UNIVERSIDAD NACIONAL DEL CALLAO

FACULTAD DE INGENIERIA INDUSTRIAL Y DE SISTEMAS

ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS

INTEGRANTE:
Calcina Murrugarra, Csar Hugo
Florin Guardia, Geraldine Isabel
Heredia Vsquez Katherine Melissa

TEMA:
PLAN DE CONTINGENCIA STUDEROOM

CURSO: Gestin Tecnolgica

DOCENTE: Reenaty Huatay

CICLO: X

Mayo 2017
 PLAN DE
CONTINGENCIA Y
POLTICAS DE
SEGURIDAD DE
SISTEMAS DE
INFORMACIN
 TABLA DE CONTENIDO
INTRODUCCIN

1. OBJETIVOS

1.1. ALCANCE Y COBERTURA

2. NORMATIVIDAD

3. DEFINICIONES

4. CONDICIONES GENERALES

4.1 ESQUEMA GENERAL

4.2 PLAN DE RESPALDO

4.3 PLAN DE EMERGENCIA Y RECUPERACIN DE DESASTRE

1. OBJETIVOS
Los objetivos principales del presente documento son los siguientes:
Contar con una estrategia planificada compuesta por un conjunto de
procedimientos que garanticen la disponibilidad de una solucin alterna que
permita restituir rpidamente los sistemas de informacin de la Entidad ante la
eventual presencia de siniestros que los paralicen parcial o totalmente.
Garantizar la continuidad en los procesos de los elementos crticos necesarios
para el funcionamiento de las aplicaciones.
Identificar las acciones que se deben llevar a cabo y los procedimientos a
seguir en el caso de la presencia de un siniestro que restrinja el acceso a los
sistemas de informacin.
Establecer las secuencias que se han de seguir para organizar y ejecutar las
acciones de control de emergencias.
Minimizar las prdidas asociadas a la presencia de un siniestro relacionado
con la gestin de los datos.
Proveer una herramienta de prevencin, mitigacin, control y respuesta a
posibles contingencias generadas en la ejecucin del proyecto.

1.1 ALCANCE Y COBERTURA

El plan de contingencias es un anlisis de los posibles riesgos y

eventuales siniestros a los cuales puede estar expuesto equipos de
cmputo, programas, archivos y Bases de Datos, cualquiera que sea su
residencia. En este Manual se hace un anlisis de los riesgos y siniestros
a los cuales se halla sujeta el rea de sistemas de informacin del
STUDEROOM, cmo reducir su posibilidad de ocurrencia y los
procedimientos apropiados en caso de la presencia de cualquiera de
tales situaciones.

El alcance del plan de contingencia incluye los elementos bsicos y

esenciales, componentes y recursos informticos que conforman los
sistemas de informacin que maneja STUDEROOM, que se relacionan
a continuacin:

Datos: En general se consideran datos todos aquellos elementos

por medio de los cuales es posible la generacin de informacin.
Tales elementos pueden ser estructurados (Bases de Datos) o no
estructurados (correos electrnicos) y se presentan en forma de
imgenes, sonidos o colecciones de bits.
Aplicaciones: Son los archivos y programas con sus
correspondientes manuales de usuario y/o tcnicos desarrollados
o adquiridos por la entidad.
Tecnologa: Incluye los equipos de computo como computadores
de escritorio, servidores, cableados, switches, etc. en general,
 conocidos como hardware y los programas, archivos, bases de
datos, etc. denominados software para el procesamiento de
informacin.
Instalaciones: Lugares fsicos de la Entidad donde se encuentren
el software.
Personal: Los individuos con conocimientos y experiencia
especficos que integran el rea de sistemas de la Entidad que
dentro de sus funciones deban programar, planificar, organizar,
administrar y gestionar los sistemas de informacin.

Como mnimo, los diferentes planes de contingencia que hacen parte del
presente documento han sido construidos considerando que STUDEROOM
tenga soluciones de continuidad en su operacin diaria aunque ello implique
una posible reduccin en su capacidad de proceso.

2. NORMATIVIDAD
La operacin de los sistemas de informacin y los procedimientos
establecidos se rigen ante las mejores practices usadas en planes de
contingencia conocidos.

3. DEFINICIONES

3.1 Acceso: Es la lectura o grabacin de datos que han sido almacenados

en un sistema de computacin. Cuando se consulta una Base de Datos,
los datos son primero accedidos y suministrados a la computadora y luego
transmitidos a la pantalla del equipo.

3.2 Amenaza: Cualquier evento que pueda interferir con el

funcionamiento de un computador o causar la difusin no autorizada de
informacin confiada a un computador. Ejemplo: Fallas del suministro
elctrico, virus, saboteos o descuido del usuario

3.3 Ataque: Trmino general usado para cualquier accin o evento que
intente interferir con el funcionamiento adecuado de un sistema
informtico o el intento de obtener de modo no autorizado la informacin
confiada a un computador.

3.4 Base de Datos: Es un conjunto de datos organizados, entre los

cuales existe una correlacin y que adems estn almacenados con
criterios independientes de los programas que los utilizan. Entre sus
principales caractersticas se encuentran brindar seguridad e integridad
a los datos, proveer lenguajes de consulta, de captura y edicin de los
datos en forma interactiva, proveer independencia de los datos.
3.5 Datos: Los datos son hechos y/o valores que al ser procesados
constituyen una informacin, sin embargo, muchas veces datos e
informacin se utilizan como sinnimos en el presente documento. En su
forma ms amplia los datos pueden ser cualquier forma de informacin:
campos de datos, registros, archivos y Bases de Datos, textos (coleccin
de palabras), hojas de clculo (datos en forma matricial), imgenes (lista
de vectores o cuadros de bits), videos (secuencia de tramas), etc.
3.6 Golpe (Breach): Es la violacin exitosa de las medidas de seguridad,
como el robo de informacin, la eliminacin de archivos de datos
valiosos, el robo de equipos, PC, etc.
3.7 Incidente: Cuando se produce un ataque o se materializa una
amenaza se tiene un incidente, como por ejemplo las fallas de suministro
elctrico o un intento de eliminacin de un archivo protegido.
3.8 Integridad: Los valores consignados en los datos se han de
mantener de tal manera que representen la realidad y su modificacin
debe ser registrada en bitcoras del sistema que permitan la auditora de
los acontecimientos. Las tcnicas de integridad sirven para prevenir el
ingreso de valores errados en los datos sea esta situacin provocada por
el software de la Base de Datos, por fallas de los programas, del sistema,
el hardware o, simplemente, por errores humanos.
3.9 Privacidad: Se define como el derecho que tiene toda entidad para
determinar, a quin, cundo y qu informacin de su propiedad podr ser
difundida o transmitida a terceros.
3.10 Seguridad: Se refiere a las medidas que toma cada entidad con el
objeto de preservar la integridad de sus datos o informacin procurando
que no sean modificados, destruidos o divulgados ya sea en forma
accidental, no autorizada o intencional. En el caso de los datos e
informacin contenidos en los sistemas de informacin de
STUDEROOM, la privacidad y seguridad guardan estrecha relacin entre
s, aunque la diferencia entre ellas radica en que la primera se refiere a
la distribucin autorizada de informacin y la segunda al acceso no
autorizado.
3.11 Sistemas de Informacin: Es el trmino empleado en el ambiente
del procesamiento de datos para referirse al almacenamiento de los
datos de una organizacin y ponerlos a disposicin de su personal.
Pueden ser registros simples como archivos de Word y Excel, o pueden
ser complejos como una aplicacin de software con base de datos.
3.12 Cortafuegos (Firewall): Es un sistema diseado para bloquear el
acceso no autorizado de comunicaciones. Se trata de un dispositivo
configurado para permitir, limitar, cifrar y descifrar el trfico de mensajes
entre los diferentes mbitos sobre la base de un conjunto de normas y
otros criterios. Los cortafuegos se utilizan para evitar que los usuarios
de Internet no autorizados tengan acceso a redes privadas conectadas a
Internet, especialmente intranets.
 4. CONDICIONES GENERALES

4.1. ESQUEMA GENERAL

En el presente Manual se indican los procedimientos y actividades generales
que se deben tener en cuenta para la correcta ejecucin del plan de
contingencia que aplica para cualquier sistema de informacin de
STUDEROOM.
FACTOR DEL
TIPO DE RIESGO PREVENCIN Y MITIGACIN
RIESGO
El Fuego: destruccin de equipos y archivos. Extintores, aspersores automticos, detectores
Bajo
de humo, plizas de seguros.
El robo comn: prdida de equipos y archivos. Seguridad Privada, Alarma, Seguro contra todo
Medio
riesgo y copias de respaldo (BackUp)
El vandalismo: dao a los equipos y archivos Medio Seguro contra todo riesgo, copias de respaldo..
Fallas en los equipos: dao a los archivos Mantenimiento, equipos de respaldo, garanta y
Medio
copias de respaldo.
Equivocaciones: dao a los archivos. Capacitacin, copias de respaldo, polticas de
Bajo
seguridad.
Accin de Virus: dao a los equipos y archivos Actualizaciones del sistema operativo, Antivirus
Medio
actualizados, copias de respaldo.
Terremotos: destruccin de equipo y archivos Seguro contra todo riesgo, copias de respaldo.
Medio Las sedes cumplen con las normas antissmicas.

Accesos no autorizados: filtrado no autorizado de Cambio de claves de acceso mnimo cada seis
datos Bajo meses. Poltica de seguridad para acceso a
personal competente.
Robo de datos: difusin de datos sin el debido Cambio de claves de acceso mnimo cada seis
Bajo
cubrimiento de su costo. meses, custodia de las copias de respaldo.
Fraude: modificacin y/o desvo de la informacin y Sistemas de informacin seguros con dos
fondos de la institucin. usuarios para autorizar transacciones,
Bajo
procedimiento de control y registro de
transacciones en tablas de auditora.

El rea de Sistemas STUDEROOM, est conformada por profesionales con

conocimientos de sistemas de informacin quienes prestan asesora tcnica
sobre el presente procedimiento y supervisan su correcto desarrollo en caso
de requerirse. Adicionalmente se deben contar con contratos de
mantenimiento vigentes para las diferentes plataformas informticas, con
profesionales especializados que prestarn soporte tcnico de acuerdo a los
niveles de servicio exigidos.

Debido a que la tecnologa es muy voltil, es posible que algunos sistemas

de informacin dejen de operar por encontrase obsoletos o al ser
reemplazados por unos ms modernos.
De acuerdo con lo anterior, los programas que dejen de operar por ser
reemplazados por otros o por ser obsoletos, deben permanecer
instalados durante los tres (3) meses siguientes en forma simultnea para
emplearlos en caso de contingencia y una vez concluido este perodo el
 funcionario responsable debe realizar una copia de seguridad completa de la
informacin en CD o DVD o BD y enviarla al rea de sistemas para su
verificacin y custodia en diferentes oficinas de la entidad, de acuerdo con lo
establecido en la tabla de retencin documental,.

A continuacin se describe la metodologa para el desarrollo y aplicacin del

plan de contingencia de los sistemas de informacin por parte del rea de
sistemas:

4.2. PLAN DE RESPALDO

Para asegurar que se consideran todas las posibles eventualidades, se
relacionan las actividades que se deben realizar con el objeto de prever,
mitigar o eliminar los riesgos conocidos:

N ACTIVIDAD ELEMENTOS RESULTADO

1 Copias de seguridad de la informacin y Documentos en formatos Word, Una copia de seguridad en la
documentos residentes en los discos duros de los Excel, PDF, artes, imgenes, nube en lnea opcional, una
computadores. audio y correos electrnicos Copia de seguridad anual
obligatoria de todos los
documentos.
Responsable: Funcionarios
que manejen informacin de
gran importancia para la
Entidad.
2 Copias de seguridad de los sistemas de Aplicaciones WEB e intranet de Copia de seguridad semanal de
informacin y Bases de Dato. informacin. los sistema de informacin
activos de la Entidad.
Aplicaciones y Bases de Datos de
los procesos y archivos. Los servicios de Hosting en
Datacenter contratados
Registro Nacional de
incluirn el servicio de backup
Profesionales.
para las aplicaciones del.
Responsable: Ingeniero de
Sistemas

3 Contar mnimo con un kit de instalacin para Sistema operativo (Windows, Contar con mnimo un medio de
restaurar los archivos del sistema operativo y Linux, etc.) instalacin por cada oficina.
aplicaciones de un computador o servidor en caso
Paquetes de ofimtica y diseo. Una copia u original del
de falla o virus.
(Office, Corel) instalador en custodia de
sistemas.
Bases de datos (Sql, MySql,
FoxPro, etc.) Responsable: Ingeniero de
Sistemas
Drivers y utilitarios de
impresoras, redes,
computadores, etc.
4 Mantener descentralizados los sistemas de Sitio WEB, Base de Datos, Aplicaciones instaladas en
informacin, de acuerdo a sus necesidades. aplicaciones fuera de lnea en diferentes localizaciones fsicas,
seccionales. computadores o servidores.
Responsable: Ingeniero de
Sistemas.
N ACTIVIDAD ELEMENTOS RESULTADO
5 Mantener plizas de seguros vigentes, Equipos elctricos y/o Pliza vigente contra todo
asegurando por el valor real, contra todo riesgo los electrnicos, mviles, porttiles, riesgo de dao y/o prdida fsica
equipos y bienes. software y equipos de por cualquier causa.
comunicacin.
Responsable: Profesional de
Gestin Administrativa
6 Mantenimientos, revisiones preventivas y Equipos de computacin y Contratos anuales de
correctivas de equipos de computacin y comunicacin perifricos, mantenimiento, garantas
comunicacin, extintores, alarmas y sistemas sistemas elctricos UPS, Aire vigentes y control del
contra incendio, para mantenerlos en ptimas acondicionado, Alarmas, mantenimiento de los equipos.
condiciones. Sistemas contra incendio,
Responsable: Profesional de
Extintores, reglamento del
Gestin Administrativa y/o
edificio.
supervisor asignado al contrato
de mantenimiento.
7 Actualizar las claves o contrasea de acceso a Base de Datos, y sistemas de Mnimo cada seis meses o
las aplicaciones y bases de datos. informacin. cuando se requiera por el usuario
o por reemplazos del cargo.
Responsable: Todos los
funcionarios de la Entidad que
manejen sistemas de
informacin.

8 Mantener actualizados los sistemas operativos, Sistemas operativos de equipos de Entrega de una actualizacin
antivirus y aplicaciones. cmputo, antivirus y aplicaciones. cada vez que salga una nueva
versin de las aplicaciones.
Configuracin de
actualizaciones automticas en
los sistemas operativos.
Responsable: Ingeniero de
sistemas.
9 Mantener los equipos en condiciones ambientales Equipos de computacin y Contrato vigente de
ptimas de tal forma que no se deterioren por uso comunicacin. mantenimiento preventivo y
inadecuado. correctivo para los equipos de
cmputo.
Responsable: Servicios
generales e inventarios,
responsable de los contratos de
mantenimiento de la Entidad.
10 Mantener como respaldo un inventario adicional Equipos de computacin y Reduccin del tiempo de
con equipos de cmputo, repuestos, consumibles, comunicacin de la Entidad. respuesta a fallas de hardware
para su reemplazo inmediato en caso de falla. y sistemas de informacin.
Responsable: Responsable de
servicios generales e inventarios
de la Entidad.
11 Disponibilidad de redundancia de recursos para Concepto n+1: UPS, Planta Evitar la suspensin del servicio
evitar la interrupcin de la prestacin del servicio elctrica, almacenamiento, a los usuarios teniendo una
en los sistemas de informacin de la Entidad. conexiones, lneas, equipos de alternativa adicional,
cmputo adicional y servidores con contratando servicio de hosting
ambiente de prueba. en datacenter que garanticen la
disponibilidad.
Responsable: Ingeniero de
Sistemas.
Los responsables estn relacionados en el cuadro anterior de acuerdo con la
ubicacin de las oficinas de la Entidad, el cumplimiento de las actividades
descritas en el cuadro anterior se debe verificar por lo menos una vez al ao
de acuerdo con el formato SI-fr-03 (Ver anexo 9.1), cuyos resultados podrn
ser consultados por el jefe inmediato desde el sistema Workflow.

Los registros que se generen con la aplicacin de este documento se deben

conservar y archivar de acuerdo con lo establecido en la Tabla de Retencin
Documental.

4.2. PLAN DE EMERGENCIA Y RECUPERACIN POR DESASTRE

En el presente numeral se definen los procedimientos y planes de accin
para el caso de una falla, siniestro o desastre en el rea informtica,
considerando como tal todas las reas y usuarios que procesan informacin
en los equipos de cmputo. Para lo anterior se recomiendan esquemas de
virtualizacin de servidores.
El profesional responsable del rea de sistemas debe registrar el siniestro en
el libro de registro de contingencias, formato SI-fr-07 (Ver anexo 9.6), el cual
puede ser consultado por el jefe inmediato desde el sistema Workflow.

Cuando ocurra un desastre, es esencial que se conozca al detalle el motivo

que lo origin y el dao producido para permitir recuperar en el menor tiempo
posible el proceso perdido.
Los procedimientos de recuperacin y verificacin son de ejecucin
obligatoria y bajo la responsabilidad de los encargados de la realizacin de
los mismos. En estos procedimientos estn involucrados todos los
funcionarios de STUDEROOM.
Las actividades previas a la presencia de un desastre o falla son aquellas
relacionadas con el planeamiento, preparacin, entrenamiento y ejecucin
de actividades de resguardo de la informacin, que aseguren un proceso de
recuperacin con el menor costo posible para STUDEROOM.
En la fase de planeamiento se debe tener la siguiente informacin disponible
para proceder:
4.3.1 Sistemas de Informacin: STUDEROOM debe tener una relacin de
identificacin actualizada de los Sistemas de Informacin con los que cuenta,
tanto los desarrollados por el rea de sistemas como los contratados por la
entidad con otras empresas contratistas.
La relacin de los sistemas de informacin deber detallar los siguientes
datos:
N INFORMACIN DESCRIPCIN

1 El nivel de importancia estratgica que tiene la informacin de este Sistema

CRITICIDAD
para el COPNIA. (Ranking)

2 NOMBRE DEL Nombre del Sistema, denominacin y sigla

SISTEMA

3 Lenguaje o Paquete con el que fue creado el Sistema. Programas que lo

LENGUAJE DE
conforman (tanto programas fuentes como programas objetos, rutinas, macros,
DESARROLLO
etc.).

4 PROCESOS Y Procesos y reas (internas/externas) donde se encuentra instalado el sistema y

REAS las reas que los usan.

5 TAMAO El volumen de los archivos que trabaja el sistema en megabytes o gigabytes.

6 TRANSACCIONE El volumen de transacciones diarias y mensuales que maneja el sistema

S

7 EQUIPAMIENTO El equipamiento con el cual est funcionando el sistema.

8 EQUIPAMIENTO Equipamiento mnimo necesario para que el sistema pueda seguir funcionando.
MNIMO

9 ACTIVIDADES DE Actividades por realizar para volver a contar con el Sistema de Informacin
RECUPERACIN (actividades de Restauracin).

10 TIEMPO DE Tiempo estimado en horas o das, para que el COPNIA pueda funcionar
RECUPERACIN adecuadamente, sin disponer de la informacin del Sistema.

Con la lista priorizada, se procede a recuperar la operatividad de los sistemas

de informacin en los cuales hubo prdida causada por el desastre o falla.
La informacin anterior debe estar permanentemente actualizada por el rea
de sistemas.