SEG_GRUPO2_EVALUACION 03_ PLAN DE CONTINGENCIA

Vista previa del material en texto

SE
G
U
R
ID
A
D
 
IN
FO
R
M
Á
TI
C
A
 
 
EVALUACIÓN 3 
PLAN DE CONTINGENCIA DE LA 
MUNICIPALDAD DISTRITAL DE SAN 
JUAN BAUTISTA - IQUITOS 
FISI 
PLAN DE CONTINGENCIA -MDSJB IQUITOS - PERÚ 
2 | P á g i n a 
Seguridad Informática 
 
 
UNIVERSIDAD NACIONAL DE LA AMAZONIA PERUANA 
FACULTAD DE INGENIERIA DE SISTEAMS E INFORMÁTICA 
SEGURIDAD INFORMATICA 
 
EVALUACIÓN 3: PLAN DE CONTINGENCIA DE LA 
MUNICIPALIDAD EN LA MUNICIPALIDAD DISTRITAL DE SAN 
JUAN BAUTISTA - IQUITOS 
 
 
EQUIPO DE TRABAJO 
 
 Cabrera Armas, Victo Iván 
 García Flores, Segundo 
 Hidalgo Paredes, Harold Daniel 
 Obregón Ríos, Jhunior Isaías 
 Pacaya Álvarez, Allison Stefani 
 Torres Mendoza, Rodrigo Gonzalo 
 
 
 
 
 
 
 
PLAN DE CONTINGENCIA -MDSJB IQUITOS - PERÚ 
3 | P á g i n a 
Seguridad Informática 
Tabla de contenido 
I. INTRODUCCIÓN ............................................................................................................ 4 
FINALIDAD EL PLAN ............................................................................................................. 5 
PLANIFICACIÓN DEL PLAN DE CONTINGENCIA ...................................................................... 5 
DEFINICIONES ...................................................................................................................... 6 
CONTINGENCIA ................................................................................................................ 6 
PLAN DE CONTINGENCIA .................................................................................................. 6 
RESPONSABILIDADE ............................................................................................................. 6 
LIDER DEL PROYECTO ....................................................................................................... 6 
DEL ADMINISTRADOR DEL PROYECTO .............................................................................. 6 
DEL EQUIPO DE TRABAJO ................................................................................................. 6 
II. OBJETIVOS ............................................................................................................................. 7 
 OBJETIVOS GENERALES .................................................................................................... 7 
 OBJETIVOS ESPECIFICOS ................................................................................................... 7 
III. METODOLOGÍA DE TRABAJO ............................................................................................... 7 
IV. SERVICIOS QUE DEBEN SER RESTABLECIDOS ....................................................................... 8 
V. POSIBLES ESCENARIOS.......................................................................................................... 8 
VI. IDENTIFICACIÓN DE IMPACTOS ............................................................................................ 9 
VII. DISEÑO DE LA ESTREATEGIA PARA LA CONTIUNIDAD E LOS PROCESOS ............................ 9 
1. ESTRATEGIAS DE RESPALDO ............................................................................................. 9 
2. ALMACENAMIENTO Y RESPALDO DE INFORMACIÓN ................................................... 10 
3. SITIOS ALTERNOS PARA EL CENTRO DE COMPUTO ....................................................... 10 
4. ROLES Y RESPONSABILIDADES ....................................................................................... 11 
5. CONSIDERACIONES ADICONALES ................................................................................... 11 
VIII. PASOS A SEGUIR EN CASO DE FALLAS DE HARDWARE ..................................................... 11 
1. ERROR FISICO DE DISCO DURO DEL SERVIDOR ............................................................. 11 
2. ERROR DE MEMORIA RAM ............................................................................................. 11 
3. ERROR DE TARJETA CONTROLADORA DE DISCO ........................................................... 12 
4. ERROR LOGICO DE DATOS .............................................................................................. 12 
5. CASO DE VIRUS ............................................................................................................... 12 
IX. GLOSARIO DE TERMINOS ................................................................................................... 13 
 
 
 
 
PLAN DE CONTINGENCIA -MDSJB IQUITOS - PERÚ 
4 | P á g i n a 
Seguridad Informática 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
I. INTRODUCCIÓN 
 
Para la Municipalidad Distrital De San Juan Bautista (MDSJB) es indispensable recurrir a los 
recursos de cómputo como un medio de proveer información a todos los niveles de la misma, y 
es de vital importancia que dicha información sea lo más exacta posible. 
Es importante resaltar que para que la organización logre sus objetivos necesita garantizar 
tiempos de indisponibilidad mínimos, tanto en sus recursos informáticos como en las 
comunicaciones, de este modo podrá mantener una contingencia eficiente en todas las áreas 
operativas. No contar con un acceso a la información por medio de un computador en un 
determinado tiempo de unas 5 horas como máximo por “X” motivos distorsiona el 
funcionamiento generando obstrucción en la realización de las tareas u servicios que brinde. 
El presente documento constituye el Plan de Contingencia Informático de Para la Municipalidad 
Distrital De San Juan Bautista (MDSJB) en materia de riesgos de tecnología de información (TI), 
el cual establece el objetivo, alcance y metodología desarrollada. 
 
 
 
PLAN DE CONTINGENCIA -MDSJB IQUITOS - PERÚ 
5 | P á g i n a 
Seguridad Informática 
 
 
 
FINALIDAD EL PLAN 
 
Establecer pautas que faciliten u orienten lograr una solucio0n alternativa que permite restituir 
rápidamente 
los servicios informáticos de la MDSB ante eventualidades de toda acción que lo pueda paralizar, 
ya sea de forma parcial o total. 
 
Propender a que los procesos críticos de la MDSB continúen funcionando a pesar de una posible 
falla en los sistemas computarizados. Es decir, un plan que le permita a la municipalidad seguir 
operando, aunque sea al mínimo. 
 
Garantizar la continuidad de las operaciones de los elementos considerados críticas que 
componen los sistemas de información. 
 Definir acciones a ejecutar en caso de fallos de los elementos que componen el sistema de 
sistema de información. 
 
PLANIFICACIÓN DEL PLAN DE CONTINGENCIA 
 
El plan de contingencia de la MDSB ha sido desarrollado después de observar los aspectos más 
importantes que interviene en la planificación de desastres en el centro de cómputo. 
 El plan, está orientado, a establecer junto a otros trabajos de seguridad, un adecuado 
sistema de seguridad física y lógica en prevención a cualquier desastre. 
 el presente plan da seguridad a la necesidad de contar con estrategias eficientes de 
análisis de riesgo de prevención, de emergencias de respaldo de recuperación y 
finalmente de costo 
 para planificar y enfrentar desastres. esta notación se debe a que se considera que para 
realizar un plan de contingencia se debe tomar como referencia a todos los riesgos, 
amenazas, y medidas de seguridad establecidas en la empresa. 
 
 
 
 
 
 
PLAN DE CONTINGENCIA -MDSJB IQUITOS - PERÚ 
6 | P á g i n a 
Seguridad Informática 
 
DEFINICIONES 
1. CONTINGENCIA 
Interrupción, no planificada, de la disponibilidad de recursos informáticos. 
 
2. PLAN DE CONTINGENCIA 
Conjunto de medidas (de DETECCION y de REACCION) a poner en marcha 
ante la presentación de una contingencia. 
El Plan de Contingencia suele combinarse con medidas de seguridad general. 
 
RESPONSABILIDADES 
 
3. LIDER DEL PROYECTO 
 
Dirigir el desarrollo integral del proyecto, así como verificar el 
cumplimiento de lasactividades de cada uno de los líderes usuario. 
 
 
4. DEL ADMINISTRADOR DEL PROYECTO 
 
Desarrollar el plan de trabajo establecido. Asignar los responsables, así como las 
prioridades para el desarrollo de las tareas. Organizar el proyecto y orientar al equipo 
de trabajo. Establecer coordinaciones entre el equipo de trabajo, el líder del proyecto y 
las demás unidades orgánicas involucradas. Verificar y efectuar el seguimiento para que 
el proyecto sea expresado en documentos formales y de fácil entendimiento Identificar 
los problemas, desarrollar las soluciones y recomendar aquellas acciones específicas 
Controlar el avance del proyecto Informar al líder del Proyecto, los avances y ocurrencias 
durante el cumplimiento de las tareas de los responsables 
 
 
5. DEL EQUIPO DE TRABAJO 
 
Ejecutar las acciones encargadas especificadas en el cronograma o plan de trabajo, 
cumpliendo los plazos señalados a fin de no perjudicar el cumplimiento de las demás 
tareas Comunicar oportunamente al Administrador del Proyecto, sobre los avances de 
las tareas asignadas, así como las dificultades encontradas y la identificación de los 
riesgos. Identificar sobre aspectos operativos no contemplados en el cronograma de 
actividades. Ejecutar las acciones correctivas del caso, coordinando su implementación 
con el Administrador del Proyecto 
 
 
PLAN DE CONTINGENCIA -MDSJB IQUITOS - PERÚ 
7 | P á g i n a 
Seguridad Informática 
 
 
 
II. OBJETIVOS 
 
 OBJETIVOS GENERALES 
 Establecer un plan de recuperación, formación de equipos y entrenamiento para 
restablecer la operatividad del sistema en el menor tiempo posible. 
 
 OBJETIVOS ESPECIFICOS 
 Definir las actividades de planeamiento, preparación, entrenamiento y ejecución de 
tareas destinadas a proteger la información contra los daños y perjuicios producidos 
por corte de servicios, fenómenos naturales o humanos. 
 Establecer actividades que permitan evaluar los resultados y retroalimentación del 
plan general. 
 Identificar el tiempo máximo en el que un proceso crítico de la Municipalidad 
Distrital de San Juan Bautista deberá ser restaurado para su normal y eficiente 
continuidad. 
III. METODOLOGÍA DE TRABAJO 
 
El Análisis del Impacto tiene como objetivo determinar los procesos críticos de la Municipalidad 
y las aplicaciones que la soportan con el fin de proporcionar las bases para el Plan de 
Recuperación de TI: 
 Identificación de los Procesos. 
 Subprocesos. 
 Aplicaciones que soporta la Municipalidad. 
 Máximo tiempo de interrupción en que el subproceso puede estar interrumpido en 
horas. 
Los criterios para la clasificación de los activos de TI son los siguientes: 
 Criticidad: El activo se define como crítico si su falta o falla es motivo de interrupción 
para el proceso. Se considera el criterio de criticidad como el más importante, y los 
criterios de frecuencia de uso y tecnología que confirman la clasificación de Activos de 
TI: 
 Frecuencia de uso: El grado de utilización que se le da al activo. 
PLAN DE CONTINGENCIA -MDSJB IQUITOS - PERÚ 
8 | P á g i n a 
Seguridad Informática 
 Tecnología: El nivel de innovación tecnológica que tiene el activo, relacionado también 
a su valor de mercado y grado de obsolescencia. 
 
IV. SERVICIOS QUE DEBEN SER RESTABLECIDOS 
 
a) Windows 
 Correo Electrónico 
 Internet 
 Antivirus 
 Herramientas de Microsoft Office 
b) Software Base 
 Base de datos SQL server 
 Backup de la Información 
 Ejecución de Aplicaciones 
c) Respaldo de Información 
 Backup de la Plataforma de Aplicaciones (Sistemas) 
 Backup del Servidor controlador de Dominio. 
 Backup del Servidor de Archivos. 
 
V. POSIBLES ESCENARIOS 
 
ESCENARIO CAUSA 
 NO HAY COMUNICACIÓN ENTRE 
LOS USUARIOS Y EL SERVIDOR. 
 Falla – Corte del cable UTP. 
 Falla IP asignado. 
 Falla Punto de Red. 
 FALLA DE UN SERVIDOR. 
 Falla de componentes de 
Hardware del servidor. 
 Falla – falta de suministro 
eléctrico. 
 Sobre pasar el 
almacenamiento del disco. 
 Computador funciona como 
servidor. 
 AUSENCIA DEL PARCIAL O 
PERMANENTE DE LAS PERSONAS 
ENCARGADAS 
 Accidente. 
 Renuncia. 
 Enfermedad. 
 INTERRUPCIÓN DEL FLUIDO 
ELECTRICO 
 Corte general del fluido 
eléctrico. 
 Sobrecarga en el suministro de 
energía. 
 Corte circuitos. 
 Fallas en los cables de 
alimentación 
PLAN DE CONTINGENCIA -MDSJB IQUITOS - PERÚ 
9 | P á g i n a 
Seguridad Informática 
 PERDIDA DE SERVICIO DE 
INTERNET 
 Fallas de equipos que usan 
SWITCH, ANTENAS, FIBRA 
OPTICA. 
 Falla de software de control de 
acceso a internet. 
 Perdida de conexión con los 
proveedores de internet. 
 Falla de infraestructura de red 
de los proveedores de internet. 
 FALTA DE DISPONIBILIDAD DE 
LOS CENTROS DE COMPUTO – 
DESTRUCCIÓN DE LOS EQUIPOS. 
 Sabotaje. 
 Corto circuito. 
 Incendio. 
 Terremoto. 
 Lluvias intensas. 
 
VI. IDENTIFICACIÓN DE IMPACTOS 
RECURSOS NIVEL DE IMPACTO TIEMPO ACEPTABLE DE CAIDA 
 HERRAMIENTAS 
OFFICE 
 NIVEL MEDIO - 2 HORAS 
 LINEAS 
TELEFONICAS 
 NIVEL BAJO - 3 HORAS 
 INTERNET NIVEL ALTO a) 1 HORA 
 SISTEMA 
LOGISTICO 
 NIVEL MEDIO b) 2 HORAS 
 CAIDA DEL 
SERVIDOR 
 NIVEL ALTO c) 1 HORA 
VII. DISEÑO DE LA ESTREATEGIA PARA LA CONTIUNIDAD E LOS 
PROCESOS 
 
1. ESTRATEGIAS DE RESPALDO 
a) Planificar la necesidad de personal adicional, en caso de emergencias para los problemas 
que ocurran. 
b) Recurrir al procesamiento manual de (facturas, ordenes, cheques, documentaciones, 
registros, etc.) en caso de caída se los sistemas automatizados computarizados. 
c) Planificación de cierre y reinicio constante programados de los dispositivos y sistemas 
que se consideren es riesgo. 
d) Disponer con alternativas para suministros de energías, como generadoras o paneles 
solares en caso de pérdida en el fluido eléctrico. 
e) Elaborar un cronograma del personal, siempre priorizar tener personal disponible en las 
áreas de TI. 
 
PLAN DE CONTINGENCIA -MDSJB IQUITOS - PERÚ 
10 | P á g i n a 
Seguridad Informática 
 
 
2. ALMACENAMIENTO Y RESPALDO DE INFORMACIÓN 
a) Generación de copias de respaldo (backups) de la información oficial semestral y anual 
de los discos duros de las computadoras donde se opera la gestión de los órganos y 
unidades orgánicas que conforman la estructura orgánica municipal. 
b) Alojamiento de la información histórica de las diversas gestiones municipales 
(especificadas por cada área) a través del servicio "cloud storage" 
c) Manual de Procedimiento de Backup - define la frecuencia del back up (diario o 
periódico, incremental o total) considerando la criticidad de los datos y la frecuencia con 
que se introduce nueva información, la ubicación de los backups, los estándares de 
identificación, la frecuencia \ de rotación de medios y el modo de transporte a ubicación 
externa. 
d) Los datos se respaldarán (copiarán) en discos magnéticos externos, cintas o discos 
ópticos (Respaldar información en la nube es otra manera más eficaz). 
 
3. SITIOS ALTERNOS PARA EL CENTRO DE COMPUTO 
a) El plan incluye una estrategia para recuperar y ejecutar operaciones de sistemas en 
instalaciones alternativas por un periodo extendido; los sitios alternativos pueden ser: 
 Propios de la organización 
 De una entidad con la que hay un acuerdo de reciprocidad 
 Instalaciones alquiladas 
b) En función a su aprestamiento operativo los sitios alternos se clasifican en: 
 Sitios fríos son instalaciones con el espacio adecuado e infraestructura 
adecuados (electricidad, telecomunicaciones y controles ambientales) para 
soportar el sistema de TI; no contiene equipos de cómputo. 
 Sitios tibios son ambientes equipados parcialmente con hardware, software, 
equipos de telecomunicaciones y electricidad; y que además se mantienen 
en estatus operativos. 
 Sitios calientes son instalaciones que cuentan con el equipo y personal 
necesarios 24 horaspor día, 7 días por semana. 
 Sitios reflejos son instalaciones totalmente redundantes con información 
actualizada en tiempo real y técnicamente idénticos al primer sitio. 
 
 
PLAN DE CONTINGENCIA -MDSJB IQUITOS - PERÚ 
11 | P á g i n a 
Seguridad Informática 
 
4. ROLES Y RESPONSABILIDADES 
a) Designar un responsable general del plan y toma de decisiones. 
b) Designar equipos para ejecutar el plan; cada equipo debe entrenarse y prepararse para 
actuar. 
c) El personal de la recuperación se asignará a equipos específicos que responderán al 
evento, recuperarán los sistemas de TI y restaurarán operaciones normales. 
d) Los tipos de equipos requeridos dependen del sistema afectado. 
5. CONSIDERACIONES ADICONALES 
a) Mantener actualizado el software de las computadoras y servidores de la 
municipalidad. 
b) Implementar canales alternativos de comunicación de datos entre los locales 
municipales. 
 
 
VIII. PASOS A SEGUIR EN CASO DE FALLAS DE HARDWARE 
1. ERROR FISICO DE DISCO DURO DEL SERVIDOR 
a) Ubicar el disco que presenta fallas. 
b) Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y teléfono a 
sus jefes de área. 
c) Deshabilitar la entrada al sistema para que el usuario no reintente su usuario. 
d) Bajar el sistema y apagar el equipo. 
e) Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y darle petición. 
f) Restaurar el ultimo Backup en el disco, seguidamente restaurar las modificaciones 
afectadas desde esa fecha a la actualidad. 
g) Recorrer los sistemas que se encuentran en dicho disco y verificar su buen estado. 
h) Habilitar a las entradas al sistema para los usuarios. 
 
2. ERROR DE MEMORIA RAM 
 SINTOMAS 
a) El servidor no responde correctamente, por lentitud de proceso o por no 
rendir ante el ingreso masivo de usuarios. 
b) Ante procesos mayores se congela el proceso. 
c) Arroja errores con mapas de direcciones hexadecimales. 
d) Es recomendable que el servidor cuente con ECC (Error orrect cheking), por 
lo tanto, hubiese un error de paridad, el servidor se autocorregirá. 
 SOLUCIÓN 
a) Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red 
y teléfono a jefes de área. 
b) El servidor debe estar apagado, dando un correcto apagado del sistema. 
c) Ubicar memorias malogradas. 
PLAN DE CONTINGENCIA -MDSJB IQUITOS - PERÚ 
12 | P á g i n a 
Seguridad Informática 
d) Retirar las memorias malogradas y reemplazarlas por otras similares. 
e) Retirar la conexión del servidor con el concentrador, esta se ubica detrás 
del servidor, ello evitara que, al entender el sistema, los usuarios ingresen. 
f) Realzar pruebas locales. 
g) Probar los sistemas que están en red en diferentes ocasiones. 
h) Al finalizar, habilitar las entradas al sistema para los usuarios. 
 
3. ERROR DE TARJETA CONTROLADORA DE DISCO 
a) Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y teléfono a 
jefes de área. 
b) El servidor debe estar apagado, dando un correcto apagado del sistema. 
c) Ubicar la posición de la tarjeta controladora. 
d) Retirar la tarjeta con sospecha de deterioro. 
e) Retirar conexión del servidor con el concentrador. 
f) Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia el 
concentrador, habilitar entradas para estaciones en las cuales se realizan las pruebas. 
g) Al final, al a ver solucionado se habilita las entradas al sistema para los usuarios. 
 
4. ERROR LOGICO DE DATOS 
 SINTOMAS 
a) Caída del servidor de archivos por falta de software de red. 
b) Falla de suministro de energía eléctrica por mal funcionamiento del UPS. 
c) Bajar incorrectamente el servidor de archivos. 
d) Fallas causadas usualmente por un error de chequeo de inconsistencia 
física. Plan de sistemas de MDSJB. 
 SOLUCIÓN 
a) Verificar el suministro de energía eléctrica. 
b) Deshabilitar el ingreso de usuarios del sistema. 
c) Descargar todos los volúmenes del servidor. 
d) Cargar un utilitario que nos permita verificar en forma global del contenido 
del disco. 
e) Al término de la operación de reparación se procede a habilitar de entradas 
a estaciones para manejo de soporte técnico. 
5. CASO DE VIRUS 
a) Se contará con antivirus para el sistema que aíslen el virus que ingresa al sistema 
llevándolo a un directorio para su futura investigación. 
b) El antivirus muestra el nombre del archivo infectado y quien lo uso. 
c) Estos archivos (exe, com, ovl, nlm, etc) serán reemplazados del disquete original de 
instalación o del Backup. 
 
 
 
 
 
 
PLAN DE CONTINGENCIA -MDSJB IQUITOS - PERÚ 
13 | P á g i n a 
Seguridad Informática 
 
 
 
IX. GLOSARIO DE TERMINOS 
 
 Contingencia es el suceso que puede suceder o no, especialmente un problema 
que se plantea de forma imprevista. 
 Plan de Contingencia Conjunto de medidas (de DETECCION y de REACCION) a poner 
en marcha ante la presentación de una contingencia. El plan de contingencia tiene 3 
fases. 
1. Fase de Emergencia. 
2. Fase de Restauración (BAKCUP). 
3. Fase de Recuperación. 
 
 Impacto: El impacto de una actividad crítica se encuentra clasificado, dependiendo de 
la importancia dentro de los procesos TI, en: 
1. Impacto Alto. 
2. Impacto Medio. 
3. Impacto Bajo. 
 
 Proceso crítico: Proceso considerado indispensable para la continuidad de las 
operaciones y servicios de la entidad, y cuya falta o ejecución deficiente puede tener un 
impacto operacional o de imagen significativo para la entidad.