Municipalidad Provincial de Vir

DIRECTIVA N 001-2009-MPV/GM

PLAN DE CONTINGENCIAS DE LOS SISTEMAS DE INFORMACIN Y DE COMUNICACIONES DE LA MUNICIPALIDAD PROVINCIAL DE VIRU

Setiembre 2009

Plan de Contingencias de los Sistemas de Informacin y de Comunicaciones en la Municipalidad Provincial de Vir

PLAN DE CONTINGENCIAS DE LOS SISTEMAS DE INFORMACION Y DE COMUNICACIONES DE LA MUNICIPALIDAD PROVINCIAL DE VIR

I.- INTRODUCCION Los Sistemas de Informacin existentes y los que se implementarn a travs de la Oficina de Sistemas Informtica de la Municipalidad Provincial de Vir, significan para la Institucin un importante avance en materia de modernizacin de los servicios ofrecidos al pblico usuario y a las reas internas de la Institucin. Los Sistemas de Informacin tienen muchas cosas en comn. La mayora de ellos estn formados por personas, equipos y procedimientos. Al conjugar una serie de elementos como hombres y computadoras se hace imprescindible tomar medidas que garanticen una continuidad en la operatividad de estos sistemas, para no ver afectados los objetivos de las mismas y no perder la inversin de costos y tiempos. En el Plan de Contingencias se identifican los riesgos a los que estn expuestos los sistemas y se precisan las medidas de previsin para minimizarlos, as como los requerimientos inmediatos para atenderlos cuando se produzcan. II.- OBJETIVOS Definir y programar la implementacin de las medidas de seguridad que garanticen el funcionamiento contino de los sistemas de informacin y de comunicaciones de la Municipalidad Provincial de Vir. Restaurar los sistemas en forma eficiente y con el menor costo y prdidas posibles, en caso se produzca un incidente. Para estos imprevistos se incluyen las medidas de previsin. III.- BASE LEGAL Reglamento de Organizacin y Funciones de la Municipalidad Provincial de Vir, aprobado por Ordenanza Municipal N 016-2008-MPV. Normas Tcnicas de Control Interno, aprobadas por Resolucin de Contralora N 320-2006-CG. Gua Prctica para el desarrollo de Planes de Contingencia de Sistemas de Informacin ONGEI. Norma Tcnica Peruana NTP-ISO/IEC 17799:2004 EDI. Tecnologa de la informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin ONGEI. IV.- FINALIDAD Disponer de un plan que permita atender de manera ordenada y prevista situaciones que pongan en riesgo la operatividad de los Sistemas de Informacin y de comunicaciones en la Municipalidad Provincial de Vir, estableciendo procedimientos que eviten interrupciones en su operacin. V.- ALCANCE La presente Directiva es de observancia y estricto cumplimiento de todo el personal de La Municipalidad Provincial De Vir, sea cual fuere su rgimen laboral.
2 DE 9

Plan de Contingencias de los Sistemas de Informacin y de Comunicaciones en la Municipalidad Provincial de Vir

VI.- DE LA OFICINA DE SISTEMAS E INFORMATICA Entindase a la Oficina de Sistemas Informtica como el rgano de la Municipalidad Provincial de Vir, que administra, opera y supervisa los sistemas informticos y de comunicaciones de la institucin. VII.- VIGENCIA La presente Directiva entrar en vigencia a partir de la fecha de su aprobacin por la Gerencia Municipal. VIII.- DETERMINACION DE RIESGOS Los sistemas mecanizados estn expuestos a distintas clases de riesgos, que pueden afectar su normal funcionamiento, por lo que los problemas potenciales se han clasificado en grupos que se detallan a continuacin: Factores Naturales y/o Artificiales Son originados por causas externas a la institucin y cuyo grado de previsin es muy reducido. Se consideran dentro de este grupo a los factores naturales como terremotos, maremotos, entre otros similares; artificiales como incendios, inundaciones, robos y problemas de terrorismo. Estos percances pueden generar prdidas o daos fsicos en el local de la Municipalidad Provincial de Vir (equipos, mobiliario, inclusive recursos humanos). Factores de Servicios Los riesgos identificados en este grupo pueden generar la interrupcin del procesamiento de la informacin en lnea, lo que afectara seriamente la atencin al pblico; por ejemplo: Cadas en los circuitos dedicados de comunicaciones. Corte de energa elctrica. Factores de Sistemas Estos riesgos estn asociados con el funcionamiento de los equipos, cuyo deterioro o mal uso puede implicar lo siguiente: Daos en componentes de hardware (discos duros, adaptadores de red, etc.). Fallas en dispositivos de comunicaciones (switches, routers). Desperfectos en las Equipos de Cmputo impresoras de las reas usuarias. Daos graves en los archivos del sistema por errores de hardware o software. Software corrupto o incompatible (copia sin licencia). Virus que daen los archivos y hasta los equipos de cmputo.

3 DE 9

Plan de Contingencias de los Sistemas de Informacin y de Comunicaciones en la Municipalidad Provincial de Vir

Factores de Recursos Humanos Estn relacionados con la ausencia o presencia insuficiente de las personas en el mantenimiento de las aplicaciones. Podran causar demoras en atencin de desperfectos; daos a archivos, equipos y otros dispositivos que requieren personal entrenado para su operacin. Estos riesgos pueden estar motivados por: Administradores no capacitados. Acceso de personas no autorizadas al cuarto de servidores. Factores Diversos Se incluyen en esta clasificacin otros riesgos que no se encuentren comprendidos en las clasificaciones anteriores. Por ejemplo: Derrame de lquidos en los equipos. IX.- MEDIDAS DE CONTINGENCIA A continuacin se detallan las medidas que debern ser aplicadas para minimizar los riesgos de interrupcin de los sistemas mecanizados. Adicionalmente, se explican los impactos de los riesgos, as como su probabilidad de ocurrencia, de acuerdo a las cinco categoras siguientes: Muy Alta Alta Mediana Baja Muy Baja Se detallan los riesgos clasificados en las categoras antes especificadas: Factores Naturales y/o Artificiales:

Riesgo Probabilidad de Ocurrencia Efecto

Desastres naturales (terremotos, maremotos, etc) y/o artificiales (incendio, inundacin, terrorismo, robo, vandalismo, etc.) Mediana Posible deterioro/inutilizacin del local de la Municipalidad Provincial de Vir En casos muy graves, inutilizacin total de servidores de aplicacin y equipos de comunicacin. Incapacidad temporal para utilizar sistemas mecanizados, servidores y equipos Entrenamiento del personal para asumir funciones alternas en caso de desastre. Sistemas de deteccin y extincin de fuego (alarma de humo, y extinguidores).
4 DE 9

Medidas de Previsin

Plan de Contingencias de los Sistemas de Informacin y de Comunicaciones en la Municipalidad Provincial de Vir

Acciones de Recuperacin

Mobiliario especial (racks) para los equipos crticos (servidores, equipos de comunicaciones). Mantener contacto con proveedores y/o instituciones que provean equipos de caractersticas similares a los de la Municipalidad Provincial de Vir, con capacidad de alquiler o prstamo en caso de quedar inutilizada totalmente la capacidad operativa. Retiro o reemplazo de todo tipo de objetos que en caso de incendio puedan ayudar a la expansin del fuego Revisin continua del estado de la cablera de energa elctrica. En lo posible, los tomacorrientes deben ser instalados a un nivel razonable de altura. Para prevenir los corto circuitos, asegurarse de que no existan fuentes de lquidos cerca de las conexiones elctricas. El Cuarto de Servidores, debe contar con una caja principal de corriente. Prohibicin total de fumar en el rea sensible. Contar con vigilancia privada las 24 horas al da En ese momento cualquiera sean los procesos que se estn ejecutando se deber enviar un mensaje (si el tiempo lo permite) de "Salir de Red y Apagar Computador". Seguidamente apagar los servidores. Proveer cubiertas protectoras para cuando el equipo est apagado. Se apagar (poner en OFF) la caja principal de corriente del cuarto de servidores. Si se trata de un incendio de mediana magnitud, se debe tratar en lo posible de trasladar el servidor fuera del local.

Factores de Servicios Riesgo Probabilidad de Ocurrencia Efecto Corte Prolongado de la energa elctrica Mediana Medidas de Previsin Acciones de recuperacin Paralizacin total de las actividades de la Municipalidad Provincial de Vir. Servicio restringido, se mantendra la operatividad con equipamiento mnimo. Contar con un grupo electrgeno capaz de suministrar energa a todos los equipos involucrados. Otorgar mantenimiento preventivo mensual de todo el equipo relacionado. Poner en funcionamiento una fuente de energa alternativa para la alimentacin de equipos del cuarto de servidores. Distribuir la energa elctrica que provee el grupo electrgeno por reas, de acuerdo a lo crtico de su actividad.
5 DE 9

Plan de Contingencias de los Sistemas de Informacin y de Comunicaciones en la Municipalidad Provincial de Vir

Riesgo Probabilidad de Ocurrencia Efecto

Cadas de circuitos integrados Mediana Se producira una paralizacin de los servicios de telecomunicaciones. Interrupcin del servicio de correo electrnico. Imposibilidad de acceso a internet. De acuerdo al tipo de equipo contar como mnimo con un equipo de backup para su reemplazo, en caso de que sea necesario. Contar con un UPS exclusivo para el cuarto de servidores. Realizar los procedimientos establecidos para verificar si el corte es producido por la empresa de telecomunicaciones o fallas en los equipos de comunicaciones. Coordinar con la empresa de telecomunicaciones la reposicin del servicio o enmendar la falla del equipo de comunicaciones.

Medidas de Previsin

Acciones de recuperacin

Factores de Sistemas

Riesgo Probabilidad de Ocurrencia Efecto

Falla en componentes de la red de comunicacin de datos Mediana Fallas en switches principales paralizaran la red totalmente, hasta su reemplazo. Fallas en las controladoras de redes de estaciones de trabajo impresoras paralizaran el trabajo de la estacin de la controladora de red afectada, hasta su reemplazo (hardware). Contar con mantenimiento preventivo para equipos de comunicaciones. Se deber estar en capacidad de reemplazar temporalmente un dispositivo afectado hasta su reparacin. Mantener un stock mnimo de controladores de red y dispositivos de comunicaciones que garanticen el reemplazo inmediato de los equipos afectados. Mantenimiento peridico del circuito de toma a tierra Contar con un UPS exclusivo para los equipos de comunicaciones.

Medidas de Previsin

Riesgo Probabilidad de Ocurrencia Efecto

Desperfectos en estaciones de trabajo y/o impresoras de las reas usuarias Mediana Imposibilidad de disponer de informacin en forma oportuna.
6 DE 9

Plan de Contingencias de los Sistemas de Informacin y de Comunicaciones en la Municipalidad Provincial de Vir

Medidas de Previsin

Se deber contar con mantenimiento preventivo y correctivo para los equipos de cmputo (por la misma institucin u outsorcing). Se deber estar en capacidad de reemplazar temporalmente el equipo averiado hasta su reparacin. Las reas usuarias debern respetar estrictamente el calendario de mantenimiento preventivo, lo cual servir para evaluar el estado de los dispositivos. Durante el mantenimiento, se recomienda la permanencia del personal de la Oficina a cargo, para el asesoramiento respectivo.

Riesgo Probabilidad de Ocurrencia Efecto Medidas de Previsin

Fallas en los Servidores Baja Paralizacin de atencin a usuarios internos y externos, que utilicen las aplicaciones de los servidores. Contar con mantenimiento de hardware y software tanto preventivo como correctivo (preferentemente outsorcing). El proveedor del servicio de mantenimiento deber estar en la capacidad de tener un tiempo de respuesta mximo de 1 hora, producida la llamada de reporte de falla El proveedor deber tener un tiempo mximo de reparacin de 5 horas, en caso de excederse deber reemplazar el equipo afectado por otro, con las condiciones mnimas para mantener la operatividad. Los servidores contarn con UPS con una autonoma de 2 horas, lo que proteger de fallas producidas por anormalidades en la provisin de energa elctrica. Contar con una poltica de backup para recuperar la informacin, de ser el caso.

Riesgo Probabilidad de Ocurrencia Efecto

Daos en los archivos de los sistemas mecanizados producido por fallas de hardware Mediana La prdida total o parcial de datos ocasionara problemas en la atencin en lnea y en la disponibilidad de la informacin. Paralizacin temporal en la atencin de usuarios internos y externos. Implementar una poltica de respaldo de informacin, teniendo en consideracin el volumen de sta, frecuencia de actualizacin, frecuencia de consulta, usuarios. Realizar mantenimiento peridico a los dispositivos para las copias de seguridad, reemplazando las unidades defectuosas.
7 DE 9

Medidas de Previsin

Plan de Contingencias de los Sistemas de Informacin y de Comunicaciones en la Municipalidad Provincial de Vir

Almacenar los cartuchos de backup en un lugar que rena las condiciones mnimas para su conservacin Contar con almacenamiento externo para copias de seguridad.

Riesgo Probabilidad de Ocurrencia Efecto

Daos en los archivos por virus informticos Alta Paralizacin de los servidores y estaciones de trabajo al atacar el virus al sistema operativo. Destruccin y alteracin de archivos causando paralizacin temporal de las actividades. Restringir el uso libre de CDs y dispositivos usb, al ser los principales medios de contaminacin. Contar con Software Antivirus, instalando en cada servidor de aplicacin y estacin de trabajo. Contar con una poltica de actualizacin continua de Antivirus. Tener como norma la revisin con Software Antivirus de todos los archivos provenientes desde el exterior de la Municipalidad Provincial de Vir, va diskette, Cd, dispositivo USB, correo electrnico, internet, etc.

Medidas de Previsin

Factores de Recursos Humanos Riesgo Probabilidad de Ocurrencia Efecto Ausencia de personal Mediana En el caso que el personal encargado del adecuado funcionamiento del sistema no pudiera presentar a laborar, se podra ver afectada la operatividad del mismo y no se dara una adecuada atencin a los usuarios. El manejo de los sistemas por personal no capacitado podra causar daos a los archivos, equipos y otros dispositivos que requieren entrenamiento para su operacin. Implementacin de manuales de operaciones y procedimientos en los que se sealen claramente todas las labores diarias que se llevan a cabo por cada proceso operativo del sistema. Aplicacin de polticas de rotacin para que cada persona est familiarizada con las distintas labores que se llevan a cabo en cada rea. Contar con el nmero adecuado de personal encargado del funcionamiento del sistema (de tal manera que si una persona no se presenta, las labores no se veran afectadas en alto grado).
8 DE 9

Medidas de Previsin

Plan de Contingencias de los Sistemas de Informacin y de Comunicaciones en la Municipalidad Provincial de Vir

El personal a contratarse, as como el personal practicante, deber en lo posible tener disponibilidad para presentarse al centro de trabajo fuera del horario establecido como laborable, en caso sea necesario.

Riesgo Probabilidad de Ocurrencia Efecto

Acceso de personas no autorizadas a los sistemas implementados Mediana La manipulacin del sistema por personas no autorizadas puede generar graves problemas, desde causar desperfectos en el funcionamiento hasta incluir modificaciones al mismo. Cuando un empleado renuncie o salga de vacaciones, su clave de acceso deber ser desactivada del sistema para evitar que en su ausencia otra persona pueda acceder al mismo y manipular los dispositivos. Toda modificacin de la estructura de la informacin en las bases de datos deber ser autorizada por el jefe de la Oficina de Sistemas de la Municipalidad Provincial de Vir. El uso de passwords personales para la operacin de los sistemas ser responsabilidad y uso exclusivo del dueo del password, puesto que cada acceso ser grabado en una bitcora. Poltica mensual de expiracin de password a usuario. Se recomienda que todo password tenga una longitud mnima de seis caracteres alfanumricos. El acceso al cuarto de servidores de la Municipalidad Provincial de Vir, debe estar restringido slo al personal autorizado por la Jefatura de la Oficina de Sistemas de la Municipalidad Provincial de Vir.

Medidas de Previsin

9 DE 9