1.

Introducción
2. Planificación de contingencia
3. Análisis de riesgos
4. Medidas preventivas
5. Previsión de desastres naturales
6. Plan de respaldo
7. Plan de recuperación
8. Consideraciones adicionales

Introducción
El manual que estamos presentando tiene que ser una guía, según los estándares de planes
de contingencia informático, para que cada gerente de Departamento de la Cooperativa de
Ahorro y Crédito Minga Ltda. En adelante defina y documente u informe de trabajo
derivado de la definición del Plan de Contingencia de Informático.
El alcance de este plan guarda relación con la infraestructura tecnológica, así como los
procedimientos relevantes de su Departamento asociados con la plataforma tecnológica.
Entenderemos como infraestructura informática al hardware y software, elementos
complementarios que soportan la información y datos críticos para la función del negocio
bajo su responsabilidad.
Entendemos también como procedimientos relevantes a la infraestructura informática a
todas aquellas tareas que el ´personal realiza frecuentemente cuando interactúa con la
plataforma informática (entrada de datos, generación de reportes, consultas, etc.).
Un Plan de Contingencia considera una “Planificación de la Contingencia" así como un
conjunto de "Actividades" las que buscan definir y cumplir metas que permitan a cada
Departamento de la Institución controlar el riesgo asociado a una contingencia.
Como Administrador Usted deberá leer acabadamente este instructivo, así como generar un
"Plan de Trabajo para el Plan de Contingencia de IT" que involucre a los actores relevantes.
Este plan de trabajo considera evaluar las situaciones de riesgo y definir las tareas
orientadas a reducir dichos riesgos. Naturalmente, en la generación del Plan de Trabajo de
su Departamento es recomendable trabajar con sus reportes clave a fin de que sus
recomendaciones cuenten con una base operativa sólida.
La Administración de E_X ya ha definido el Plan de Trabajo de Administración para el Plan
de Contingencia de IT, en donde Usted es un miembro importante del Comité de
Recuperación frente a desastres. Este comité se activará frente a una Contingencia, según la
convocación del Gte. de Administración y Finanzas.
Sugerimos que su plan de trabajo respectivo, se genere como "una respuesta" a cada uno de
los puntos que contiene esta Guía de Plan de Contingencia de E_X.
Agradecemos la diligencia que invertirá en este aspecto tan importante del manejo de
contingencias informáticas, el que sabemos valorará en la eventualidad de una contingencia
mayor.

1. Planificación de Contingencia
El Plan está orientado a establecer, junto con otros trabajos de seguridad, un
adecuado sistema de seguridad física y lógica en prevision de desastres.
Se define la Seguridad de Datos como un conjunto de medidas destinadas a salvaguardar la
información contra los daños producidos por hechos naturales o por el hombre. Se ha
considerado que para la compañía, la seguridad es un elemento básico para garantizar su
supervivencia y entregar el mejor Servicio a sus Clientes, y por lo tanto, considera a la
Información como uno de los activos más importantes de la Organización, lo cual hace que
la protección de esta sea el fundamento más importante de este Plan de Contingencia.
En este documento se resalta la necesidad de contar con estrategias que permitan
realizar: Análisis de Riesgos, de Prevención, de Emergencia, de Respaldo y recuperacion
para enfrentar algún desastre. Por lo cual, se debe tomar como Guía para la definición de
los procedimientos de seguridad de la Información que cada Departamento de la firma debe
definir.
1.1 Actividades Asociadas
Las actividades consideradas en este documento son :
- Análisis de Riesgos
- Medidas Preventivas
- Previsión de Desastres Naturales
- Plan de Respaldo
- Plan de Recuperación

2. Análisis de Riesgos
Para realizar un análisis de los riegos, se procede a identificar los objetos que deben ser
protegidos, los daños que pueden sufrir, sus posibles fuentes dedaño y oportunidad, su
impacto en la compañía, y su importancia dentro del mecanismo de funcionamiento.
Posteriormente se procede a realizar los pasos necesarios para minimizar o anular la
ocurrencia de eventos que posibiliten los daños, y en último término, en caso de ocurrencia
de estos, se procede a fijar un plan de emergencia para su recomposición o minimización de
las pérdidas y/o los tiempos de reemplazo o mejoría.
2.1. Bienes susceptibles de un daño
Se puede identificar los siguientes bienes afectos a riesgos:
a) Personal b) Hardware
c) Software y utilitarios d) Datos e información e) Documentación
f) Suministro de energía eléctrica
g) Suministro de telecomunicaciones
2.2. Daños
Los posibles daños pueden referirse a:
a) Imposibilidad de acceso a los recursos debido a problemas fíisicos en las instalaciones
donde se encuentran los bienes, sea por causas naturales o humanas.
b) Imposibilidad de acceso a los recursos informáticos por razones lógicas en
los sistemas en utilización, sean estos por cambios involuntarios o intencionales, llámese
por ejemplo, cambios de claves de acceso, datos maestros claves, eliminación o borrado
físico/lógico de información clave, proceso de información no deseado.
c) Divulgacion de información a instancias fuera de la Compañía y que afecte
su patrimonio estratégico
Comercial y/o Institucional, sea mediante Robo o Infidencia.
2.3. Prioridades
La estimación de los daños en los bienes y su impacto, fija una prioridad en relación a la
cantidad del tiempo y los recursos necesarios para la reposición de los Servicios que se
pierden en el acontecimiento.
Por lo tanto, los bienes de más alta prioridad serán los primeros a considerarse en
el procedimiento de recuperación ante un evento de desastre.
2.4. Fuentes de daño
Las posibles fuentes de daño que pueden causar la no operación normal de la compañía
asociadas al Centro de
Operaciones Computacionales de E_X son:
Acceso no autorizado
Por vulneración de los sistemas de seguridad en operación (Ingreso no autorizado a las
instalaciones).
Ruptura de las claves de acceso a los sistema computacionales
a) Instalación de software de comportamiento errático y/o dañino para la operación de los
sistemas computacionales en uso (Virus, sabotaje).
b) Intromisión no calificada a procesos y/o datos de los sistemas, ya sea por curiosidad o
malas intensiones.
Desastres Naturales
a) Movimientos telúricos que afecten directa o indirectamente a las instalaciones físicas de
soporte (edificios) y/o de operación (equipos computacionales).
b) Inundaciones causados por falla en los suministros de agua. c) Fallas en los equipos de
soporte:
- Por fallas causadas por la agresividad del ambiente
- Por fallas de la red de energía eléctrica pública por diferentes razones ajenas al manejo por
parte de la Compañía.
- Por fallas de los equipos de acondicionamiento atmosféricos necesarios para una
adecuada operación de los equipos computacionales más sensibles.
- Por fallas de la comunicación.
- Por fallas en el tendido físico de la red local.
- Fallas en las telecomunicaciones con la fuerza de venta.
- Fallas en las telecomunicaciones con instalaciones externas.
- Por fallas de Central Telefónica.
- Por fallas de líneas de fax.
Fallas de Personal Clave
Se considera personal clave aquel que cumple una función vital en el flujo de procesamiento
de datos u operación de los Sistemas de Información:
a) Personal de Informática.
b) Gerencia, supervisores de Red. c) Administración de Ventas.
d) Personal de Administración de Bodegas-Despachos. Pudiendo existir los siguientes
inconvenientes:
a) Enfermedad. b) Accidentes. c) Renuncias.
d) Abandono de sus puestos de trabajo. e) Otros imponderables.
Fallas de Hardware
a) Falla en el Servidor de Aplicaciones y Datos, tanto en su(s) disco(s) duro(s) como en
el procesador central.
b) Falla en el hardware de Red:
- Falla en los Switches.
- Falla en el cableado de la Red.
c) Falla en el Router. d) Falla en el FireWall.
Incendios
2.5. Expectativa Anual de Daños
Para las pérdidas de información, se deben tomar las medidas precautorias necesarias para
que el tiempo de recuperación y puesta en marcha sea menor o igual al necesario para la
reposición del equipamiento que lo soporta.

3. Medidas Preventivas
3.1. Control de Accesos
Se debe definir medidas efectivas para controlar los diferentes accesos a los activos
computacionales:
a) Acceso físico de personas no autorizadas. b) Acceso a la Red de PC's y Servidor.
c) Acceso restringuido a las librerías, programas, y datos.
3.2. Respaldos
En el punto Nro. 5 se describirá el alcance de esta importante medida preventiva.

4. Previsión de desastres Naturales

La previsión de desastres naturales sólo se puede hacer bajo el punto de vista de minimizar
los riesgos innecesarios en la sala de Computación Central, en la medida de no dejar objetos
en posición tal que ante un movimiento telúrico pueda generar mediante su caída y/o
destrucción, la interrupción del proceso de operación normal. Además, bajo el punto de
vista de respaldo, el tener en claro los lugares de resguardo, vías de escape y de la ubicación
de los archivos, diskettes, discos con información vital de respaldo de aquellos que se
encuentren aun en las instalaciones de la compañía.
Adecuado Soporte de Utilitarios
Las fallas de los equipos de procesamiento de información pueden minimizarse mediante el
uso de otros equipos, a los cuales también se les debe controlar periódicamente su buen
funcionamiento, nos referimos a:
a) UPS ....... de respaldo de actual servidor de Red o de estaciones críticas b) UPS ....... de
respaldo switches y/o HUB's
Seguridad Física del Personal
Se deberá tomar las medidas para recomendar, incentivar y lograr que el personal comparta
sus conocimientos con sus colegas dentro de cada área, en lo referente a la utilización de los
softwares y elementos de soporte relevantes. Estas acciones permitirán mejorar los niveles
de seguridad, permitiendo los reemplazos en caso de desastres, emergencias o períodos de
ausencia ya sea por vacaciones o enfermedades.
Seguridad de la Información
La información y programas de los Sistemas de Información que se encuentran en el
Servidor, o de otras estaciones de trabajo críticas deben protegerse mediante claves de
acceso y a través de un plan de respaldo adecuado.

5. Plan de Respaldo
El Plan de Respaldo trata de cómo se llevan a cabo las acciones críticas entre la pérdida de
un servicio o recurso, y su recuperación o reestablecimiento. Todos los nuevos diseños de
Sistemas, Proyectos o ambientes, tendrán sus propios Planes de Respaldo.
Respaldo de datos Vitales
Identificar las áreas para realizar respaldos:
a) Sistemas en Red.
b) Sistemas no conectados a Red. c) Sitio WEB.

6. Plan de Recuperación
Objetivos del Plan de Recuperación
Los objetivos del plan de Recuperación son:
1) Determinación de las políticas y procedimientos para respaldar las aplicaciones y datos.
2) Planificar la reactivación dentro de las 12 horas de producido un desastre, todo el sistema
de procesamiento y sus funciones asociadas.
3) Permanente mantenimiento y supervisión de los sistemas y aplicaciones.
4) Establecimiento de una disciplina de acciones a realizar para garantizar una rápida y
oportuna respuesta frente a un desastre.
Alcance del Plan de Recuperación
El objetivo es restablecer en el menor tiempo posible el nivel de operación normal del
centro de procesamiento de la información, basándose en los planes de emergencia y de
respaldo a los niveles del Centro de Cómputos y de los demás niveles.
La responsabilidad sobre el Plan de Recuperación es de la Administración, la cual debe
considerar la combinación de todo su personal, equipos, datos, sistemas, comunicaciones y
suministros.
Activacion del Plan
Decisión
Queda a juicio del Gerente de Administración y Finanzas determinar la activación del Plan
de Desastres, y además indicar el lugar alternativo de ejecución del Respaldo y/o operación
de emergencia, basándose en las recomendaciones indicadas por éste.
Duración estimada
Los supervisores de cada area determinarán la duración estimada de la interrupción del
servicio, siendo un factor clave que podrá sugerir continuar el procesamiento en el lugar
afectado o proceder al traslado del procesamiento a un lugar alternativo.
Responsabilidades
* Orden de Ejecución del Plan : Gerencia de Admin. & Finanzas.
* Supervisión General de Plan : Empresa en convenio para Recuperación.
* Supervisión del Plan de Rec. : Supervisor(es) de Área(s).
* Abastecimiento (HW, SW) : Asistente de Administración.
* Tareas de Recuperación : Personal de tareas afines.
Aplicación del Plan
Se aplicará el plan siempre que se prevea una pérdida de servicio por un período mayor de
48 horas, en los casos que no sea un fin de mes, y un período mayor a 24 horas durante los
fines de mes (durante los cierres contables).

Consideraciones Adicionales
1. Plan debe ser probado una vez al año
Frente a la contingencia, se notifica al Gte. de Administración y Finanzas, quien evalúa en
terreno el desastre, y estima tiempo de paro de operacionesmientras se reestablecen las
operaciones.
Si el tiempo estimado es mayor a 48 horas de iterrupción de operaciones en cualquier día
salvo el fin de mes, en cuyo caso el tiempo estimado es mayor a 24 horas, entonces convoca
al comité de Recurperación, compuesto por:
* Supervisor de Plataforma : Empresa en convenio para Recuperación.
* Supervisión del Plan de Rec. : Supervisor(es) de Área(s).
* Abastecimiento (HW, SW) : Asistente de Administración.
* Tareas de Recuperación : Personal de tareas afines.
El comité determinará el lugar donde se instalará el sistema alternativo (red y servidor
alquilado), pudiendo ser en las mismas premisas de E_X si las condiciones lo permiten, o
en las premisas de la empresa con convenio recíproco de "Plan de Contingencia", si se
contara con ella.
Cada supervisor de área, tomará nota de las condiciones de la nueva plataforma operativa
(sus capacidades y limitaciones, tanto en funcionalidad como en velocidad), e informará a
su personal para operar de acuerdo a estas restricciones, durante el tiempo que se vuelve a
reestabler el nivel de operaciones normales, tal como se experimenta durante el simulacro
anual.
El Gte. de Administración y Finanzas activará el contrato de Recuperación con la empresa
respectiva, y dará instrucción a la Asistente de Administración para que emita una OC
abierta para cubrir el arriendo o compra de HW o SW requerido para la instalación
temporal de Servidor/red, así como para el Servidor/Red en proceso de restauración.
Cada Gerente o Jefe con personal a cargo que esté involucrado en las tareas normales de la
operación de E_X, designará según lo instruya el Gerente de Administración y Finanzas al
personal necesario, a tareas afines.
2. Todos los miembros del comité de recuperación deben estar informados y
entrenados, así como poseer una copia del Plan de Contingencia.
3. Una copia del plan debería mantenerse almacenado off-site, junto con los
respaldos.
4. Iniciación del Plan
- Gerencia de Administración y Finanzas debería ser notificada
- Gerencia de Administración y Finazas contactará los equipos de recuperación
- Cuartel General de Recuperación in-site a definir
- Cuartel General de Recuperación Off-site a definir

Autor:
Samuel Marinao
Preparado por Hernán Moraga Müller (E-Consulting Ltda.)
 1. Presentación
2. Resumen
3. Formulación del problema
4. Marco teórico
5. Plan de recuperación del desastre y respaldo de la información
6. Bibliografía

Presentación
El Plan de Contingencia Informático (o Plan de Contingencia Institucional) implica
un análisis de los posibles riesgos a cuales pueden estar expuestos nuestros equipos de
cómputo y sistemas de información. Corresponde aplicar al Centro
de Informática y Telecomunicaciones, aplicar medidas de seguridad para proteger y estar
preparados para afrontar contingencias y desastres de diversos tipos. El alcance de este
plan guarda relación con la infraestructura informática, así como
los procedimientos relevantes asociados con la plataforma tecnológica. La infraestructura
informática está conformada por el hardware, software y elementos complementarios que
soportan la información o datos críticos para la función del negocio. Los procedimientos
relevantes a la infraestructura informática, son aquellas tareas que el personal realiza
frecuentemente al interactuar con la plataforma informática (entrada de datos, generación
de reportes, consultas, etc.).
El Plan de Contingencia está orientado a establecer un adecuado sistema de
seguridad física y lógica en previsión de desastres, de tal manera de establecer medidas
destinadas a salvaguardar la información contra los daños producidos por hechos naturales
o por el hombre. La información como uno de los activos más importantes de la
Organización, es el fundamento más importante de este Plan de Contingencia. Al existir
siempre la posibilidad de desastre, pese a todas nuestras medidas de seguridad, es
necesario que El Plan de Contingencia Informático incluya el Plan de Recuperación de
Desastres con el único objetivo de restaurar el Servicio Informático en forma rápida,
eficiente, con el menor costo y perdidas posibles.
El Centro de Procesamiento de Datos o área de Informática, de la Universidad Nacional de
Piura, es el Centro de Informática y Telecomunicaciones (CIT). El presente estudio brinda
las pautas del Plan de Contingencias Informático y Seguridad de Información 2009 en la
Universidad Nacional de Piura.

Resumen
La protección de la información vital ante la posible pérdida, destrucción, robo y otras
amenazas de una empresa, es abarcar la preparación e implementación de un completo
Plan de Contingencia Informático. El plan de Contingencia indica las acciones que deben
tomarse inmediatamente tras el desastre. Un primer aspecto importante del plan es
la organización de la contingencia, en el que se detallan los nombres de los responsables de
la contingencia y sus responsabilidades. El segundo aspecto crítico de un Plan de
Contingencia es la preparación de un Plan de Backup, elemento primordial y necesario para
la recuperación. El tercer aspecto es la preparación de un Plan de Recuperación. La
empresa debe establecer su capacidad real para recuperar información contable crítica en
un periodo de tiempo aceptable.
Otro aspecto importante del plan de recuperación identificar el equipo de recuperación, los
nombres, números de teléfono, asignaciones específicas, necesidades de formación y otra
información esencial, para cada miembro del equipo que participa en el Plan de
recuperación.
La base del Plan de Contingencia y su posterior recuperación, es establecer prioridades
claras sobre qué tipo de procesos son los más esenciales. Es necesario por tanto la
identificación previa de cuales de los procesos son críticos y cuáles son
los recursos necesarios para garantizar el funcionamiento de las aplicaciones de gestión.
El Plan de Recuperación del Desastre (PRD) provee de mecanismos de recuperación para
los registros vitales, sistemas alternativos de telecomunicaciones, evacuación de personal,
fuente alternativa de provisión de servicios, etc. Además debe ser comprobado de forma
periódica para detectar y eliminar problemas. La manera más efectiva de comprobar si un
PRD funciona correctamente, es programar simulaciones de desastres. Los resultados
obtenidos deben ser cuidadosamente revisados, y son la clave para identificar posibles
defectos en el Plan de Contingencia.
El plan de contingencia informático, debe contemplar los planes de emergencia, backup,
recuperación, comprobación mediante simulaciones y mantenimiento del mismo. Un plan
de contingencia adecuado debe ayudar a las empresas a recobrar rápidamente el control y
capacidades para procesar la información y restablecer la marcha normal del negocio.
¿Cuál es el grado de preparación de las empresas para estos desastres?. Los desastres han
demostrado que la capacidad de recuperarse ante ellos es crucial para la supervivencia de
una empresa. La Dirección General debe comprender los principales riesgos para la
empresa y las posibles consecuencias de un desastre. Un Plan de contingencia adecuado
identifica las necesidades de todos los departamentos e involucra a TODO el personal de
todas las áreas de la compañía.
CAPITULO I:

Formulación del problema

 PLANTEAMIENTO DEL PROBLEMA
¿Cómo evitar la pérdida de información en los sistemas informáticos de la Universidad
Nacional de Piura?
 DESCRIPCIÓN DEL PROBLEMA
Cualquier Sistema de Redes de Computadoras (ordenadores, periféricos y accesorios) están
expuestos a riesgo y puede ser frente fuente de problemas. El Hardware, el Software están
expuestos a diversos Factores de Riesgo Humano y Físicos. Frente a cualquier evento, la
celeridad en la determinación de la gravedad del problema depende de la capacidad y
la estrategia a seguir para señalar con precisión, por ejemplo: ¿Qué componente ha
fallado?, ¿Cuál es el dato o archivo con información se ha perdido, en que día y hora se ha
producido y cuan rápido se descubrió? Estos problemas menores y mayores sirven para
retroalimentar nuestros procedimientos y planes de seguridad en la información.
Pueden originarse pérdidas catastróficas a partir de fallos de componentes críticos (el disco
duro), bien por grandes desastres (incendios, terremotos, sabotaje, etc.) o por
fallas técnicas (errores humanos, virus informático, etc.) que producen daño físico
irreparable. Frente al mayor de los desastres solo queda el tiempo de recuperación, lo que
significa adicionalmente la fuerte inversión en recursos humanos y técnicos para
reconstruir su Sistema de Redy su Sistema de Información.
Hoy en día la materia prima de toda organización es su información, básicamente su "data"
y el gran problema de toda organización es su implementación de seguridad informática, ya
sea a nivel de hardware o software, para que la información no sea robada ni manipulada
con fines maliciosos.
La protección de la información vital ante la posible pérdida, destrucción, robo y otras
amenazas de una empresa, es abarcar la preparación e implementación de un completo
Plan de Contingencia Informático.
El plan de Contingencia indica las acciones que deben tomarse inmediatamente tras el
desastre. Un primer aspecto importante del plan es la organización de la contingencia, en el
que se detallan los nombres de los responsables de la contingencia y sus responsabilidades.
El segundo aspecto crítico de un Plan de Contingencia es la preparación de un Plan de
Backup, elemento primordial y necesario para la recuperación.
El tercer aspecto es la preparación de un Plan de Recuperación. La empresa debe establecer
su capacidad real para recuperar información contable crítica en un periodo de tiempo
aceptable. Otro aspecto importante del plan de recuperación identificar el equipo de
recuperación, los nombres, números de teléfono, asignaciones específicas, necesidades de
formación y otra información esencial, para cada miembro del equipo que participa en el
Plan de recuperación.
 JUSTIFICACIÓN DE LA INVESTIGACIÓN
¿POR QUÉ?
En nuestra sociedad vemos que cualquier empresa, busca destacarse de toda
la competencia que lo rodea, para así obtener mayores clientes y ser su primera opción, y
para ello la seguridad en sus sistemas debe ser lo más importante. Como bien se sabe que
en la Seguridad Informática se debe distinguir dos propósitos de protección, la Seguridad
de la Información y la Protección de Datos.
IMPORTANCIA
Se debe distinguir entre los dos, porque forman la base y dan la razón, justificación en
la selección de los elementos de información que requieren una atención especial dentro del
marco de la Seguridad Informática y normalmente también dan el motivo y la obligación
para su protección. Garantiza la seguridad física, la integridad de los activos humanos,
lógicos y
Materiales de un sistema de información de datos. Permite realizar un conjunto de acciones
con el fin de evitar el fallo, o en su caso, disminuir las consecuencias que de él se puedan
derivar. Permite realizar un Análisis de Riesgos, Respaldo de los datos y su posterior
Recuperación de los datos. En general, cualquier desastre es cualquier evento que, cuando
ocurre, tiene la capacidad de interrumpir el normal proceso de una empresa.
La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto podría
ser tan grande que resultaría fatal para la organización. Permite
definir contratos de seguros, que vienen a compensar, en mayor o menor medida las
pérdidas, gastos o responsabilidades.
 OBJETIVOS DE LA INVESTIGACIÓN
 OBJETIVO GENERAL
 Garantizar la continuidad de las operaciones de los elementos considerados críticos que
componen los Sistemas de Información.
 OBJETIVOS ESPECÍFICOS
 Definir acciones a ejecutar en caso de fallas de los elementos que componen un Sistema
de Información.
 Definir y realizar operaciones para la seguridad de la información (base de datos).
CAPITULO II:

Marco teórico
 SEGURIDAD DE LA INFORMACIÓN
Es importante considerar la seguridad informática tanto desde el punto de vista físico como
desde el lógico. La seguridad física se refiere a la seguridad de los componentes mismo de
un equipo informático (HARDWARE), a la seguridad lógica se refiere a la seguridad de la
información y los programas de almacenamiento en un equipo o una red de datos.
La Seguridad de información y por consiguiente de los equipos informáticos, es un tema
que llega a afectar la imagen institucional de las empresas, incluso la vida privada de
personas. Es obvio el interés creciente que día a días se evidencia sobre este aspecto de la
nueva sociedad informática. Ladrones, manipuladores, saboteadores, espías, etc. reconocen
que el centro de cómputo de una institución es su nervio central, que normalmente tiene
información confidencial y a menudo es vulnerable a cualquier ataque.
La Seguridad de información tiene tres directivas básicas que actúan sobre la Protección de
Datos, las cuales ejercen control de:
La lectura
Consiste en negar el acceso a los datos a aquellas personas que no tengan derecho a ellos, al
cual también se le puede llamar protección de la privacidad, si se trata de datos personales y
mantenimiento de la seguridad en el caso de datos institucionales.
La escritura
Es garantizar el acceso a todos los datos importantes a las personas que ejercen
adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad que se les ha
confiado.
El empleo de esa información
Es Secreto de logra cuando no existe acceso a todos los datos sin autorización. La
privacidad se logra cuando los datos que puedan obtenerse no permiten el enlace a
individuos específicos o no se pueden utilizar para imputar hechos acerca de ellos.
Por otro lado, es importante definir los dispositivos de seguridad durante el diseño del
sistema y no después. Los diseñadores de sistemas deben entender que las medidas de
seguridad han llegado a se criterios de diseño tan importantes como otras posibilidades
funcionales, así como el incremento de costos que significa agregar funciones, después de
desarrollado un Sistema de Información.
 Sistema de Red de Computadoras en la UNP
La Red de la UNP cuenta con Tecnologías de la información (TI) en lo referente a: sistemas
de comunicación, sistemas de información, conectividad y servicios Informáticos que se
brinda de forma interna y externa a las diferentes Oficinas, Facultades, Dependencias. Se
resume que la Administración de Red esta dividido en dos rubros:
1) Conectividad: se encargada de la conexión alámbrica e inalámbrica de los equipos de
comunicación y
2) Manejo de servidores: se encarga de alojar todos los servicios y sistemas de
comunicación e información. Los servicios de Red implementados en la Universidad
Nacional de Piura son, implementados en sus servidores son los siguientes:
 Servidor de Correo Electrónico
 Servidor de seguridad
 Servidor de seguridad - base de datos
 Servidor de telefonía IP.
 Servidor de Políticas de Grupo – Controlador de dominio
 Sistema de Información en la UNP
El Sistema de Información, incluye la totalidad del Software de Aplicación, Software
en Desarrollo, conjunto de Documentos Electrónicos, Bases de Datos e Información
Histórica registrada en medios magnéticos e impresos en
papeles, Documentación y Bibliografía.
CAPITULO III. PLAN DE REDUCCIÓN DE RIESGOS
El presente documento implica la realización de un análisis de todas las posibles causas a
los cuales puede estar expuestos nuestros equipos de conectados a la RED de la UNP, así
como la información contenida en cada medio de almacenamiento. Se realizara un análisis
de riesgo y el Plan de Operaciones tanto para reducir la posibilidad de ocurrencia como
para reconstruir el Sistema de Información y/o Sistema de Red de Computadoras en caso
de desastres.
El presente Plan incluye la formación de equipos de trabajo durante las actividades de
establecimiento del Plan de Acción, tanto para la etapa preventiva, correctiva y de
recuperación. El Plan de Reducción de Riesgos es equivalente a un Plan de Seguridad, en la
que se considera todos los riesgos conocidos, para lo cual se hará un Análisis de riesgos.
3.1. Análisis de Riesgos
El presente realiza un análisis de todos los elementos de riesgos a los cuales está expuesto el
conjunto de equipos informáticos y la información procesada, y que deben ser protegidos.
Bienes susceptibles de un daño
Se puede identificar los siguientes bienes afectos a riesgos:
a) Personal
b) Hardware
c) Software y utilitarios
d) Datos e información
e) Documentación
f) Suministro de energía eléctrica
g) Suministro de telecomunicaciones
Daños
Los posibles daños pueden referirse a:
a) Imposibilidad de acceso a los recursos debido a problemas físicos en las instalaciones,
naturales o humanas.
b) Imposibilidad de acceso a los recursos informáticos, sean estos por cambios
involuntarios o intencionales, tales como cambios de claves de acceso, eliminación o
borrado físico/lógico de información clave, proceso de información no deseado.
c) Divulgación de información a instancias fuera de la institución y que afecte
su patrimonio estratégico, sea mediante Robo o Infidencia.
Fuentes de daño
Las posibles fuentes de daño que pueden causar la no operación normal de la compañía
son:
 Acceso no autorizado
 Ruptura de las claves de acceso a los sistema computacionales Desastres Naturales:
a) Movimientos telúricos
b) Inundaciones
c) Fallas en los equipos de soporte (causadas por el ambiente, la red de energía eléctrica, no
acondicionamiento atmosférico necesario)
 Fallas de Personal Clave: por los siguientes inconvenientes:
a) Enfermedad
b) Accidentes
c) Renuncias
d) Abandono de sus puestos de trabajo
e) Otros.
Fallas de Hardware: a) Falla en los Servidores (Hw) b) Falla en el hardware de Red
(Switches, cableado de la Red, Router, FireWall)
3.2. Análisis en las fallas en la Seguridad
En este se abarca el estudio del hardware, software, la ubicación física de la estación su
utilización, con el objeto de identificar los posibles resquicios en la seguridad que pudieran
suponer un peligro.
Las fallas en la seguridad de la información y por consiguiente de los equipos informáticos,
es una cuestión que llega a afectar, incluso, a la vida privada de la persona, de ahí que
resulte obvio el interés creciente sobre este aspecto. La seguridad de la información tiene
dos aspectos importantes como:
 Negar el acceso a los datos a aquellas personas que no tengan derecho a ellos.
 Garantizar el acceso a todos los datos importantes a las personas que ejercen
adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad de proteger
los datos que se les ha confiado.
Por ejemplo, en el uso del Servicio Virtual Público de Red (VPN), implica una vía de acceso
a la Red Central de UNP, la seguridad en este servicio es la validación de la clave de acceso.
3.3. Protecciones actuales
Se realizan las siguientes acciones:
 Se hace copias de los archivos que son vitales para la institución.
 Al robo común se cierran las puertas de entrada y ventanas
 Al vandalismo, se cierra la puerta de entrada.
 A la falla de los equipos, se realiza el mantenimiento de forma regular.
 Al daño por virus, todo el software que llega se analiza en un sistema utilizando
software antivirus.
 A las equivocaciones, los empleados tienen buena formación. Cuando se requiere
personal temporal se intenta conseguir a empleados debidamente preparados.
 A terremotos, no es posible proteger la instalación frente a estos fenómenos. El presente
Plan de contingencias da pautas al respecto.
 Al acceso no autorizado, se cierra la puerta de entrada. Varias computadoras disponen
de llave de bloqueo del teclado.
 Al robo de datos, se cierra la puerta principal y gavetas de escritorios. Varias
computadoras disponen de llave de bloqueo del teclado.
CAPITULO IV:

Plan de recuperación del desastre y respaldo de la

información
El costo de la Recuperación en caso de desastres severos, como los de un terremoto que
destruya completamente el interior de edificios e instalaciones, estará directamente
relacionado con el valor de los equipos de cómputo e información que no fueron
informados oportunamente y actualizados en la relación de equipos informáticos
asegurados que obra en poder de la compañía de seguros.
El Costo de Recuperación en caso de desastres de proporciones menos severos, como los de
un terremoto de grado inferior a 07 o un incendio de controlable, estará dado por el valor
no asegurado de equipos informáticos e información mas el Costo de Oportunidad, que
significa, el costo del menor tiempo de recuperación estratégica, si se cuenta con parte de
los equipos e información recuperados. Este plan de restablecimiento estratégico del
sistema de red, software y equipos informáticos será abordado en la parte de Actividades
Posteriores al desastre.
El paso inicial en el desarrollo del plan contra desastres, es la identificación de las personas
que serán las responsables de crear el plan y coordinar las funciones. Típicamente las
personas pueden ser: personal del CIT, personal de Seguridad.
Las actividades a realizar en un Plan de Recuperación de Desastres se clasifican en tres
etapas:
 Actividades Previas al Desastre.
 Actividades Durante el Desastre.
 Actividades Después del Desastre.
4.1. Actividades previas al desastre
Se considera las actividades de planteamiento, preparación, entrenamiento y ejecución de
actividades de resguardo de la información, que aseguraran un proceso de recuperación con
el menor costo posible para la institución.
4.1.1. Establecimientos del Plan de Acción
En esta fase de planeamiento se establece los procedimientos relativos a:
a. Sistemas e Información.
b. Equipos de Cómputo.
c. Obtención y almacenamiento de los Respaldos de Información (BACKUPS).
d. Políticas (Normas y Procedimientos de Backups).
a. Sistemas de Información
La Institución deberá tener una relación de los Sistemas de Información con los que cuenta,
tanto los de desarrollo propio, como los desarrollados por empresas externas. Los Sistemas
y Servicios críticos para la UNP, son los siguientes:
Lista de Sistemas
Sistema Integrado de Administración Financiera (SIAF): Sistema de información asociado
a la ejecución del presupuesto anual, de registro único de las operaciones de gastos
e ingresos públicos. Lo opera la Oficina Central de Ejecución Presupuestaria.
Sistema Integrado de Gestión Académica: Sistema de información que permite el registro y
control de los Procesos académicos, permite al alumno realizar consultas académicas
consulta vía WEB. Lo operan las Oficinas Académicas, y los órganos académicos-control.
Sistema de Tramite Documentario: Sistema de información que permite el registro y
seguimiento de los documentos. Lo operan todas las áreas funcionales.
Sistema de Gestión Administrativa – Ingresos: Sistema de información que permite el
registro y control de los ingresos. Lo operan todas las áreas funcionales Administrativas.
Sistema de Abastecimientos: Sistema de información que permite el registro y control de
las Órdenes de Trabajo, almacén. Lo opera la Oficina de Abastecimiento.
Sistema de Control de Asistencia del personal: Lo opera la Oficina Central de Recursos
Humanos.
Sistema de Banco de Preguntas para la elaboración de Exámenes de admisión
Lista de Servicios
 Sistema de comunicaciones
 Servicio de correo corporativo
 Servicios Web: Publicación de páginas Web, noticias de la UNP, Inscripción comedor
universitario, Inscripción de cursos.
 Internet, Intranet.
 Servicios Proxy
 VPN: servicios de acceso privado a la red de la Institución desde cualquier lugar.
 Servicio de Monitoreo de la red: monitorea los equipos de comunicación distribuidos en
la red la UNP.
 Servicios de telefonía Principal: teléfonos IP
 Servicios de enseñanza de manera virtual.
 Servicio de Antivirus
b. Equipos de Cómputo
Se debe tener en cuenta el catastro de Hardware, impresoras, lectoras, scanner, ploters,
modems, fax y otros, detallando su ubicación (software que usa, ubicación y nivel de uso
institucional). Se debe emplear los siguientes criterios sobre identificación y protección de
equipos:
 Pólizas de seguros comerciales, como parte de la protección de los activos institucionales
y considerando una restitución por equipos de mayorpotencia, teniendo en cuenta
la depreciación tecnológica.
 Señalización o etiquetamiento de las computadoras de acuerdo a la importancia de su
contenido y valor de sus componentes, para dar prioridad en caso de evacuación. Por
ejemplo etiquetar de color rojo los servidores, color amarillo a los PC con información
importante o estratégica, y color verde a las demás estaciones (normales, sin disco duro
o sin uso).
 Mantenimiento actualizado del inventario de los equipos de cómputo requerido como
mínimo para el funcionamiento permanente de cada sistema en la institución.
c. Obtención y almacenamiento de Copias de Seguridad (Backups)
Se debe contar con procedimientos para la obtención de las copias de seguridad de todos los
elementos de software necesarios para asegurar la correcta ejecución de los sistemas en la
institución. Las copias de seguridad son las siguientes:
 Backup del Sistema Operativo: o de todas las versiones de sistema operativo instalados
en la Red.
 Backup de Software Base: (Lenguajes de Programación utilizados en el desarrollo de los
aplicativos institucionales).
 Backup del software aplicativo: backups de los programas fuente y los programas
ejecutables.
 Backups de los datos (Base de datos, passsword y todo archivo necesario para la correcta
ejecución del software aplicativos de la institución).
 Backups del Hardware, se puede implementar bajo dos modalidades:
Modalidad Externa:
mediante el convenio con otra institución que tenga equipos similares o mejores y que
brinden la capacidad y seguridad de procesar nuestra información y ser puestos a nuestra
disposición al ocurrir una continencia mientras se busca una solución definitiva al siniestro
producido.
Modalidad Interna:
si se dispone de más de un local, en ambos se debe tener señalado los equipos, que por sus
capacidades técnicas son susceptibles de ser usados como equipos de emergencia.
Es importante mencionar que en ambos casos se debe probar y asegurar que los procesos
de restauración de información posibiliten el funcionamiento adecuado de los sistemas.
d. Políticas (Normas y Procedimientos)
Se debe establecer procedimientos, normas y determinación de responsabilidades en la
obtención de los "Backups" o Copias de Seguridad. Se debe considerar:
 Periodicidad de cada tipo de backup: los backups de los sistemas informáticos se
realizan de manera diferente:
 Sistema Integrado de Gestión Académico: en los procesos académicos de Inscripción de
curso y registro de Actas se realiza backup diario, para los demás periodos se realiza el
backup semanal.
 Sistema de Ingresos: backup diario
 Sistema Integrado de Administración Financiera (SIAF): backup semanal
 Sistema de Tramite Documentario: backup diario.
 Sistema de Abastecimientos: backup semanal
 Sistema de Control de Asistencia del personal: backup semanal.
 Sistema de Banco de Preguntas: backup periodo examen.
 Respaldo de información de movimiento entre los periodos que no se sacan backups:
días no laborales, feriados, etc. en estos días es posible programar un backup
automático.
 Uso obligatorio de un formulario de control de ejecución del programa de backups
diarios, semanales y mensuales: es un control a implementar, de tal manera de llevar un
registro diario de los resultados de las operaciones del backups realizados y su
respectivo almacenamiento.
 Almacenamiento de los backups en condiciones ambientales optimas, dependiendo del
medio magnético empleando.
 Reemplazo de los backups, en forma periódica, antes que el medio magnético de soporte
se pueda deteriorar. No se realiza reemplazos pero se realiza copias de las mismas,
considerando que no se puede determinar exactamente el periodo de vida útil del
dispositivo donde se ha realizado el backup.
 Almacenamiento de los backups en locales diferentes donde reside la información
primaria (evitando la pérdida si el desastre alcanzo todo el edificio o local). Esta norma
se cumple con la información histórica, es decir se tiene distribuidos los backups de la
siguiente manera: una copia reside en las instalaciones del CIT, y una segunda copia
reside en la Oficina que genera lainformación (OCRCA, OCEP, OCARH).
 Pruebas periódicas de los backups (Restore), verificando su funcionalidad, através de los
sistemas comparando contra resultados anteriormente confiables.
4.1.2. Formación de equipos operativos
En cada unidad operativa, que almacene información y sirva para la operatividad
institucional, se deberá designar un responsable de la seguridad de la información de su
unidad. Pudiendo ser el Jefe Administrativo de dicha Área, sus funciones serán las
siguientes:
Contactarse con los autores de las aplicaciones y personal de mantenimiento respectivo. El
equipo encargado en el CIT- UNP, está formado por las siguientes unidades:
 Unidad de Telecomunicaciones
 Unidad de Soporte Tecnológico.
 Unidad de Administración de Servidores.
 Unidad de Desarrollo Tecnológico.
 Unidad Académica.
Proporcionar las facilidades (procedimientos, técnicas) para realizar copias de respaldo.
Esta actividad está dirigida por el Equipo de Soporte y Mantenimiento.
Supervisar el procedimiento de respaldo y restauración
Establecer procedimientos de seguridad en los sitios de recuperación
Organizar la prueba de hardware y software: el encargado y el usuario final dan su
conformidad.
Ejecutar trabajos de recuperación y comprobación de datos.
Participar en las pruebas y simulacros de desastres: en esta actividad deben participar el
encargado de la ejecución de actividades operativas, y los servidores administrativos del
área, en el cumplimiento de actividades preventivas al desastre del Plan de Contingencias.
4.1.3. Formación de Equipos de Evaluación (Auditoria de cumplimiento de los
procesos de seguridad)
Esta función debe ser realizada preferentemente por el personal de auditoria o inspectora,
de no ser posible, lo realizaría el personal del área de informática- CIT, debiendo
establecerse claramente sus funciones, responsabilidades y objetivos:
 Revisar que las normas y procedimientos con respecto a backups, seguridad de equipos
y data se cumpla.
 Supervisar la realización periódica de los backups, por parte de los equipos operativos,
es decir, información generada en el área funcional, software general y hardware.
 Revisar la correlación entre la relación de los Sistemas e información necesarios para la
buena marcha de la institución y los backups realizados.
 Informar de los cumplimientos e incumplimientos de las normas para las acciones de
corrección necesarias.
4.2. Actividades durante el Desastre
Presentada la contingencia o desastre se debe ejecutar las siguientes actividades
planificadas previamente:
a. Plan de Emergencias
b. Formación de Equipos
c. Entrenamiento
a. Plan de Emergencias
La presente etapa incluye las actividades a realizar durante el desastre o siniestros, se debe
tener en cuenta la probabilidad de su ocurrencia durante: el día, noche o madrugada. Este
plan debe incluir la participación y actividades a realizar por todas y cada una de las
personas que se pueden encontrar presentes en el área donde ocurre el siniestro. Solo se
debe realizar acciones de resguardo de equipos en los casos en que no se pone en riesgo la
vida de personas.
Normalmente durante la acción del siniestro es difícil que las personas puedan afrontar
esta situación, debido a que no están preparadas o no cuentan con los elementos de
seguridad, por lo que las actividades para esta etapa del proyecto de prevención de
desastres deben estar dedicados a buscar ayuda inmediatamente para evitar que la acción
del siniestro causen mas daños o destrucciones. Se debe tener en toda Oficina los números
de teléfono y Direcciones de organismos e instituciones de ayuda. Todo el personal debe
conocer lo siguiente:
 Localización de vías de Escape o Salida: Las vías de escape o salida para solicitar apoyo o
enviar mensajes de alerta, a cada oficina debe señalizar las vías de escape
 Plan de Evaluación Personal: el personal ha recibido periódicamente instrucciones para
evacuación ante sismos, a través de simulacros, esto se realiza acorde a los programas de
seguridad organizadas por Defensa Civil a nivel local. Esa actividad se realizara
utilizando las vías de escape mencionadas en el punto anterior.
 Ubicación y señalización de los elementos contra el siniestro: tales como los extintores,
las zonas de seguridad que se encuentran señalizadas (ubicadas normalmente en las
columnas), donde el símbolo se muestra en color blanco con fondo verde. De existir un
repintado de paredes deberá contemplarse la reposición de estas señales.
 Secuencia de llamadas en caso de siniestro: tener a la mano elementos de iluminación,
lista de teléfonos de instituciones como: Compañía de Bomberos, Hospitales, Centros
de Salud, Ambulancias, Seguridad.
b. Formación de Equipos
Se debe establecer los equipos de trabajo, con funciones claramente definidas que deberán
realizar en caso de desastre. En caso de que el siniestro lo permita (al estar en un inicio o
estar en un área cercana, etc.), se debe formar 02 equipos de personas que actúen
directamente durante el siniestro, un equipo para combatir el siniestro y el otro para
salvamento de los equipos informáticos, de acuerdo a los lineamientos o clasificación de
prioridades.
c. Entrenamiento
Se debe establecer un programa de prácticas periódicas con la participación de todo el
personal en la lucha contra los diferentes tipos de siniestro, de acuerdo a los roles que se
hayan asignado en los planes de evacuación del personal o equipos, para minimizar costos
se pueden realizar recarga de extintores, charlas de los proveedores, etc.
Es importante lograr que el personal tome conciencia de que los siniestros (incendios,
inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir; y tomen con seriedad
y responsabilidad estos entrenamientos; para estos efectos es conveniente que participen
los Directivos y Ejecutivos, dando el ejemplo de la importancia que la Alta Dirección otorga
a la Seguridad Institucional.
4.3. Actividades después del desastre
Estas actividades se deben realizar inmediatamente después de ocurrido el siniestro, son las
siguientes:
 a. Evaluación de Daños.
 b. Priorización de Actividades del Plan de Acción.
 c. Ejecución de Actividades.
 d. Evaluación de Resultados.
 e. Retroalimentación del Plan de Acción.
 f. Evaluación de daños
a. Evaluación de daños
El objetivo es evaluar la magnitud del daño producido, es decir, que sistemas se están
afectando, que equipos han quedado inoperativos, cuales se pueden recuperar y en cuanto
tiempo.
En el caso de la UNP se debe atender los procesos de contabilidad, tesorería,
administrativo-académicos, documentarios; que son las actividades que no podrían dejar
de funcionar, por la importancia estratégica. La recuperación y puesta en marcha de los
servidores que alojan dichos sistemas, es prioritario.
b. Priorizar Actividades del Plan de Acción
La evaluación de los daños reales nos dará una lista de las actividades que debemos
realizar, preponderando las actividades estratégicas y urgentes de nuestra institución. Las
actividades comprenden la recuperación y puesta en marcha de los equipos de cómputo
ponderado y los Sistemas de Información, compra de accesorios dañados, etc.
c. Ejecución de actividades
La ejecución de actividades implica la creación de equipos de trabajo para realizar
actividades previamente planificadas en el Plan de Acción. Cada uno de estos equipos
deberá contar con un coordinador que deberá reportar el avance de los trabajos de
recuperación y, en caso de producirse un problema, reportarlo de inmediato a la Jefatura a
cargo del Plan de Contingencias.
Los trabajos de recuperación tendrán dos etapas:
 La primera la restauración del servicio usando los recursos de la institución o localde
respaldo.
 La segunda etapa es volver a contar con los recursos en las cantidades y lugares propios
del Sistema de Información, debiendo ser esta última etapa lo suficientemente rápida y
eficiente para no perjudicar la operatividad de la institución y el buen servicio de
nuestro sistema e Imagen Institucional.
d. Evaluación de Resultados
Una vez concluidas las labores de Recuperación de los sistemas que fueron afectado por el
siniestro, debemos de evaluar objetivamente, todas las actividades realizadas, con
que eficacia se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o
entorpecieron) las actividades del Plan de Acción, como se comportaron los equipos de
trabajo, etc.
De la evaluación de resultados y del siniestro, deberían de obtenerse dos tipos de
recomendaciones, una la retroalimentación del Plan de Contingencias y Seguridad de
Información, y otra una lista de recomendaciones para minimizar los riesgos y perdida que
ocasionaron el siniestro.
e. Retroalimentación del Plan de Acción
Con la evaluación de resultados, debemos de optimizar el Plan de Acción original,
mejorando las actividades que tuvieron algún tipo de dificultad y reforzando los elementos
que funcionan adecuadamente.
El otro elemento es evaluar cuál hubiera sido el costo de no contar con el Plan de
Contingencias en la institución.
CAPITULO V:

Bibliografía
Manual de Operación y Funciones del Centro de Informática y telecomunicaciones.
Guía Sistemas de Información. INEI
Seguridad Informática: Básico ( Alvaro Gómez Vieites )
Seguridad de la Información (J.L.Artero) S.A 2008.
www.protejete.wordpress.com (Conceptos básicos).

Autor:
Morales García Besel Omar
Salazar Benavides Edwin Javier
DOCENTE:
LIZANA PUELLES YOLANDA