essaludww1.essalud.gob.pe/compendio/pdf/0000003049_pdf.pdfdirectiva nº 018-gg,essalud-2000, normas...
TRANSCRIPT
EsSalud MAS SALUD PARA MAS PERUANOS
RESOLUCION DE GERENCIA GENERAL N' 035 -GG-ESSALUD-2006
Lima, 1 7 de Enero del 2006
VISTA:
La Carta Nº 007-GCOl-ESSALUD-2006 por medio de la cual la Gerencia Central de Organización e Informática propone la aprobación de la Directiva "Norr:na de Soporte Informático para la Continuidad del Negocio Frente a Eventos de Desastre en ESSALUD", y;
CONSIDERANDO:
Que, por Resolución de Presidencia Ejecutiva Nº 792-PE-ESSALUD-2005, de fecha 28 de diciembre del 2005, se aprobó el Reglamento de Organización y Funciones del Seguro Social de Salud - ESSALUD;
Que, mediante Resolución de Presidencia Ejecutiva Nº 957-PE-ESS/l.LUD-2003, de fecha 03 de diciembre del 2003, se aprobó, entre otros, la Estructura Orgánica y el Reglamento de Organización y Funciones de la Gerencia de División de Administración y Organización;
Que, de conformidad con lo establecido en el literal c) del Artículo 23º del mencionado Reglamento, la Gerencia Central de Organización e Informática de la Gerencia de División de Administración y Organización es responsable de formular y emitir directivas que permitan establecer procesos, métodos y procedimientos para una adecuada administración, seguridad y gestión de los recursos informáticos de ESSALUD, a nivel nacional;
Que, de acuerdo a lo señalado en el literal f) del Artículo 9º del mismo Reglamento, la Oficina de Seguridad Informática de la Gerencia de División de Administración y Organización es responsable de Qjpeñar, coordinar e implantar procedimientos que permitan el desarrollo y esta~ecimiento de Planes de Contingencias en los centros de cómputo de la lnstituciÓn, a fin de permiür la recuperación de las operaciones informáticas ante eventuales desastres mayores;
~
Que, resulta necesario dictar las disposiciones que permitan establecer las políticas, roles, acciones y responsabilidades que faciliten contar con Planes de Contingencias Informáticos en nuestra Institución, para hacer frente a imprevistos originados por desastres naturales o humanos, catalogados como situaciones de emergencia que pueden afectar el normal funcionamiento de los Centros de Procesamiento de Información de ESSALUD y en consecuencia los recursos, atenciones y servicios soportados por los mismos;
Que, el literal b). del Articulo 9º de la Ley Nº 27056, Ley de Creación del Seguro Social de Salud, establece que le compete al Gerente General, dirigir el funcionamiento de la Institución, emitir las directivas Y. los procedimientos internos necesarios, en
,,:;é.TL<;·.. concordancia con las políticas, lineamientos y demás disposiciones del Consejo ("/'>rr." . : ~', Directivo y del Presidente Ejecutivo;
"" " swct.o , .. ,j \¡\>. "' ' ,. ' '·1:¡ \~~1, .. .::,~ ;.
·-.:.::.~~:····
EsSalud MAS SALUD Pf<RA MAS PERUANOS
RESOLUCION DE GERENCIA GENERAL Nº 035 -GG-ESSALUD-2006
Estando a lo propuesto y en uso de las atribuciones conieridas;
SE RESUELVE:
ARTÍCULO UNICO.- APROBAR la Directiva de Gerencia General Nº 004 -GG-ESSALUD-2006, "Norma de Soporte Informático para la Continuidad del Negocio Frente a Eventos de Desastre en ESSALUD", que forma parte de la presente Resolución.
REGÍSTRESE Y C UNÍQUESE.
DR. CAR OS SOTELO BAMBAREN Gerente General
ESSALUD
DIRECTIVA DE GERENCIA GENERAL N° 004 -GG-ESSALUD-2006
NORMA DE SOPORTE INFORMATICO PARA LA CONTINUIDAD DEL NEGOCIO FRENTE A EVENTOS DE DESASTRE EN ESSALUD
GERENCIA DE DIVISIÓN DE ADMINISTRACIÓN Y ORGANIZACIÓN OFICINA DE SEGURIDAD INFORMATICA
1de39
/ ! :
1.
2.
3.
4.
5.
6.
7.
DIRECTIVA DE GERENCIA GENERAL Nº 004 -GG-ESSALUD-2006
NORMA DE SOPORTE INFORMATICO PARA LA CONTINUIDAD DEL NEGOCIO FRENTE A EVENTOS DE DESASTRE EN ESSALUD
INDICE
Objetivo
Finalidad
Base Legal
Alcance
Responsabilidad
Conceptos de Referencia
Disposiciones
7 .1 Disposiciones Generales y de Organización
7.2 De la Elaboración del Plan de Contingencias Informático
7. 3 De Ja Aprobación del Plan de Contingencias Informático
7.4 De la Implantación del Plan de Contingencias Informático
7.5 De la Simulación y/o Prueba del Plan de Contingencias Informático
7.6 De la Actualización del Plan de Contingencias Informático
7. 7 De la Operatividad y DeclaratoFia de la Situación de Emergencia '· , r: 't"·
7.8 Labores de Control y·Evaluación
Disposiciones Compleméntarias
Anexos
Anexo Nº 01 - Metodología Para el Desarrollo de Planes de Contingencias Informáticos
Anexo Nº 02 - Diagrama de Aprobación de los Planes de Contingencias Informáticos Integrales
Anexo Nº 03 - Formato para el Registro de Actividades de Ja Simulación
2 de 39
Página
3
3
3
4
4
5
6
6
10
11
12
12
13
14
16
17
21
21
38
39
DIRECTIVA DE GERENCIA GENERAL Nº 004 -GG-ESSALUD-2006
NORMA DE SOPORTE INFORMATICO PARA LA CONTINUIDAD DEL NEGOCIO FRENTE A EVENTOS DE DESASTRE EN ESSALUD
1. OBJETIVO
Definir las políticas, roles, acciones y responsabilidades necesarias para contar con instrumentos debidamente planificados que permitan hacer frente ante eventos catalogados como situaciones de emergencia que alteran el normal funcionamiento de los Centros de Procesamiento de Información· de EsSalud, y en consecuencia afectan a los recursos, atenciones y servicios soportados por los .mismos.
2. FINALIDAD
Lograr ante una Situación de Emergencia la continuidad de los servicios y procesos que se encuentran soportados bajo soluciones informáticas residentes en los Centros de Procesamiento de Información de EsSalud.
3. BASE LEGAL
• Ley Nº 27056, Ley de Creación del Seguro Social de Salud (ESSALUD) y el Decreto Supremo Nº 002-99-\R que aprobó su reglamento.
• Resolución de Contraloría Nº 072-98-CG Normas Técnicas de Control Interno para el Sector Público NTC 500 - Normas Técnicas de Control Interno para Sistemas Computarizados.
• Resolución Ministerial Nº 224-2004-PCM, uso obligatorio de la Norma Técnica Peruana "NTP-ISO/IEC 17799:2004 EDI. Tecnología de la Información. Código de Buenas Practicas para la Gestión de la Seguridad de la Información. 1" Edición" en entidades del Sistema Nacional de lnformatica.
• Reglamento Interno de Trabajó-;-laprobado por Resolución de Presidencia Ejecutiva Nº 139-PE-ESSALUD-99"y sus modificatorias.
• Resolución de Geréncia General Nº 1070-GG-ESSALUD-2000 que aprobó la Directiva Nº 018-GG,ESSALUD-2000, Normas para la Formulación de Documentos Técnicos Normativos de Gestión en el Seguro Social de Salud (ESSALUD).
• Resolución de Gerencia General Nº 378-GG-ESSALUD-2003, que aprobó la Directiva Nº 004-GG-ESSALUD-2003 "Normas de Dependencia Funcional de las Areas de lnformatica de EsSalud".
• Resolución de Presidencia Ejecutiva Nº 927-PE-ESSALUD-2003 que aprobó la -- - Estructura Organica y el Reglamento de Organización y Funciones de EsSalud .
. 1.<:>"-;.:·;;;;;,, • Resolución de Presidencia Ejecutiva Nº 957-PE-ESSALUD-2003 que aprobó la
\!1
·.·.,f .• ~.·i;i:;;,r · ,;;;·:i> Estructura Organica y el Reglamento de Organización y Funciones de la Gerencia . .. ..... ~·7/ de División de Administración y Organización.
:.· ,, ·' • Resolución de Gerencia General Nº 236-GG-ESSALUD-2005, que aprobó la ' · Directiva Nº 002-GG-ESSALUD-2005 "Políticas de Seguridad lnformatica de
sSalud" .
... ,, ,111~\ ,/(.-,•¡ V
r' (e_/ \r' ·.~ \ l 1
l I ·10U. ~~\ ' ·;¡ l' ·~·Ji ... •' 0:1 \~~· .... '" ~ !1,Jl
\..,'f'~ '.:;./ '~.!;..9-="'
3 de 39
\.
4. ALCANCE
Esta norma es de aplicación a todas las Gerencias y Jefaturas de Ja Sede Central y de los Organos Desconcentrados.
5. RESPONSABILIDAD
Son responsables de Ja difusión y control de la presente Directiva:
• Gerentes de División. • Gerentes Centrales. • Jefes de las Oficinas. • Gerentes Generales de Hospitales Nacionales. • Gerentes Administrativos de Redes Asistenciales. • Gerentes Administrativos de los Institutos Especializados.
Son responsables de hacer efectivo y supervisar Jo dispuesto en la presente norma:
• Gerente Central de Organización e Informática. • Los Gerentes Administrativos, encargados o los que hagan sus veces, de las
Gerencias de Redes Asistenciales, Hospitales Nacionales, o Institutos Especializados.
• Jefe de Ja Oficina de Seguridad Informática, y • Jefes de Ja Oficinas de Soporte Informático de los Organos Desconcentrados.
Responsabilidades de Uso
•
•
Responsables de la Información, los responsables de la información son los gerentes de las áreas que producen dicha información y/o tienen a su cargo la actualización y explotación de Ja misma, siendo ellos o sus representantes dentro de la organización quienes tienen la responsabilidad de autorizar los accesos a las aplicaciones en producción que procesan la información que les pertenece y definir los niveles de protección para la misma. Todos los aplicativos en producción deben tener un responsable designado.
Custodios, los custodios de la información son aquellos que tienen Ja posesión física ó lógica de Jo&- aplicativos y Ja información. Los custodios de Jos principales sistemas de informaéión corporativos: centralizados o distribuidos, y residentes en el centro de cómputo de Ja Sede Central son miembros de Ja Gerencia Central de Organización e Informática. Los custodios de los sistemas de información corporativos y/o distribuidos residentes en el Centro de Soporte Informático de Jos Organos Desconcentrados son los encargados de las Oficinas de Soporte Informático. Si la información se maneja en el disco duro de una computadora personal, el usuario necesariamente será el custodio de la misma. Los custodios son los:responsables de salvaguardar Ja información: implementando mecanismos de control de accesos para prevenir los accesos no autorizados, manutención de las copias de respaldo de la información crítica y velar por las mejores condiciones de la seguridad física y ambiental.
Usuafios, los usuarios son aquellas personas que utilizan la información como parte de su trabajo diario.
4 de39
J~i~~~I.· (y~ !J.'~<),~
Los Responsables de la Información, los Custodios y los Usuarios son responsables de conocer y cumplir las políticas, procedimientos y normas establecidas en seguridad informática.
6. CONCEPTOS DE REFERENCIA
Activos Informáticos: Son bienes tangibles e intangibles asociados con los sistemas de información, como son los activos de información ( archivos y base de datos, documentación, manuales, planes de continuidad), activos de software (aplicación, sistema operativo, herramientas de desarrollo), activos fisicos (computadoras personales, equipos de comunicación, medios magnéticos) y servicios (alumbrado, energia, aire acondicionado).
Aplicativos, Sistemas Críticos:-- Sistemas de información cuya interrupción en su funcionamiento o mal funcionamiento ocasionan un mayor impacto negativo en los servicios y en las funciones básicas de la organización.
Amenaza: Fenómeno natural o provocado por la actividad humana, cuya ocurrencia es peligrosa para las personas, propiedades, instalaciones y ambiente
Centro de Cómputo (CC): Es un Area de trabajo cuya función es la de concentrar, almacenar y procesar los datos y funciones operativas de una empresa de manera sistematizada.
• G •lk bns ~ \ .!"·, .. 1.!Kln:t ~· 7;. :;,! 'J· i11(c1n1~lka ~t
~ ... " .. ·~"': ~~,., Centro de Soporte Informático: Ambiente físico de los Organos Desconcentrados en
.. --· ,---0--~ donde se tiene instalado: servidores que contienen sistemas corporativos y i, ' : 6•0;\distribuidos, otros equipos de cómputo y dispositivos de soporte informático. Estas 'Jl!,_ ~outz "~reas informáticas dependen funcionalmente de la Gerencia Central de Organización e <:
1 ""'"''" fl formática.
~~;j;>' Centro de Procesamiento de Información: Son las áreas informáticas conformadas por el Centro de Cómputo de la Sede Central y por los Centros de Soporte Informático de los Organos Desconcentrados, ambos bajo la administración funcional de la Gerencia Central de Organización e.-.lnformática
' ~· Datos Críticos: Llamados también registros vitales, son datos muy importantes para EsSalud los cuales se encuentran almacenados en archivos, en base de datos, en documentos, procedimiéntos, entre otros y cuya pérdida ocasionan un impacto negativo en el normal desarrollo de labores en la Institución.
Declaración de la Situación de Emergencia: Se refiere al proceso que informa de la presencia de un evento inesperado definido como Situación de Emergencia, que afecta el normal funcionamiento de los recursos, servicios y procesos informáticos y activa el Plan de Contingencia.
Desastre: Un acontecimiento repentino que interrumpe el normal desenvolvimiento de las funciones a realizar por una persona, grupo, entidad, sociedad o población. Para el caso de una entidad su capacidad operativa se ve disminuida al punto de no poder
,<.,:;:-~ ~1;Po·'\prestar ni siquiera sus servicios básicos.
i1
~,Información: Conjunto de datos sobre una materia determinada. Tras la revolución \·~,.c.s::f•.'tº'·'_;#}ndustrial, se habla de la revolución de la información, que se ha convertido en el mayor \',', ' ,.,_.,. 5 d 39 ···~·¡¡,1c·1, !j~,/ e .. ~ .... :..!:~ ,, ...
(
l valor de las empresas y de las personas. Adopta diversas formas puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o por medios electrónicos, mostrada en vídeo o reproducida verbalmente.
Organos Desconcentrados: Se refiere a las Redes Asistenciales con sus respectivos Centros Asistenciales y a los Institutos Especializados
Procedimientos Manuales: Secuencia de pasos debidamente ordenados que permite lograr un proceso determinado y se realizan sin el uso de un sistema de información.
Procesos Alternos: Secuencia de pasos debidamente ordenados cuyo fin es obtener un resultado determinado y es utilizado en reemplazo de un proceso primario.
Plan de Contingencias Informático: Es el plan destinado a proteger la información contra los daños producidós por hechos naturales o por el hombre.
Recursos Informáticos: Ver el concepto "Activos Informáticos".
Situación de Emergencia: Es la presencia de algún evento que afecta el normal funcionamiento de los recursos, servicios y procesos informáticos, puede ser desastres naturales tales como: un sismo, un incendio, un terremoto, una inundación, un derrumbe; pueden ser desastres originados por causas humanas, actos delictivos, atentados, entre otros.
DISPOSICIONES
7.1. Disposiciones Generales y de Organización
a) Los escenarios que comprenden una Situación de Emergencia son los siguientes:
• Pérdida parcial o total del Centro de Computo de la Sede Central o Centro de Soporte Informático del Organo Desconcentrado y su equipamiento o del control de los mismos.
• Pérdida del acceso o del;edificio de la Sede Central, sede del Centro de Cómputo de la ,Sed.e Central.
• Pérdida del ·acceso al Centro de Soporte Informático del Organo Desconcentrado.
• Pérdida del sérvicio de una aplicación corporativa o critica.
Estos escenarios pueden presentarse debido a los eventos siguientes:
• Destrucción completa del Centro de Cómputo de la Sede Central o Centro de Soporte Informático del Organo Desconcentrado.
• Destrucción parcial del Centro de Cómputo de la Sede Central o Centro de Soporte Informático del Organo Desconcentrado.
• Destrucción o mal funcionamiento de los equipos auxiliares del Centro,,de Cómputo de la Sede Central o Centro de Soporte Informático del Organo Desconcentrado (aire acondicionado, UPS, grupo electrógeno, entre otros).
• Falla parcial o total de los equipos centralizados. • Pérdida total o parcial de información critica · almacenada en medíos
informáticos.
6 de 39
"
1., " ;t¡·c(:f~L!~ .. -' ~·'- --
~\ ''\Yt!i>~~aiud · _J ... ·•·-·····,:: · ·:,;;:-,;; :·.:,·c,c
• Huelgas, conmoción civil o problemas laborales. • Actos de sabotaje. • Pérdida parcial o total de los equipos debido al tiempo de uso, o al
cumplimiento de su vida útil.
b) Para hacer frente a la Situación de Emergencia, la Institución debe contar con dos (2) Planes de Contingencias Informáticos Integrales: un Plan de Contingencias Informático para el Centro de Cómputo de la Sede Central y un Plan de Contingencias Informático Base para Jos Centros de Soporte Informático de los Organos Desconcentrados.
c) Para efecto de Ja continuidad de Jos servicios informáticos se constituirán los siguientes equipos de trabajo en el ámbito institucional:
i. Comité Ejecutivo: Comité que dirige las acciones antes, durante y después de una Situación de Emergencia.
Conformado por cinco (5) miembros:
• Gerente Central de Organización e Informática. • Gerente de Producción de Ja Gerencia Central de Organización e
Informática. • Gerente de Desarrollo de Sistemas de Ja Gerencia Central de
Organización e Informática. • Gerente de Organización de la Gerencia Central de Organización e
Informática. • Jefe de Ja Oficina de Seguridad Informática de la Gerencia de División de
Administración y Organización.
La conducción del Comité Ejecutivo esta a cargo del Gerente Central de Organización e Informática. El número mínimo de miembros para la instalación y/o funcionamiento de este Comité es de tres (3) funcionarios.
Pueden integrarse nuevoi.;miembros al Comité Ejecutivo, de acuerdo a las funciones que spn c.ompetencia de su desempeño.
Funciones a ser Cubiertas para Atender una Situación de Emergencia
1. Evaluación y aceptación de los Planes de Contingencias Informáticos Integrales presentados por el Comité de Apoyo.
2. Evaluación de los resultados de las simulaciones de los Planes de Contingencias Informáticos.
3. Asegurarse que Jos Planes de Contingencias Informáticos aprobados se encuentren implementados en las Redes y Centros Asistenciales.
Funciones Durante la Situación de Emergencia
1. Liderar Jos equipos de trabajo que están a cargo de la recuperac1on ae 1a Situación de Emergencia.
2. Mantener informado a Ja Gerencia General del estado de Ja Situación de Emergencia presentada y de los avances en la recuperación. ·
3. Evaluación y supervisión del desempeño de los Equipos de Recuperación sobre la base del informe del Comité de Apoyo.
Funciones Después de la Situación de Emergencia
1. Evaluación del informe escrito emitido por el Comité de Apoyo respecto a las acciones asumidas para cubrir Ja Situación de Emergencia. Como resultado de la evaluación pueden surgir medidas correctivas de carácter institucional que serán elevadas a Ja Gerencia General proponiendo su aprobación e implantación.
2. Recepción y revisión de Jos informes emitidos por la Policía, los Bomberos y el Serenazgo respecto al origen de la Situación de Emergencia, en caso existieran.
3.. Aprobación de las actualizaciones a los Planes de Contingencias 1 nformáticos 1 ntegrales.
ii. Comité de Apoyo: Comité que elabora y dirige la ejecución de los Planes de Contingencias Informáticos, asimismo es responsable de dirigir y coordinar la simulación de dichos Planes.
Conformado por cinco (5) miembros:
• Gerente de Producción de la Gerencia Central de Organización e Informática.
• Sub Gerente de Operaciones de la Gerencia de Producción. • Sub Gerente de Soporte al Usuario de la Gerencia de Producción. • Sub Gerente de Comunicaciones de la Gerencia de Producción. • Jefe de la Oficina de Seguridad Informática de la Gerencia de División de
Administración y Organización.
El Comité de Apoyo esta liderado por el Gerente de Producción. El numero mínimo de miembros para la instalación y/o funcionamiento de este Comité es de tres (3) funcionarios.
·~ . .J Pueden integrarse r¡¡uevos miembros al Comité de Apoyo, de acuerdo a las funciones que.' son competencia de su desempeño, como son los representantes de las áreas responsables de los sistemas y datos criticas que hay que pr-oteger, entre otros.
Funciones a ser Cubiertas para Atender una Situación de Emergencia
1. Es responsable de la elaboración de los Planes de Contingencias Informáticos Integrales.
2. Es responsable de dirigir la simulación del Plan de Contingencias Informático de la Sede Central; como minimo, una vez al año.
3. Debe verificar que los respaldos del sistema operativo, programas productos y datos de los sistemas de información sean realizados periódicamente y enviados al almacenamiento alterno
4. Debe verificar la correcta actualización de la docurnentación sobre Ja configuración de los sistemas y de los procedimientos de recuperación.
Funciones Durante la Situación de Emergencia
8 de 39
> •
'1!.2~~:~-·-~·~-s.ª~-~-~~ - ,. . . . - ""· ~ ; .. -.
1. Control y dirección de las· labores a realizar por los equipos de recuperación para atender la Situación de Emergencia de acuerdo a lo que señala el Plan de Contingencias Informático.
2. Informar al Comité Ejecutivo sobre el estado de las actividades realizadas en la recuperación.
3. Verificación de la operatividad y funcionalidad de las aplicaciones y datos restaurados.
Funciones Después de la Situación de Emergencia
1. Elaboración del informe escrito que será expuesto y presentado al Comité Ejecutivo, el cual contendrá entre otros aspectos, las causas y acciones emprendidas para superar la situación de emergencia, sugerencias a considerarse en el Plan de Contingencias Informático y de ser el caso, propuestas de mejoras de carácter institucional.
2. Es responsable de la actualización de los Planes de Contingencias Informáticos Integrales.
iii. Equipos de Recuperación: Equipos de personas que se encuentran bajo la dirección del Comité de Apoyo y serán conformados por personal multidisciplinario que ejecutará el Plan de Contingencias Informático. La conformación y el número de integrantes estarán definidos en el Plan de Contingencias Informático de la Sede Central y de los Organos Desconcentrados, respectivamente.
d) Los comités descritos en el punto anterior, indicado como literal c, serán convocados a Sesión Ordinaria por quienes la presiden conforme a la siguiente frecuencia:
COMITÉ PERIODICIDAD
Comité Ejecutivo Mínimo 2 veces al año
Comité de Apoyo Mínimo 4 veces al año .
La convocatoria _a Sesiones Extraordinarias para todos los Comités es a iniciativa de quienes la presiden, a demanda de dos de sus miembros o a petición de la Ge¡:encia General o de la Presidencia Ejecutiva.
e) El ejercicio de las funciones de los comités indicados se desarrollará a través de la emisión de informes escritos y de la presentación de sugerencias y recomendaciones sobre los temas sometidos a su consideración, los cuales se verán reflejadas en las actas de reunión emitidas.
f) Los comités podrán solicitar la presencia de personas que estimen conveniente en sus reuniones.
g) Los representantes de las áreas, designados como responsables de los {'..:'·é·;: ':0r-, sistemas o de la información, que integran el Comité de Apoyo deben ('' ·, · '\ desarrollar y actualizar los procedimientos manuales asociados a los sistemas : ' . .,!'¡ críticos a proteger para ser aplicados como proceso alterno durante la Situación ¡: •• '. :::;-,", \_., ü .. ~5,' \'·¡ .. ·~· ,. ifj! de Emergencia a fin de mantener la continuidad del servicio. ·~~·(:~~~;~~- r;.~::~
9 de 39
. . i: J
'·.>"':·-,.,
h) La representatividad de quienes integran el Comité Ejecutivo y el Comité de Apoyo no pueden ser delegadas salvo por motivos de salud o ausencia física, la cual debe ser previamente comunicada a la Gerencia Central de Organización e Informática.
i) Durante la elaboración de los Planes de Contingencias Informático Integrales, la Gerencia de Producción encargada de la administración y funcionamiento del Centro de Cómputo en la Sede Central y los Jefes de las Oficinas de Soporte Informático o quien haga sus veces, deben establecer los controles, mecanismos y procedimientos para hacer frente a problemas informáticos que se presenten en su correspondiente área o ámbito.
7.2. De la Elaboración del Plan de Contingencias Informático
El Comité de Apoyo es el encargado de elaborar los dos (2) Planes de Contingencias Informáticos Integrales mencionados en la presente norma para lo cual debe tomar como referencia la metodología propuesta en el Anexo Nº 01.
7.2.1. De la Sede Central
a) Las Gerencias designadas como responsables de los sistemas y datos críticos a proteger, a solicitud del Comité Ejecutivo deben nombrar representantes a integrarse al Comité de Apoyo.
7.2.2. De los Organos Desconcentrados
a) Para el desarrollo del Plan de Contingencias Informático Base de los Organos Desconcentrados se integrarán adicionalmente al Comité de Apoyo:
• Tres Jefes de Soporte Informático de tres Redes Asistenciales en representación de los custodios de los Organos Desconcentrados.
La Gerencia de Prodi>tción debe designar las tres Redes Asistenciales que se integrarán al Comité de Apoyo .
b) Una vez aprobado el Plan de Contingencias Informático Base para los Organos óesconcentrados; el Comité de Apoyo entrega a cada Gerente Administrativo o quien haga sus veces una copia del mismo.
c) Cada Gerente Administrativo o quien haga sus veces lo hará llegar al Jefe de la Oficina de Soporte Informático o quien haga sus veces, el cual debe completarlo con la información de su entorno (directorio telefónico, lista de proveedores de servicios, lista de los responsables de los aplicativos, entre otros).
d) Como resultado se obtiene el Plan de Contingencias Informático individual para cada Organo Desconcentrado, el cual se remite una copia a . la Gerencia Administrativa' o Administrador del Organo Desconcentrado y otra copia al Comité de Apoyo.
10 de 39
7.3. De la Aprobación del Plan de Contingencias Informático
7.3.1. De la Aprobación Inicial
a) El Comité de Apoyo, designa los representantes que al término de la fecha establecida, entrega y expone al Comité Ejecutivo para su evaluación y conformidad lo siguiente:
1. Plan de Contingencias Informático de la Sede Central ii. Plan de Contingencias Informático Base para los Organos
Desconcentrados
b) El Comité Ejecutivo evalúa y otorga la conformidad, caso contrario remite las observaciones pertinentes al Comité de Apoyo en un plazo no mayor a cinco dias útiles, las cuales deben ser incluidas por este último Comité para luego proceder nuevamente con el proceso de aprobación acorde con lo descrito en el literal anterior del presente capitulo. ·
c) El Comité Ejecutivo una vez otorgada la conformidad y por intermedio de los representantes del Comité de Apoyo presenta y expone ante la Gerencia General el Plan de Contingencias de la Sede Central y el Plan de Contingencias Informático Base para los Organos Desconcentrados a fin de ser aprobados.
d) La Gerencia General evalúa los Planes de Contingencia Informáticos y de considerarlo procedente los aprueba, caso contrario remite las observaciones pertinentes al Comité de Ejecutivo, y este a su vez al Comité de Apoyo para realizar las correcciones correspondientes, y luego se procede nuevamente con el proceso de aprobación acorde con lo descrito desde el literal a) del capítulo "De la Aprobación del Plan de Contingencias Informático - De la Aprobación Inicial".
7.3.2. De la Aprobación de la Actualización
/) ::::_Jo"-~\ !. . ~ ·:-~ \
a) Las actualizaciones· de cualquiera de los dos (2) Planes de Contingenci,as if¡formáticos_. Integrales deben ser aprobadas conforme al mismo procedimiento establecido según el capítulo "De la Aprobación del Plan de Contingencias Informático - De la Aprobación Inicial".
b) Para el caso de actualizaciones en el plan de contingencias base de los Organos Desconcentrados una vez lograda la aprobación se procederá según lo señalado en el punto 7.2.2 del capítulo "De la Elaboración del Plan de Contingencias Informático - De /os Órganos Desconcentrados" a excepción del literal a).
c) Para el caso de cambios en aspectos propios del Organo Desconcentrado bastará con elevar un informe escrito dirigido a la Gerencia Administrativa del Organo Desconcentrado y otro a la Gerencia de Producción.
. .,~1 /\¡J. ··~1
é ::;·::-·.~~!JI Los Planes de Contingencias Informáticos Integrales una vez aprobados por la '·'
1'·'"' Gerencia General, deben formalizarse a través de una Resolución de Gerencia
General.
11 de 39
• Una copia de los Planes de Contingencia Informáticos Integrales aprobados es remitida en calidad de custodia y respaldo al Centro de Almacenamiento Externo del Centro de Cómputo de la Sede Central.
• En el Anexo Nº 02 se muestra el flujograma de aprobación de los Planes de Contingencias Informático~ Integrales.
7.4. De la Implantación del Plan de Contingencias Informático
a) La Gerencia Central de Organización e Informática a través de la Gerencia de Producción y las Gerencias Administrativas de los Organos Oesconcentrados o quien haga sus veces en estrecha colaboración con el encargado de la Oficina de Soporte Informático son responsables de implantar los planes dentro de su ámbito correspondiente, bajo la dirección del Comité de Apoyo.
b) Los Planes de Contingencias Informáticos incluyen labores, exigencias y acciones que establecen su implantación en las unidades orgánicas correspondientes, como pueden ser:
i. Capacitación del personal de los equipos de recuperación y del personal usuario.
ii. Difusión de los Planes de Contingencias Informáticos. iii. Adecuación y mejoras de ambientes relacionados directa e indirectamente al
Centro de Cómputo de la Sede Central o a los Centros de Soporte Informático de los Organos Desconcentrados.
iv. Adquisición de equipos y/o dispositivos de soporte informático. v. Contratación de servicios relacionados a mejorar la protección de los bienes
informáticos, entre otros.
De la Simulación y/o Prueba del Plan de Contingencias Informático
7.5.1. En la Sede Central
a) El Comité de A:poyó "debe definir el alcance, cobertura y plazos para la simulación· en la Sede Central.
b) La simulaeión y/o prueba del Plan de Contingencia Informático del Centro de Cómputo de la Sede Central debe realizarse como mínimo una vez al año por el Comité de Apoyo, el mismo que únicamente, puede ser suspendido o postergado por la Gerencia General sobre la base de una solicitud remitida y sustentada del Comité Ejecutivo.
c) El Comité de Apoyo debe elaborar un informe escrito conteniendo los resultados de la simlllación y/o prueba, incluyendo apreciaciones y mejoras para la actualización.
7.5.2 .. En los Organos Desconcentrados
a) El Comité de Apoyo débe definir los alcances generales a ser cubiertos por la simulación en los Organos Oesconcentrados, el mismo que únicamente, puede ser suspendido o postergado por la Gerencia
12 de 39
General sobre la base de una solicitud remitida y sustentada del Comité Ejecutivo.
b) Tomando como premisa lo planteado por el Comité de Apoyo, la Gerencia Administrativa o quien haga sus veces en coordinación con la Jefatura de Soporte Informático o quien haga sus veces debe definir el cronograma de trabajo para la simulación.
c) La simulación y/o prueba de los Planes de Contingencias Informáticos de los Organos Desconcentrados debe realizarse mínimo una vez al año por la Jefatura de la Oficina de Soporte Informático o quien haga
·sus veces, supervisado por la Gerencia Administrativa o quien haga sus veces, y en coordinación con el Comité de Apoyo.
d) El Jefe de la Oficina de Soporte Informático o quien haga sus veces debe elaborar un informe escrito conteniendo los resultados de las pruebas, mejora a considerar en el plan y el total de gastos incurridos. Este informe se producirá en dos copias: una a remitirse a la Gerencia Administrativa del Organo Desconcentrado y otra al Comité de Apoyo. Dentro de los 30 días calendarios después de la ejecución de la simulación.
• Dado el número de Organos Desconcentrados el Comité de Apoyo debe establecer una programación anual de simulación que considere y ordene la secuencia de ejecución de todos los Organos Desconcentrados.
• El Comité de Apoyo debe elevar un informe escrito acerca de los resultados de la simulación en la Sede Central y en los Organos Desconcentrados dirigido al Comité Ejecutivo y a la Jefatura del Organo de Control Institucional, indicando también los Organos Desconcentrados en los que no se llevó a cabo la simulación y/o prueba.
• El Anexo Nº 03 presenta el Formato a emplearse en las actividades de simulación.
7.6. De la Actualización ael Pfaii ae Contingencias Informático
La actualización de .Jos Planes de Contingencias Informáticos se da por tres motivos:
a) Como resultado de la Simulación: El Comité de Apoyo sobre la base de los informes elaborados como resultado de las simulaciones efectuadas, evalúa las recomendaciones planteadas sobre los planes de contingencia validando si existen elementos faltantes o ausentes y procede a efectuar los cambios que correspondan.
Cambios Operacionales: Se da en los siguientes casos:
i. Cambio en la estructura organizacional. ii. Cambio en la infraestructura tecnológica del Centro de Cómputo de la Sede
Central o de los Centros de Soporte Informático de los Organos Desconcentrados.
13 de 39
iii. Reubicación del Centro de Cómputo de la Sede Central o de los Centros de Soporte Informático.
c) Resultados de la Contingencia: sobre la base del informe producido por la atención de una Situación de Emergencia, el Comité de Apoyo evalúa las recomendaciones de mejora para los planes y en caso de proceder inicia las acciones para el ajuste de los planes.
7.7. De la Operatividad y Declaratoria de la Situación de Emergencia
Las instancias para la declaratoria de la Situación de Emergencia son las siguientes:
7.7.1. En la Sede Central
a) Al presentarse un problema catalogado dentro de los escenarios de Situación de Emergencia en el Centro de Cómputo de la Sede Central, el mismo debe ser comunicado de inmediato a la Gerencia de Producción a través de la Sub Gerencia de Operaciones.
b) Si la Gerencia de Producción detemrina que no es viable la solución de los problemas reportados por medio de las áreas de soporte de la Sede Central, convoca a reunión al Comité de Apoyo.
c) El Comité de Apoyo recaba toda la información posible del hecho ocurrido, evalúa la magnitud de los acontecimientos; y de no ser posible brindar una pronta solución, determina que estamos frente a una Situación de Emergencia, lo cual lo informa a quien Presida el Comité Ejecutivo, dentro de las 6 horas de reportado inicialmente el problema.
d) Quien preside el Comité Ejecutivo convoca a sus miembros para evaluar y atender el informe del Comité de Apoyo.
e) El Comité Ejecutivo luego de evaluar la situación y de considerar procedente la emerg.;mcia, a continuación procede a analizar si los dañ.p~·P4e)ien,,ser cubiertos con recursos económicos asignados a la Gerencia Central de Organización e Informática:
i. De sef factible, el Comité Ejecutivo declara la Situación de Emergencia en el área orgánica afectada, dentro de las 12 horas de reportado inicialmente el problema, comunicando de este hecho a la Gerencia General.
ii. Caso. contrario, de existir la necesidad de contar con recursos excepcionales para la atención de la Situación de Emergencia, el Comité Ejecutivo, dentro de las 12 horas de reportado inicialmente el prqplema, gestiona ante la Gerencia General para que por su inte'rrnedio el Consejo Directivo declare la Situación de Emergencia, y por .consecuencia se emplee los fondos de la partida presupuesta\ "Atención a una Situación de Emergencia".
El Consejo Directivo, con la información recibida y conforme a la gravedad de los hechos decide declarar la Situación de Emergencia
14 de 39
para las áreas orgánicas correspondientes y/o los sistemas de información; comunicando dicha decisión a la Gerencia General, y este a su vez al Comité Ejecutivo.
f) Luego de haberse declarado la Situación de Emergencia; el Comité Ejecutivo instruye a la Gerencia de Producción para que convoque a los equipos de recuperación conforme al Plan de Contingencias Informático correspondiente.
7.7.2. En los Organos Desconcentrados
/'?)}?o~\ ;' ¡ _I\
\?·:~;,,:)/~~;;'{/
a) Si el problema se encuentra en un Centro Asistencial: La jefatura del área informática de dicho Centro afectado lo reporta inmediatamente al Jefe de la Oficina de Soporte Informático de la Red Asistencial correspondiente, este último de determinar que se está dentro de un escenario de Situación de Emergencia lo informa al Gerente Administrativo. El Gerente Administrativo. evalúa lo reportado y de confirmar la magnitud de los hechos, instruye al Jefe de la Oficina de Soporte Informático de la Red Asistencial para que notifique la emergencia a la Mesa de Ayuda, dentro de las 2 horas de reportado inicialmente el problema.
b) Si el problema se encuentra en una Red Asistencial o Instituto Especializado: el Jefe de la Oficina de Soporte Informático afectado lo reporta al Gerente Administrativo, este último de determinar que se está dentro de un escenario de Situación de Emergencia, instruye al Jefe de la Oficina de Soporte Informático para que notifique la emergencia a la Mesa de Ayuda, dentro de las 2 horas de reportado inicialmente el problema.
c) La Mesa de Ayuda informará telefónicamente y/o personalmente a la Sub Gerencia de Soporte al Usuario, a la Sub Gerencia de Operaciones y a la Sub Gerencia de Comunicaciones los problemas reportados como Situación de Emergencia, dentro de 1.as 3 horas de reportado inicialmente el problema.
d) Si la Suti Gerencia de Soporte al Usuario, la Sub Gerencia de Operaciones y la Sub Gerencia de Comunicaciones en forma conjunta determinañ que estamos frente a un escenario de Situación de Emergencia lo comunica a la Gerencia de Producción, dentro de las 6 horas de reportado inicialmente el problema.
e) Si la Gerencia de Producción determina que no es viable la solución de los problemas reportados por medio de las áreas de soporte de la Sede Central, convoca a reunión al Comité de Apoyo.
f) ·El Comité de Apoyo recaba toda la información posible del hecho ocurrido, evalua la magnitud de los acontecimientos; y de no ser posible brindar una pronta solución, determina que estamos frente a una Situación de Emergencia, lo cual lo informa a quien Presida el Comité Ejecutivo, dentro de las 1 O horas de reportado inicialmente el problema.
15 de 39
g) Quien preside el Comité Ejecutivo convoca a sus miembros para evaluar y atender el informe del Comité de Apoyo.
h) El Comité Ejecutivo luego de evaluar la situación y de considerar procedente la emergencia, a continuación procede a coordinar con el Gerente Administrativo de la Red Asistencial a cargo del área orgánica afectada la evaluación de los daños y la viabilidad de ser atendidos con recursos propios de dicha Red Asistencial:
i. De ser factible, la Gerencia Central de Organización e Informática y el Gerente Administrativo de la Red Asistencial respectiva, de manera conjunta declaran la Situación de Emergencia en el área orgánica afectada, dentro de las 20 horas de reportado inicialmente el problema, comunicando de este hecho a la Gerencia General.
iL Caso contrario, de existir la necesidad de contar con recursos excepcionales para la atención de la Situación de Emergencia, la Gerencia Central de Organización e Informática y el Gerente Administrativo de la Red Asistencial respectiva, dentro de las 20 horas de reportado inicialmente el problema, de manera conjunta gestionan ante la Gerencia General para que por su intermedio el Consejo Directivo declare la Situación de Emergencia, y por consecuencia se emplee los fondos de la partida presupuesta! "Atención a una Situación de Emergencia".
El Consejo Directivo, con la información recibida y conforme a la gravedad de los he.chas decide declarar la Situación de Emergencia para las áreas orgánicas correspondientes y/o los sistemas de información; comunicando dicha decisión a la Gerencia General, y este a su vez al Comité Ejecutivo.
i) Luego de haberse declarado la Situación de Emergencia; el Comité Ejecutivo instruye a la Gerencia de Producción para que convoque a los equipos de recuperación conforme al Plan de Contingencias Informático correspondiente.
Labores de Control y Evaluación
a) A continuación sé describen algunas labores de prevención que deben ser realizadas por las Jefaturas de las Unidades dedicadas a la Gestión Informática, dentro de su ámbito:
i. Con respecto a las Copias de Respaldo: • Revisar que las normas y procedimientos relacionados a backups y
seguridad de equipos y data se cumplan y se mantengan actualizadas. • Supervisar la realización periódica de los backups, comprobando
físicamente su realización, adecuado registro y almacenamiento. • Revisar la correlación entre los sistemas y las informaciones necesarias
para la buena marcha de la Institución, y el contenido de los Backups realizados.
16 de 39
ii. Informar de los incumplimientos de las normas de seguridad y protección, para las acciones de corrección respectivas.
iii. Supervisión del registro de la bitácora de incidencias diarias. iv. Verificar que se proceda con el mantenimiento preventivo programado a los
equipos y dispositivos informáticos. v. Verificación del correcto funcionamiento del aire acondicionado, grupo
electrógeno y el UPS. vi. Entrega mensual a la Oficina de Seguridad Informática sobre el estado de
las labores de prevención realizadas.
b) La Oficina de Seguridad Informática debe realizar el control de estas actividades según cronograma previamente establecido.
8. DISPOSICIONES COMPLEMENTARIAS
a) Para la aplicación de la presente norma, debe procederse conform¡; a las siguientes cinco (5) fases descritas líneas abajo:
1. Fase 1: Instalación de los Equipos de Trabajo.-Duración: Treinta (30) días calendario, siguientes a la vigencia de la presente norma. Responsable: La ejecución de esta fase está a cargo de la Gerencia Central de Organización e Informática. Actividades: Convocatoria a la instalación de los comités y equipos de trabajo a fin de dar inicio al desarrollo de los Planes de Contingencias Informáticos establecidos según la presente norma. Resultado que indica la culminación de la fase: Esta primera fase concluye cuando el Comité Ejecutivo y el Comité de Apoyo estén formalmente constituidos y organizados.
ii. Fase 2: Pre-estudio del desarrollo de los Planes de Contingencias Informáticos.-Duración: Setenta y cinco (75) días calendario, siguientes a la finalización de la Fase 1. Responsable: La responsabittdad de esta fase está a cargo del Comité Ejecutivo y la ejecución es a \rav~s del Comité de Apoyo. Actividades: Elaboración del plan de trabajo, gestión y aprobación de la disponibilidad de recursos económicos. Resultado que indíca la culminación de la fase: Esta fase concluye al haberse concretado las actividades siguientes:
1. Identificación de las prioridades institucionales a ser cubiertas en los Planes de Contingencias Informáticos, que consiste en contar con un documento denominado Evaluación de Impacto que incluya la relación de procesos críticos, riesgos por cada proceso critico y probabilidad de ocurrencia, el impacto institucional, alternativas de solución y una estimación de sus implicancias econom1cas, tiempo de implementación; responsabilidades y el planteamiento de una propuesta de aprobación. Este documento es elaborado por el Comité de Apoyo y presentado al Comité Ejecutivo para su revisión y conformidad. · ·
2. Instancias para su conformidad y aprobación, el Comité Ejecutivo eleva· el documento Evaluación de Impacto a la Gerencia General. La Gerencia General evalúa este documento y de considerarlo procedente da su
17 de39
'
conformidad, planteando una propuesta de aprobación y lo eleva al Consejo Directivo para su aprobación definitiva. Caso contrario, lo devuelve al Comité Ejecutivo con sus observaciones y comentarios a ser incluidos, este último Comité lo entrega al Comité de Apoyo para que realice las correcciones correspondientes, y luego se proceda nuevamente con el proceso de conformidad acorde con lo descrito desde el numeral 1 de la presente fase.
3. Selección de las prioridades institucionales a ser cubiertas en los Planes de Contingencia Informáticos, el Consejo Directivo aprueba los procesos críticos, las soluciones y los recursos económicos a destinarse. Sobre esta decisión los Planes de Contingencias Informáticos Integrales serán desarrollados. El Consejo Directivo comunica de su decisión a la Gerencia General, y este a su vez al Comité Ejecutivo.
4. Propuesta de los recursos económicos de elaboración, Una vez aprobado por el Consejo Directivo los alcances del documento Evaluación de Impacto, el Comité Ejecutivo determina el monto de la partida presupuesta! a asignarse para atender el proceso de elaboración. de los Planes de Contingencias Informáticos Integra les y lo eleva a consideración de la Gerencia General.
5. Evaluación de la propuesta sobre los recursos económicos de elaboración, la Gerencia General de considerarlo procedente presenta al Consejo Directivo el monto planteado para su aprobación.
6. Aprobación de los recursos económicos de elaboración, el Consejo Directivo aprueba e instruye a la Gerencia correspondiente la disposición del monto asignado para atender el proceso de elaboración de los Planes de Contingencias Informáticos Integrales de la Institución.
7. Otorgamiento de los recursos económicos e Inicio, Con la disponibilidad eje los recursos económicos señalados en el punto anterior indicado como numeral 6 de la presente fase, se inicia la elaboración de los Planes de Contingencias Informáticos Integrales de EsSalud.
Fase 3: Elaboración del Plan de Contingencias Informático.-Duración: La culminación de esta fase será dentro de los ciento ochenta (180) días calendario, contados a partir de la finalización de la Fase 2. Responsable: El Comité de Apoyo es el responsable de la ejecución de la fase 3. Actividades: ElaborpciÓfl de los dos (2) Planes de Contingencias Informáticos Integrales establecidos en la presente norma. Resultado que indica la culminación de la fase: Disponibilidad de los dos Planes de Contingencias lñformáticos Integrales totalmente culminados.
iv. Fase 4: Presentación, Conformidad y Aprobación del Plan de Contingencias.-Duración: La culminación de esta fase se llevará a cabo dentro de los cuarenta y cinco (45) días calendario, contados a partir de la culminación de la Fase 3. Responsable: El Comité de Apoyo, Comité Ejecutivo y la Gerencia General. Actividades: El Comité de Apoyo es responsable de presentar los Planes de Contingencias Informáticos al Comité Ejecutivo para su evaluación y de considerarlo procedente da la conformidad y lo remite a la Gerencia General para su evaluación y de considerarlo procedente da su aprobación .
. Resultado que indica la culminación de la fase: Se da por concluida esta fase • cuando el Plan de Contingencias Informático de la Sede Central y el Plan de Contingencias Informático Base de los Organos Desconcentrados se encuentren aprobados, a través de una Resolución de Gerencia GeneraL
18 de 39
... ~· <''
v. Fase 5: Implantación del Plan de Contingencias Informático.-Duración: Los Planes de Contingencia Informáticos aprobados fijarán los plazos para concretar la implantación de dichos planes, contados a partir de la culminación de la Fase 4. Responsable: Esta fase es de responsabilidad de la Gerencia Central de Organización e Informática para la Sede Central y de los Gerentes Administrativos o quien haga sus veces en los Organos Desconcentrados. Actividades: Implantación de los Planes de Contingencia Informáticos. Resultado que indica la culminación de la fase: Se da por finalizada esta fase cuando se ha cubierto todas las exigencias y los requerimientos planteados en los Planes de Contingencias Informáticos en lo referente a la implantación de los mismos.
Una fase se da m1c10 siempre y cuando la fase que la antecede haya sido concluida, las actividades contenidas en el concepto "Resultado que indica la culminación de la fase" deben ser culminadas en su totalidad para dar por concluida dicha fase.
b) La Gerencia General debe instruir a la Gerencia Central de Finanzas el establecimiento de las partidas presupuestales para adquisición de bienes y/o contratación de servicios, que permitan hacer frente a los siguientes casos:
d)
e)
i. Atención a una Situación de Emergencia, ii. Elaboración de los Planes de Contingencias Informático, iii. Implantación y Simulación de los Planes de Contingencias Informático.
La Gerencia Central de Adquisiciones con la aprobación de la Gerencia General debe implementar el procedimiento que facilite la adquisición de bienes ylo contratación de servicios a fin de atender la Situación de Emergencia.
El uso de los fondos previstos en las partidas presupuestales correspondientes a la elaboración e implantación o simulación de los Planes de Contingencias Informáticos debe proceder conforme a los procedimientos vigentes .
Los montos a ser asig{lados en las partidas presupuestales mencionadas anteriormente, serán déterminados conforme a lo siguiente:
i. Atención a una Situación de Emergencia, un porcentaje del impacto económico global que demandaria la pérdida de los activos informáticos relacionados a los procesos críticos a recuperar y que se encuentra descrito en los Planes de Contingencias Informático.
ii. Elaboración de los Planes de Contingencias Informático, el monto es propuesto por el Comité Ejecutivo.
iii. Implantación y Simulación de los Planes de Contingencias Informático, el monto para la implantación es determinado según lo indicado en el Plan y para la Simulación el monto es determinado de un porcentaje de la partida presupuesta! atribuida para el concepto "Atención a una Situación de Emergencia".
.. <':·;:;; -]}¿.-... .
/'<'\r:. ~\ \ei.G.'.:.·0 ~\::~B·.~j
\~tt 1~'C!: ;fi~f --. -·f) Al quinto día útil de culminada la Situación de Emergencia, la Jefatura del Centro
de Cómputo de la Sede Central o del Centro de Soporte Informático del Organo
19 de 39
:'·'
.. ~ ' ·t\j· ,if'.·. r -5 -, ..-! /': ··.t.:!; asuu .. · ... L'.!..i............... .. . -----···---,_.. •• ' ". ,< ' ".- " ', i, _; '-; ... " [. )_ . , ; '. -~ i-
Desconcentrado afectado por la contingencia debe elaborar un mforme escrito a remitirse al Comité de Apoyo, consignando lo siguiente:
i. Impacto informático en el servicio. ii. Rendición de gastos, conforme a los procedimientos vigentes. iii. Acciones tomadas. iv. Soluciones brindadas.
Seguidamente, el Comité de Apoyo remite dicho documento al Comité Ejecutivo, opcionalmente puede adicionar comentarios y conclusiones de lo actuado. Una vez concluida, la evaluación del documento en referencia el Comité Ejecutivo lo entrega a la Gerencia General, de considerarlo pertinente adiciona comentarios y observaciones.
g) La presente norma es de uso interno por lo que las disposiciones adoptadas en el presente documento son confidenciales y no deben ser reveladas fuera de la Institución.
h) Todas las Jefaturas de la Sede Central y de los Organos Desconcentrados involucrados en la elaboración y pruebas de los Planes de Contingencias Informáticos dentro de su ámbito correspondiente, son responsables del cumplimiento de las actividades asignadas a sus representantes en los plazos fijados, por lo que deben autorizar la dedicación del tiempo necesario y el apoyo de todo el personal de su Gerencia o Jefatura.
.. ,, .
El Comité Ejecutivo puede dictar las directivas necesarias dentro de lo establecido en la presente norma.
9. ANEXOS
ANEXO Nº 01
METODOLOGÍA PARA EL DESARROLLO DE PLANES DE CONTINGENCIAS INFORMÁTICOS
A. Etapas de la Continuidad del Negocio
La continuidad de negocios define tres etapas, en las cuales es necesario establecer un conjunto de actividades a realizar y deben estar incluidas en los Planes de Contingencias Informáticos, las mismas son:
• Actividades Previas a la Situación de Emergencia. • Actividades Durante la Situación de Emergencia. • Actividades Después de la Situación de Emergencia.
a) Actividades Previas a la Situación de Emergencia
Son todas las actividades de planeamiento, preparación, entrenamiento y ejecución de las actividades de resguardo de la información, que nos aseguren un proceso de recuperación con el menor costo posible a la Institución.
Podemos detallar las siguientes actividades generales:
(~:~-~\. ~I~. E"_;!,-~¿.\ e ~ IZ ENTt: ~~::
\ ;.-· '· ..... ,_··---· .. :,~',;~· i.
Establecimiento del Plan de Acción. Formación de Equipos de Recuperación.
Establecimiento de Plan de Acción .. ,,. -"
,. En esta fase de Planeamiento se debe de establecer los procedimientos relativos a:
1. Sistemas e lnfÓrmación. Identificación de los Sistemas de Información críticos para que la Institución pueda recuperar su operatividad perdida en el desastre (conting""encia).
2. Equipos de Cómputo. Inventario actualizado y etiquetado de los equipos informáticos de acuerdo a la importancia de su contenido y funcionalidad.
3. Obtención y almacenamiento de los Respaldos de Información. Obtención de copias de Seguridad de todos los elementos de software y datos necesarios para asegurar la correcta ejecución de los planes de recuperación.
Formación de Equipos de Recuperación
Se conforma los equipos de recuperación, los cuales son responsables de realizar la simulación del Plan de Contingencia bajo la conducción del Comité de Apoyo, Y de declararse la Situación de Emergencia se lleva a cabo las actividades indicadas en los planes de contingencia para la recuperación del serviciQ. El
21 de 39
número de integrantes de este equipo depende de la gravedad de la situación prevista y es determinado por el Comité de Apoyo.
Asimismo, el Equipo de Recuperación informa sobre el resultado de las simulaciones o pruebas efectuadas, y propone de existir; las actualizaciones necesarias al Plan de Contingencias Informático. El Comité de Apoyo debe evaluar la conveniencia de realizar. la actualización de los planes de contingencia siguiendo las pautas establecidas en la presente norma.
b) Actividades Durante la Situación de Emergencia
c)
Una vez presentada la Situación de Emergencia, se debe ejecutar las siguientes actividades, planificadas previamente:
• Acciones de Emergencia. • Formación de Equipos de Emergencia.
i. Acciones de Emergencia
Se deben iniciar las acciones de evacuación, protección y reporte ante la presencia de un siniestro, las cuales deben estar previamente definidas en un Plan de Acciones de Emergencia, así como la difusión de las mismas.
Es conveniente prever los posibles escenarios de ocurrencia del siniestro:
• Durante el día • Durante la noche o madrugada
Este plan debe incluir la participación y actividades a realizar por todas y cada una de las personas que se pueden encontrar presentes en el área donde ocurra el siniestro.
ii. Formación de Equipos de Emergencia
Se establecen los equipos de "'e\-nergencia encargados de llevar a la práctica la ejecución de los planes 8e acción de emergencia, determinando claramente los nombres, puestos, u6icación, funciones específicas a ejecutar durante y después del siniestro.
Actividades Después de la Situación de Emergencia
Después de ocurrido el Siniestro o Desastre es necesario realizar las actividades que se detallan, las cuales deben estar especificadas en el Plan de Contingencia Informática:
Evaluación de Daños. Priorización de Actividades del Plan de Contingencia. Ejecución de Actividades. Evaluación de Resultados. Retroalimentación del Plan de Contingencia.
22 de 39
1. Evaluación de Daños.
Inmediatamente después que el siniestro ha concluido, se debe evaluar la magnitud del daño que se ha producido, que sistemas están afectados, que equipos han quedado no operativos, cuales se pueden recuperar, y ·en cuanto tiempo, entre otros.
ii. Priorización de Actividades del Plan de Contingencias Informático.
La evaluación de la magnitud de los daños plantea la necesidad de declarar la Situación de Emergencia. Toda vez que el Plan de Contingencias Informático contempla la evaluación de daños reales, la comparación del siniestro contra el Plan, nos da la lista de las actividades de recuperación que debemos realizar.
iii. Ejecución de Actividades.
Implica la activación de equipos de trabajo para realizar las actividades estipuladas en el Plan sobre la reestructuración completa de Jos servicios y/o procesos afectados en la Situación de Emergencia.
iv. Evaluación de Resultados.
Una vez concluidas las labores de Recuperación del(de los) Sistema(s) que fue(ron) afectado(s) por el siniestro, debemos de evaluar objetivamente, todas las actividades realizadas, qué tan bien se hicieron, qué tiempo tomaron, qué circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan, cómo se comportaron los equipos de trabajo, entre otros.
De la Evaluación de resultados y del siniestro en si, deberian de salir dos tipos de recomendaciones, una la retroalimentación del plan de Contingencias y otra una lisia de recomendaciones para minimizar los riesgos y pérdida que ocasionaron el siniestro.
v. Retroalimentación del Plan cffi Contingencias Informático.
Con la evaluación: de· resultados, debemos de optimizar el plan original, mejorando las actividades que tuvieron algún tipo de dificultad y reforzando los elementos que funcionaron adecuadamente. ·
B. Fases de la Metodología
La metodologia planteada, se basa en la "Guía Práctica para el Desarrollo de Planes de Contingencia de Sistemas de Información" formulado por el Instituto Nacional de Estadística e Informática.
Son ocho (8) fases que se recomiendan utilizar como base en la elaboración del Plan de. Contingencias Informático, sin embargo; .los responsables de la elaboración los emplearán y desarrollarán conforme a las características técnicas actuales de su ámbito laboral.
Las fases planteadas son las siguientes:
23 de 39
,;. ';<
~-~.".·.í .. :.,;:g.:r .. -~:.~.·. E->lf:' ~- ":3 , .j , ..,.it - .~ ~ .,-3>,:,.e,,t.,.,~ • ,_ ,. ·, < ,, -. •• ~1. ~ ·, ",,,. '
1. Planificación: Preparación del desarrollo del Plan de Contingencias Informático y determinación del nivel de criticidad de procesos y sistemas; consecuentemente se determinan los más prioritarios.
2. Análisis y Evaluación de Riesgos: Estimar las vulnerabilidades, evaluar las amenazas y determinar el impacto cualitativo y económico de las fallas.
3. Identificación de soluciones: Evaluación y selección de diferentes alternativas de solución ante amenazas y riesgos identificados. Se incluye la estimación de los costos.
4. Estrategias y Elaboración: Formas de cómo llevar a cabo el Plan de Contingencias.
5. Documentación del Plan: Contenido del Plan de Contingencias Informático.
6. Simulación y/o Prueba: Validación del Plan de Contingencias Informático.
7. Distribución e Implementación del Plan de Contingencias Informático: Difusión y participación a las áreas de la Implementación del Plan de Contingencias Informático
8. Actualización del Plan de Contingencias Informático: Retroalimentación del Plan de Contingencias Informático sobre la base de revisiones periódicas.
La metodología para la elaboración de Planes de Contingencias Informáticos en adelante puede ser enriquecida con nuevos aportes metodológicos, manteniéndose los objetivos ya definidos.
1. Planificación
En este punto se define y prepara el desarrollo del Plan de Contingencias Informático.
Las actividades a conslderar, son:
a) Definición del objetivo y alcance del plan.
b) Formular un cronograma que contenga actividades a realizar, recursos, estimación de presupuesto, período definido para la elaboración del Plan de Contingencias Informático incluyendo las pruebas del mismo.
e) Definición de una estrategia de planificación de la continuidad del negocio apoyada en actividades a realizar en las etapas: previas al desastre, durante el desastre y después del desastre.
Tales actividades deberán ser documentadas de forma que sea de fácil consulta y de ágil actualización.
24 de 39
1.1 Inventario de Recursos Informáticos.
Cada Unidad Orgánica de la Institución debe registrar el inventario de los recursos informáticos asignados a su cargo, usando el sistema de Registro de Recursos Informáticos.
1.2 Identificación de Procesos Críticos
Para la selección de procesos críticos se recomienda utilizar el método de elipses; con lo cual se trata de relevar con precisión Jos distintos procesos involucrados en la pérdida o inhabilitación de la infraestructura tecnológica de la Institución.
La metodo\ogia de las elipses, es un método sencillo que permite identificar los procesos críticos y los distintos tipos de activos de información existentes dentro del alcance del modelo.
!Entidad ¡Externa 1 1 i
!Entidad. 1
l~Externa2
Proceso Crítico 1
Proceso Crítico 2
Proceso Critico 3
lSubproceso 3 ¡subproceso 4j
1
.. .. ··¡ Entidad Externa 3
Figura Nº 1
Entidad Externa 4
La figura Nº 1 presenta una ilustración del método de elipses. Para su ap1lCación se procede conforme a lo siguiente:
a). Como primer paso identificar los procesos críticos e indicarlos en la parte central de la elipse. Seguidamente con Jos responsables de los
25 de 39
procesos críticos se identificará los activos informáticos relacionados a estos procesos.
b) El segundo paso en la metodología, es el de identificar en la elipse intermedia las distintas interacciones que los procesos de la elipse concéntrica, tienen con otros subprocesos de la Institución. Seguidamente, se identifica con los dueños de esos subprocesos, los activos informáticos involucrados en las interacciones con la elipse concéntrica. Las flechas indican las interacciones.
c) En la elipse externa, se identifican aquellas organizaciones extrínsecas a la Institución que tienen cierto tipo de interacción con los subprocesos identificados en la elipse concéntrica.
d) Las flechas indican la interacción. Aquí también se deben identificar los distintos tipos de activos de información, con miras a averiguar el entendimiento que existe o debe elaborarse, así como los contratos existentes y los grados de acuerdos necesarios.
2. Análisis y Evaluación de Riesgos
El análisis de riesgos permite estimar las vulnerabilidades de los activos informáticos, evaluar las amenazas y realizar un análisis del impacto económico y del impacto generado a la población asegurada, es decir. determinar el efecto de fallas de los principales procesos informáticos de la organización.
Implica tres aspectos generales: • Determinar qué se necesita proteger. • De qué hay que protegerlo. • Cómo hacerlo.
En esencia lo que se exige es efectuar de manera disciplinada y sistemática un análisis y evaluación del riesgo de los activos de información identificados y determinar cuales ,sorvaquellos que deben ser protegidos a fin de mitigar su riesgo, así como definir también cual es el riesgo residual (el riesgo con el cual la empresa está decidida a convivir). A continuación, se muestra los pasos metodológicos pafa realizar el análisis y evaluación del riesgo, de los activos de información:
26 de 39
~ 1
r !
~
Identificación de Activos de Información
Posibilidad de Ocurrencia de
Amenazas
Estimado del Valor de los Activos en Riesgo
,---- 1. '
! Tasación de Activos , i ~ r---.¡ 1 1 ! !
L__ ----·-·- -------·--·· -
1 ! 1 Identificación de H Vulnerabilidades H i 1
i 1
! '
u Valor del Riesgo de los Activos
1 1
Identificación de Amenazas ~
'
'
Poodemdóo d~J Vulnerabilidades :
. 1
a) Identificación de Activos.- Mediante el uso de la metodología de las elipses, se identifican los activos de información críticos.
b) Tasación de Activos.- Para poder identificar la protección apropiada a los activos, es necesario determinar su valor cuantitativo en términos de la importancia a la gestión comercial.
c) Identificación de Amenazas.- Una amenaza tiene el potencial de causar incidentes indeseables, los cuales podrían resultar causando daño al sistema, la organización y sus activos. A través de la dinámica de grupos utilizar la técnica de la "lluvia de ideas", para hallar las principales amenazas por cada activo de información.
d) Posibilidad de Ocurreñi:'ia de Amenazas.- No todas las amenazas tienen la misma posibilid~d de ocurrencia. Habrá algunas que su presencia es remota y otras que su probabilidad de ocurrencia podrían ser altas. Por cada amena:¡:a, el Comité de Apoyo, basado en su experiencia y conocimiento de los activos y las amenazas, debe determinar la posibilidad de ocurrencia para cada amenaza.
e) Identificación de Vulnerabilidades.- Las vulnerabilidades son debilidades asociadas con cada activo de información. Son condiciones que pueden permitir que las amenazas las exploten y causen daño. Aquí el Comité de Apoyo, a través de la dinámica de grupos, debe establecer por cada amenaza las vulnerabilidades relacionadas con cada activo de información.
f) Ponderación de Vulnerabilidades.- También a través de la dinámica de grupos el Comité de Apoyo, determina una calificación la cual está en función de la posibilidad de ocurrencia como de la importancia de los recursos informáticos.
27 de 39
g) Estimado del Valor de los Activos en Riesgo.- Este elemento es fundamental para evaluar y dimensionar el riesgo. El Comité de Apoyo debe determinar el estimado del daño económico que el riesgo puede causar a los activos de información.
h) Valor del Riesgo de los Activos.- El Comité de Apoyo teniendo en cuenta lo relevado por cada activo respecto a sus impactos, amenazas y posibilidad de ocurrencia así como las vulnerabilidades y sus ponderaciones, determina la posibilidad de ocurrencia de los riesgos identificados, con lo cual se obtiene los activos de información de mayor exposición a daños, y por lo tanto serían aquellos a los cuales hay que determinar sus respectivos controles.
Para efectos de conocer la pérdida monetaria que representan las amenazas en los procesos críticos, este análisis debe tomar en consideraé:ión la valoración comercial e intrínseca del activo de información.
En la tabla Nº 1 que se presenta a continuación, se muestra una ilustración de la metodología descrita, apreciándose que la valoración y el impacto están representados mediante una evaluación cualitativa.
28 de 39
A'itJ;sS.ªlud -_.. '. '-~1 -,-,·.;·•~--~
Tasación (b) Activos
(a) Confiden- lntegri- Disponi- Total cialidad Dad bilidad
" A A A A
!:
Activo 2 B A A A
Activo 3 A A A A
- .. _.--;0..-,: · .(4;:·~~· Leyenda:
~/~ , uc~\
Alto ........... A Mediano .... M Bajo ........... B
___ ,
.<.:·;->_~ (··(~~::~:·iú~'··,~;- \
1 ! -· ~,.., -_· ¡ (.;¡c. é·:",·-··"",;·.
'\t~s'.:,LA_<~'.;3~
Tabla Nº 1
Realización del Análisis y Evaluación del Riesgo
Posibilidad Ponderación
Amenazas Vulnerabilidad dela (c)
Ocurrencia (e) Vulnerabilidad
(d) (f) - Plagio B - Deficiencia Org. B - Falsificación B - Deficiencia envío A - Alteración B - Acceso no autorizado A - Privacidad A - Control documentos M
- Mala interpretación M - Personal no calificado M - Poco detalle A - Reducción costo A - Servicio no solicitado M - Error digitación M
- Fallas funcionamiento A - Energía Eléctrica A - Falta seguridad A - Errores Configuración M - Falta personal B - Poca disponibilidad B
29 de 39
Valor Activo
(g)
A
A
A
Valor del Riesgo de
los Activos (h)
M
M
A
E~..;.,$.ªlt~~~ -., ' .-.·
3. Identificación de Soluciones
Los planes deben plantear alternativas de soluciones viables que logren el efecto de mitigar el impacto en caso de una falla.
Ejemplo Matriz de Identificación de Soluciones
U. ; .. ; ·q¡:;ci(írie~·" · Cfü'!;\.%'. .;:;q_pef~~i9•~.M.a~ri 4.a1····•··· .·•.• ·.· • x:c . ~~efl1 !Jtai:o_. Reparación rápida Se recurre a procedimientos Disponibilidad de un equipo y de defecto manuales para casos de reemplazo y una copia
prioritarios. del software respectivo. Reparación parcial Usar hojas de cálculo para Usar una Base de Datos
ofrece'r algunas para reemplazar la funcionalidades similares al funcionalidad del sistema. sistema original (fecha de captura).
Reparación total Ofrecer operaciones totalmente funcionales a través del proceso manual, utilizando personal adicional si es necesario.
Reemplazo del equipo afectado y/o reinstalación del Sistema Operativo y aplicativos.
A continuación, se presenta como ilustración algunos ejemplos de alternativas de solución:
a) Planificar la necesidad de personal adicional para atender los problemas que ocurran de acuerdo al presupuesto asignado.
b) Para asegurar la disposición de recursos humanos elaborar un programa de vacaciones que garantice la presencia permanente del personal.
c) Identificación de equipos para backup en caso de falla de alguno.
d) Referente a la disppsición de servicios, proceder a almacenar combustible adicional para !Os generadores, en caso de fallas eléctricas prolongadas.
Sobre la base de'. las alternativas de solución seleccionadas se procede a presupuestar, gestionar los recursos disponibles y determinar el costo de la implementación del Plan de Contingencias Informático.
4. Estrategias y Elaboración
A continuación se mencionan actividades a ser contempladas en el desarrollo de las estrategias y de la elaboración, como son:
a) La revisión de procesos, flujos, funciones y opciones referentes a los sistemas críticos.
b) La selección de las soluciones adecuadas para. mitigar cada nesgo identificado, así como determinar su costo de implementación.
30 de 39
c) La determinación de los impactos de las soluciones seleccionadas para contrastarlos con estrategias de reducción de gastos, como puede ser la selección de una solución para cubrir varios riesgos.
d) La determinación de formas de financiamiento externo para cubrir las exigencias de recursos físicos y humanos relacionados a soluciones seleccionadas para mitigar los riesgos o superar los posibles daños.
e) La elaboración de un análisis costo beneficio que justifique los gastos e inversiones con relación a las implicancias económicas, sociales, imagen y perjuicio en la salud pública de no brindar Jos servicios asistenciales a los asegurados y derechohabiemtes.
f) La e\aboracíón de un programa tentativo de adquisiciones considerando Jos posibles proveedores, oportunidad de compra, distribución de Jos bienes y/o materiales, Jugares de almacenaje, habilitación de nuevos ambientes, entre otros.
g) Definición de las formas de implementación del Plan.
h) Definición y coordinación de Jos programas de capacitación al personal.
Documentación del Plan
Los planes deben contemplar la identificación al detalle del siniestro presentado y el daño producido, así como estimar el tiempo en que se podrá recuperar la disponibilidad del servicio afectado.
5.1 Contenido del Plan de Contingencias Informáticos
El Plan de Contingencias Informático puede presentar la siguiente estructura:
a) Nombre del Proces.Q; b) Objetivo. c) Alcance .• d) Análisis y Evaluación de Riesgos. e) DesarroH:o del Plan de Contingencias.
i. Listas de notificación, números de teléfono y direcciones. ii. Prioridades, responsabilidades. iii. Procedimientos conteniendo la descripción de los equipos y las
tareas para ubicar las soluciones a las contingencias. iv. Definición de tiempos estimados para la recuperación de los
servicios. v. Información sobre adquisiciones y compras de activos
informáticos sobre la base del presupuesto asignado. vi. Diagramas de las instalaciones eléctricas y de red. vii. Descripción de configuraciones de los equipos.
Es. importante tener presente que cada Órgano Desconcentrado debe relevar de manera particular, lo siguiente
31 de 39
a) Números de teléfono o direcciones actualizados del personal de contacto y los números de teléfono de las organizaciones de asistencia que pudieran requerirse.
b) Con relación a los servicios brindado por terceros, elaborar un directorio de empresas o instituciones que abastecen de energía, comunicación, transporte, y otros servicios resaltando la importancia de ellos en el sistema de producción y verificando la seguridad de los servicios.
c) Evaluar un lugar alterno para instalar el centro de soporte informático en caso de siniestro del existente, y determinar las condiciones mínimas para su habilitación.
d) Asegurarse que se disponga y se mantenga actualizada la documentación sobre todas las operaciones y tareas realizadas en la instalación. Debe mantenerse en custodia u na copia de estos documentos fuera del centro informático.
e) Asegurarse que se cuente con un diagrama detallado de la red y con el etiquetado de los cables de red y de los conductores eléctricos. ·
f) Es recomendable contar con una configuración técnica genérica de los equipos informáticos que facilite la restauración y preparación de computadoras alternas.
Simulación y/o Prueba
El objetivo principal, es determinar si los Planes de Contingencias Informáticos son capaces de proporcionar el mínimo de operatividad a la sección o a los procesos críticos de la Institución, probando la efectividad de los procedimientos expuestos en el plan de contingencias.
-::....¡ Realizando simulaciopes se descubrirán. elementos operacionales que requieren ajustes para asegurar el éxito en la ejecución del plan, de tal forma que dichos ajustes perfeccionen los planes preestablecidos.
Las simulaciones también permitirán efectuar una valoración detallada de los costos de operación en el momento de ocurrencia de una contingencia.
6.1. Niveles de Simulación y/o Prueba
a) Simulación y/o pruebas a nivel Sede Central. b) Simulación y/o pruebas en Organos Desconcentrados. c) Simulación y/o pruebas externas con otras Instituciones.
6.2. Métodos para Realizar Simulacione.s de Planes de Contingencia Informáticos
32 de 39
a) Simulación Especifica
Consiste en probar una sota actividad, entrenando al personal en una función especifica, basándose en tos procedimientos estándar definidos en et Plan de Contingencias Informático. De esta manera el personal tendrá una tarea bien definida y desarrollará la habilidad para cumplirla.
b) Simulación en Tiempo Real
La simulación real tales como los cortes de fluido eléctrico, pruebas de sistemas críticos, entre otros, en un área determinada de la institución está dirigido a una Situación de Emergencia por un periodo de tiempo definido.
1. La simulación se hace en tiempo real en un horario que permita realizar pruebas.
2. Permite probar las habilidades coordinativas y de trabajo en equipo de tos grupos asignados para afrontar la contingencia.
6.3. Preparaciones Previas a la Simulación
a) Repaso del Plan de Contingencias Informático.
b) Verificación de las responsabilidades asignadas.
c) Entrenamiento del personal involucrado, incluyendo orientación completa de los objetivos del plan, rotes, responsabilidades y la apreciación global del proceso.
d) Establecer la fecha y la hora para el inicio y término de la simulación.
e) Desarrollar un docum~nto que indique los objetivos, alcances y metas de la prueb~ y ~stribuirlo·antes de su ejecución.
f) Asegurar la disponibilidad del ambiente donde se hará la prueba y del personal esencial en los dias de ejecución de dichas pruebas.
g) La meta es aprender y descubrir las vulnerabilidades, no generar fracaso y frustración.
h) La prueba inicial se enfoca principalmente en entrenar al equipo que debe ejecutar con éxito el plan de contingencias, solucionando el problema y reestableciendo a la normalidad las actividades realizadas.
i) Enfocar tos procesos críticos que dependen de sistemas específicos o compañías externas donde·se asume que hay problemas.
j) Definir el ambiente donde• se realizará las reuniones del equipo de recuperación de contingencias. ·
33 de 39
k) Distribuir una copia de la parte del Plan de Contingencias Informático a ser ejecutado, a todos los miembros del Equipo de Recuperación.
6.4. Comprobación del Plan de Contingencias Informático
La prueba final debe ser una prueba integrada que involucre todas las áreas de la Institución. La capacidad funcional del plan de contingencia radica en el hecho, de que tan cerca se encuentren los resultados de la prueba con las metas planteadas. A continuación, se presenta un diagrama de bloques que representa los pasos necesarios, para la ejecución de las pruebas del Plan de Contingencias 1 nformático.
Proceso de Simulación del Plan de Contingencias Informático
No
T ¡ ~~~~~car al personal que h~rá la _____ [
_---------i------ --! Preparar el Plan de Pruebas ; _, -------------·-·--·---------
; _J
,---- ______ j. _______________ ---1
Ejecutar el Plan y Observar el [ comportamiento 1
Analizar los resultados de !as pruebas. Hacer reportes.
'"
¿El Plan está OK?
No
35 de 39
!
Enviar al comité de Apoyo el reporte de pruebas
Comité de Apoyo
i Emitir Informe, enviar una copia al Comité Ejecutivo,
y al Organo de Control, Institucional.
1
Evaluar recomendaciones
....
[ Mantenimiento del Plan
• Instancias de aprobación
J
1 Difusión e Implantación
6.5. Entorno de la Simulación del Plan de Contingencias Informático
La siguiente estructura de entorno se sugiere para la documentación del plan de pruebas:
Nº Indice
1 Pruebas de alcances y Objetivos
Descripción
El estado que se piensa lograr tras la realización de las pruebas.
2 Pruebas metodológicas Proporciona vna descripción del tipo de
3 Precisar equipos recursos
4 Demanda de personal Capacitado
5 Detallar itinerarios y Localizaciones
6 Control del proceso
7 Control de la acción del Tiempo
8 Objetivos trazados partir Del control
9 Control de personal
1 O Pruebas de evaluación y Observaciones
prueba que se realizará. yldentifica y establece lo necesario.
Enumera y describe el personal y las necesidades de capacitación.
Desarrolla las tareas, limites, y las responsabilidades que muestran el plan para la ejecución de la prueba. Describe la disposición; desarrollo del Escenario de ensayo, y procedimientos Detalla la secuencia de eventos para la prueba.
aDefine las medidas de éxito para la prueba.
Define los procedimientos para terminar, suspender, y reiniciar la prueba. Detalla los resultados de la evaluación, además planes de acción alternados para rectificar fallas.
7. Distribución e Implementación del Plan de Contingencias Informático
··'• .l-,:;¡:¡,~·. Cuando se disponga de un plan definitivo y verificado, es necesario distribuirlo / '<· 'U" , a las autoridades de la unidad orgánica y a todas las personas involucradas { 1 _)en el Plan de Contingencias Informático. lnténtese controlar las versiones del V·t ci'.:t.D 1.~;0 plan, de manera que no exista confusión con múltiples versiones. Asi mismo, '<'~/ A ,-{::/ es neces.ario asegurar la disponibilidad de copias adicionales del plan para su
'-.. -·- custodia en una instalación exterior o en cualquier otro Jugar además del lugar de trabajo. Manténgase una lista de todas las personas y ubicaciones que tienen una copia del plan. Cuando se actualice el plan, sustituya todas las copias y r,ecoja las versiones previas.
La fase de implementación se da cuando han ocurrido o están por ocurrir los problemas para este caso se tiene que tener preparado los planes de contingenCia para poder aplicarlos.
36 de 39
/ ..
"
. ".-·
8. Actualización del Plan de Contingencias Informático
La fase de Actualización nos da la seguridad de que podamos reaccionar en el tiempo preciso y con la acción correcta. Cada vez que se da un cambio en la infraestructura, o en la organización de la institución, que incluye cambio de roles y de responsabilidades, cuando se ha identificado un nuevo riesgo, una nueva solución, debemos de realizar un mantenimiento correctivo o de adaptación.
La actualización del plan es un proceso sencillo. Se comienza con una revisión del plan existente y se examina en su totalidad, realizando cambios a cualquier información que pueda haber variado. En ese instante, se debe volver a evaluar los sistemas de aplicación y determinar cuáles son los más importantes para la organización. Las modificaciones a esta parte del plan causan modificaciones consecutivas a los procedimientos de recuperación. Sih embargo, esto no debería verse como un problema porque probablemente 19 sección de procedimientos tenga que actualizarse de todas formas debido a otros cambios. Si se han realizado modificaciones al sistema de copias de seguridad, hay que cerciorarse de incluir la información sobre el funcionamiento del nuevo o actualizado sistema.
A continuación, se enumera las actividades principales a realizar:
a) Establecimiento de los procedimientos de mantenimiento para la documentación y elaboración de informes referentes a los riesgos.
b) Revisión continua del funcionamiento de las aplicaciones. c) Revisión continua de los procesos de backup. d) Revisión de los sistemas de soporte eléctrico del Centro de Cómputo de la
Sede Central o de los Centros de Soporte Informático de los Organos Desconcentrados.
e) Actualización del Plan. f) Distribución de la versión actualizada.
37 de 39
~·· i~ -·
ANEXO Nº 02
DIAGRAMA DE APROBACION DE LOS PLANES DE CONTINGENCIAS INFORMÁTICOS INTEGRALES
Elaboración del Plan de Contingencias
Brinda Conformidad al Plan de Contingencia
Aprueba el Plan de Contingencia
NO
NO
Comité de Apoyo
Elabora los Planes de Contingencias Informáticos
SI
SI
Comité Ejecutivo
Gerencia General
Difusión e Implementación
38 de 39
.., .. .._--11 .. ~Gere nci a de Producción
Gerencia Central ..... ...--1~~ de Organización e
Informática
.. 1111 Gerencia General
ANEXO Nº 03
FORMATO PARA EL REGISTRO DE ACTIVIDADES DE LA SIMULACIÓN
Documentará el día de la semana y la hora de ocurrencia del acontecimiento:
Bitácora de Incidencias
Unidad Orgánica: Sede:
Fecha Hora Daño Responsable Equipo Aplicativo Observaciones Afectado Afectado
...
·-
--
·--
.
--
Firma Responsable de la Simulación
39 de 39