ANEXO N° 3

Análisis de riesgos y vulnerabilidades

1
 Contenido
1. Resumen Ejecutivo .................................................................................................................................. 3

2. Aspectos Generales ................................................................................................................................. 5

2.1 Objetivo ............................................................................................................................................... 5

2.2 Alcance ................................................................................................................................................ 5
2.3 Metodología Aplicada .......................................................................................................................... 6
2.3.1 Identificación de Recursos Críticos 7
2.3.2 Identificación de Amenazas 7
2.3.3 Identificación de Controles Existentes 8
2.3.4 Evaluación del Nivel de Riesgo 8
2.3.5 Identificación de Nuevos Controles y Mejoras a los Existentes 9
2.4 Contexto General de las Sedes del MINAM ......................................................................................... 10
3. Resultados del Análisis de Riesgos y Controles ........................................................................................ 11

3.1 Resultados de la Identificación de Recursos a proteger ...................................................................... 11

3.2 Resultado de la Identificación de Amenazas ....................................................................................... 12
3.3 Resultado de la Identificación de Controles Existentes ....................................................................... 13
3.4 Resultado de la Evaluación del Nivel de Riesgo ................................................................................... 18
3.5 Identificación de Nuevos Controles y Mejoras a los Existentes .......................................................... 19
3.5.1 Propuesta de controles existentes por mejorar 19
3.5.2 Propuesta de Nuevos Controles 22
4. Escenarios de Riesgo ............................................................................................................................... 24

5. Recomendaciones del Análisis de Riesgos y Controles ............................................................................ 25

2
1. Resumen Ejecutivo

El Ministerio del Ambiente (MINAM) como parte de las actividades para actualizar el Plan de Continuidad
Operativa ha considerado realizar el análisis de riesgos y vulnerabilidades.

El análisis de riesgos y vulnerabilidades, permite identificar, evaluar y establecer prioridades de

implementación de los controles y acciones necesarias que mitiguen, según el nivel de riesgo, la
indisponibilidad de los recursos críticos de aquellos procesos que el Ministerio del Ambiente (MINAM)
considera claves para la continuidad de sus operaciones.

El enfoque metodológico aplicado se desarrolló considerando los lineamientos definidos en los

lineamientos para la Gestión de la Continuidad Operativa de las Entidades públicas en los tres niveles de
Gobierno aprobado mediante la Resolución Ministerial N.° 028-2015-PCM, así como los estándares
internacionales ISO 22301, las mejores prácticas profesionales y lineamientos del BCI.

El análisis de riesgos y vulnerabilidades fue realizado durante el mes de julio de 2018. El procesamiento
de la información recogida permitió precisar lo siguiente:

Identificación de Recursos a proteger:

Se consideró como recursos a proteger a los Empleados, Infraestructura Física, Recursos, Registros Vitales,
Sistemas Informáticos, Interesados, Proveedores Externos y Comunidad en General

Identificación de Amenazas:
Se consideró que la probabilidad extrema, moderada y menor de ocurrencia sería para las siguientes
amenazas: falla en telecomunicaciones, falla de energía eléctrica, pandemia, delitos informáticos, caída
de sistemas claves, terremoto, incendio, y actividad criminal. Estas amenazas fueron incluidas dentro de
los siguientes pasos para el cálculo del Nivel de Riesgo Controlado.
Las amenazas que resultaron con un nivel de probabilidad insignificante fueron: falla del aire
acondicionado, ataque terrorista, prensa amarrillo, sabotaje, lluvias, aniego e inundaciones y material
peligroso.

Identificación de Controles:
Se revisó la existencia y efectividad de los controles existentes sobre las 9 amenazas incluidas en el
análisis. De la revisión resultaron más de 51 controles, que en su mayoría se encuentran limitados, en
general sin mantenimiento o no forman parte de un programa de pruebas u otro que acorta la efectividad
del control, lo que hace que los recursos por proteger sean vulnerables.

Se hizo evidente en este análisis, la percepción de vulnerabilidad de los servicios del Centro de Computo
del Ministerio, por los problemas de implementación de un adecuado mecanismo de respaldo de los
servicios informáticos.

Evaluación de Riesgo:
Considerando la efectividad de los controles, se realizó el análisis sobre las 17 amenazas identificadas,
para determinar el nivel de riesgo, resultando que los niveles de riesgo de mayor efecto se presentan ante
la materialización de las amenazas: incendio, terremoto, pandemia y delitos informáticos, ya que los
controles existentes, que podrían mitigar la vulnerabilidad de MINAM ante estas amenazas, son mínimos,
y su alcance y efectividad es muy acotado, la mayoría de controles no cuenta con pruebas o un plan de
mantenimiento adecuado.

3
Identificación de Nuevos Controles y Mejoras:
Tomando en cuenta los resultados de los niveles de riesgo para cada amenaza y los recursos que podrían
afectarse, se identificaron mejoras en los controles existentes, principalmente:
• Implementación y fortalecimiento de Planes de Continuidad Operativo (PCO, DRP), Desarrollar los
Planes de Recuperación de las Operaciones en todos las órgano y unidades orgánicas que resulten
críticas para MINAM, así como desarrollar el Plan de Contingencia Informático que permita
recuperar los aplicativos/servicios TI. Esto permitirá disminuir el impacto en la paralización de
procesos de MINAM.
• Fortalecer las vías de evacuación. Monitorear permanentemente a través de los Brigadistas que
las vías de evacuación se encuentren libres, sin obstáculos, en su defecto comunicar al COE-
MINAM cualquier irregularidad al respecto.

Así también, se identificó la necesidad de implementación de controles nuevos, principalmente:

• Centro de Cómputo Alterno (CCA), diseñar protocolos tal que la redundancia del CCA se active de
forma automática. El CCA debe también estar conectado con el Sitio Alterno.
• Simulacros de evacuación no programados, realizar simulacros de evacuación no programados a
fin de acrecentar el nivel de dificultad del ejercicio, e incluir escenarios de Inundación y otros.

Resultado de este análisis se determinó además que los posibles escenarios de riesgo serían:
• Indisponibilidad del Centro de Computo Principal como consecuencia de un terremoto, delito
informático, incendio, falla en las telecomunicaciones, falla en la energía eléctrica y caídas de
sistema.
• Afectación de registros vitales como consecuencia de un delito informático, terremoto e incendio
• Afectación del Personal y Recursos como consecuencia de un incendio o terremoto.
• Afectación de los Sistemas Informáticos como consecuencia de delitos informáticos, falla en la
energía eléctrica, caída de sistemas y terremoto.
• Afectación de la salud y psicológica de personal como consecuencia de la pandemia.

Se recomienda entonces, tomar en cuenta lo siguiente:

1. Establecer plazos de evaluación de los controles recomendados y seleccionar aquellos que

consideren más eficientes y que mitiguen niveles de exposición Alto y Extremo. De manera
complementaria, es necesario establecer responsables y reuniones de revisión de avance de la
implementación de los controles elegidos.
2. Realizar la evaluación de riesgos al menos una vez al año o cada vez que haya un cambio significativo
en la Sede, esto como parte del ciclo continuo del Programa de Continuidad Operativa que debe
iniciar el MINAM.
3. Considerar que debido a la materialización de algunas de las amenazas incluidas en la evaluación, la
sede podría quedar inaccesible, por lo que se debe considerar la implementación de un Sitio Alterno
que permita al personal de la organización recuperar los procesos críticos. En este punto, se deben
considerar las diferentes estrategias aplicables: utilización de espacio de otras sedes, establecimiento
de acuerdos con proveedores de oficinas virtuales, alquiler o compra de un espacio que permita la
ubicación del personal requerido para la recuperación, así como la implementación de modalidades
de prestación de servicio que aseguren la integridad de los colaboradores del Minam, tales como el
teletrabajo o trabajo en caso se cuente con un marco normativo para dicho estado de emergencia.
4. Considerar la implementación de un Centro de Cómputo Alterno (CCA) a una distancia razonable de
la sede, para respaldar los servicios requeridos por las áreas del Ministerio.

4
5. Fortalecer las actividades de concienciación respecto a cómo reaccionar frente a un evento de
desastre, generando una práctica constante de las actividades de evacuación de la sede (a través de
la ejecución de simulacros programados y no programados).
6. Fortalecer las campañas internas de concienciación respecto al uso de los mobiliarios y facilidades
brindadas en la sede, generando una cultura de cuidado y prevención respecto a los extintores, las
conexiones eléctricas, los equipos en cómputo, implementación de horarios de trabajo, modalidades
de trabajo, entre otros.
7. Continuar el reforzamiento progresivo de los controles de seguridad de acceso a las sedes,
reduciendo de esta manera la posibilidad de materialización de la amenaza actividad criminal.
8. Tomar en cuenta que la obtención del nivel de riesgo de cada componente considera los controles
existentes en la sede. Por lo que se sugiere realizar el mantenimiento respectivo y periódico a dichos
controles, y actualizar aquellos cuyo tiempo de vida útil podría generar la vulnerabilidad de la misma.

2. Aspectos Generales

2.1 Objetivo

El Análisis de Riesgos y Vulnerabilidades en Continuidad Operativa, tiene como principal objetivo,

identificar, evaluar y establecer prioridades de implementación de los controles y acciones necesarias que
mitiguen, según el nivel de riesgo, la indisponibilidad de los recursos críticos de aquellos procesos que el
Ministerio del Ambiente considera claves para la continuidad de sus operaciones.

Por ello, quedaron establecidos los siguientes objetivos específicos:

• Identificar controles o “medidas de protección” adicionales en las sedes del MINAM, en la(s)
cual(es) se realizan los procesos más urgentes a recuperar, para dar continuidad a sus operaciones
en caso de ocurrir un evento de desastre de gran magnitud.
• Identificar escenarios para el diseño de las pruebas y ensayos de las estrategias de recuperación
del MINAM.

2.2 Alcance

De acuerdo con el objetivo general descrito, el alcance del presente Análisis de Riesgos y Vulnerabilidades
en Continuidad Operativa considera las siguientes sedes del MINAM:

1. Sede: Magdalena del Mar

PISO ÓRGANO / UNIDAD ORGÁNICA OFICINA

Piso 4 Dirección General de Diversidad Biológica 407 y
408
Oficina de Gestión Documental y Atención a la 409
Ciudadanía
Atención Biblioteca 410
Plataforma de Atención 410
Oficina General de Recursos Humanos 412 y
413
Piso 7 Oficina de Finanzas 707
Oficina de Abastecimiento 708 y
709
Oficina General de Administración 710
Oficina General de Asuntos Socio – Ambientales 711
Almacén 712
Piso 11 Órgano de Control Institucional 1101
Oficina de Cooperación y Asuntos Internacionales 1102

5
 Despacho Ministerial / Secretaría General 1103
Viceministerio de Desarrollo Estratégico de los 1104
Recursos Naturales/ Viceministerio de Gestión
Ambiental
Oficina General de Asesoría Jurídica 1106
Gabinete 1107
Despacho Ministerial / Directorios 1108
Oficina de Comunicaciones e Imagen Institucional 1110
Oficina General de Planeamiento y Presupuesto 1111 y
1112
Piso 14 Dirección General de Residuos Sólidos 1401,
1402 y
1403
Dirección General de Educación, Ciudadanía e 1404 y
Información Ambiental 1409
Dirección General de Ordenamiento Territorial 1405 y
Ambiental 1406
Dirección General Cambio Climático y Desertificación 1407 y
1408
Consultores/ DECA 1410
Dirección General de Políticas e Instrumentos de 1411
Gestión Ambiental
Dirección General de Economía y Financiamiento 1412 y
Ambiental 1413
Piso 16 Dirección General de Calidad Ambiental 1607,
1608 y
1609
Programa PNAR 1610
GIZ 1611
DGERN 1612
Oficina de Tecnologías de la Información y 1613
Comunicaciones

2. Sede 1440( Ex COP)

PISO ÓRGANO / UNIDAD ORGÁNICA

Piso 1 Procuraduría Pública
Piso 2 Sala de uso múltiples / Procuraduría
Piso 3 Procuraduría
Piso 4 Procuraduría / Ambiente Itinerante

3. Sede OMICROM

PISO ÓRGANO / UNIDAD ORGÁNICA

Piso 1, 2 y Archivo Central - Oficina de Gestión Documental y
Azotea Atención a la Ciudadanía -OGDAC

2.3 Metodología Aplicada

La metodología para el Análisis de Riesgos y Vulnerabilidades en Continuidad Operativa está alineada con
la Resolución Ministerial n.° 028-2015-PCM, el estándar internacional ISO 22301, las mejores prácticas
profesionales y lineamientos del BCI. En este sentido, se consideró la ejecución de los siguientes pasos:

• Identificación de Recursos Críticos

• Identificación de Amenazas
• Identificación de Controles Existentes
• Evaluación del Nivel de Riesgo

6
 • Identificación de Nuevos Controles y Mejoras a los Existentes

2.3.1 Identificación de Recursos Críticos

Este primer paso permite identificar los recursos que se debe proteger, los cuales componen los procesos
que el Ministerio ejecuta. Se toman en cuenta principalmente los siguientes pasos:

• Identificar que recursos intervienen o coadyuvan en la ejecución de los procesos (personas,

infraestructura, recursos, registros vitales, entre otros).
• Describir el alcance de cada recurso.

2.3.2 Identificación de Amenazas

Este paso, permite identificar aquellas amenazas que pudieran vulnerar la sede del MIMAN, considerando
la ubicación geográfica, el contexto actual de la sede y la percepción del juicio experto de los participantes.
El método utilizado, se describe a continuación:

• Selección de Amenazas Potenciales, dentro de la clasificación de amenazas naturales, ocasionadas

por el hombre y tecnológicas. Para ello se toma como base la normativa NFPA 1600 versión 2010,
se adicionan además las consideradas por el Ministerio.
• Cálculo de la Probabilidad de Ocurrencia de la Amenaza, en la cual se consideran las amenazas
potenciales planteadas en el punto anterior. Para realizar este cálculo, se toman en cuenta dos
variables: “Ocurrencia” y “Percepción”, como se detalla:

# Ocurrencia Descripción
1 Rara Vez Se presentó al menos una vez en los últimos 20 años / Nunca se presentó
2 No Frecuente Se presentó al menos una vez en los últimos 10 años
3 Moderada Se presentó más de una vez en los últimos 5 años
4 Frecuente Se presentó por lo menos una vez al año en los últimos 5 años

5 Muy Frecuente Se presentó más de una vez al mes en el último año

a) Ocurrencia, se considera la frecuencia de ocurrencia de los eventos a evaluar, sobre la base de

los registros históricos de incidentes que hayan afectado y/o afecten geográficamente al país
o al MINAM directamente. Se consideró la siguiente tabla de valores para el cálculo:

# Percepción Descripción
• <= 1% probabilidad, o
1 Muy Difícil • El acontecimiento requiere de circunstancias excepcionales, o
• La probabilidad es nula, incluso en un futuro a largo plazo
• >1% ó <=10% de probabilidad, o
2 Difícil
• Puede ocurrir pero no será anticipada
• >10% ó <=50% de probabilidad, o
3 Mediana
• Puede ocurrir en el mediano plazo
• >50% ó <=75% de probabilidad, o
4 Posible
• Podría ocurrir anualmente
• >75% ó 100% de probabilidad, o
5 Muy Posible • El impacto está ocurriendo ahora, o
• Podría ocurrir dentro de unos meses

b) Percepción: basado netamente en la sensación de los expertos, de que la amenaza en cuestión

podría ocurrir, se consideró la siguiente tabla de valores para el cálculo:

7
 • Identificación de las amenazas que se tomaran en cuenta para la evaluación. De la combinación
de las variables descritas se obtiene la Probabilidad Estimada, que sirve como valor
discriminatorio para seleccionar que amenazas se deberían evaluar para la sede considerada en
el alcance. Los valores definidos para la Ocurrencia y Percepción fueron promediados y
consolidados a fin de obtener una Probabilidad de Ocurrencia consensuada, asociada a cada
amenaza en evaluación. Aquellas que resultan en un nivel de probabilidad estimada insignificante,
según la tabla siguiente, no son tomados en cuenta.

Nivel de Probabilidad Estimada Interpretación

Extrema Probabilidad de ocurrencia alta (Evaluación de prioridad alta)
Moderado Probabilidad de ocurrencia intermedia (Eval. de prioridad baja)
Menor Probabilidad de ocurrencia muy baja (Eval. sin prioridad)
Insignificante No se cree que ocurra (Desestimar evaluación)

2.3.3 Identificación de Controles Existentes

La identificación de controles existentes, permiten conocer que tan protegidos están los recursos de
MINAM frente a cada amenaza. La identificación debe cuidar que dichos controles ayuden a mitigar la
probabilidad e impacto de afectación de los recursos críticos del negocio. Para esta identificación se
toman en cuenta principalmente los siguientes pasos:

• Observación del contexto actual de las sedes, considerando los controles mínimos necesarios para
las posibles amenazas a evaluar.
• Validación de la efectividad de los controles con los expertos participantes en las sesiones.
• Identificación de los recursos que protegen los controles existentes para cada amenaza.

2.3.4 Evaluación del Nivel de Riesgo

Para determinar el Nivel de Riesgo de un recurso crítico del MINAM en la sede, se consideraron los
controles existentes que mitigan la afectación de la amenaza; siguiendo lo indicado a continuación:

• Cálculo de la Probabilidad de Afectación del Recurso, el cual se estimó por votación (utilizando el
método cualitativo). Por ejemplo, para determinar la probabilidad de afectación que tendrían los
recursos en caso se materializara la amenaza Terremoto; los participantes consideraron la
existencia de controles tales como anclaje de equipos pesados, entre otros, y en base a eso
realizaron la votación. Se consideró la siguiente tabla de valores para el cálculo:

Probabilidad Descripción
Se cuenta con controles razonablemente suficientes que responden a un programa de
Improbable mantenimiento (evaluados y mejorados), se evidencia que han respondido a acontecimientos
ocurridos y ejercicios realizados
Se cuenta con controles razonablemente suficientes que responden a un programa de
No Frecuente
mantenimiento y responden a los ejercicios y pruebas realizadas.
Se cuenta con controles que responden a un programa de mantenimiento y responden a los
Moderada
ejercicios y pruebas realizadas, pero no son suficientes.
Algunos controles se prueban esporádicamente, debido a que no cuentan con un programa
Frecuente
definido o de existir no se cumple con el mismo.

Muy Frecuente Bajo nivel de controles o los controles existentes no son efectivos o eficientes.

8
 • Cálculo del Impacto del Recurso, por ejemplo, se estimó por votación el Impacto que tendrían los
recursos en caso se materializara la amenaza Terremoto, considerando los controles existentes.
La determinación de dicho Impacto se basó en el tiempo de indisponibilidad del recurso debido a
la materialización de la amenaza evaluada. Se consideró la siguiente tabla de valores para el
cálculo:

Impacto Descripción
No significativo Tiene un efecto nulo o muy pequeño en las operaciones de la sede evaluada.
Menor Afecta hasta en 6 horas las operaciones de la sede evaluada.
Moderado Afecta hasta en 24 horas las operaciones de la sede evaluada.
Mayor Afecta hasta en 48 horas las operaciones de la sede evaluada.
Catastrófico Afecta por más de una semana las operaciones de la sede evaluada.

• Cálculo del Nivel de Riesgo, el cual se calcula considerando el mayor Nivel de Riesgo del recurso
afectado por la amenaza que se está analizando. Para la identificación del Nivel de Riesgo se ha
considerado la siguiente matriz:

Interpretación de cada cuadrante de calor o Nivel de Riesgo de la amenaza en evaluación:

Nivel de Riesgo Interpretación

Extremo Riesgo no deseable, se requiere acción correctiva inmediata

Riesgo no deseable que requiere de una acción correctiva, pero se permite alguna
Alto
discreción de la gerencia sobre los plazos y compromisos
Moderado Riesgo aceptable con revisión de la gerencia

Bajo Riesgo aceptable sin revisión

2.3.5 Identificación de Nuevos Controles y Mejoras a los Existentes

En esta última fase, permite identificar que controles existentes deben ser mejorados y/o definir nuevos
controles para aquellos recursos cuyos niveles de riesgo resultaron Moderados (color amarillo), Altos (color
naranja) o Extremos (color rojo). Se toman en cuenta principalmente los siguientes pasos:

• Determinar la brecha que presenta el control actualmente a efectos de proponer acciones que
permitan la mejora en efectividad del control o, en su defecto, la formulación de nuevos controles
que ayuden a reducir el nivel de riesgo obtenido en el taller de evaluación.
• Evaluar las propuestas de mejora, en función a los objetivos estratégicos del MINAM, atendiendo
al manejo eficiente de sus recursos y a la efectividad de las medidas de mitigación que fuese a
implementar.

9
2.4 Contexto General de las Sedes del MINAM

El MINAM cuenta con tres (03) sedes en Lima: i) Sede central, ubicado en el Distrito de Magdalena del
Mar, ii) Sede Javier Prado Oeste N.° 1440, ubicado en el Distrito de San Isidro, y iii) Sede del Archivo
Central, ubicado en el Distrito del Callao.

De modo general desde la perspectiva de Continuidad Operativa, se detalla lo siguiente:

Sede Magdalena del Mar

• Las oficinas del MINAM están ubicadas en cinco (5) pisos de un edificio cuya edificación es nueva
y cuenta con vías de evacuación y salidas de emergencia generalmente señalizadas.
• El inmueble cuenta con una puerta principal (ingreso peatonal) a metros de distancia de la Av.
Antonio Miroquesada, dos puertas (ingreso vehicular) . Las puertas de escape son corta fuego y
cuentan con barras anti pánico además cuenta con dos escaleras de evacuación con salida directa
hacia la calle.
• Las escaleras son presurizadas, cuentan con luces de emergencia, pasamanos, alarmas, y parlante
para perifoneo e indicaciones en cao de emergencia.
• Se observó que el edificio cuenta con seguridad de vigilancia, el que está ubicado en las puertas
de acceso principal al edificio y en el ingreso vehicular a los sótanos.
• Existen personal de vigilancia del mismo edificio, así como del Ministerio del Ambiente, los cuales
se encuentran ubicados en la puerta de ingreso y ascensores, existen cámaras de vigilancia en los
corredores del edificio (áreas comunes y en los sótanos y azotea), no se cuenta con cámaras de
vigilancia al interior de los ambientes que ocupa en MINAM (PISO 4, 7, 11, 14, y 16).
• La Sede se encuentra ubicada en una avenida con mediano tránsito de transporte, exclusivo para
transporte privado. A media cuadra se encuentra la avenida Alberto del Campo (lado izquierdo) y
avenida Javier Prado Oeste (lado derecho) por la que existe transporte público, además de
encontrarse a 3 cuadras de la Avenida del Ejército. La sede colinda a ambos lados con otros
edificios de edificación modernos de vivienda y oficinas y por el fondo limita con edificaciones de
viviendas unifamiliares, el uso de la Avenida Antonio Miroquesada está cambiando de viviendas
familiares a comerciales con edificaciones de oficinas.
• Los ambientes internos de los órganos entre unidades orgánicas son separados por paredes de
drywall y losa vaciada, con falso cielo raso de baldosas entre el techo y las tuberías e instalaciones
que pasan por los ambientes.
• El acceso personal de visitas es controlado en recepción, verificando DNI y otorgando fotocheck
de visitante. Respecto al personal que labora en el MINAM, estos cuentan con tarjeta magnética
de acceso desde el primer piso. No existen un sistema de detección de metal.
• Las zonas seguras de evacuación, se encuentran sobre la vereda de la Av. Antonio Miroquesada y
en la berma central de la Avenida (es una avenida en doble sentido).

Sede Javier Prado Oeste 1440

• El inmueble está compuesto por dos edificios, la casona (actualmente está cerrada por estar
considerada vulnerable por la antigüedad de la construcción) y el edificio denominado Ex-COP,
que es una edificación con pocos años de construcción de 4 pisos, en esta sede se encuentra el
Centro de Computo (Data Center) del MINAM.
• El edificio Ex -COP cuenta con vías de evacuación y salidas de emergencia generalmente
señalizadas, y las puertas de escape cuentan con barras anti pánico, y son puertas cortafuego.
• Las escaleras de escape son presurizadas.
• Existen personal de vigilancia ubicado en las puertas de ingreso y existen cámaras para la
vigilancia interna en varios ambientes de la Sede.
• El edificio Ex -COP colinda con la Casona que tiene una edificación antigua y esta inhabitada.
• El acceso personal de visitas es controlado en recepción, verificando DNI y otorgando fotocheck
de visitante.

10
 • El Centro de Cómputo, ubicado en la sede no cuenta con personal de vigilancia para el control de
acceso, el acceso es solo para el personal autorizado de la OTIC quienes tienen las llaves de acceso,
el control a través de un libro de registro lo realiza una persona del equipo de la Oficina de
Tecnología de la Información y Comunicaciones.

Sede Archivo Central

• El inmueble está ubicado en Calle Omicrón 380, Callao.
• Existe personal de vigilancia las 24 horas
• No cuenta con cámaras de vigilancia
• El inmueble está ocupado por el Archivo Central a cargo de la OGDAC
• Recientemente se realizó la remodelación de sus instalaciones eléctricas
• Actualmente se está realizando la implementación del sistema contra incendio

3. Resultados del Análisis de Riesgos y Controles

3.1 Resultados de la Identificación de Recursos a proteger

Coordinadamente con los participantes se estimaron y revisaron los recursos que se deben proteger en
MINAM, considerando que estos soportan la ejecución de los procesos de MINAM. Dichos recursos se
detallan a continuación, así como la descripción del alcance de cada recurso:

Nro Recursos a Proteger Descripción

1 Empleados Colaboradores del MINAM.

Infraestructura
2 Estructura de la sede (paredes, piso, techos, ventanas).
Física
Mobiliarios y equipos, considera los recursos como escritorios, sillas, PCs,
3 Recursos Impresora, teléfonos, entre otros.

Recursos indispensables para la realización de las operaciones, como la

4 Registros Vitales
tabla consolidada de la Planilla Electrónica, entre otros.

Sistemas Falla de los aplicativos / servicios informáticos e infraestructura

5
Informáticos tecnológica (servidores).

Partes interesadas ubicados en MINAM o fuera de ella que no podrán

6 Interesados acceder a los servicios de MINAM por la ocurrencia de la amenaza.

Proveedores Proveedores ubicados en la Sede de MINAM que no podrán brindar sus

7
Externos servicios, debido a la ocurrencia de la amenaza en la Sede.

Comunidad en Áreas o zonas colindantes a MINAM, que no permitan continuar con las
8
General operaciones de MINAM

11
3.2 Resultado de la Identificación de Amenazas

En sesión, los participantes realizaron las votaciones respecto a la ocurrencia y percepción, siguiendo la
metodología descrita en el punto 2.3.2, obteniendo los siguientes resultados:

Para establecer la ocurrencia y percepción tomando en

Percepción

Nivel Prob.
Ocurrencia

Estimada
cuenta que la Ocurrencia histórica en términos de valores
# Amenaza se consideró como 1 si ocurrió Rara Vez y 5 si ocurrió de
manera Muy Frecuente, así también para la Percepción,
se consideró como 1 si la percepción de ocurrencia es
01 Terremoto 2 4 muy difícil y 5 si la percepción de ocurrencia es Muy
02 Inundación y Aniego 1 1 Posible.

03 Incendio 1 4 Resultado se encontró que la ocurrencia en el tiempo y la

04 Epidemia /Pandemia 2 3 percepción de materialización de las amenazas Falla de
05 Falla de energía eléctrica 3 3
Energía Eléctrica, Falla en Telecomunicaciones, Delitos
Informáticos, Caída de Sistemas, Incendio y Terremoto
Falla del aire
06 1 2 obtuvieron un Nivel de Probabilidad entre Moderado y
acondicionado
Extrema
07 Ataque Terrorista 1 1
08 Sabotaje 1 1 Así también, se obtuvieron Niveles de Probabilidad Menor
Manifestaciones y para las amenazas Inundación y Aniego y debilidad
09 2 3
disturbios sociales estructural, siendo el principal factor para esta ultima la
10 Material peligroso 1 1 condición de inhabitable para el inmueble de la ex – sede
principal del MINAM, que colinda con el edifico donde se
11 Actividad Criminal 3 3
ubica el Centro de Computo Principal.
Falla en
12 3 4
Telecomunicaciones
Es preciso mencionar que las amenazas que resultaron
13 Delitos Informáticos 3 5 con un Nivel de Probabilidad Insignificante quedaron
14 Caída de Sistemas 3 3 fuera del cálculo del Nivel de Riesgo, esto sustentado en
15 Prensa amarrilla 1 2 la baja ocurrencia en el tiempo (histórico) y la baja
percepción de los expertos respecto a la materialización
Debilidad Estructural de la
16 Ex – Sede Principal del 1 3
de las mismas.
MINAM
17 Lluvias 1 2

Leyenda:

Nivel de Probabilidad Extrema

Nivel de Probabilidad Moderada
Nivel de Probabilidad Menor
Nivel de Probabilidad Insignificante

12
3.3 Resultado de la Identificación de Controles Existentes

La existencia y efectividad de los controles existentes, que cubren las amenazas a las que se les
efectuará la evaluación del nivel de riesgo, tal como se detalla a continuación:

16 Debilidad Estructural (Casona)

12 Falla en Telecomunicaciones
05 Falla de Energía Eléctrica

13 Delitos Informáticos
09 Disturbios Sociales

11 Actividad Criminal

14 Caída de Sistemas
N CONTROL Comentario de Efectividad del Control

01 Terremoto
03 Incendio

Se cuenta con proveedor del servicio, las SLA están

Acuerdos de niveles de
X X
1 servicio con proveedores de
enlace de comunicación
Ambiente para registros
2 X
vitales
Anclaje de equipos de
3 X
cómputo
4 Anclaje de equipos pesados X X
Cámaras de monitoreo en
5 X
exteriores
Cámaras de monitoreo en
6 X
interiores
Campañas de concienciación
7 X
de seguridad
Contacto con autoridades para
8 X
responder a los incidentes
Coordinación anticipada de
9 X
cortes de energía programado
por revisar. No se efectúan pruebas, a cargo de la
OTIC.
X X Los servicios de comunicación en caso de terremotos
X
o incendios para emergencias están a cargo del COE
(Oficina General de Planeamiento y Presupuesto-
OGPP) para lo cual tienen un sistema de servicio de
radio.
En la sede Javier Prado Oeste 1440 están los
ambientes donde se encuentra la sala de servidores
con los equipos a cargo de la OTIC (OGA), quienes
X X X X X
son responsable por la custodia de los Registros
Vitales del MINAM, el acceso a esos ambientes es
restringido y esta cargo de la OTIC.
• Los equipos del personal del MINAM no se
X encuentran anclados (computadoras e
impresoras)
• Sede de Magdalena del Mar:
Hay una antena de radio instalada en la azotea
del edificio a cargo del COE (OGPP)
• La Sede Javier Prado Oeste 1440:
Hay una antena de radio instalada en la azotea
del edificio a cargo del COE (OGPP)
X No hay cámara de monitoreo exteriores.
Sede de Magdalena del Mar:•
Hay cámaras en las áreas comunes del edificio (el
edificio cuenta con una central de control de
cámaras de vigilancia). Al interior de los
ambientes de las oficinas de los pisos 4, 7, 11, 14
y 16 que ocupa el MINAM no se cuenta con
X cámaras de vigilancia.
• La Sede Javier Prado Oeste 1440:
Existen cámaras en las dos puertas de ingreso y
en algunos ambientes del interior de las oficina
del MINAM
• La Sede Omicron (Archivo Central):
No cuenta con cámaras de vigilancia
Se realizan campañas para recordar la importancia de
seguir las medidas de seguridad en caso de
X X terremoto, incendio, está a cargo del COE (OGPP), en
caso de riesgo de robos de bienes a cargo del área de
Servicios Generales – OA-OGA.
Participan en el apoyo policial, en coordinación con
la Municipalidad de Magdalena del Mar, San Isidro,
X X X X otros durante los simulacros. Informan si se va a
realizar alguna manifestación. Se realiza en cada
simulacro a nivel nacional
• Los cortes de energía eléctrica programados en
las oficinas y/o inmuebles en caso sean por
temas de mantenimiento y/o trabajos de
acondicionamiento en los ambientes son
coordinados por el área de Servicios Generales y

13
 16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
05 Falla de Energía Eléctrica

13 Delitos Informáticos
09 Disturbios Sociales

11 Actividad Criminal

14 Caída de Sistemas
N CONTROL Comentario de Efectividad del Control

01 Terremoto
03 Incendio
comunicados al personal que labora en el
MINAM.
• Los cortes de energía eléctrica a cargo de la
empresa prestadora del servicio son
comunicadas por esta, para que el área de
Servicios Generales de la OGA tome las medidas
del caso, así como también se comunica al
personal que labora en el MINAM.
• Sede de Magdalena del Mar:
El servicio de vigilancia del MINAM cuenta con
detector manual de metales.
• La Sede Javier Prado Oeste 1440:
10 Detectores de metal X X El servicio de vigilancia del MINAM cuenta con
detector manual de metales.
• La Sede Omicron (Archivo Central):
El servicio de vigilancia del MINAM cuenta con
detector manual de metales.
La disponibilidad del personal de mantenimiento está
Disponibilidad del Personal de a cargo del área de Servicios Generales de la Oficina
11 X X X X
mantenimiento de Abastecimiento. A la fecha se cuenta con 03
técnicos de mantenimiento.
• Sede de Magdalena del Mar:
Cuentan con extintores y se realizan las
capacitaciones, a los brigadistas y personal de
vigilancia. Las Capacitaciones están a cargo del COE
(OGPP).
• La Sede Javier Prado Oeste 1440:
Cuentan con extintores y se realizan las
Extintores distribuidos en cada
12 X capacitaciones, a los brigadistas y personal de
piso
vigilancia. Las Capacitaciones están a cargo del COE
(OGPP).
La Sede Omicron (Archivo Central):
Cuentan con extintores y se realizan las
capacitaciones, a los brigadistas y personal de
vigilancia. Las Capacitaciones están a cargo del COE
(OGPP).
• Sede de Magdalena del Mar: ocupa oficinas en
los pisos 4, 7, 11, 14 y 16, en el edificio Prisma
Tower, en el cual además se encuentran otras
empresas, este edifico cuenta en sus
instalaciones con un grupo electrógeno el cual en
caso de corte de energía eléctrica abastece de
energía las luces de emergencia de las áreas
comunes que incluyen las escaleras de
13 Grupo Electrógeno X evacuación, los ascensores, luces en los sótanos
y sistemas de acceso y saldad comunes incluidas
las del primer piso y estacionamientos.
• La Sede Javier Prado Oeste 1440: cuenta con
grupo electrógeno, el grupo electrógeno
(soporte para sala de servidores y luces de
emergencia)
• La Sede Omicron (Archivo Central): no cuenta
con grupo electrógeno.
Los brigadistas participan durante los simulacros. La
Grupos de Brigada capacitados
14 X X rotación de los brigadistas complica mantener el
en forma periódica
equipo de brigadistas adecuadamente capacitados
• El personal de seguridad de cada Sede
Inspecciones de acceso registra a cada persona que ingresa.
15 X X
personal • Los visitantes dejan su DNI y portan
fotocheck

14

N CONTROL
Inspecciones de acceso
16
vehicular
17 Inspecciones de Defensa Civil
Lista de personal disponible
18
para la reparación de averías
Luces de emergencia al
19
interior/oficinas
Monitoreo y reporte de
20 incidencias por parte de los
Tópicos
21 Plan de Evacuación
16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
05 Falla de Energía Eléctrica
13 Delitos Informáticos
09 Disturbios Sociales
11 Actividad Criminal
14 Caída de Sistemas
Comentario de Efectividad del Control
01 Terremoto
03 Incendio
• En el caso de la sede Magdalena, al estar
ubicada en un edificio donde hay otras
empresas, cada organización administra su
propio personal de seguridad que controla el
acceso a los pisos donde se ubica, en el caos
del MINAM nos han permitido tener personal
de seguridad del MINAM en la recepción.
En las sedes donde se tiene cochera (Sede Magdalena
y Sede Javier Prado Oeste 1440) el personal del
X X
servicio de vigilancia del MINAM realiza inspecciones
de acceso a los vehículos.
• Sede de Magdalena del Mar:
El edificio Prisma Tower, donde el MINAM ocupa
oficinas en los pisos 4, 7, 11, 14 y 16 cuenta con
el Certificado de Defensa Civil.
Las oficinas que ocupa el MINAM cuentan con
sistema contra incendios, extintores, se están
coordinado las implementación complementaria
para la realización del trámite.
X X X
• La Sede Javier Prado Oeste 1440:
Cuentan con escaleras presurizadas, extintores,
detectores de humo, se están coordinado la
implementación complementaria.
La Sede Omicron (Archivo Central):
Cuentan con extintores, se ha realizado la
remodelación del sistema eléctrico y
actualmente se está ejecutando la
implementación del sistema contra incendio.
El área de servicios Generales cuenta con 03 técnicos
para atención de averías en las sedes, los que están
permanentemente en horario de oficina y acuden en
cualquier Momento ante una emergencia. Su
atención está en función de la gravedad de la avería,
pues cuando esta es más compleja su atención será
mediante la contratación de proveedores.
X X
Se precisa que el personal técnico de Servicios
Generales atiende averías relacionadas Al
mantenimiento y reparación de la infraestructura de
las sedes.
Las averías correspondientes a temas informáticos
están a cargo de la OTIC.
Las sedes del MINAM cuentan con luces de
X X X emergencia, las que se verifican con el personal
técnico de Servicios Generales.
Se cuenta con un Especialista Medico que pertenece
X
a la OGRH.
Existe un Plan de Emergencia y Evacuación del
MINAM que es administrado por el COE (OGPP) y es
X X de conocimiento parcial a los brigadistas. A los
trabajadores se les comunica las rutas de evacuación
y zonas de seguridad.
15

N CONTROL
Planes de Continuidad del
22
Negocio (PCN, DRP)
Políticas de acceso al C.
23
Cómputo
Programa de mantenimiento
24 de Generadores Eléctricos y
UPS
Programa de mantenimiento
25 para equipos de aire
acondicionado
Protección de ingreso con
26
enrejado
Reconocimiento de las llaves
de agua por piso y
27
reconocimiento de la llave
general
Redundancia en los enlaces de
28 comunicaciones (fibra óptica,
onda portadora)
Rondas de vigilancia por
29 personal de seguridad interno
las 24hrs
30 Seguro de Activos
Seguro médico para todo el
31
personal
05 Falla de Energía Eléctrica
01 Terremoto
03 Incendio
X X
X X
X X
X X
X X
X X
09 Disturbios Sociales
11 Actividad Criminal
X X
X electrógeno está a cargo de Servicios Generarles) y el
X X
X X
X X
16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
13 Delitos Informáticos
14 Caída de Sistemas
Comentario de Efectividad del Control
Se cuenta con un documento denominado Plan de
Continuidad Operativa del MINAM, sin embargo, DRP
X X X
está 0en proceso de finalizar la formulación, está a
cargo de la OGPP
El acceso al Centro de Cómputo es controlado por el
X X X personal de la OTIC, y registra el ingreso a través de
un libro. Está a cargo de la OTIC
El mantenimiento de generadores (grupo
mantenimiento de UPS está a cargo de la OTIC.
El mantenimiento de equipos de aire acondicionado
está a cargo de Servicios Generarles) y el
mantenimiento del equipo especial de Aire
Acondicionado que se encuentra en los ambientes de
la sala de servidores en la sede Javier Prado Oeste
1440 está a cargo de la OTIC.
• Sede de Magdalena del Mar:
En este edifico no existe reja, al ser el edifico
Prisma Tower un edificio nuevo diseñado para
uso de oficinas, En donde además del MINAM
hay otras empresa que ocupan oficinas. El acceso
es mediante las puertas principal pasando por
accesos con tarjetas asignadas a cada usuario, y
las visitas tienen que ser registradas en el
counter de ingreso.
El personal de vigilancia del MINAM se ubica en
los puntos de ingreso, acceso a los ascensores,
en los pisos ocupados por el Minan y en el acceso
a los estacionamientos, esto además de existir
presencia de personal de seguridad por parte del
edifico en los accesos a dicho edificio.
• La Sede Javier Prado Oeste 1440:
Los tres ingresos al inmueble tienen puerta tipo
reja y ahí se cuenta con personal de vigilancia
que realiza el control de ingreso peatonal y
vehicular.
• La Sede Omicron (Archivo Central):
El inmueble por sus características no tiene rejas,
pues tiene paredes y el ingreso es mediante un gran
portón metálicos, se tiene vigilantes que controlan el
ingreso.
El personal de Mantenimiento a cargo de Servicios
Generales conoce la ubicación y la manipulación de
X las llaves de agua en las sedes. También se instruye
permanentemente al personal de vigilancia para su
manipulación en caso de emergencias.
X X A cargo de la OTIC
Se realiza en el turno diurno, en el nocturno en
X
todas las sedes
X X Se tiene seguro como institución
La cobertura de seguro de salud, es en función a la
modalidad de contrato
16
 16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
05 Falla de Energía Eléctrica

13 Delitos Informáticos
09 Disturbios Sociales

11 Actividad Criminal

14 Caída de Sistemas
N CONTROL Comentario de Efectividad del Control

01 Terremoto
03 Incendio
Simulacros de Evacuación
32 X X Cada vez que se realizan simulacros a nivel nacional
programadas
Sede de Magdalena del Mar:•
Tiene sistema de alarma contra incendios con
sistema direccional dentro de las oficinas que
ocupa el MINAM en el inmueble, además el
edificio tiene sus sistema de alarma
contraincendios para áreas comunes y que a su
vez está integrado al sistema de alarma de las
Sistema de detección de
33 X oficinas ocupadas por el MINAM.
alarmas para incendio
• La Sede Javier Prado Oeste 1440:
Cuenta con sistema de alarmas contra incendio
manual con pulsador.
• La Sede Omicron (Archivo Central):
A la fecha se está realizando la implementación
del sistema de alarma contra incendios
direccional.
Stock de equipos de respaldo Se cuenta con un equipo de respaldo del switch,
34 (switch) para el caso de X X X instalado en el centro de computó principal a cargo
averías de equipos de la OTIC
UPS con soporte al Centro de
35 X X X Solo para Centro de Cómputo, a cargo de la OTIC
Cómputo
• Sede de Magdalena del Mar:
Tiene sistema de alarma contra
Al interior de las oficinas ocupadas por EL
MINAM hay válvulas de cierre manual, y en el
Válvulas de agua de cierre sistema del edificio hay válvulas de cierre manual
36 X X
automático y automático.
• La Sede Javier Prado Oeste 1440:
Bombas de agua manual y automático.
• La Sede Omicron (Archivo Central):
Tiene sistema de agua manual.
En cada Sede están colocadas la señalización para.
37 Vías de evacuación señalizadas X X X Las vías de evacuación se prueban en cada simulacro
a nivel nacional.
La vigilancia es brindada por un tercero, con
personal asignada en cada Sede y con horario
38 Vigilancia interna privada X X X X
rotativos que cubren las 24 horas del día los 365
días del año.
Forma parte del Plan de Emergencia y Evacuación
39 Plan de Traslado de Heridos X administrado por la OGPP en coordinación con la
OGRH
El mantenimiento preventivo es periódico del grupo
electrógeno de la sede JPO 1440 está a cargo del área
Efectuar pruebas a los de Servicios Generales.
40 generadores eléctricos en X
vacío En la sede Magdalena, el mantenimiento del grupo
electrógeno del edifico está a cargo de la
administración del edificio.
Tanques de combustible
aislados y de acceso Si tiene acceso restringido, el personal técnico de
41 X
restringido del Grupo Servicios Generales está a cargo de su monitoreo.
Electrógeno
La atención médica se brinda solo en horario laboral
42 Atención Médico X X X X X a todas las personas que presente una
urgencia/emergencia médicas, a cargo de la OGRH.
43 Firewall X X A cargo de la OTIC
IPS (Sistema de Prevención de A cargo de la OTIC
44 X X
Intrusos)

17
 16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
05 Falla de Energía Eléctrica

13 Delitos Informáticos
09 Disturbios Sociales

11 Actividad Criminal

14 Caída de Sistemas
N CONTROL Comentario de Efectividad del Control

01 Terremoto
03 Incendio
A cargo de la OTIC
45 Web Filter X X
A cargo de la OTIC
46 Anti Spam X X
A cargo de la OTIC
47 Antivirus X X
A cargo de la OTIC
48 Ethical Hacking X
Ambientes diferenciados para
49 X A cargo de la OTIC
pruebas y desarrollo
Acuerdo con proveedores para
50 el mantenimiento de X X Por revisar los SLA
servidores
Se generan archivos de trabajo utilizando la
aplicación data protector para realizar las copias de
respaldo de la información, creando tareas
51 Backup de base de datos X X
programadas de generación y almacenamiento de
archivos backup. 1 semanal y 1 al mes. A cargo de la
OTIC.

3.4 Resultado de la Evaluación del Nivel de Riesgo

Los resultados respecto a la ocurrencia y percepción, siguiendo la metodología descrita en el punto

2.3.2, obteniendo los siguientes resultados:

Los niveles de riesgo Extremo se presentan ante la materialización de las Listado de Amenazas
amenazas de Delitos Informáticos, ya que los controles existentes, que podrían
mitigar la vulnerabilidad de MINAM ante estas amenazas, son mínimos, y su 01 Terremoto
alcance y efectividad es muy acotada, la mayoría de controles no cuenta con 02 Inundación y Aniego
pruebas o un plan de mantenimiento adecuado. 03 Incendio
04 Pandemia
Con niveles de riesgo alto se presentan las amenazas, Terremoto, Incendio,
05 Falla de Energía Eléctrica
pandemia, falla de la energía eléctrica por plazos prolongados, actividad
06 Falla del Aire Acondicionado
criminal, falla en las telecomunicaciones y caídas de sistemas. Para el caso de
estas amenazas si bien los controles son mínimos, pueden mitigar en alguna 07 Ataque Terrorista
medida el impacto que pueda ocasionar la materialización de estas amenazas, 08 Sabotaje
por ejemplo, para el caso de caídas del sistema, se tiene un procedimiento a 09 Manifestaciones y/o
seguir. Igualmente son controles que pueden mejorarse. Notándose además, Disturbios Sociales
que la percepción sobre la probabilidad de afectación e Impacto, se asocia a los 10 Material peligroso
servicio del Centro de Computo del MINAM. 11 Actividad Criminal
12 Falla en las
Con riesgo moderado se presentan las amenazas, falla de los equipos que Telecomunicaciones
proveen el servicio de aire acondicionado, incidentes de ataque terroristas,
13 Delitos Informáticos
casos de sabotaje, manifestaciones o disturbios sociales, publicaciones en
14 Caída de Sistemas
medios de comunicación por prensa parcializada, debilidad estructural de ex –
sede principal del MINAM, que esta contiguo al edificio que alberga el Centro de 15 Prensa Amarilla
Computo y lluvias. 16 Debilidad Estructural
(Casona)
17 Lluvias

18
3.5 Identificación de Nuevos Controles y Mejoras a los Existentes

Tomando en cuenta los resultados de los niveles de riesgo para cada amenaza y los recursos que podrían
afectarse, se detallan a continuación la propuesta de controles por mejorar y controles nuevos, los que
ayudarán con la mitigación de los riesgos identificados. Se debe tener en cuenta que lo propuesto deberá
estar sujeto a un posterior análisis de costo y efectividad, para determinar finalmente cuales se
implementarán

3.5.1 Propuesta de controles existentes por mejorar

Se priorizan los controles que pueden mitigar una o más amenazas con Nivel de Riesgo Extremo. La
numeración de controles corresponde a la misma que se usó en la sección anterior:

16 Debilidad Estructural (Casona)

12 Falla en Telecomunicaciones
06 Falla del Aire Acondicionado
05 Falla de Energía Eléctrica
04 Epidemia / Pandemia
02 Inundación y Aniego

13 Delitos Informáticos
N CONTROL Comentario para la Mejora del Control
09 Disturbios Sociales

11 Actividad Criminal

14 Caída de Sistemas
07 Ataque Terrorista

15 Prensa Amarilla
01 Terremoto

03 Incendio

Planes de Continuidad de las
1 X
Operaciones (PCN, DRP)
Diseño y prueba de trabajo
2 a distancia del personal X X
clave
Ambiente o bóveda para
3 X
registros vitales
Centro Alterno de Negocios
4 X
(CAN)
5 Atención Médica X X
Luces de emergencia al
6 X
interior/oficinas
17 Lluvias
Implementar y Ensayar los Planes de
Continuidad Operativa en todos los órganos y
unidades orgánicas que resulten críticas para
X MINAM, así como desarrollar el Plan de
X X X X X X X X X X
Recuperación ante Desastres que permita
recuperar los aplicativos/servicios TI. Esto
permitirá disminuir el impacto en la paralización
de procesos de MINAM.
Como parte del desarrollo de Planes de
Continuidad Operativa, se debe incluir en este
control a otros órganos y unidades orgánicas y
X realizar pruebas periódicas.
X X X X X X X X
Asimismo, se sugiere tener algún dispositivo de
seguridad para conectarse desde fuera, de esta
forma reconocer quien se conecta y cubrir la
seguridad de la información.
A partir del mes noviembre 2018, se cuenta con
el aplicativo ECODOC, en cual todos los
X documentos son digitalizados y su custodia está
X X X X X X X X
a cargo de OTIC, quienes tienen avientes de
acceso restringido en la sede Javier Prado Oeste
1440.
Lugar para acoger los puestos y recursos críticos
de otros órganos y unidades orgánicas y realizar
X X X X X X X X X X X
pruebas periódicas. implementar trabajo no
presencial o mixto.
Considerar que la atención médica, sea física o a
través de video conferencia, debe estar
X conectado con el equipo de brigadas tal que se
X X X X X conozca al personal con características médicas
especiales que requieran de un tratamiento
diferente en el momento de un desastre.
Implementar trabajo no presencial o mixto.
La revisión de operatividades Las luces de
emergencia interior de las oficinas en la sede
X X X X X Magdalena del Mar y en las sedes Omicron y
Javier Prado Oeste 1440 están a cargo del
personal técnico de Servicios Generales.

19
 16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
06 Falla del Aire Acondicionado
05 Falla de Energía Eléctrica
04 Epidemia / Pandemia
02 Inundación y Aniego

13 Delitos Informáticos
N CONTROL Comentario para la Mejora del Control

09 Disturbios Sociales

11 Actividad Criminal

14 Caída de Sistemas
07 Ataque Terrorista

15 Prensa Amarilla
01 Terremoto

03 Incendio

17 Lluvias
Ejecutar el Plan de Acción que mitigará las
Inspecciones de Defensa
7 X X X X X observaciones realizadas en la última visita de
Civil
Inspección de Defensa Civil.
Monitorear permanentemente a través de los
Brigadistas que las vías de evacuación se
Vías de evacuación
8 X X X X X X encuentren libres, sin obstáculos, en su defecto
señalizadas
comunicar al COE-MINAM (OGPP) cualquier
irregularidad al respecto.
Establecer los protocolos y criterios de selección
de brigadistas. Incrementar el nivel de
Grupos de Brigada
capacitaciones y sensibilizar a los grupos sobre
9 capacitados en forma X X X X
su labor. Ejecutar mayor cantidad de pruebas
periódica
evidenciando los resultados de cada brigadista.
A cargo del COE de la OGPP
Establecer formalmente las frecuencias de
Plan de Emergencia y prueba y ejecutarlas. Incluir en dicho Plan,
10 X X X X
Evacuación escenarios de inundación, ataque terrorista,
entre otros. A cargo del COE de la OGPP
Elaborar y formalizar protocolos de acceso de
personal, tal de detectar objetos peligrosos que
Inspecciones de acceso
11 X X X pongan en riesgo la seguridad de los
personal
colaboradores o visitantes al MINAM. A cargo de
Servicios Generales.
Conforme se diseñen los Planes de Continuidad
de otras Direcciones Generales, iniciar los
Ejercicios integrados con
ejercicios que vayan incrementando su nivel de
12 niveles de dificultad X X X X X X X X X X X X
dificultad en el tiempo, considerando
progresivos
escenarios acordes a las amenazas de nivel de
riesgo extremo.
Evaluar la posibilidad de contar con seguro
médico para todo el personal u otro tipo de
Seguro médico para todo el
13 X X X X X convenio que pueda resolver cualquier situación
personal
de emergencia médica en los colaboradores. A
cargo de la OGRH
Realizar pruebas periódicas con cada proveedor
Redundancia en los enlaces
a fin de acreditar la redundancia en los enlaces
14 de comunicaciones (fibra X X X X X
de comunicación en caso de desastre. A cargo
óptica, onda portadora)
de la OTIC.
Establecer un programa de simulacros
Simulacros de Evacuación
15 X X X adicionales a los que se realizan a nivel nacional.
programadas
A cargo del COEN de la OGPP
Revisar e identificar los equipos de cómputo que
durante un evento puedan deslizarse o caer y
provocar daños en otros recursos de MINAM.
Anclaje de equipos de Posterior a esto evaluar el empotramiento o
16 X X X
cómputo alternativa de anclaje de estos equipos (Ejemplo,
existen PC servidores que deberían estar
anclados), deberá ser coordinado entre la OTIC y
Servicios Generales.
Revisar e identificar los equipos pesados de
oficina (estantes, aire acondicionado, entre
otros) que durante un evento puedan deslizarse
o caer y provocar daños en otros recursos de
17 Anclaje de equipos pesados X X X
MINAM. Posterior a esto evaluar el
empotramiento o alternativa de anclaje de estos
equipos. A cargo de Servicios Generales con los
respectivos usuarios de ser el caso.
Grupo Electrógeno (24 Hrs Realizar pruebas con fines de medir el nivel de
18 X
de autonomía) autonomía del generador eléctrico.

20
 16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
06 Falla del Aire Acondicionado
05 Falla de Energía Eléctrica
04 Epidemia / Pandemia
02 Inundación y Aniego

13 Delitos Informáticos
N CONTROL Comentario para la Mejora del Control

09 Disturbios Sociales

11 Actividad Criminal

14 Caída de Sistemas
07 Ataque Terrorista

15 Prensa Amarilla
01 Terremoto

03 Incendio

17 Lluvias
Elaborar y ejecutar protocolos de acceso
vehicular, tal que se sea más riguroso en
Inspecciones de acceso
19 X X X identificar a las personas que ingresan dentro de
vehicular
un auto, objetos de peligrosidad que podrían
traerse en el mismo auto y otros.
• Sede de Magdalena del Mar:
Todos los Servicios Higiénicos de los
ambientes que ocupa esa sede cuentan con
griferías con temporizador para ahorro de
agua.
• La Sede Javier Prado Oeste 1440:
Sistema de grifería en SSHH Todos los Servicios Higiénicos de los
20 X
(pulsador temporizado) ambientes que ocupa esa sede cuentan con
griferías con temporizador para ahorro de
agua.
• La Sede Omicron (Archivo Central):
En los SS.HH. de Omicron se tiene las
griferías tradicionales, se está programando
su cambio a griferías con ahorradoras.
Acuerdos de niveles de
Realizar pruebas con el proveedor para validar
21 servicio con proveedores de X X
el cumplimiento de los acuerdos de servicio.
enlace de comunicación
Validar con una periodicidad establecida, la
disposición y ubicación de extintores, tal que
Extintores distribuidos en estos no se encuentren obstaculizados por algún
20 X
cada piso mueble u otro recurso. Se sugiere que esta
validación la realicen los brigadistas como parte
la interiorización de su rol.
21 Firewall X X Adquirir el firewall que brinde mayor protección
IPS (Sistema de Prevención
22 X X Adquirir el IPS con mayores funciones
de Intrusos)
23 Web Filter X X Adquirir el Web Filter con mayores funciones
Coordinar la realización de un servicio de Ethical
24 Ethical Hacking X
Hacking
Programa de mantenimiento Se desarrollaran programas anuales de
25 para equipos de aire X mantenimiento preventivo de los sistemas de
acondicionado Aire Acondicionado.
Coordinación anticipada de Establecer los contactos o medios de
26 cortes de energía X conocimiento de los cortes de energía
programado programados del proveedor.
Implementar cámaras de monitoreo al interior
de los ambientes que ocupa el MINAM en la sede
Cámaras de monitoreo en
27 X X X Magdalena y colocar cámaras adicionales para
interiores
mejorar el sistema de vigilancia en las sedes
Javier Prado Oeste 1440 y Omicron.
Definir protocolos de detección de metal en el
28 Detectores de metal garret X X X acceso de personal y utilizar adecuadamente el
que se tiene.
Realizar charlas de prevención al personal para
Campañas de concienciación X X X tener conocimiento de cómo actuar ante una
29 X
de seguridad amenaza de este tipo, e identificar estrategias de
prevención
Diseñar y aplicar las políticas de acceso al C.
Políticas de acceso al Centro Cómputo, así como las herramientas y
30 X X X
de Cómputo mecanismos de acceso. Dar mayor protección al
ingreso del Centro de Cómputo.

21

N CONTROL
01 Terremoto
3.5.2 Propuesta de Nuevos Controles
Se priorizan los controles que pueden mitigar una o más amenazas con Nivel de Riesgo Extremo. Se
proponen los siguientes controles nuevos:
N CONTROL
1 Plan de Manejo de Incidentes
Centro de Cómputo Alterno
2 X
(CCA)
Sistema centralizado de
3 X
alarmas
Simulacros de evacuación no
4 X
programados
Protocolo de traslado a centro
5 X
hospitalario
6 Planos de Evacuación
16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
06 Falla del Aire Acondicionado
05 Falla de Energía Eléctrica
04 Epidemia / Pandemia
02 Inundación y Aniego
13 Delitos Informáticos
Comentario para la Mejora del Control
09 Disturbios Sociales
11 Actividad Criminal
14 Caída de Sistemas
07 Ataque Terrorista
15 Prensa Amarilla
03 Incendio
17 Lluvias
Incluir en esta política el acceso al Centro de
Cómputo en caso de emergencia.
16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
06 Falla del Aire Acondicionado
05 Falla de Energía Eléctrica
04 Epidemia / Pandemia
02 Inundación y Aniego
13 Delitos Informáticos
09 Disturbios Sociales
11 Actividad Criminal
Comentario de Efectividad del Control
14 Caída de Sistemas
07 Ataque Terrorista
15 Prensa Amarilla
01 Terremoto
03 Incendio
17 Lluvias
Difundir el Plan de Manejo de
Incidentes que sensibilice a los
X colaboradores sobre la existencia de
X X X X X X X X X X X X X X acciones pre pensadas para la
mitigación de la materialización de
amenazas. Implementar protocolos
para trabajo no presencial o mixto.
Diseñar protocolos tal que la
redundancia del CCA se active de
X forma automática. El CCA debe
X X X X X X X X X X X
también estar conectado con el Sitio
Alterno. Implementar protocolos
para trabajo no presencial o mixto.
Concentrar en un Centro de Control,
los diferentes tipos de alarmas que
X X X X X X X X X pudieran prevenir y monitorear la
evolución de un incidente, tal que
ayude a la toma de decisiones.
Realizar simulacros de evacuación no
programados a fin de acrecentar el
X X nivel de dificultad del ejercicio, e
incluir escenarios de Inundación y
otros.
Diseñar protocolos o procedimientos
formales que se deben seguir, en
caso un paciente deba ser trasladado
X a un centro hospitalario por
X X emergencia, esto es preestablecer el
medio de transporte u optar por una
caja chica en caso la urgencia sea de
gravedad. Implementar protocolos
para emergencia sanitaria.
Colocar en cada sede y en zonas
X X X visibles los planos de evacuación que
permitan a colaboradores o visitantes
22

N CONTROL
7 Directorio del personal
Protección de láminas para las
8 X
lunas
Estrategia móvil de grupos
9 X
electrógenos
11 Sensores de aniego
12 Sistema de drenaje
Sistemas de detección y
13
extinción de Incendios
14 Escaleras presurizadas
15 Gabinetes contra Incendios
Utilización de materiales anti
16
inflamables según estándares
17 Puertas cortafuego
16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
06 Falla del Aire Acondicionado
05 Falla de Energía Eléctrica
04 Epidemia / Pandemia
02 Inundación y Aniego
13 Delitos Informáticos
09 Disturbios Sociales
11 Actividad Criminal
Comentario de Efectividad del Control
14 Caída de Sistemas
07 Ataque Terrorista
15 Prensa Amarilla
01 Terremoto
03 Incendio
17 Lluvias
identificar las vías de evacuación más
cercanas a su ubicación.
Establecer un directorio del personal
con los números y teléfonos de
contacto con familiares tal que pueda
X X X X X X
X realizarse una comunicación efectiva
para el traslado de un paciente o
informar cualquier acontecimiento.
Considerar la colocación de láminas
protectoras en aquellas ventanas y/o
mamparas de vidrio que lo requieran
X X X X (de preferencia aquellas que no son
de Cristal Templado) a fin de
aminorar la vulnerabilidad de los
recursos de MINAM.
Evaluar la conveniencia costo
beneficio de la posibilidad de que se
tenga un grupo electrógeno móvil
para varias sedes, teniéndose en
cuenta el escenario actual, en el que
se tiene al sede Magdalena del Mar,
donde está la mayor parte del
personal que labora en el MINAM y
que se encuentra en los pisos 4, 7, 11,
14, y 16 en el edifico Prisma Tower, la
Sede Javier Prado Oeste 1440 cuenta
con grupo electrógeno y la Sede
Omicron (Archivo Central), se
encuentra en el Callao.
La sede Magdalena cuenta con sensor
de aniego, contemplar la instalación
X
de sensor de aniego en la sede
Omicron y Javier Prado Oeste 1440.
Mejorar el sistema de drenaje
existente en la sede Magdalena y
X X
sede Omicron para mitigar el daño en
la infraestructura y recursos.
En la sede Javier Prado Oeste 1440
Completar la mejora del sistema con
X aspersores contra incendio y/o
detectores de humo o similar que
permita mitigar posibles incendios
Contemplar la adecuación de las
X escaleras actuales por escaleras
presurizadas en la sede Omicron
Contemplar la habilitación del
sistema contra incendios, el cual debe
X poner operativos los gabinetes contra
incendios en la sede Javier Prado
Oeste 1440.
Se sugiere quitar o cambiar el
material de las alfombras, aminorar el
X
material de madera que cubre gran
cantidad de paredes, entre otros.
Considerar la implementación de
X puertas cortafuego en la sede
Omicron.
23
 16 Debilidad Estructural (Casona)
12 Falla en Telecomunicaciones
06 Falla del Aire Acondicionado
05 Falla de Energía Eléctrica
04 Epidemia / Pandemia
02 Inundación y Aniego

13 Delitos Informáticos
09 Disturbios Sociales

11 Actividad Criminal
N CONTROL Comentario de Efectividad del Control

14 Caída de Sistemas
07 Ataque Terrorista

15 Prensa Amarilla
01 Terremoto

03 Incendio

17 Lluvias
Estándar definido para la
Considerar la evaluación y
infraestructura eléctrica
18 X X diagnóstico de las instalaciones
alineado con el estándar
eléctricas en la sede JPO 1440
nacional
Identificar las PC usuario claves (de
acuerdo a un BIA) y evaluar la
UPS pequeños para
19 X implementación de UPS pequeños
computadores
que de tolerancia de tiempo para el
resguardo de información vital.
Considerar realizar la revisión
Levantamiento de planos del
20 X respectiva y actualización de los
sistema eléctrico
planos.
Diseñar protocolos de Seguridad de
Protocolos de Seguridad de la Información alineados a la ISO 27001
21 X X
Información y una estructura orgánica que los
soporte.
Redundancia del Redundancia de equipos switch,
22 equipamiento de Seguridad de X X firewall, IPS y todo el equipamiento
la Información de Seguridad de la Información.
Aseguramiento de los equipos Revisar la exposición de los racks de
23 X X
de comunicación comunicación

4. Escenarios de Riesgo

En función a las amenazas y recursos de nivel de riesgo se definen los siguientes escenarios de riesgo:
09 Manifestacción y Disturbios Sociales

15 Debilidad Estructural (Casona)

12 Falla en Telecomunicaciones
06 Falla del Aire Acondicionado
05 Falla de Energía Eléctrica
04 Epidemia / Pandemia

10 Materiales Peligrosos
02 Inundación y Aniego

13 Delitos Informáticos

Sedes del MINAM

11 Actividad Criminal

14 Caída de Sistemas
07 Ataque Terrorista
01 Terremoto

03 Incendio

08 Sabotaje

16 Lluvias

Dsiponibilidad de Empleados
Disponibilidad de Infraestructura Física
Disponibilidad de Recursos
Dsiponibilidad de Registros Vitales
Dsiponibilidad de Sistemas Informáticos
Dsiponibilidad de Interesados
Dsiponibilidad de Proveedores Externos
Dsiponibilidad de Comunidad en General

24
 • Indisponibilidad del Centro de Computo Principal como consecuencia de un terremoto, delito
informático, incendio, falla en las telecomunicaciones, falla en la energía eléctrica y caídas de
sistema.
• Afectación de registros vitales como consecuencia de un delito informático, terremoto e incendio
• Afectación del Personal y Recursos como consecuencia de un incendio o terremoto
• Afectación de los Sistemas Informáticos como consecuencia de delitos informáticos, falla en la
energía eléctrica, caída de sistemas y terremoto.
• Afectación del personal, proveedores externos y comunidad en general como consecuencia de
una pandemia causado por la propagación mundial de una nueva enfermedad.

5. Recomendaciones del Análisis de Riesgos y Controles

Tomando como base los resultados, es importante que se tomen en cuenta las siguientes
recomendaciones:

1. Establecer plazos de evaluación de los controles recomendados y seleccionar aquellos que

consideren más eficientes y que mitiguen niveles de exposición Alto y Extremo. De manera
complementaria, es necesario establecer responsables y reuniones de revisión de avance de la
implementación de los controles elegidos.
2. Realizar la evaluación de riesgos al menos una vez al año o cada vez que haya un cambio
significativo en la Sede, esto como parte del ciclo continuo del Programa de Continuidad Operativa
que debe iniciar el MINAM.
3. Considerar que debido a la materialización de algunas de las amenazas incluidas en la evaluación,
la sede podría quedar inaccesible, por lo que se debe considerar la implementación de un Sitio
Alterno que permita al personal de la organización recuperar los procesos críticos.
4. Considerar la implementación de un Centro de Cómputo Alterno (CCA) a una distancia razonable
de la sede, para respaldar los servicios requeridos por las áreas de negocio.
5. Establecer actividades de concienciación respecto a cómo reaccionar frente a un evento de
desastre de gran magnitud, generando una práctica constante de las actividades de evacuación
de la sede (a través de la ejecución de simulacros programados y no programados).
6. Definir campañas internas de concienciación respecto al uso de los mobiliarios y facilidades
brindadas en la sede, generando una cultura de cuidado y prevención respecto a los extintores,
las conexiones eléctricas, los equipos en cómputo, entre otros.
7. Considerar el reforzamiento progresivo de los controles de seguridad de acceso a la sede,
reduciendo de esta manera la posibilidad de materialización de la amenaza Actividad Criminal.
8. Tomar en cuenta que la obtención del nivel de riesgo de cada componente considera los controles
existentes en la sede. Por lo que se sugiere realizar el mantenimiento respectivo y periódico a
dichos controles, y actualizar aquellos cuyo tiempo de vida útil podría generar la vulnerabilidad
de la misma.

25