos
ocurridos y ejercicios realizados
Se cuenta con controles razonablemente suficientes que responden a un programa de
No Frecuente
mantenimiento y responden a los ejercicios y pruebas realizadas.
Se cuenta con controles que responden a un programa de mantenimiento y responden a los
Moderada
ejercicios y pruebas realizadas, pero no son suficientes.
Algunos controles se prueban esporádicamente, debido a que no cuentan con un programa
Frecuente
definido o de existir no se cumple con el mismo.
Muy Frecuente Bajo nivel de controles o los controles existentes no son efectivos o eficientes.
8
• Cálculo del Impacto del Recurso, por ejemplo, se estimó por votación el Impacto que tendrían los
recursos en caso se materializara la amenaza Terremoto, considerando los controles existentes.
La determinación de dicho Impacto se basó en el tiempo de indisponibilidad del recurso debido a
la materialización de la amenaza evaluada. Se consideró la siguiente tabla de valores para el
cálculo:
Impacto Descripción
No significativo Tiene un efecto nulo o muy pequeño en las operaciones de la sede evaluada.
Menor Afecta hasta en 6 horas las operaciones de la sede evaluada.
Moderado Afecta hasta en 24 horas las operaciones de la sede evaluada.
Mayor Afecta hasta en 48 horas las operaciones de la sede evaluada.
Catastrófico Afecta por más de una semana las operaciones de la sede evaluada.
• Cálculo del Nivel de Riesgo, el cual se calcula considerando el mayor Nivel de Riesgo del recurso
afectado por la amenaza que se está analizando. Para la identificación del Nivel de Riesgo se ha
considerado la siguiente matriz:
En esta última fase, permite identificar que controles existentes deben ser mejorados y/o definir nuevos
controles para aquellos recursos cuyos niveles de riesgo resultaron Moderados (color amarillo), Altos (color
naranja) o Extremos (color rojo). Se toman en cuenta principalmente los siguientes pasos:
• Determinar la brecha que presenta el control actualmente a efectos de proponer acciones que
permitan la mejora en efectividad del control o, en su defecto, la formulación de nuevos controles
que ayuden a reducir el nivel de riesgo obtenido en el taller de evaluación.
• Evaluar las propuestas de mejora, en función a los objetivos estratégicos del MINAM, atendiendo
al manejo eficiente de sus recursos y a la efectividad de las medidas de mitigación que fuese a
implementar.
9
2.4 Contexto General de las Sedes del MINAM
El MINAM cuenta con tres (03) sedes en Lima: i) Sede central, ubicado en el Distrito de Magdalena del
Mar, ii) Sede Javier Prado Oeste N.° 1440, ubicado en el Distrito de San Isidro, y iii) Sede del Archivo
Central, ubicado en el Distrito del Callao.
10
• El Centro de Cómputo, ubicado en la sede no cuenta con personal de vigilancia para el control de
acceso, el acceso es solo para el personal autorizado de la OTIC quienes tienen las llaves de acceso,
el control a través de un libro de registro lo realiza una persona del equipo de la Oficina de
Tecnología de la Información y Comunicaciones.
Coordinadamente con los participantes se estimaron y revisaron los recursos que se deben proteger en
MINAM, considerando que estos soportan la ejecución de los procesos de MINAM. Dichos recursos se
detallan a continuación, así como la descripción del alcance de cada recurso:
Infraestructura
2 Estructura de la sede (paredes, piso, techos, ventanas).
Física
Mobiliarios y equipos, considera los recursos como escritorios, sillas, PCs,
3 Recursos Impresora, teléfonos, entre otros.
Comunidad en Áreas o zonas colindantes a MINAM, que no permitan continuar con las
8
General operaciones de MINAM
11
3.2 Resultado de la Identificación de Amenazas
En sesión, los participantes realizaron las votaciones respecto a la ocurrencia y percepción, siguiendo la
metodología descrita en el punto 2.3.2, obteniendo los siguientes resultados:
Percepción
Nivel Prob.
Ocurrencia
Estimada
cuenta que la Ocurrencia histórica en términos de valores
# Amenaza se consideró como 1 si ocurrió Rara Vez y 5 si ocurrió de
manera Muy Frecuente, así también para la Percepción,
se consideró como 1 si la percepción de ocurrencia es
01 Terremoto 2 4 muy difícil y 5 si la percepción de ocurrencia es Muy
02 Inundación y Aniego 1 1 Posible.
Leyenda:
12
3.3 Resultado de la Identificación de Controles Existentes
La existencia y efectividad de los controles existentes, que cubren las amenazas a las que se les
efectuará la evaluación del nivel de riesgo, tal como se detalla a continuación:
13 Delitos Informáticos
09 Disturbios Sociales
11 Actividad Criminal
14 Caída de Sistemas
N CONTROL Comentario de Efectividad del Control
01 Terremoto
03 Incendio
13
16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
05 Falla de Energía Eléctrica
13 Delitos Informáticos
09 Disturbios Sociales
11 Actividad Criminal
14 Caída de Sistemas
N CONTROL Comentario de Efectividad del Control
01 Terremoto
03 Incendio
comunicados al personal que labora en el
MINAM.
• Los cortes de energía eléctrica a cargo de la
empresa prestadora del servicio son
comunicadas por esta, para que el área de
Servicios Generales de la OGA tome las medidas
del caso, así como también se comunica al
personal que labora en el MINAM.
• Sede de Magdalena del Mar:
El servicio de vigilancia del MINAM cuenta con
detector manual de metales.
• La Sede Javier Prado Oeste 1440:
10 Detectores de metal X X El servicio de vigilancia del MINAM cuenta con
detector manual de metales.
• La Sede Omicron (Archivo Central):
El servicio de vigilancia del MINAM cuenta con
detector manual de metales.
La disponibilidad del personal de mantenimiento está
Disponibilidad del Personal de a cargo del área de Servicios Generales de la Oficina
11 X X X X
mantenimiento de Abastecimiento. A la fecha se cuenta con 03
técnicos de mantenimiento.
• Sede de Magdalena del Mar:
Cuentan con extintores y se realizan las
capacitaciones, a los brigadistas y personal de
vigilancia. Las Capacitaciones están a cargo del COE
(OGPP).
• La Sede Javier Prado Oeste 1440:
Cuentan con extintores y se realizan las
Extintores distribuidos en cada
12 X capacitaciones, a los brigadistas y personal de
piso
vigilancia. Las Capacitaciones están a cargo del COE
(OGPP).
La Sede Omicron (Archivo Central):
Cuentan con extintores y se realizan las
capacitaciones, a los brigadistas y personal de
vigilancia. Las Capacitaciones están a cargo del COE
(OGPP).
• Sede de Magdalena del Mar: ocupa oficinas en
los pisos 4, 7, 11, 14 y 16, en el edificio Prisma
Tower, en el cual además se encuentran otras
empresas, este edifico cuenta en sus
instalaciones con un grupo electrógeno el cual en
caso de corte de energía eléctrica abastece de
energía las luces de emergencia de las áreas
comunes que incluyen las escaleras de
13 Grupo Electrógeno X evacuación, los ascensores, luces en los sótanos
y sistemas de acceso y saldad comunes incluidas
las del primer piso y estacionamientos.
• La Sede Javier Prado Oeste 1440: cuenta con
grupo electrógeno, el grupo electrógeno
(soporte para sala de servidores y luces de
emergencia)
• La Sede Omicron (Archivo Central): no cuenta
con grupo electrógeno.
Los brigadistas participan durante los simulacros. La
Grupos de Brigada capacitados
14 X X rotación de los brigadistas complica mantener el
en forma periódica
equipo de brigadistas adecuadamente capacitados
• El personal de seguridad de cada Sede
Inspecciones de acceso registra a cada persona que ingresa.
15 X X
personal • Los visitantes dejan su DNI y portan
fotocheck
14
16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
05 Falla de Energía Eléctrica
13 Delitos Informáticos
09 Disturbios Sociales
11 Actividad Criminal
14 Caída de Sistemas
N CONTROL Comentario de Efectividad del Control
01 Terremoto
03 Incendio
• En el caso de la sede Magdalena, al estar
ubicada en un edificio donde hay otras
empresas, cada organización administra su
propio personal de seguridad que controla el
acceso a los pisos donde se ubica, en el caos
del MINAM nos han permitido tener personal
de seguridad del MINAM en la recepción.
En las sedes donde se tiene cochera (Sede Magdalena
Inspecciones de acceso y Sede Javier Prado Oeste 1440) el personal del
16 X X
vehicular servicio de vigilancia del MINAM realiza inspecciones
de acceso a los vehículos.
• Sede de Magdalena del Mar:
El edificio Prisma Tower, donde el MINAM ocupa
oficinas en los pisos 4, 7, 11, 14 y 16 cuenta con
el Certificado de Defensa Civil.
Monitoreo y reporte de
Se cuenta con un Especialista Medico que pertenece
20 incidencias por parte de los X
a la OGRH.
Tópicos
Existe un Plan de Emergencia y Evacuación del
MINAM que es administrado por el COE (OGPP) y es
21 Plan de Evacuación X X de conocimiento parcial a los brigadistas. A los
trabajadores se les comunica las rutas de evacuación
y zonas de seguridad.
15
16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
05 Falla de Energía Eléctrica
13 Delitos Informáticos
09 Disturbios Sociales
11 Actividad Criminal
14 Caída de Sistemas
N CONTROL Comentario de Efectividad del Control
01 Terremoto
03 Incendio
Se cuenta con un documento denominado Plan de
Planes de Continuidad del Continuidad Operativa del MINAM, sin embargo, DRP
22 X X X X X X X
Negocio (PCN, DRP) está 0en proceso de finalizar la formulación, está a
cargo de la OGPP
El acceso al Centro de Cómputo es controlado por el
Políticas de acceso al C.
23 X X X personal de la OTIC, y registra el ingreso a través de
Cómputo
un libro. Está a cargo de la OTIC
Programa de mantenimiento El mantenimiento de generadores (grupo
24 de Generadores Eléctricos y X electrógeno está a cargo de Servicios Generarles) y el
UPS mantenimiento de UPS está a cargo de la OTIC.
El mantenimiento de equipos de aire acondicionado
está a cargo de Servicios Generarles) y el
Programa de mantenimiento
mantenimiento del equipo especial de Aire
25 para equipos de aire
Acondicionado que se encuentra en los ambientes de
acondicionado
la sala de servidores en la sede Javier Prado Oeste
1440 está a cargo de la OTIC.
• Sede de Magdalena del Mar:
En este edifico no existe reja, al ser el edifico
Prisma Tower un edificio nuevo diseñado para
uso de oficinas, En donde además del MINAM
hay otras empresa que ocupan oficinas. El acceso
es mediante las puertas principal pasando por
accesos con tarjetas asignadas a cada usuario, y
las visitas tienen que ser registradas en el
counter de ingreso.
16
16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
05 Falla de Energía Eléctrica
13 Delitos Informáticos
09 Disturbios Sociales
11 Actividad Criminal
14 Caída de Sistemas
N CONTROL Comentario de Efectividad del Control
01 Terremoto
03 Incendio
Simulacros de Evacuación
32 X X Cada vez que se realizan simulacros a nivel nacional
programadas
Sede de Magdalena del Mar:•
Tiene sistema de alarma contra incendios con
sistema direccional dentro de las oficinas que
ocupa el MINAM en el inmueble, además el
edificio tiene sus sistema de alarma
contraincendios para áreas comunes y que a su
vez está integrado al sistema de alarma de las
Sistema de detección de
33 X oficinas ocupadas por el MINAM.
alarmas para incendio
• La Sede Javier Prado Oeste 1440:
Cuenta con sistema de alarmas contra incendio
manual con pulsador.
• La Sede Omicron (Archivo Central):
A la fecha se está realizando la implementación
del sistema de alarma contra incendios
direccional.
Stock de equipos de respaldo Se cuenta con un equipo de respaldo del switch,
34 (switch) para el caso de X X X instalado en el centro de computó principal a cargo
averías de equipos de la OTIC
UPS con soporte al Centro de
35 X X X Solo para Centro de Cómputo, a cargo de la OTIC
Cómputo
• Sede de Magdalena del Mar:
Tiene sistema de alarma contra
Al interior de las oficinas ocupadas por EL
MINAM hay válvulas de cierre manual, y en el
Válvulas de agua de cierre sistema del edificio hay válvulas de cierre manual
36 X X
automático y automático.
• La Sede Javier Prado Oeste 1440:
Bombas de agua manual y automático.
• La Sede Omicron (Archivo Central):
Tiene sistema de agua manual.
En cada Sede están colocadas la señalización para.
37 Vías de evacuación señalizadas X X X Las vías de evacuación se prueban en cada simulacro
a nivel nacional.
La vigilancia es brindada por un tercero, con
personal asignada en cada Sede y con horario
38 Vigilancia interna privada X X X X
rotativos que cubren las 24 horas del día los 365
días del año.
Forma parte del Plan de Emergencia y Evacuación
39 Plan de Traslado de Heridos X administrado por la OGPP en coordinación con la
OGRH
El mantenimiento preventivo es periódico del grupo
electrógeno de la sede JPO 1440 está a cargo del área
Efectuar pruebas a los de Servicios Generales.
40 generadores eléctricos en X
vacío En la sede Magdalena, el mantenimiento del grupo
electrógeno del edifico está a cargo de la
administración del edificio.
Tanques de combustible
aislados y de acceso Si tiene acceso restringido, el personal técnico de
41 X
restringido del Grupo Servicios Generales está a cargo de su monitoreo.
Electrógeno
La atención médica se brinda solo en horario laboral
42 Atención Médico X X X X X a todas las personas que presente una
urgencia/emergencia médicas, a cargo de la OGRH.
43 Firewall X X A cargo de la OTIC
IPS (Sistema de Prevención de A cargo de la OTIC
44 X X
Intrusos)
17
16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
05 Falla de Energía Eléctrica
13 Delitos Informáticos
09 Disturbios Sociales
11 Actividad Criminal
14 Caída de Sistemas
N CONTROL Comentario de Efectividad del Control
01 Terremoto
03 Incendio
A cargo de la OTIC
45 Web Filter X X
A cargo de la OTIC
46 Anti Spam X X
A cargo de la OTIC
47 Antivirus X X
A cargo de la OTIC
48 Ethical Hacking X
Ambientes diferenciados para
49 X A cargo de la OTIC
pruebas y desarrollo
Acuerdo con proveedores para
50 el mantenimiento de X X Por revisar los SLA
servidores
Se generan archivos de trabajo utilizando la
aplicación data protector para realizar las copias de
respaldo de la información, creando tareas
51 Backup de base de datos X X
programadas de generación y almacenamiento de
archivos backup. 1 semanal y 1 al mes. A cargo de la
OTIC.
Los niveles de riesgo Extremo se presentan ante la materialización de las Listado de Amenazas
amenazas de Delitos Informáticos, ya que los controles existentes, que podrían
mitigar la vulnerabilidad de MINAM ante estas amenazas, son mínimos, y su 01 Terremoto
alcance y efectividad es muy acotada, la mayoría de controles no cuenta con 02 Inundación y Aniego
pruebas o un plan de mantenimiento adecuado. 03 Incendio
04 Pandemia
Con niveles de riesgo alto se presentan las amenazas, Terremoto, Incendio,
05 Falla de Energía Eléctrica
pandemia, falla de la energía eléctrica por plazos prolongados, actividad
06 Falla del Aire Acondicionado
criminal, falla en las telecomunicaciones y caídas de sistemas. Para el caso de
estas amenazas si bien los controles son mínimos, pueden mitigar en alguna 07 Ataque Terrorista
medida el impacto que pueda ocasionar la materialización de estas amenazas, 08 Sabotaje
por ejemplo, para el caso de caídas del sistema, se tiene un procedimiento a 09 Manifestaciones y/o
seguir. Igualmente son controles que pueden mejorarse. Notándose además, Disturbios Sociales
que la percepción sobre la probabilidad de afectación e Impacto, se asocia a los 10 Material peligroso
servicio del Centro de Computo del MINAM. 11 Actividad Criminal
12 Falla en las
Con riesgo moderado se presentan las amenazas, falla de los equipos que Telecomunicaciones
proveen el servicio de aire acondicionado, incidentes de ataque terroristas,
13 Delitos Informáticos
casos de sabotaje, manifestaciones o disturbios sociales, publicaciones en
14 Caída de Sistemas
medios de comunicación por prensa parcializada, debilidad estructural de ex –
sede principal del MINAM, que esta contiguo al edificio que alberga el Centro de 15 Prensa Amarilla
Computo y lluvias. 16 Debilidad Estructural
(Casona)
17 Lluvias
18
3.5 Identificación de Nuevos Controles y Mejoras a los Existentes
Tomando en cuenta los resultados de los niveles de riesgo para cada amenaza y los recursos que podrían
afectarse, se detallan a continuación la propuesta de controles por mejorar y controles nuevos, los que
ayudarán con la mitigación de los riesgos identificados. Se debe tener en cuenta que lo propuesto deberá
estar sujeto a un posterior análisis de costo y efectividad, para determinar finalmente cuales se
implementarán
Se priorizan los controles que pueden mitigar una o más amenazas con Nivel de Riesgo Extremo. La
numeración de controles corresponde a la misma que se usó en la sección anterior:
13 Delitos Informáticos
N CONTROL Comentario para la Mejora del Control
09 Disturbios Sociales
11 Actividad Criminal
14 Caída de Sistemas
07 Ataque Terrorista
15 Prensa Amarilla
01 Terremoto
03 Incendio
17 Lluvias
Implementar y Ensayar los Planes de
Continuidad Operativa en todos los órganos y
unidades orgánicas que resulten críticas para
Planes de Continuidad de las X MINAM, así como desarrollar el Plan de
1 X X X X X X X X X X X
Operaciones (PCN, DRP) Recuperación ante Desastres que permita
recuperar los aplicativos/servicios TI. Esto
permitirá disminuir el impacto en la paralización
de procesos de MINAM.
Como parte del desarrollo de Planes de
Continuidad Operativa, se debe incluir en este
control a otros órganos y unidades orgánicas y
Diseño y prueba de trabajo
X realizar pruebas periódicas.
2 a distancia del personal X X X X X X X X X X
Asimismo, se sugiere tener algún dispositivo de
clave
seguridad para conectarse desde fuera, de esta
forma reconocer quien se conecta y cubrir la
seguridad de la información.
A partir del mes noviembre 2018, se cuenta con
el aplicativo ECODOC, en cual todos los
Ambiente o bóveda para X documentos son digitalizados y su custodia está
3 X X X X X X X X X
registros vitales a cargo de OTIC, quienes tienen avientes de
acceso restringido en la sede Javier Prado Oeste
1440.
Lugar para acoger los puestos y recursos críticos
Centro Alterno de Negocios de otros órganos y unidades orgánicas y realizar
4 X X X X X X X X X X X X
(CAN) pruebas periódicas. implementar trabajo no
presencial o mixto.
Considerar que la atención médica, sea física o a
través de video conferencia, debe estar
X conectado con el equipo de brigadas tal que se
5 Atención Médica X X X X X X X conozca al personal con características médicas
especiales que requieran de un tratamiento
diferente en el momento de un desastre.
Implementar trabajo no presencial o mixto.
La revisión de operatividades Las luces de
emergencia interior de las oficinas en la sede
Luces de emergencia al
6 X X X X X X Magdalena del Mar y en las sedes Omicron y
interior/oficinas
Javier Prado Oeste 1440 están a cargo del
personal técnico de Servicios Generales.
19
16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
06 Falla del Aire Acondicionado
05 Falla de Energía Eléctrica
04 Epidemia / Pandemia
02 Inundación y Aniego
13 Delitos Informáticos
N CONTROL Comentario para la Mejora del Control
09 Disturbios Sociales
11 Actividad Criminal
14 Caída de Sistemas
07 Ataque Terrorista
15 Prensa Amarilla
01 Terremoto
03 Incendio
17 Lluvias
Ejecutar el Plan de Acción que mitigará las
Inspecciones de Defensa
7 X X X X X observaciones realizadas en la última visita de
Civil
Inspección de Defensa Civil.
Monitorear permanentemente a través de los
Brigadistas que las vías de evacuación se
Vías de evacuación
8 X X X X X X encuentren libres, sin obstáculos, en su defecto
señalizadas
comunicar al COE-MINAM (OGPP) cualquier
irregularidad al respecto.
Establecer los protocolos y criterios de selección
de brigadistas. Incrementar el nivel de
Grupos de Brigada
capacitaciones y sensibilizar a los grupos sobre
9 capacitados en forma X X X X
su labor. Ejecutar mayor cantidad de pruebas
periódica
evidenciando los resultados de cada brigadista.
A cargo del COE de la OGPP
Establecer formalmente las frecuencias de
Plan de Emergencia y prueba y ejecutarlas. Incluir en dicho Plan,
10 X X X X
Evacuación escenarios de inundación, ataque terrorista,
entre otros. A cargo del COE de la OGPP
Elaborar y formalizar protocolos de acceso de
personal, tal de detectar objetos peligrosos que
Inspecciones de acceso
11 X X X pongan en riesgo la seguridad de los
personal
colaboradores o visitantes al MINAM. A cargo de
Servicios Generales.
Conforme se diseñen los Planes de Continuidad
de otras Direcciones Generales, iniciar los
Ejercicios integrados con
ejercicios que vayan incrementando su nivel de
12 niveles de dificultad X X X X X X X X X X X X
dificultad en el tiempo, considerando
progresivos
escenarios acordes a las amenazas de nivel de
riesgo extremo.
Evaluar la posibilidad de contar con seguro
médico para todo el personal u otro tipo de
Seguro médico para todo el
13 X X X X X convenio que pueda resolver cualquier situación
personal
de emergencia médica en los colaboradores. A
cargo de la OGRH
Realizar pruebas periódicas con cada proveedor
Redundancia en los enlaces
a fin de acreditar la redundancia en los enlaces
14 de comunicaciones (fibra X X X X X
de comunicación en caso de desastre. A cargo
óptica, onda portadora)
de la OTIC.
Establecer un programa de simulacros
Simulacros de Evacuación
15 X X X adicionales a los que se realizan a nivel nacional.
programadas
A cargo del COEN de la OGPP
Revisar e identificar los equipos de cómputo que
durante un evento puedan deslizarse o caer y
provocar daños en otros recursos de MINAM.
Anclaje de equipos de Posterior a esto evaluar el empotramiento o
16 X X X
cómputo alternativa de anclaje de estos equipos (Ejemplo,
existen PC servidores que deberían estar
anclados), deberá ser coordinado entre la OTIC y
Servicios Generales.
Revisar e identificar los equipos pesados de
oficina (estantes, aire acondicionado, entre
otros) que durante un evento puedan deslizarse
o caer y provocar daños en otros recursos de
17 Anclaje de equipos pesados X X X
MINAM. Posterior a esto evaluar el
empotramiento o alternativa de anclaje de estos
equipos. A cargo de Servicios Generales con los
respectivos usuarios de ser el caso.
Grupo Electrógeno (24 Hrs Realizar pruebas con fines de medir el nivel de
18 X
de autonomía) autonomía del generador eléctrico.
20
16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
06 Falla del Aire Acondicionado
05 Falla de Energía Eléctrica
04 Epidemia / Pandemia
02 Inundación y Aniego
13 Delitos Informáticos
N CONTROL Comentario para la Mejora del Control
09 Disturbios Sociales
11 Actividad Criminal
14 Caída de Sistemas
07 Ataque Terrorista
15 Prensa Amarilla
01 Terremoto
03 Incendio
17 Lluvias
Elaborar y ejecutar protocolos de acceso
vehicular, tal que se sea más riguroso en
Inspecciones de acceso
19 X X X identificar a las personas que ingresan dentro de
vehicular
un auto, objetos de peligrosidad que podrían
traerse en el mismo auto y otros.
• Sede de Magdalena del Mar:
Todos los Servicios Higiénicos de los
ambientes que ocupa esa sede cuentan con
griferías con temporizador para ahorro de
agua.
• La Sede Javier Prado Oeste 1440:
Sistema de grifería en SSHH Todos los Servicios Higiénicos de los
20 X
(pulsador temporizado) ambientes que ocupa esa sede cuentan con
griferías con temporizador para ahorro de
agua.
• La Sede Omicron (Archivo Central):
En los SS.HH. de Omicron se tiene las
griferías tradicionales, se está programando
su cambio a griferías con ahorradoras.
Acuerdos de niveles de
Realizar pruebas con el proveedor para validar
21 servicio con proveedores de X X
el cumplimiento de los acuerdos de servicio.
enlace de comunicación
Validar con una periodicidad establecida, la
disposición y ubicación de extintores, tal que
Extintores distribuidos en estos no se encuentren obstaculizados por algún
20 X
cada piso mueble u otro recurso. Se sugiere que esta
validación la realicen los brigadistas como parte
la interiorización de su rol.
21 Firewall X X Adquirir el firewall que brinde mayor protección
IPS (Sistema de Prevención
22 X X Adquirir el IPS con mayores funciones
de Intrusos)
23 Web Filter X X Adquirir el Web Filter con mayores funciones
Coordinar la realización de un servicio de Ethical
24 Ethical Hacking X
Hacking
Programa de mantenimiento Se desarrollaran programas anuales de
25 para equipos de aire X mantenimiento preventivo de los sistemas de
acondicionado Aire Acondicionado.
Coordinación anticipada de Establecer los contactos o medios de
26 cortes de energía X conocimiento de los cortes de energía
programado programados del proveedor.
Implementar cámaras de monitoreo al interior
de los ambientes que ocupa el MINAM en la sede
Cámaras de monitoreo en
27 X X X Magdalena y colocar cámaras adicionales para
interiores
mejorar el sistema de vigilancia en las sedes
Javier Prado Oeste 1440 y Omicron.
Definir protocolos de detección de metal en el
28 Detectores de metal garret X X X acceso de personal y utilizar adecuadamente el
que se tiene.
Realizar charlas de prevención al personal para
Campañas de concienciación X X X tener conocimiento de cómo actuar ante una
29 X
de seguridad amenaza de este tipo, e identificar estrategias de
prevención
Diseñar y aplicar las políticas de acceso al C.
Políticas de acceso al Centro Cómputo, así como las herramientas y
30 X X X
de Cómputo mecanismos de acceso. Dar mayor protección al
ingreso del Centro de Cómputo.
21
16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
06 Falla del Aire Acondicionado
05 Falla de Energía Eléctrica
04 Epidemia / Pandemia
02 Inundación y Aniego
13 Delitos Informáticos
N CONTROL Comentario para la Mejora del Control
09 Disturbios Sociales
11 Actividad Criminal
14 Caída de Sistemas
07 Ataque Terrorista
15 Prensa Amarilla
01 Terremoto
03 Incendio
17 Lluvias
Incluir en esta política el acceso al Centro de
Cómputo en caso de emergencia.
Se priorizan los controles que pueden mitigar una o más amenazas con Nivel de Riesgo Extremo. Se
proponen los siguientes controles nuevos:
13 Delitos Informáticos
09 Disturbios Sociales
11 Actividad Criminal
15 Prensa Amarilla
01 Terremoto
03 Incendio
17 Lluvias
22
16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
06 Falla del Aire Acondicionado
05 Falla de Energía Eléctrica
04 Epidemia / Pandemia
02 Inundación y Aniego
13 Delitos Informáticos
09 Disturbios Sociales
11 Actividad Criminal
N CONTROL Comentario de Efectividad del Control
14 Caída de Sistemas
07 Ataque Terrorista
15 Prensa Amarilla
01 Terremoto
03 Incendio
17 Lluvias
identificar las vías de evacuación más
cercanas a su ubicación.
23
16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
06 Falla del Aire Acondicionado
05 Falla de Energía Eléctrica
04 Epidemia / Pandemia
02 Inundación y Aniego
13 Delitos Informáticos
09 Disturbios Sociales
11 Actividad Criminal
N CONTROL Comentario de Efectividad del Control
14 Caída de Sistemas
07 Ataque Terrorista
15 Prensa Amarilla
01 Terremoto
03 Incendio
17 Lluvias
Estándar definido para la
Considerar la evaluación y
infraestructura eléctrica
18 X X diagnóstico de las instalaciones
alineado con el estándar
eléctricas en la sede JPO 1440
nacional
Identificar las PC usuario claves (de
acuerdo a un BIA) y evaluar la
UPS pequeños para
19 X implementación de UPS pequeños
computadores
que de tolerancia de tiempo para el
resguardo de información vital.
Considerar realizar la revisión
Levantamiento de planos del
20 X respectiva y actualización de los
sistema eléctrico
planos.
Diseñar protocolos de Seguridad de
Protocolos de Seguridad de la Información alineados a la ISO 27001
21 X X
Información y una estructura orgánica que los
soporte.
Redundancia del Redundancia de equipos switch,
22 equipamiento de Seguridad de X X firewall, IPS y todo el equipamiento
la Información de Seguridad de la Información.
Aseguramiento de los equipos Revisar la exposición de los racks de
23 X X
de comunicación comunicación
4. Escenarios de Riesgo
En función a las amenazas y recursos de nivel de riesgo se definen los siguientes escenarios de riesgo:
09 Manifestacción y Disturbios Sociales
10 Materiales Peligrosos
02 Inundación y Aniego
13 Delitos Informáticos
14 Caída de Sistemas
07 Ataque Terrorista
01 Terremoto
03 Incendio
08 Sabotaje
16 Lluvias
Dsiponibilidad de Empleados
Disponibilidad de Infraestructura Física
Disponibilidad de Recursos
Dsiponibilidad de Registros Vitales
Dsiponibilidad de Sistemas Informáticos
Dsiponibilidad de Interesados
Dsiponibilidad de Proveedores Externos
Dsiponibilidad de Comunidad en General
24
• Indisponibilidad del Centro de Computo Principal como consecuencia de un terremoto, delito
informático, incendio, falla en las telecomunicaciones, falla en la energía eléctrica y caídas de
sistema.
• Afectación de registros vitales como consecuencia de un delito informático, terremoto e incendio
• Afectación del Personal y Recursos como consecuencia de un incendio o terremoto
• Afectación de los Sistemas Informáticos como consecuencia de delitos informáticos, falla en la
energía eléctrica, caída de sistemas y terremoto.
• Afectación del personal, proveedores externos y comunidad en general como consecuencia de
una pandemia causado por la propagación mundial de una nueva enfermedad.
Tomando como base los resultados, es importante que se tomen en cuenta las siguientes
recomendaciones:
25