Plan de Contingencias Dreu 2015 2016

8/16/2019 Plan de Contingencias Dreu 2015 2016

1/53


2/53

Plan de Contingencias de los Sistemas de InformaciónCentro de Cómputo – DREU

2

PRESENTACIÓN

En toda entidad de la Administración pública se precisa contar con un Plan de

Contingencias de los Sistemas de Información que garantice la funcionalidad de los

mismos dentro de la entidad y teniendo en cuanta las consideraciones estipuladas en

la Norma Técnica Peruana: NTP-ISO/IEC 17799:2007.

El presente Plan de Contingencias de la DREU lo estamos considerando a partir del

2015 al 2016 y comprende los siguientes puntos: Marco Teórico, Identificación de

riesgos, Calificación de la probabilidad de que ocurra un riesgo, Evaluación del impacto

en los procesos más críticos, creación de estrategias de contingencias y además se

incluye las dificultades en la que actualmente nos encontramos como Institución.

Ing. Karina Gordon ZumaetaAnalista de Sistemas PAD II

DREU


3/53


3

CAPITULO I: MARCO TEORICO

1. Introducción

Con los avances de la tecnología y el crecimiento de los Sistemas de Información en las

entidades públicas y privadas, es vital considerar y elaborar el Plan de Contingencia de

estos Sistemas lo cual nos permitirá mantener la continuidad de los mismos frente a

eventos críticos, que puedan ocurrir en nuestra entidad y minimizar el impacto negativo

sobre los trabajadores y usuarios finales. Deben ser parte integral de su organización y

servir para evitar interrupciones, estar preparado para fallas potenciales y guiar hacia una

solución.

2. ¿Qué son los Sistemas de Información?

Un Sistema Informático utiliza ordenadores para almacenar los datos de una organización y

ponerlos a disposición de su personal. Por ejemplo cuando una persona tiene una

computadora en la que inserta datos a una aplicación o sistema. En nuestro caso nuestra

entidad cuenta con varios sistemas de Información como el SUP(Sistema Único de

Planillas), NEXUS(Control de Plazas), SIRA( Sistema de Información de Racionalización) SIAF,

SIGA, entre otros en la que muchos usuarios hacen uso de estos para diferentes

transacciones: ingreso, modificación y actualización de datos. Los sistemas de información

tienen muchas cosas en común como por ejemplo todos están formados por personas,

equipos y procedimientos. Este proceso en el que interactúan varios actores como

personas, computadoras, aplicaciones, procedimientos son importantes día a día y por ello

se hace imprescindible tomar medidas que nos permitan garantizar una continuidad en la


4/53


5/53


5

Podríamos definir a un Plan de Contingencias como una estrategia planificada con una

serie de procedimientos que nos faciliten o nos orienten a tener una solución alternativa

que nos permita restituir rápidamente los servicios de la organización ante la

eventualidad de todo lo que lo pueda paralizar, ya sea de forma parcial o total.

El Plan de Contingencia es una herramienta que nos ayudará a que los procesos críticos de

nuestra entidad continúen funcionando a pesar de una posible falla en los sistemas

computarizados. Es decir, un plan que le permite seguir operando aunque sea al mínimo.

4. Objetivos del Plan de Contingencia.

Garantizar la continuidad de las operaciones de los elementos considerados

críticos que componen los Sistemas de Información.

Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos

que componen un Sistema de Información.

5. Aspectos Generales de la Seguridad de la Información.

5.1 Seguridad Física

La seguridad física garantiza la integridad de los recursos humanos, lógicos y

materiales de un Sistema de Información de datos. Si se entiende de la contingencia o

proximidad de un daño como la definición de Riesgo de fallo, local o general, tres

serían las medidas a preparar para ser utilizadas en relación a la cronología de fallo.


6/53


6

5.1.1 Antes.

El nivel adecuado de seguridad física, o grado de seguridad, es un conjunto de

acciones utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias

que de él se puedan derivar.

Es un concepto aplicable a cualquier actividad, no sólo a la informática, en la que

las personas hagan uso particular o profesional de entornos físicos.

Ubicación del edificio.

Ubicación del Centro de Procesamiento de Datos dentro del Edificio.

Compartimentación.

Elementos de la Construcción.

Potencia eléctrica

Acometida

Sistemas contra incendios, puesta a tierra.

Control de Accesos.

Selección de personal.

Seguridad de los medios.

Medidas de protección.

Duplicación de medios.

5.1.2 Durante.


7/53


7

Se debe de ejecutar un Plan de Contingencia adecuado. En general, cualquier

desastre es cualquier evento que, cuando ocurre, tiene la capacidad de

interrumpir el normal proceso de una empresa.

La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el

impacto podría ser tan grande que resultaría fatal para la organización. Por otra

parte, no es corriente que una organización responda por sí mismo ante un

acontecimiento como el que se comenta, se deduce la necesidad de contar con

los medios necesarios para afrontarlo. Estos medios quedan definidos en el Plan

de Recuperación de Desastres que junto con el Centro Alternativo de Proceso

de Datos constituye el Plan de Contingencia de las necesidades que coordina,

las necesidades del negocio y las operaciones de recuperación del mismo.

Son puntos imprescindibles del plan de contingencia:

Realizar un análisis de riesgos de sistemas críticos que determine la

tolerancia de los sistemas.

Establecer un periodo crítico de recuperación, en la cual los procesos

deben ser reanudados antes de sufrir pérdidas significativas o

irrecuperables.

Realiza un análisis de aplicaciones críticas porque se establecerán las

prioridades del proceso.

Determinar las prioridades del proceso por días del año, que indiquen

cuales son las aplicaciones y sistemas críticos en el momento de ocurrir

el desastre y el orden de proceso correcto.

Establecer objetivos e recuperación que determinen el periodo de

tiempo(horas, días, semanas) entre la declaración de desastre y el

momento en el que el centro alternativo puede procesar las aplicaciones

críticas.


8/53


8

Designar entre los distintos tipos existentes, un centro alternativo de

proceso de Datos.

Asegurar la capacidad de las comunicaciones

Asegurar la capacidad de los servidores Back-up

5.1.3 Después.

Los contratos de seguros vienen a compensar, en mayor o menor medida las

pérdidas, gastos o responsabilidades que se puedan derivar para el centro de

proceso de datos una vez detectado y corregido el fallo. De la gama de seguros

existentes se pueden indicar los siguientes:

Centro de Proceso y Equipamiento: se contrata sobre el daño físico en

el CPD (Centro de Procesamiento de Datos) y el equipo contenido en él.

Reconstrucción de medios de software: cubre el daño producido sobre

medios software tanto los que son de propiedad del tomador de seguro

como aquellos que constituyen su responsabilidad.

Gastos extra: cubre los gastos extras que derivan de la continuidad de

las operaciones tras un desastre o daño en el Centro de Proceso de

Datos. Es suficiente para compensar los costos de ejecución del Plan de

Contingencia.

Interrupción del negocio: cubre las pérdidas de beneficios netos

causadas por la caídas de los medios informáticos o por la suspensión de

las operaciones.

Documentos y registros valiosos: se contrata para obtener una

compensación en el valor metálico real por la pérdida o daño físico

sobre documentos y registros valiosos no amparados por el seguro de

reconstrucción de medios de software.


9/53


9

Errores y Omisiones: proporciona protección legal ante la

responsabilidad en que pudiera ocurrir que un trabajador que cometiera

un acto, error u omisión que ocasione una pérdida financiera a la

organización.

Cobertura de fidelidad: cubre las pérdidas derivadas de actos

deshonestos o fraudulentos cometidos por empleados.

Transporte de medios: proporciona cobertura ante pérdidas o daños a

los medios transportados.

Contratos con proveedores y de mantenimiento: proveedores o

fabricantes que aseguren la existencia de accesorios y consumibles, así

como las garantías de fabricación.

5.2 Conceptos Generales.

5.2.1 Privacidad

Se define como el derecho que tienen los individuos y organizaciones para

determinar, ellos mismos, a quien, cuando y qué información referente a ellos

serán transfundidas o transmitidas a otros en concordancia con la Ley Nº 27806

de Transparencia y Acceso a la Información Pública.

5.2.2 Seguridad

Se refiere a las medidas tomadas con la finalidad de preservar los datos o

información que en forma no autorizada, sea accidental o intencionalmente,

puedan ser modificados, destruidos o simplemente divulgados.

Es el caso de los datos de una organización, la privacidad y la seguridad guardan

estrecha relación, aunque la diferencia entre ambas radica en que la primera se


10/53


10

refiere a la distribución autorizada de información de acuerdo a una Ley ya dada,

mientras que la segunda, al acceso no autorizado de los datos.

El acceso a los datos queda restringido mediante el uso de palabras claves a

través de los Sistemas de Información que utilizamos en la DREU, de forma que

los usuarios no autorizados no puedan ver o actualizar información de una base

de datos teniendo perfiles definidos para cada usuario.

5.2.3 Integridad

Se refiere a que los valores de los datos se mantengan tal como fueron puestos

intencionalmente en un sistema. Las técnicas de integridad sirven para prevenir

que existan valores errados en los datos provocados por el software de la base

de datos, por fallas de programas, del sistema, Hardware o errores de personas.

El concepto de integridad abraca la precisión y la fiabilidad de los datos, así

como la discreción que se debe tener con ellos.

5.2.4 Datos

Los datos son hechos y cifras que al ser procesados constituyen una

información, sin embargo muchas veces los datos e información se utilizan

como sinónimos.

En su forma más amplia los datos pueden ser cualquier forma de información:

campos de datos, registros, archivos y bases de datos, texto (colección de

palabras), hojas de cálculo (datos en forma matricial), imágenes (lista de

vectores o cuadros de bits), vídeo (secuencia de tramas), etc

5.2.5 Base de Datos

Una base de datos es un conjunto de datos organizados, entre los cuales existe

una correlación y que además, están almacenados con criterios independientes


11/53


12/53


12

5.2.9 Ataque Pasivo

Intento de obtener información o recursos de una computadora personal sin

interferir con su funcionamiento, como espionaje electrónico, telefónico o la

intercepción de una red. Todo esto puede dar información importante sobre el

sistema, así como permitir la aproximación de los datos que contiene.

5.2.10 Amenaza

Cualquier cosa que pueda interferir con el funcionamiento adecuado de una

computadora personal, o causar la difusión no autorizada de información

confiada a una computadora. Ejemplo: Fallas de suministro eléctrico, virus,

saboteadores o usuarios descuidados.

5.2.11 Incidente

Cuando se produce un ataque o se materializa una amenaza, tenemos un

incidente, como por ejemplo las fallas de suministro eléctrico o un intento de

borrado de un archivo protegido.

5.2.12 Golpe (Breach)

Es una violación con éxito de las medidas de seguridad, como el robo de

información, el borrado de archivos de datos valiosos, el robo de equipos, PC,

etc.

6. Seguridad Integral de la Información


13/53


13

La función del procesamiento de datos es un servicio de toda la institución, que apoya no

sólo a los sistemas de información administrativa sino también a las operaciones

funcionales. La Seguridad un aspecto de mucha importancia en la correcta Administración

Informática, lo es también de toda la Institución.

Las medidas de seguridad están basadas en la definición de controles físicos, funciones,

procedimientos y programas que conlleven no sólo a la protección de la integridad de los

datos, sino también a la seguridad física de los equipos y de los ambientes en que éstos se

encuentren.

En relación a la seguridad misma de la información, estas medidas han de tenerse en

cuenta para evitar la pérdida o modificación de los datos, información o software inclusive,

por personas no autorizadas, para lo cual se deben tomar en cuenta una serie de medidas,

entre las cuales figurarán el asignar números de identificación y contraseñas a los usuarios.

1.1 Back-UP

Es la actividad de respaldo de información de las bases de datos de los Sistemas de

Información que se manejan en la entidad.

1.2 Cloud Computer

Es el resguardo de información en la nube de internet.


14/53


14

CAPITULO II: FASES DE LA METODOLOGIA PARA EL DESARROLLO DE UNPLAN DE CONTINGENCIA DE LOS SISTEMAS DEINFORMACIÓN.

Para determinar un modelo de un Plan de Contingencia mucho dependerá de la

infraestructura de nuestra entidad y de los servicios que se ofrecen. No existe un modelo único

para todos, lo que se intenta es dar los puntos más importantes y fases que considera el INEI

en base a la experiencia de las entidades públicas.

La presente metodología se podría resumir en 8 fases:

Planificación: preparación y aprobación de esfuerzos y costos

Identificación de Riesgos: Funciones y flujos del proceso de la empresa

Identificación de soluciones: Evaluación de riesgos de fallas o interrupciones.

Estrategias: Otras opciones, soluciones alternativas, procedimientos manuales.

Documentación del Proceso: creación de un manual del proceso.

Realización de pruebas: selección de casos soluciones que probablemente funcionen.

Implementación: creación de soluciones requeridas, documentación de los casos.

Monitoreo: Probar nuevas soluciones o validar los casos.

FASE I: PLANIFICACIÓN

1.1 Diagnóstico

La Dirección Regional de Educación de Ucayali actualmente viene sufriendo una falta de

infraestructura propia. Las Áreas y diferentes oficinas se encuentran distribuidas en 5

locales temporales de funcionamiento:


15/53


15

LOCAL 1: Av. Saenz Peña 220; donde funcionan las oficinas de Remuneraciones,

Computo y Pensiones.

LOCAL 2: Sub-cafae Av. Pedro Paiva Nº214: donde funcionan las oficinas de

Administración( Personal, Contabilidad, Tesorería, Presupuesto,Abastecimiento,

Escalafón, Patrimonio), Secretaria General, Dirección.

LOCAL 3: DGP Jr. Iquitos 383, donde funcionan las oficinas de la Dirección de

Gestión Pedagógica.

LOCAL 4: DGI I.E Jorge Chávez, donde funcionan las oficinas de la Dirección de

Gestión Institucional.

LOCAL 5: I.E. COMERCIO, donde funciona el Órgano de Control Institucional.

Cada Local tiene una conexión independiente de red e Internet. Cada Local 2, 3, 4 y 5

cuenta con servicio de Internet Speedy y una red LAN. El Local 1 cuenta con una

interconexión LAN/WAN con el Ministerio de Educación y el servicio de Internet es a

través de fibra óptica, contando además con servició de telefonía IP. Sin embargo

únicamente están siendo favorecidas por este servicio gratuito las oficinas de este Local.

Todas las infraestructuras no son las adecuadas para las personas ni para los equipos, ni

para la información. Sin embargo dentro de los limitados recursos presupuestales con lo

que contamos se han adecuado las oficinas para continuar con las labores de esta

Dirección Regional.

En total en la Dirección Regional existen 41 Oficinas las cuales están distribuidas en los 5

Locales que describimos inicialmente, y dichos locales no son propios, se encuentran en

calidad de préstamo o alquiladas, teniendo muchas veces que regirnos a los servicios que

nos puedan brindar para el compromiso de nuestras funciones.

Otro tema es que actualmente las reuniones de coordinación entre las áreas no se

encuentran tan fluidas ni frecuentes como eran con anterioridad cuando nos

encontrábamos en un mismo local.


16/53


16

No se pueden implementar infraestructuras con mejores tecnologías debido a que los

locales con los que contamos actualmente no son propios y hacerlo implicaría un mayor

costo.


17/53


17

1.1.1 Organización Estructural y Funcional


18/53


18

Se Cuenta con un ROF y MOF, en el que se describen las funciones de cada Área y cada

personal que se encuentra dentro de ella.

La Dirección de Educación de Ucayali cuenta con 5 direcciones:

Dirección General

Dirección de Administración, Infraestructura y Equipamiento.

Dirección de Gestión Institucional.

Dirección de Gestión Pedagógica.

Dirección de Asesoría Legal

Dirección General:

Tiene a su cargo dos oficinas:

Secretaría General – Mesa de partes: donde se realizan los procesos de trámite

documentario de entrada y salida de la entidad.

Imagen Institucional: que se encarga de difundir las actividades institucionales delDirector Regional

Dirección de Administración, Infraestructura y Equipamiento

Tiene a su cargo a las siguientes oficinas:

Personal: se encarga de la administración de los recursos humanos de la

Institución, así como de los docentes y administrativos de Educación Superior de

la Región.

Procesos Administrativos: se encarga de realizar los procesos administrativos

al personal de la DREU y Educación Superior cuando existan denuncias de la

ciudadanía u otros organismos.

Pensiones: Se encarga de tramitar la documentación y pagos del personal Cesante

de la Ley 20530.


19/53


19

Bienestar Social: se encarga de velar por el bienestar de los recursos humanos

cuando estos se encuentren gozando de licencias por salud u otros.

Remuneraciones/Computo: En el caso del Área de Remuneraciones se encarga

de programar mensualmente las planillas de personal activo de la DREU y de

Educación Superior. Computo: se encarga del monitoreo y procesamiento de los

Sistemas de Información con los que cuenta la entidad, así como también el

monitoreo de la Red LAN/WAN con el Ministerio de Educación, entre otros.

Escalafón: se encarga de elaborar las fichas escalafonarias de todo el personal de

la DREU y Educación Superior de la Región.

Infraestructura: Se encarga de verificar, monitorear y tratar temas sobre la

infraestructura de la DREU y los locales de Educación Superior de la Región.

Abastecimiento: se encarga de la distribución de bienes y servicios durante el año

en las oficinas de la DREU.

Patrimonio: Registrar los Bienes muebles e inmuebles de la DREU

Almacen: almacenar materiales, útiles de oficina para su distribución a la

entidad

Servicios y Guardianía: Vigilancia a los locales de la DREU y servicios de

transporte local.

Contabilidad: se encarga de realizar los estados financieros, compromisos

presupuestales de la entidad, entre otros.

Tesorería: se encarga de efectivizar el pago de las planillas, viáticos y bienes y

servicios de la entidad

Pagaduría: se encarga de la entrega de las Boletas de Pago de todas las

planillas que se realizan en la entidad.

Dirección de Gestión Institucional : se encarga de tratar temas cruciales en las

decisiones institucionales de la DREU.

Tiene a su cargo las siguientes oficinas:

Planificación: realiza los documentos de gestión, planes operativos de la DREU.

Presupuesto: formula, elabora y aprueba el presupuesto Institucional.


20/53


20

Racionalización: se encarga de administrar las plazas presupuestales y la

elaboración del Presupuesto Analítico de Personal anualmente

Estadística: se encarga de ingresar al Sistema Estadístico la información de la

jurisdicción en coordinación con el INEI

Dirección de Gestión Pedagógica: Se encarga de velar por los temas Pedagógicos de la

Región de acuerdo a los niveles educativos.

Tiene a su cargo las siguientes oficinas:

Educación Inicial

Educación Primaria

Educación Secundaria

Tutoría y Prevención Integral

Tecnología Informática y Comunicación

Alfabetización

Educación Especial

Educación Técnica Productiva

Educación Superior

Investigación Educativa

Educación Bilingüe intercultural

Educación Rural

Educación Cultura y deporte

Redes Educativas

Dirección de Asesoría Legal: Se encarga de tratar los requerimientos jurídicos de la

DREU.

Oficina de Control Institucional: Se encarga de tratar temas de control interno

teniendo como ente rector a la Contraloría.

1.1.2 Servicios y/o bienes producidos

La Dirección Regional de Educación de Ucayali es una entidad estatal de línea que

depende jerárquicamente y presupuestalmente del Gobierno Regional de Ucayali cuya

supervisión está a cargo de la Gerencia de Desarrollo de Social del mismo y depende


21/53


21

para sus funciones técnico/normativo del Ministerio de Educación, responsable de

dirigir, coordinar y evaluar el desarrollo de la educación, la ciencia, tecnología, la

cultura, la recreación y el deporte en su ámbito, con participación de los diferentes

actores sociales (docentes, administrativos, ciudadanía en general) a fin de asegurar

servicios administrativos, educativos y programas de atención integral de calidad y

con equidad en los centros y programas educativos, y en las instituciones de

educación superior no universitaria del ámbito regional.

A continuación se puede apreciar la relación de los diferentes actores que forman

parte de los clientes de la Dirección Regional de Educación de Ucayali, así como

también sus servicios y bienes finales que reciben por parte de nuestra entidad.

Cuadro Nº 01: Servicios y Bienes de la DREU

Los bienes y servicios que se brindan en la Dirección Regional son continuos y

dentro de plazos determinados, algunos de ellos se emiten de manera anual,

semestral, mensual, quincenal, semanal y diaria.

Los servicios que tienen mayor demanda son los pagos mensuales del personal

docente y administrativo de la jurisdicción es decir de los funcionarios, personal

administrativo, pedagógico de la DREU y del personal Docente y Administrativo

de los Institutos Superiores de toda la Región.

1.1.3 Servicios y Materiales UtilizadosDe acuerdo a los servicios que se utilizan en la Dirección Regional de Educación de

Ucayali se muestran los Directorios de las empresas e Instituciones que nos abastecen

Clientes Servicios Bienes

personal docente Trámites Administrativos Resoluciones

personal administrativo Pagos de Planilla Certificados

persona natural

atención a sentencias

judiciales Constanciasempresas juridicas Concursos Boletas

sindicatos Descuento por Planilla Informes

entidades del Estado Respaldo de Información Oficios

entidades autónomas decontrol Búsqueda de Información Cheques


22/53


22

de los servicios básicos y materias primas o insumos para la producción de

Información:

Directorio de empresas o Instituciones que Abastezcan de Energia, Comunicación, Transporte, Agua, Salud

Nombre de la Empresa uEntidad

Titular o Representante dela Empresa

Dirección Teléfonos/Celulares

Ciudad

Electro Ucayali S.AJose Julio RibeyroDellepiane Av. Circunvalación Nº 300 061-570303 Pucallpa

Emapacop S.A Reinaldo Castillo Morales Jr. Julio C. Arana Nº433 061-575005 Pucallpa

Teléfonica del Perú S.A.A Calle Schell Nº 310 01-2106245 Lima

1.1.4 Inventario de Recursos Informáticos.

En los Anexos del presente Plan de Contingencia de Sistemas de Información, se

adjunta los inventarios de recursos Informáticos y son los siguientes:

Equipos Informáticos: Computadoras Personales, Laptops (Celeron, AMD, Dual

Core, I3, I5), impresoras, scanners, proyectores, etc.

Programas: Sistemas Operativos, procesadores de Textos, hojas de cálculo,

lenguajes de programación, software de base de Datos.

Aplicativos Informáticos: de los Sistemas implantados en la DREU- Sede

Equipos empotrados: Cajas fuertes, gabinetes, centrales telefónicas.

El procesamiento de estos inventarios se elaboró con el tipo de procesamiento

Manual.

Dado que dentro del Plan Operativo Informático que se encuentra en verificación por

la Dirección de Gestión Institucional se está considerando como una de las actividades

informáticas la adquisición de un aplicativo para realizar los inventarios de los equipos

Directorio de entidades abastecedoras de materias primas o insumos para la producción de informacion

materiales de oficina, computadoras, impresoras, toner, cartuchos

Nombre de la Empresa u EntidadTitular o Representante de la

EmpresaDirección

Teléfonos/Celulares

Ciudad

Villacorta Montoya José Luis Villacorta Montoya José Luis Jr. Inmaculada Nº 494 961903846 Pucallpa

Villacorta CorporaciónPapelera EIRL Villacorta Montoya José Luis Jr. Inmaculada Nº 494 961903846 Pucallpa

Villar Martinez Dario Abraham

Villar Martinez Dario Abraham

Jr. Coronel Portillo Nº399 961986909 Pucallpa

PC RED Santillán Ruiz Friedler Jr. Salaverry Nº 629 961607629 Pucallpa


23/53


23

de cómputo de manera física(Hardware) y lógica(Software) para que el procesamiento

del inventario sea de forma Automatizada.

FASE I: PLANIFICACIÓN

1.2 Planificación

Se tratarán de definir una serie de actividades de contingencia y asegurar la continuidad

de las labores de la Institución.

Definición clara del alcance : En la Dirección Regional de Educación de Ucayali no

pueden dejar de funcionar los Sistemas de Información administrativos y de gestión

como son: de Control de Plazas (NEXUS), Planillas de pago (SUP), Racionalización(SIRA),

así como también los sistemas contables SIAF, abastecimiento y tesorería SIGA. Por lo

que su continuidad está sujeta a la Infraestructura y ambientación óptima con la que

contamos, a la antigüedad y garantías de los equipos Informáticos y los equipos de

alimentación que deben ser ininterrumpibles en todos los servidores en el que se

encuentren alojados estos Sistemas de Información.

FASE II: IDENTIFICACION DE RIESGOS

En esta fase se busca minimizar las fallas generadas por cualquier

incidente que va en contra del normal funcionamiento de los sistemas de

información de la entidad, a partir de los análisis de las actividades que se

encuentran en evaluación presupuestal a través del POI( Plan Operativo

Informático) que se encuentra en la Dirección Institucional los cuales tienen

que ser implementados a tiempo.

Entonces a partir de ello es necesario que exista un análisis económico y legal

para que se lleven a cabo estas actividades informáticas que son cruciales para


24/53


24

asegurar el funcionamiento de los Sistemas de Información de manera óptima.

Ya que las fallas que se presentarían en los Sistemas de Información que

manejamos dependen de la atención que nos brinden a estas actividades.

2.1 Análisis y Evaluación de Riesgos.

Para identificar los riesgos potenciales que afectan a la Dirección regional en cuanto a sus

servicios se debe considerar como primer paso la reducción de Riesgos, de esta manera

se logrará cumplir con los objetivos institucionales.

Diagnóstico Integral de los Sistemas de Información.

La Dirección Regional de Educación de Ucayali depende presupuestalmente del

pliego: Gobierno regional de Ucayali y Ministerio de Economía y finanzas y

normativamente - funcional depende del Ministerio de Educación.

Los sistemas de Información que se maneja en esta sede son de carácter

estándar, su uso es obligatorio y son los siguientes:


25/53


25

- SUP : Sistema Unico de Planillas

- NEXUS: Administración de Plazas

- SIRA: Sistema de Información de racionalización.

- SIAF: Sistema integrado de Administración Financiera.

- MCPP: modulo Control de Pagos y Planillas.

- RNSDD: Registro Nacional de Sanciones, Destitución y Despidos.

- SIGA: Sistema Integrado de Gestión Administrativa.

- AIRH: Aplicativo Informático de Recursos Humanos

Los que no son de uso obligatorio y realizados por el centro de cómputo son:

- Aplicativo para planilla CAS y PROGRAMAS

- Aplicativo para Importación de datos para PDT

- Aplicativo para Planillas de Deudas Sociales, CTS, Luto y Sepelio.

Se debe asegurar la continuidad y el uso de estos sistemas y aplicaciones que son de

suma importancia en los servicios que se realiza en la Sede Regional.

Servicios afectados en orden de importancia, magnitud del impacto.

a. Pago de Planillas

b. Pago de retenciones y PDT

c. Control de plazas

d. Liquidaciones de Deudas Judiciales.

e. Pago de proveedores

f. Viáticos


26/53


26

Identificación de los procesos de los servicios afectados.

1. Elaboración de Planillas de Pago(Cesantes, Activos, CAS y programas) a través

del SUP y otros aplicativos.

2. Ingreso y actualización de datos en el AIRH.

3. Procesamiento de Planillas de Pago a través del SUP y otros aplicativos.

4. Ingreso y validación de datos en el MCPP.

5. Compromiso, Devengado y Girado de planillas en el SIAF

6. Emisión de retenciones de Planillas

7. Elaboración y declaración virtual del PDT

8. Actualización y envío de Información a través del NEXUS semanalmente.

9. Actualización de datos en el SIRA.

10. Registro de Ordenes de Servicio al SIGA

11. Ingreso de órdenes de servicio al SIGA

12. Compromiso, devengado y girado de Ordenes de servicio al SIAF

13. Ingreso de Viáticos al SIGA

14. Compromiso, devengado y girado de viáticos al SIAF.

15. Actualización de datos al RNSDD

2.2 Identificación de los procesos Críticos

Estos procesos los consideramos como críticos porque causarían el mayor impacto

negativo en los servicios y en las funciones críticas de nuestra sede:

1. Digitación y Procesamiento de Planillas(cesantes, activos, CAS y Programas)

2. Compromiso, devengado y girado de planillas, ordenes de servicio y viáticos.

3. Actualización de datos en el AIRH

4. Actualización de datos en el MCPP


27/53


27

5. Actualización de datos y envío de información del NEXUS

6. Actualización del SIRA.

7. Actualización del RNSDD.

8. Registro de Control de Asistencia.

2.3 Análisis de las Operaciones actuales.

Actualmente las operaciones en la Dirección Regional de Educación de Ucayali se realizan

de la siguiente manera:

Operaciones Porcentaje Descripción

Automatizada 80% Se hace uso de SUP,SIAF,SIGA,

NEXUS,AIRH, etc

Manual 20% Trámite documentario

TOTAL 100%

FASE III: IDENTIFICACION DE SOLUCIONES

En plan de contingencias se debe contemplar todos los procesos de la Institución sean

manuales o automatizados, evaluando el volumen de la información o materiales

afectados a fin de definir la complejidad de los sistemas.

Se debe considerar 3 aspectos importantes para el presente plan de contingencias:

o Complejidad de los Sistemas de Información.

o Importancia de los Sistemas de Información.

o Costo del servicio para proteger los Sistemas de Información.

o Riesgo asociado a cada servicio.


28/53


28

3.1 Identificación de Alternativas de Solución.

Consideramos las siguientes alternativas de emergencia para la recuperación de fallas:

o Necesidad de personal adicional.

o Servidores Backup que suplan fallas de los servidores principales.

o Contar con convenio con empresas informáticas que brinden servicios serios y

con garantías para los equipos, y puedan asistirnos ante una eventualidad en la

falla de equipos de hardware y software.

o Contar con convenio con una empresa para un sitio y el resguardo de los

Backups de los diferentes Sistemas de Información que maneja la Institución.

o Contar con un parqueo de UPS para los servidores y Pcs que cuenten con el

mayor tiempo de tolerancia, así mismo se debe contar con suministro de

energía eléctrica: generadores ante cualquier eventualidad.

o Contar con un Sistema de alarma contra incendios

o Convenio con empresas que revisen y den mantenimiento 4 veces al año como

mínimo al sistema eléctrico de la sede.

o Conformar un comité de Seguridad de la Información en la entidad integrado

de manera obligatoria por los siguientes cargos en la Institución:

- Administrador

- Especialista Administrativo II (Recursos humanos)

-

Especialista Administrativo II (Abastecimiento)

- Analista de Sistemas II( Informática)

- Planificador II.

- Especialista en Finanzas II (Presupuesto)

- Ingeniero II (Infraestructura)

- Operador Pad II (Soporte técnico).


29/53


29

o Programa de Vacaciones para que siempre exista personal necesario que supla

las funciones de los miembros del Comité de Seguridad de la Información ante

cualquier eventualidad en caso de vacaciones, licencias u otros.

o Contar con un centro opcional de procesamiento de información ante

cualquier incidente que sufra el Centro de Cómputo.

o Que se adquiera un antivirus corporativo anual para todos los equipos de la

Institución.

o Programa de mantenimiento y actualización de hardware(físico) y

Software(Lógico) de todos los equipos informáticos en todas las áreas de la

DREU.

o Que se validen y se apruebe anualmente el Plan Operativo Informático del año

en curso.

3.2 Seguridad en Redes

En la Dirección Regional de Educación no contamos con una Red local de la Institución,

existen redes LAN en los 5 locales temporales en los que nos encontramos. Sólo contamos

con una RED LAN/WAN con el Ministerio de Educación con servicio gratuito de voz y datos

y no lo estamos aprovechando al 100%, debido a que en el lugar donde se encuentra

instalado esta conexión no existe la infraestructura optima y la organización Defensa civil

lo ha declarado como lugar inhabitable.

Otro punto que agregar es que el servidor de dominio es antiguo no pudiendo instalarse

ni repotenciarse porque su sistema operativo ya no se encuentra vigente en el mercado

debiendo renovarse lo más pronto posible: Todos estas observaciones y requerimientos

se ha indicado en el Plan Operativo Informático que se encuentra en verificación para su

aprobación.


30/53


30

3.2.1 Las funciones de Seguridad de Red.

Se considera lo siguiente:

el anfitrión promiscuo: debemos evitar e implementar los controles para que

nuestra red no esté vulnerable a que otros puedan romper cualquier cuenta y

acceder a ella, para ello nosotros actualmente contamos con una ventaja por

parte del Ministerio de Educación que implementó un PROXY para que todas las

Direcciones Regionales y UGELs no puedan acceder a aplicaciones y sitios web no

autorizados así como también la descarga de archivos está siendo protegida por

un antivirus corporativo; faltando que de todas maneras se implementé un PROXY

dentro de la red local y las demás REDES independientes que actualmente están

habilitadas en los diferentes locales.

Autentificación: a pesar de que nuestro servidor de dominio esté desactualizado y

con recursos limitados para su funcionamiento, se implementó una protección en

el acceso, logueándonos en cada inicio de sesión al servidor de dominio.

Autorización: Las unidades compartidas en el servidor se encuentran a modo de

lectura y se ha creado grupos para los usuarios que adquieren al sistema de

planillas en este caso, sólo contamos con grupos de usuarios del Sistema Unico de

Planillas.

Contabilidad: se debe implementar una estrategia de conteo para examinar e

identificar el número de intentos de acceso a nuestra Red diariamente.


31/53


31

3.2.2 Componentes de Seguridad

A los usuarios de la red en la Dirección Regional se debe clasificarlos de acuerdo a

los 3 niveles de acceso:

Nivel de Administración: diseñan, mantienen y ponen en marcha la red: el

administrador de Red o personal confiable de soporte y administración de

equipos.

Usuarios fiables: usuarios sujetos a cumplir las normas con record de buena

conducta pueden contar con una cierta libertad de acceso a la Red.

Usuarios vulnerables: los que muestran falta de competencia, con record de

pérdidas de archivos, que son excesivamente curiosos y no se pueden confiar,

debemos darles más restricciones de acceso a la Red.

3.2.3 Control de acceso a la Red.

En la Dirección Regional de Educación el personal de vigilancia capacitado y

conocedor de temas de seguridad de la Información debería tener llaves y la

puerta debe ser segura, tener sistemas biométricos, tarjetas inteligentes.


32/53


32

Identificación para la red con clave de acceso.

Protección con clave de cada grupo en la Red, sobre todo en las áreas que se

maneja mucha información y cada usuario debe tener restricciones de

aplicaciones que no está designado a utilizar..

Debe haber un registro de las actividades en cada estación de trabajo a

través de una aplicación que reporte (que lo guarde en un servidor de datos)

a la hora que cada usuario apague el equipo.

Protección de usuarios vulnerables con clave o bloqueo a todas las

operaciones de copia a disco duro externo, CD-DVD o USB.

Monitorear las copias o eliminación de archivos de dispositivos externos.

3.2.4 Protección del Servidor.

Actualmente dentro del Plan Operativo presentado a las oficinas competentes, se

está solicitando la adquisición de un parqueo de servidores, ya que únicamente la

Dirección Regional de Ucayali cuenta con un servidor de datos(Planillas), uno de

respaldo que se encuentra obsoleto, faltando varios más para diferentes tipos de

soluciones que se necesita implementar, ya que un servidor es la parte más

importante de la Red, allí se concentran los datos que todos los usuarios de la

Sede ingresa, actualizan y utilizan por lo tanto es necesario y urgente protegerlo

de cualquier eventualidad. No debe ser accesible para nadie más que para el

administrador de la Red.

Por ese motivo en los servidores se necesitan efectuar copias de seguridad de

acuerdo a las políticas que cada Sistema de Información tiene. Estas copias deben

estar guardadas en un lugar cerrado, seguro y con óptimas condiciones

ambientales. Otra copia de los mismos archivos de resguardo deben ser

custodiados en otro local o un lugar seguro (empresas que brindan servicio de

custodia de datos, Instituciones afines con mejor infraestructura y condiciones


33/53


34/53


34

Actualización del AIRH inter-diariamente dependiendo de los nuevos ingresos y/o

modificaciones que se realicen en el SUP,

Actualización del SIRA, RNSDD, y otros.

Sistemas de Información y Orden de Prioridad.

Prioridad S.I Transacción Descripción Dias de usoResguardo deinformación

Programa

1SistemaNexus

consulta,actualización, ingresode datos

Control de Plazas ymovimientos de personal

todos los diasTodos losViernes

mysql (cliente/servidor)

2Sistema de

Planillasconsulta, digitación,procesamiento

Proceso de Pagos todos los dias mensualsybase

(cliente/servidor)

3 AIRH Ingreso, actualización Alta y Baja de personal delSector

condicional ala situacióndel personal

se guardaautomáticamenteen la Bdd delMEF

web - en línea

4 MCPPingreso deinformación,modificación

Control de Pago dePlanillas antes de seringresado al SIAF

dias de pago


SqlServer(cliente/servidor)

5 SIAF

ingreso deinformación,modificación,actualización

para compromiso, girado ydevengado contable yfinanciero

todos los dias


SqlServer(cliente/servidor)

6 SIGA

ingreso deinformación,modificación,actualización

gestión para actividades de

contratación yadquisiciones del Estado

todos los dias semanalSql Server(cliente/s

ervidor)

7 RNSDDingreso deinformación

Registrar sanciones ydespidos de personal de laentidad

condicional alainformación

se guardaautomáticamenteen la Bdd deSERVIR

web - en línea

8

aplicativosCAS, PDT

yprogramas

importación deinformación, registro,emisión de reportes,procesamiento

planillas de pago varias yelaboración del PDT

10 dias mensual Visual FOX

En la Dirección Regional se necesita que todos estos sistemas de Información

continúen funcionando sin ningún inconveniente día a día, para ello se debe contar en

primer lugar con una Infraestructura Institucional luego la implementación de un

centro de datos con las características óptimas y un centro de datos opcional, con un

sistema de seguridad y de redes optimo que asegure la operatividad de los sistemas

de Información y se logre tener una buena administración del mismo, ante cualquier

eventualidad. Además es imprescindible la adquisición de un parqueo de servidores, y

equipos de comunicaciones acordes a las tecnologías actuales.


35/53


35

Actualmente se ha considerado dentro del Plan Operativo actividades informáticas

claves para empezar el trabajo de implementación de la seguridad de la Información

en nuestra Institución.

4.2 Preparativos para la Identificación de soluciones preventivas

Respaldar la información importante en medios magnéticos, Tape Backup, CD-DVD,

Discos externos: respaldar INFORMACION y no las aplicaciones.

Tener a disposición los CDs de Instalación de los sistemas operativos vigentes.

Contratar servicio de antivirus corporativo anual y con garantías para todas las

máquinas de la institución.

Guardar una copia de los manuales, documentación de los sistemas .

Realizar con una empresa tercera en servicios informáticos el mantenimiento

preventivo de las pcs personales y servidores de la institución dos veces al año.

4.3 Medidas de Precaución y Recomendación.

Área de Informática.

En este caso, en la Dirección Regional de Educación no contamos con un área de

informática, sino con un Centro de Cómputo.

• Es recomendable que el Centro de Cómputo no se encuentre ubicado en áreas de alto

tráfico ni cerca de las zonas de pista.

• Hasta hace algunos años la exposición de los Equipos de Cómputo a través de grandes

ventanales, constituían el orgullo de la organización, considerándose necesario que

estuviesen a la vista del público, siendo constantemente visitados. Esto ha cambiado

de modo radical, principalmente por el riesgo de huelgas, protestas,


36/53


37/53


38/53


38

El lugar debe contar con las luminarias adecuadas.

Tiene que contar con un sistema de emergencia contra incendios con alarmas y

protección.

Contar con sensores de temperatura, incendio, flujo de corriente, humedad, agua,

movimiento. Estos sensores deben ser manejados por una central que comunique

mediante mensajes de texto o llamadas telefónicas a los responsables.

Deben contar con los gabinetes para servidores, equipos de comunicación, central

telefónica y todo lo que requiera en el centro de datos.

Debe contar con un área de almacén para los accesorios que se tengan de los equipos

y tengan que estar a buen recaudo.

Debe contar con cámaras video vigilancia de seguridad para el ingreso, dentro del

centro de datos, y áreas que se considere necesarias.

Servidores vigentes y actuales para la demanda según su necesidad.

Se debe contar con un cableado eléctrico y de datos para todo el centro de datos, así

como para sus áreas usuarias.

Se debe contar con un grupo electrógeno sincronizado con el ups y el sistema eléctrico

del proveedor para que se active cuando haya un corte de energía.

Las puertas de acceso deben ser metálicas y recubiertas con un material adecuado

para evitar el óxido y el deterioro por el clima y el ambiente, apertura hacia afuera -

giro posible de 180°

Contratar personal para limpieza especializada del Centro de Cómputo.

El modelo de seguridad a implementar, estará basado en el entorno y en la política y

estrategias de la instalación.


39/53


39

FASE V: REALIZACIÓN ESTRATEGIAS

5.1 Plan de recuperación de Desastres.

A continuación se listan los desastres que pone en riesgo a los Sistemas de Información y

al Centro de Cómputo:

a. Robo Común de equipos y archivos.

b. Virus Informático.

c. Terrorismo

d. Desastres naturales, terremotos, inundaciones.

e. Manipulación y Sabotaje.

f. Fallas en el Hardware, Software y comunicaciones.

g. Equivocaciones.

h. Fallas en el suministro Eléctrico.

i. Incendio.

Es importante que si en caso ocurra uno de estos desastres es necesario que se conozca a

detalle el motivo que lo originó y el daño que ha producido, lo que permitirá recuperar en

el menor tiempo posible el proceso perdido.

La elaboración de los procedimientos a seguir para un caso de emergencia deben ser

obligatorias y bajo la responsabilidad de todos los integrantes de los mismos, incluyendo

procesos de verificación de su cumplimiento y en cada proceso deben estar involucrado

todo el personal de la Institución.

Los procedimientos de los planes de recuperación de desastres deben de emanar de la

máxima autoridad institucional para garantizar su difusión y estricto cumplimiento.


40/53


40

Existen 3 etapas para realizar el Plan de Recuperación de desastres:

Actividades previas al desastre

Actividades durante el desastre

Actividades después del desastre

5.1.1 Actividades previas al Desastre.

Son todas las actividades de planeamiento, preparación, entrenamiento y ejecución

del resguardo de la información que nos asegurará un proceso de recuperación con

el menor costo posible a nuestra institución.

Aquí debería ya estar conformado el comité Institucional de Seguridad de la

Información conformando equipos operativos para los planes de evaluación del

cumplimiento de los procedimientos de seguridad.

Plan de Acción

Se debe considerar lo siguiente:

Sistemas de Información

Equipos de Cómputo

Obtención y almacenamiento de los Respaldos de Información(BACKUPS)

Politicas: normas y procedimientos de backups.

a. Sistemas de Información

La DRE Ucayali debe tener una relación de los sistemas de información con los

que cuenta, tantos los que han sido provistos por entidades como el Ministerio

de Educación, Ministerio de Economía entre otros, así como también los que

han sido hechos por personal de la misma institución , debiendo identificar

toda la información sistematizada o no, que sea necesaria para la buena

marcha institucional:


41/53


41

SISTEMAS DE INFORMACION DE L DIRECCION REGIONAL DE EDUCACION DE

UCAYALI

Nº S.ILenguaje/manejador

Base de datosÁrea donde segenera la data

utilizan lainformación

volumende

archivosTransac. equipos

fechas que senecesita la

información

actividades pararestaurar

1SistemaNexus

mysql cliente/servidor Personal Personal 1 GB 10 diarias

1 servidor 1ups ( nocontamoscon elequipo)

todos los diascontar con unservidor con UPS

2Sistema

dePlanillas

sybase - Visual basiccliente/servidor

Centro deComputo/MED

remuneracionespensiones/centro

de computo9.50 GB 1000 diarias

1servidornuevo(reparacióndel actualparabackup)

todos los dias

contar con unservidor derespaldo y UPS demayor tolerancia

3 SIRA Visual FOXRacionalización -

DGIracionalización -

DGI200 MB

50mensuales

1 servidor 1ups ( nocontamoscon elequipo)


4 AIRH web - mozilla firefox MEFremuneraciones/

pensionesPresupuesto

-100mensuales

- todos los diascontar con unservidor con UPS

5 MCPPSql Server

cliente/servidorMEF

remuneraciones/contabilidad

50mensuales

1 servidor+1 ups(nocontamoscon elequipo

funciona enuna I7)

dis previos ala fecha depago

contar con unservidor con UPS

6 SIAFSql Server

cliente/servidorMEF

contabilidad/abastecimiento/

tesoreria/presupuesto/

administración

2 GB2000mensuales

1 servidor+1 ups(nocontamoscon elequipofunciona enuna I7)


7 SIGASql Server

cliente/servidorMEF todas las areas 1 GB 50 diarias

1 servidor+1 ups(nocontamoscon elequipofunciona en

una I7)


8 RNSDD web SERVIRpersonal y

comision deprocesos

-10mensuales

-

condicional alainformación aactualizar

se guardaautomáticamenteen la Bdd deSERVIR

9aplicativo

CASVisual FOX

Centro deComputo

remuneracionescentro decomputo

500 MB50mensuales

servidor +ups (nocontamoscon elequipo)

5 diascontar con unservidor con UPS

10

aplicativode

programaspptales

Visual FOXCentro deComputo


500 MB50mensuales



11

aplicativoimportación de

archivospara PDT

Visual FOXCentro deComputo


500 MB50mensuales




42/53


42

b. Equipos de cómputo

Se cuenta con un inventario actualizado de equipos de cómputo(el cual se

adjunta).

Además es importante que la Institución cuente con una póliza de seguros

para la protección de activos institucionales, pero haciendo la salvedad en el

contrato que en casos de siniestros, la restitución de los equipos de cómputo

se podrá hacer por otro de mayor potencia (por actualización tecnológica)

siempre y cuando este dentro de los montos asegurados.

El Área de Patrimonio deberá etiquetar a las computadoras y servidores con

una señalización que indique la importancia de cada equipo para que en caso

de evacuación sean priorizados los de mayor importancia estratégica e

institucional

c. Backups

Se cuenta con los siguientes Backups:

Backups mensuales del sistema de Planillas (SUP)

Backups del sistema Nexus en archivo y en el correo de todos los

viernes.

Backups del SIRA después de alguna Instalación o actualización(cada

dos meses)

Backups del SIAF(cada dos meses)

Backups de los aplicativos del CAS, PDT y Programas.(mensuales)


43/53


43

d. Políticas de Backups

En la Dirección Regional de Educación se realizan los Backups de los sistemas

de información de acuerdo a políticas de seguridad estipuladas por el

Ministerio de Educación y se resume en el siguiente cuadro:

item S.IPERIODOS DE

BACKUPFECHAS DE

BACKUP

ENTIDADESPARA

RESGUARDO

1 Sistema Nexus semanaltodos losviernes

Personal

2Sistema de

Planillasmensual

despues decada planilla

mensual

remuneracionespensiones/centro

de computo

3 SIRAcada dosmeses

fines de mesracionalización –

DGI

4 AIRH - -remuneraciones/

pensionesPresupuesto

5 MCPP cada dosmeses

MEF MEF/centro decómputo

6 SIAFcada dosmeses

-MEF/centro de

cómputo

7 SIGAcada dosmeses

-MEF/centro de

cómputo

8 RNSDD web - SERVIR

9 aplicativo CAS mensualdespués decada planilla

mensual

Centro deComputo

10

aplicativo de

programaspptales

mensual

después de

cada planillamensual

Centro deComputo

11

aplicativoimportación dearchivos para

PDT

mensualdespués decada planilla

mensual

Centro deComputo


44/53


44

5.1.2 Actividades Durante y Después del Desastre.

Para implementar esta serie de actividades, en la Dirección Regional se tiene que

crear un Comité de Seguridad de la Información que a la fecha no contamos y

como lo dijimos en líneas anteriores debe ser encabezada por el titular de la

entidad seguida por las personas de áreas claves como es Administración,

Recursos Humanos, Informática, Abastecimiento, Presupuesto, Planificación,

Infraestructura, entre otros de la Institución y a la vez debe existir una estrategia

de capacitación, entrenamiento y certificación por personal competente por

ejemplo Defensa Civil en estos temas de seguridad tanto de información,

infraestructura, equipos y de las personas que formaran parte de este comité y

que también esta estrategia debe de incluir la concientización y formación de

equipos de trabajo que involucre a todos los trabajadores en estos temas que

serán siempre para el beneficio y tranquilidad de los mismos y de nuestro trabajo.


45/53


45

FASE VI: IMPLEMENTACIÓN

Esta fase es utilizada cuando han ocurrido o están por ocurrir los problemas. Esta etapa

también se le puede denominar como una prueba controlada.

6.1 De las Emergencias Físicas

CASO A: Error físico de Disco de un servidor (Sin RAID)

1. Ubicar el disco malogrado.

2. Avisar a los usuarios que deben salir del sistema, utilizar anexos, correos o teléfono

móvil.

3. Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso.

4. Bajar los servicios y apagar el equipo.

5. Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y darle

partición.

6. Restaurar el último backup en el disco nuevo.

7. Verificar el servidor con el nuevo disco, explorar los archivos si se encuentra todo en

buen estado.

8. Habilitar los accesos al sistema de los usuarios.

CASO B: Error de Memoria RAM

1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y anexos,

teléfonos a los jefes de área.

2. El servidor debe estar apagado, apagarlo correctamente.

3. Ubicar las memorias malogradas.

4. Retirar las memorias malogradas y reemplazarlas por otras iguales o similares.

5. Retirar la conexión del servidor con el gabinete de la red, esto evitara que al

encenderlo los usuarios ingresen.

6. Realizar pruebas, deshabilitar entradas, luego conectar el cable de red nuevamente,

habilitar el acceso a las estaciones de trabajo y realizar las pruebas.


46/53


46

7. Probar el sistema en diferentes estaciones de trabajo.

8. Finalmente luego de los resultados habilitar las entradas al sistema para los usuarios.

CASO C: Error de Tarjeta controladora de Disco:

1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes o a anexos o

teléfonos móviles a los jefes de área.

2. El servidor debe estar apagado.

3. Ubicar la posición de la tarjeta controladora.

4. Retirar la tarjeta con sospecha de deterioro y tener a la mano otra similar o igual.

5. Retirar la conexión de red del servidor, ellos evitara que los usuarios ingresen

6. Realizar las pruebas locales, deshabilitar las entradas, conectar el cable de red,

habilitar los accesos para los usuarios y realizar las pruebas.

CASO D: Incendio Total.

En el caso que se dé este desastre lo primero es mantener la calma y priorizar

dependiendo la magnitud del siniestro: se debe salvaguardar en primer lugar la

seguridad personal, el equipo y los archivos de información que deben estar en cintas

o CD o discos externos.

1. Mantener la calma

2. Si alcanza el tiempo enviar mensajes en la red de salir y apagar la pc, seguidamente

apagar los servidores.

3. Poner en OFF el tablero eléctrico del centro de cómputo.

4. Tomando en cuenta la magnitud se debe poner a resguardo e ir sacando físicamente el

servidor, abandonando el local o edificio de forma ordenada lo más pronto posible

por las salidas mas cercanas.


47/53


47

CASO D: Inundación

1. Se debe considerar la instalando tarimas de un promedio de 20 cm de altura para la

ubicación de los servidores, para evitar el contacto del agua con el referido.

2. En lo posible los tomacorrientes deben ser instalados a un nivel razonable de altura.

3. Anular las conexiones de toma corrientes que estén en el piso y cambiarlas de

ubicación.

4. Para prevenir cortocircuitos debemos asegurarnos que no exista fuentes de liquidos

cerca a las conexiones eléctricas.

5. Apagar todas las conexiones eléctricas del centro de cómputo.

6. Proveer cubierta protectoras cuando los equipos estén apagados.

CASO E: Fallas de Fluído Eléctrico

1. Si se trata de un corto circuito el UPS mantendrá activo a los servidores y algunas

estaciones, mientras se repara la avería eléctrica o se enciendo el generador.

2. Para el caso de apagón se mantendrá la autonomía de corriente que el UPS nos brinda

(corriente de emergencia(*)) hasta que los usuarios completen sus operaciones para

que corten bruscamente el proceso que tienen en el momento del apagón, hasta que

finalmente se realice el By-pass de corriente con el grupo electrógeno, previo aviso y

coordinación.

3. Cuando el fluido de la calle se ha restablecido se tomarán los mismos cuidados para el

paso de grupo electrógeno a corriente normal (o UPS)

*Llámese corriente de emergencia a la brindada por grupo electrógeno y/o UPS.

**Llámese corriente normal a la brindada por la compañía eléctrica.

***se debe contar con transformadores de aislamiento(nivelan la corriente)

asegurando que la corriente que ingrese y salga sea de 220v, evitando que los equipos

sufran de corto circuito por elevación de voltaje(protegiendo de esta manera las

tarjetas, pantallas, y CPU de los computadores)


48/53


48

6.2 De las Emergencias Físicas

CASO A: Error lógico de Datos.

Se puede dar por los siguientes motivos:

1. Caída del servidor de archivos por falta de software de red.

2. Falla el suministro de energía eléctrica por mal funcionamiento del UPS.

3. Bajar incorrectamente el servidor de archivos.

4. Fallas causadas usualmente por un error de chequeo de inconsistencia física.

en caso de producirse este tipo de casos se debe realizar los siguientes pasos:

PASO 1: Verificar el suministro de energía eléctrica. En caso de estar conforme, proceder

con el encendido del servidor de archivos, una vez mostrado el prompt de DOS, cargar el

sistema operativo de red.

PASO 2: Deshabilitar el ingreso de los usuarios del Sistema.

PASO 3: Descargar todos los volúmenes del servidor, a excepción del volumen raíz de

encontrarse este volumen con problemas, se deberá descargarlo también.

Paso 4: cargar un utilitario que nos permita verificar en forma global el contenido de los

discos duros del servidor.

Paso 5: al término de la operación de reparación se procederá a habilitar entradas a

estaciones para manejo de soporte técnico, se procederá a revisar que las bases de datos

índices estén correctas, para ello se debe empezar a correr los sistemas y así poder

determinar si el usuario puede hacer uso de ellos inmediatamente.


49/53


50/53


50

CONCLUSIONES

La realidad en la Dirección Regional de Educación de Ucayali es que no contamos

con la Infraestructura óptima para el desarrollo de nuestras funciones. Nos

encontramos en condiciones pésimas que Defensa Civil la ha declarado como

Inhabitable, nos referimos al local principal, en el que actualmente se encuentra el

Centro de Computo y las áreas de remuneraciones, estadística y pensiones.

Las demás oficinas administrativas, pedagógicas y de gestión Institucional, de

control, se encuentran distribuidas en locales diferentes como colegios o locales

en alquiler y que no son propios en el que no se puede implementar conexiones ni

arreglos demasiado costosos.

Se ha presentado a la Dirección de Gestión Institucional de nuestra sede el Plan

Operativo Informático alineado al Plan Estratégico del Sector Educación en el que

se incluyen varias actividades que pueden ser cruciales para la seguridad de la

Información de nuestra institución, pero todo depende de la revisión y

observaciones que esta Dirección realice a través de sus áreas competentes, lo

cual conocemos que lo han derivado al Gobierno Regional de Ucayali porque la

DREU no podrá financiar estas actividades. Varias de estas actividades se deben

implementar por recomendaciones de la Contraloría General de la República y

hasta febrero del 2016 se debe presentar este Plan Operativo Informático

aprobado a la ONGEI( Oficina Nacional de Gobierno Electrónico e Informática), de

lo contrario estaríamos incurriendo en falta.


51/53


51

Por todos los motivos expuestos, se hizo requerimientos de implementación de un

Centro de Datos y la adquisición de servidores y equipos de comunicaciones

durante este año y años anteriores, sin tener respuesta positiva, porque existe la

voluntad pero el presupuesto lamentablemente no alcanza para implementar este

tipo de soluciones informáticas.

La DREU cuenta con el servicio de datos(internet con fibra) y de telefonía IP ambos

gratuitos porque lo asume el Ministerio de Educación. Sin embargo no se puede

aprovechar e implementar a todas las áreas de la Institución por los motivos

anteriormente descritos: que no tenemos local propio y que la sede que es propia

en donde se encuentran estas conexiones, se encuentra inhabitable.

No existe un Área de Informática en la DREU, debidamente estructurada en el

ROF, y en el MOF existe una plaza de analista de sistemas que cumple las labores

de informática y un personal operador de apoyo. Sin embargo se encuentra

dentro del área denominada Remuneraciones y Computo, y en la mayor parte

durante muchos años se designó a todo el personal de Informática a desarrollar la

mayoría de las labores de Remuneraciones, lo cual se dio a conocer en varios

informes y que paulatinamente también debe irse ordenando.

Se requiere que se incluya en los planes estratégicos y en los proyectos de una

posible futura construcción la Implementación de un Data Center que es el

corazón donde debe residir la información crítica de la Institución y su

implementación es esencial para garantizar la seguridad, disponibilidad y

eficiencia de la Información que manejamos en el sector Educación, contando


52/53


52

además con un centro de datos opcional en caso de emergencias tal y cual

recomendó la Contraloría General de la República), además se debe implementar

paulatinamente las Normas Técnicas Peruanas(NTP 27001-2005 Política de

Seguridad de la Información y la NTP ISO/IEC12207:2004 Procesos del Ciclo de vida

del Software), a su vez la implementación de una sola Red en la Dirección Regional

ampliando el servicio de ancho de banda.

Para finalizar el presente Plan de Contingencias se debe crear el Comité de

Seguridad de la Información de la Institución con la capacitación y entrenamiento

respectivo a los trabajadores para la formación de equipos de trabajo y se logren

posteriormente realizar las pruebas y verificación en caso de ocurrencia de

desastres y optar por métodos y soluciones seguras.

No existe un Plan de Contingencias único para todas las entidades públicas

dependerá mucho de la capacidad de la Infraestructura física de toda la Institución

como de las condiciones de los equipos y la conectividad de red y cableado

eléctrico con el que contemos.

A pesar de todas estas dificultades y carencias descritas en la DRE Ucayali se hacen

uso de los recursos disponibles para cumplir y salvaguardar los datos de los

Sistemas de Información que se manejan diariamente.


53/53


BIBLIOGRAFIA

Guia para la elaboración de Planes de Contingencia de los Sistemas de Información de las

Entidades Públicas – INEI:

http://www.ongei.gob.pe/seguridad/seguridad2_archivos/lib5131/libro.pdf
http://www.ongei.gob.pe/seguridad/seguridad2_archivos/lib5131/libro.pdfhttp://www.ongei.gob.pe/seguridad/seguridad2_archivos/lib5131/libro.pdf

Plan de Contingencias Dreu 2015 2016

Documents

Transcript of Plan de Contingencias Dreu 2015 2016