MUNICIPALIDAD DE LA PUNTA PLAN DE CONTINGENCIA INFORMÁTICO.

Transcripción

1 MUNICIPALIDAD DE LA PUNTA PLAN DE CONTINGENCIA INFORMÁTICO...

2 INDICE 1. INTRODUCCION DEFINICIONES OBJETIVOS ESTRUCTURA DEL PROYECTO RESPONSABILIDADES ANALISIS DE IMPACTO DE LOS PROCESOS METODOLOGIA DE TRABAJO DEFINICIONES DE TERMINOS EMPLEADOS ANALISIS Y EVALUACION DE RIESGOS ESCENARIOS CONSIDERADOS PARA EL PLAN DE CONTINGENCIA PLANIFICACIÓN IDENTIFICACIÓN DE LOS PROCESOS DE LA MUNICIPALIDAD Proceso de Presupuesto Proceso de Logística Proceso de Personal Proceso de Tesorería Proceso de Contabilidad Proceso Trámite Documentario PLANTILLA DE PROCEDIMIENTOS ALTERNOS Identificar Contactos Claves que Dependa del Sistema Identificar Recursos del Sistema Identificar Roles Críticos Identificar impactos de la caída y tiempos aceptables de caída Procedimientos para las Pruebas del Plan de Contingencia Control de Cambios al Plan Responsabilidad en el Mantenimiento de Cada Parte del Plan Aviso a persona responsable por el entrenamiento Control de Cambios al Plan Responsabilidad en el Mantenimiento de Cada Parte del Plan Objetivos del Entrenamiento Alcance del Entrenamiento TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

3 15.3. Revisión y Actualización La simulación y simulacros Guía para simulaciones y simulacros Evaluación del Simulacro Errores Frecuentes en la Realización de los Simulacros Comunicación al personal Evaluación del entrenamiento Configuración de Servidores y Equipos de Comunicación Respaldo de Información - Manual de Procedimiento de Backup Inventario de Servidores, Comunicaciones y Software CLASIFICACION DE LOS ACTIVOS TI Lista Teléfonos de Emergencia Lista de Personal con Acceso Telefónico (Entradas / Salidas) Directorio del Personal Esencial Relacionados con el Sistema DIAGRAMA GENERAL PLAN DE CONTINGENCIA OBSERVACIONES CONCLUSIONES RECOMENDACIONES TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

4 PLAN DE CONTINGENCIA Para la Municipalidad de la Punta es indispensable recurrir a los recursos de cómputo como un medio de proveer información a todos los niveles de la misma, y es de vital importancia que dicha información sea lo más exacta posible. Es importante resaltar que para que la organización logre sus objetivos necesita garantizar tiempos de indisponibilidad mínimos, tanto en sus recursos informáticos como en las comunicaciones; de este modo podrá mantener una contingencia eficiente en todas las áreas operativas. Por todo lo anteriormente dicho, el estar sin el servicio del computador por un lapso mayor de 3 horas origina distorsiones al funcionamiento normal de nuestros servicios y mayores costos de operación. De continuar esta situación por un mayor tiempo nos exponemos al riesgo de paralizar las operaciones por falta de información para el control y toma de decisiones delainstitución. Es necesario, por tanto, prever cómo actuar y qué recursos necesitamos ante una situación de contingencia con el objeto de que su impacto en las actividades sea lo mejor posible. Cabe señalar que la Municipalidad Distrital de la Punta ingresa en una situación de contingencia cuando el computador sale de servicio por más de 3 horas y termina cuando se restablece el ambiente de procesamiento original y el procesamiento normal de sus actividades. 4 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

5 1. INTRODUCCION El presente documento es el Plan de Contingencia Informático de la Municipalidad de la Punta en materia de Riesgos de Tecnología de Información (TI). Establece el objetivo, alcance y metodología desarrollada. Incluye además, las definiciones utilizadas, las políticas de seguridad, el análisis de la situación, el análisis de sensibilidad de la información manejada, la identificación de los riesgos y controles, y la clasificación de activos de TI. La metodología práctica comprende: la identificación de riesgos, calificación de la probabilidad de que ocurra un riesgo, evaluación del impacto en los procesos críticos y la creación de estrategias de contingencias. Permitirá mantener la contingencia operativa frente a eventos críticos de la entidad y minimizar el impacto negativo sobre la misma, los usuarios y clientes, deben ser parte integral para evitar interrupciones, estar preparado para fallas potenciales y guiar hacia una solución. Ha sido elaborado tomando como base, la Metodología ITIL (INFORMATION TECNOLOGY INFRASTRUTURE LIBRARY) - Guía Práctica para el Desarrollo de Planes de Contingencia de Sistemas de Información, y la GuíaPráctica para el Desarrollo de Planes de Contingencia de Sistemas de Información del INEI (Instituto Nacional de Estadística e Informática, Perú). Finalmente, se presentan los anexos como parte complementaria que ayudará a estar preparados frente a cualquier contingencia en los procesos críticos. 5 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

6 2. DEFINICIONES A. CONTINGENCIA: Interrupción, no planificada, de la disponibilidad de recursos informáticos. B. PLAN DE CONTINGENCIA: Conjunto de medidas (de DETECCION y de REACCION) a poner en marcha ante la presentación de una contingencia. El Plan de Contingencia se subdivide en: Plan de Emergencia Plan de Restauración (BACKUP) Plan de Recuperación El Plan de Contingencia suele combinarse con planes de seguridad general. C. PLANES EMERGENCIA RESTAURACION RECUPERACION OBJETIVO Limitar el daño. Continuar Procesos Vitales. Recuperar proceso total. ACTUACION Inmediata. A corto plazo. A medio plazo. CONTENIDO Evacuación. Valoración de daños. Arranque de acciones. Alternativas para los procesos vitales. Estrategias para la recuperación de todos los recursos. RESPONSABILIDAD PRINCIPAL Institucion. Usuarios. Unidad de Tec. Inf. ELEMENTOS ESENCIALES DE LOS PLANES Documentación a. Consenso b. Recursos c. Pruebas d. Seguros 6 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

7 a. Consenso Planes aprobados por la Gerencia Administrativa. Planes elaborados con el apoyo de los servicios usuarios y el servicio de seguridad general. La eventual reasignación de las prioridades debe haber sido pactada con anterioridad por las tres partes implicadas (Gerencia Administrativa, Tecnología de la Información y Usuarios). b. Recursos Lugar alternativo de trabajo. Ordenador con "hardware" Y "software" apropiados. Terminales. Copias de seguridad actualizadas. c. Pruebas Validez de las copias de seguridad. Simulacros de emergencia (una vez por año como mínimo). Formación y reciclaje del personal. d. Seguros Contratos negociados. No se puede asegurar un riesgo seguro o voluntario. Los actos internos de mala intención no siempre se pueden asegurar. Tipos de contratos: 1. Daños materiales Hardware Instalaciones 2. Pérdida de archivos Costo de reconstrucción 3. Gastos suplementarios Utilización forzosa de recursos externos Intereses de descubiertos bancarios 7 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

8 4. Especiales Finalización de proyectos. Pérdidas de explotación. 3. OBJETIVOS 1. Definir las actividades de planeamiento, preparación, entrenamiento y ejecución de tareas destinadas a proteger la información contra los daños y perjuicios producidos por corte de servicios, fenómenos naturales o humanos. 2. Establecer un plan de recuperación, formación de equipos y entrenamiento para restablecer la operatividad del sistema en el menor tiempo posible. 3. Establecer actividades que permitan evaluar los resultados y retroalimentación del plan general. 4. ESTRUCTURA DEL PROYECTO Para el desarrollo e implementación del Proyecto, se ha diseñado la siguiente estructura, definiendo las responsabilidades por cada una de las Unidades Orgánicas participantes. Lider de Proyecto Administrador del Proyecto Equipo de Trabajo 8 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

9 ORGANIZACIÓN: Para el desarrollo e implementación, se ha diseñado la siguiente estructura, definiendo las responsabilidades por cada una de las Unidades Orgánicas participantes. Líder del Proyecto Administrador del Proyecto Equipo de Trabajo : Director de la Oficina General de Administración. : Jefe de la Unidad de Tecnología de la Información. : Soporte Técnico. Soporte en Sistemas. Administración de Redes. Auditoria Interna (Si lo amerita). Personal de Seguridad (Si lo amerita). 5. RESPONSABILIDADES A. DEL LIDER DEL PROYECTO Dirigir el desarrollo integral del Proyecto así como verificar el cumplimiento de las actividades encargadas a cada uno de los líderes usuario. B. DEL ADMINISTRADOR DEL PROYECTO Desarrollar el plan de trabajo establecido. Asignar los responsables así como las prioridades para el desarrollo de las tareas. Organizar el proyecto y orientar al equipo de trabajo. Establecer coordinaciones entre el Equipo de trabajo, el Líder del Proyecto y las demás Unidades Orgánicas involucradas. Verificar y efectuar el seguimiento para que el proyecto sea expresado en documentos formales y de fácil entendimiento. Identificar los problemas, desarrollar las soluciones y recomendar aquellas acciones específicas. Controlar el avance del proyecto. Informar al Líder del Proyecto, los avances y ocurrencias durante el cumplimiento de las tareas de los responsables. 9 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

10 C. DEL EQUIPO DE TRABAJO Ejecutar las acciones encargadas especificadas en el cronograma o plan de trabajo, cumpliendo los plazos señalados a fin de no perjudicar el cumplimiento de las demás tareas. Comunicar oportunamente al Administrador del Proyecto, sobre los avances de las tareas asignadas, así como las dificultades encontradas y la identificación de los riesgos. Identificar sobre aspectos operativos no contemplados en el Cronograma de actividades. Ejecutar las acciones correctivas del caso, coordinando su implementación con el Administrador del Proyecto. 6. ANALISIS DE IMPACTO DE LOS PROCESOS Objetivo Principal: El objetivo principal del Análisis del Impacto de los procesos, es determinar las funciones, procesos e infraestructura de soporte que son críticos para la contingencia operativa de la Municipalidad. Objetivos Específicos: Para lograr el objetivo principal se definieron los siguientes objetivos específicos: Identificar las preocupaciones y prioridades de la Alta Dirección de la Municipalidad de la Punta en el caso que exista una indisponibilidad en los sistemas informáticos producida por una contingencia. Identificar el tiempo máximo en el que un proceso critico de la Municipalidad de la Punta deberá ser restaurado para su normal y eficiente continuidad. Identificar el impacto en las aplicaciones que soportan los procesos críticos de la Municipalidad de la Punta. Proporcionar las bases de una estrategia para la contingencia operativa en caso de un desastre. 10 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

11 Principales Procesos Identificados Software Presupuesto. Personal. Logística. Contabilidad. Tesorería. Tramite Documentario. Rentas Caja Principales servicios que deberán ser restablecidos Y/O recuperados (Centro De Cómputo Alterno) Windows Correo Electrónico. Internet. Antivirus. Herramientas de Microsoft Office. Software Base Base de Datos Oracle 10g. Backup de la Información. Ejecutables de las aplicaciones. Respaldo de la Información Backup de la Base de Datos ORACLE Backup de la Plataforma de Aplicaciones (Sistemas) Backup de la WEBSITE Backup del Servidor controlador de Dominio. Backup del Servidor de Archivos. Backup del Servidor Microsoft Exchange TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

12 7. METODOLOGIA DE TRABAJO El Análisis del Impacto tiene como objetivo determinar los procesos críticos de la Municipalidad y las aplicaciones que la soportan con el fin de proporcionar las bases para el Plan de Recuperación de TI. Se llevarán a cabo las siguientes actividades: a) Entrevistas a diferentes empleados responsables de las Unidades que conforman Municipalidad. b) División de los procesos en líneas de negocios: i) Identificación de los Procesos ii) iii) iv) Subprocesos Aplicaciones que soporta la Municipalidad Máximo tiempo de interrupción en que el subproceso puede estar interrumpido en horas. c) Validación de la criticidad por proceso. d) Clasificación de los Activos TI Para la clasificación de los activos de TI se han considerado tres criterios: Criticidad. Frecuencia de uso Tecnología. Se considera el criterio de criticidad como el más importante, y los criterios de frecuencia de uso y tecnología que confirman la clasificación de Activos de TI: Criticidad: el activo se define como crítico si su falta o falla es motivo de interrupción para el proceso. Frecuencia de uso: el grado de utilización que se le da al activo. Tecnología: el nivel de innovación tecnológica que tiene el activo, relacionado también a su valor de mercado y grado de obsolescencia. CRITERIOS CLASIFICACION CRITICIDAD FRECUENCIA DE USO TECNOLOGIA ALTO MEDIO BAJO ALTO MEDIO BAJO ALTO MEDIO BAJO A X X X B X X X C X X X 12 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

13 8. DEFINICIONES DE TERMINOS EMPLEADOS Para la mejor comprensión de los términos y contenido de este plan, se detallan las siguientes definiciones: Proceso crítico: Proceso considerado indispensable para la continuidad de las operaciones y servicios de la institucion, y cuya falta o ejecución deficiente puede tener un impacto operacional o de imagen significativo para la institucion. Impacto: El impacto de una actividad crítica se encuentra clasificado, dependiendo de la importancia dentro de los procesos TI, en: Impacto Alto: se considera que una actividad crítica tiene impacto alto sobre las operaciones de la Municipalidad, cuando ante una eventualidad en ésta se encuentran imposibilitadas para realizar sus funciones normalmente. Impacto Medio: se considera que una actividad crítica tiene un impacto medio cuando la falla de esta, ocasiona una interrupción en las operaciones de la Municipalidad por un tiempo mínimo de tolerancia. Impacto Bajo: se considera que una actividad crítica tiene un impacto bajo, cuando la falla de ésta, no tiene un impacto en la continuidad de las operaciones de la Institucion. Plan de Contingencia: Son procedimientos que definen cómo un negocio continuará o recuperará sus funciones críticas en caso de una interrupción no planeada. Los sistemas de TI son vulnerables a diversas interrupciones. Leves: Caídas de energía de corta duración, fallas en disco duro, etc. Severa: Destrucción de equipos, incendios, etc. Asegura que se dé una interrupción mínima a los procesos de negocios en caso de una interrupción significativa de los servicios que normalmente soportan esos procesos. Todos los aplicativos críticos y sistemas de soporte general deben tener un plan de contingencias. 13 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

14 9. ANALISIS Y EVALUACION DE RIESGOS Los desastres causados por un evento natural o humano, pueden ocurrir, en cualquier parte, hora y negocio. Existen distintos tipos de contingencias, como por ejemplo: Riesgos Naturales: tales como mal tiempo, terremotos, etc. Riesgos Tecnológicos: tales como incendios eléctricos, fallas de energía y accidentes de transmisión y transporte. Riesgos Sociales: como actos terroristas y desordenes. Las causas más representativas que originarían cada uno de los escenarios propuestos en el Plan de Contingencias y Seguridad de la Información se presentan en el siguiente cuadro. Causas Escenarios Fallas Corte de Cable UTP. Fallas Tarjeta de Red. Fallas IP asignado. Fallas Punto de Swicht. Fallas Punto Pacht Panel. Fallas Punto de Red. I. NO HAY COMUNICACIÓN ENTRE CLIENTE SERVIDOR EN MDLP. Fallas de Componentes de Hardware del Servidor. Falla del UPS (Falta de Suministro eléctrico). Virus. Sobrepasar el límite de almacenamiento del Disco Computador de Escritorio funciona como Servidor. II. FALLA DE UN SERVIDOR. Accidente Renuncia Intempestiva III. AUSENCIA PARCIAL O PERMANENTE DEL PERSONAL DE TECNOLOGÍA DE LA INFORMACIÓN. Corte General del Fluido eléctrico IV. INTERRUPCIÓN DEL FLUIDO ELÉCTRICO DURANTE LA EJECUCIÓN DE LOS PROCESOS. Falla de equipos de comunicación: SWITCH, Antenas, Fibra Óptica. Fallas en el software de Acceso a Internet. Perdida de comunicación con proveedores de Internet. Incendio Sabotaje Corto Circuito Terremoto Tsunami V. PERDIDA DE SERVICIO DE CON INTERNET VI. INDISPONIBILIDAD DEL CENTRO DE COMPUTO (DESTRUCCIÓN DE LA SALA DE SERVIDORES) 14 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

15 9.1. ESCENARIOS CONSIDERADOS PARA EL PLAN DE CONTINGENCIA I. NO HAY COMUNICACIÓN ENTRE CLIENTE SERVIDOR EN MDLP. II. FALLA DE UN SERVIDOR. III. AUSENCIA PARCIAL O PERMANENTE DEL PERSONAL DE LA UNIDAD DE TECNOLOGÍA DE LA INFORMACIÓN. IV. INTERRUPCIÓN DEL FLUIDO ELÉCTRICO DURANTE LA EJECUCIÓN DE LOS PROCESOS. V. PERDIDA DE COMUNICACIÓN ENTRE LOS LOCALES DE LA MUNICIPALIDAD. VI. PERDIDA DE SERVICIO INTERNET VII. INDISPONIBILIDAD DEL CENTRO DE CÓMPUTO La evaluación y administración de estos riesgos van a permitir a la Municipalidad de la Punta: Desarrollar estrategias de recuperación y respaldo de las decisiones operacionales, tecnológicas y humanas. Identificar los controles existentes y los nuevos controles a implementar para minimizar los riesgos, evaluando el costo / beneficio de dichos controles. Planificar la seguridad de la información PLANIFICACIÓN Tiempo máximo de la contingencia. Costos estimados. Recursos humanos. Capacitación. Retorno a la normalidad. Validar el plan de contingencia 15 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

16 10. IDENTIFICACIÓN DE LOS PROCESOS DE LA MUNICIPALIDAD Proceso de Presupuesto. En el siguiente diagrama de bloques se muestra el proceso de presupuesto de la Municipalidad: 16 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

17 10.2. Proceso de Logística En el siguiente diagrama de bloques se muestra el proceso de Logística de la Municipalidad: 17 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

18 10.3. Proceso de Personal En el siguiente diagrama de bloques se muestra el proceso de personal de la Municipalidad: 18 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

19 10.4. Proceso de Tesorería En el siguiente diagrama de bloques se muestra el proceso de tesorería de la Municipalidad: 19 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

20 10.5. Proceso de Contabilidad En el siguiente diagrama de bloques se muestra el proceso de contabilidad de la Municipalidad: 20 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

21 10.6. Proceso Trámite Documentario En el siguiente diagrama de bloques se muestra el proceso de Tramite Documentario de la Municipalidad: 21 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

22 11. PLANTILLA DE PROCEDIMIENTOS ALTERNOS Identificar Contactos Claves que Dependa del Sistema. (Interno: identificar las personas, posiciones u oficinas dentro de la organización que dependen de o soportan el sistema; especificar su relación con el sistema). IDENTIFICAR CONTACTOS CLAVE OFICINA DE PLANEAMIENTO Y PRESUPUESTO DIRECTOR DE PLANEAMIENTO Y PRESUPUESTO Coordinar y asesorar el proceso de planificación en sus etapas de prospección, formulación, coordinación, seguimiento y evaluación. Conducir la formulación de objetivos, así como la elaboración de los planes institucionales de corto, mediano y largo plazo y su evaluación correspondiente. Conducir la gestión presupuestaria en las fases de programación, formulación, aprobación, modificaciones, evaluación y control. Conducir el proceso de formulación, ampliación y control del Calendario de Compromisos, para la ejecución de los créditos presupuestarios y su respectiva aprobación ante el Titular del Pliego. OFICINA GENERAL DE ADMINISTRACION Logística Programar, dirigir, ejecutar y controlar el sistema de abastecimiento, conforme a los lineamientos y políticas de la Municipalidad, normas: presupuéstales, de adquisiciones y contrataciones públicas, técnicas de control, y otras normas pertinentes. Consolidar y proponer el cuadro de necesidades de bienes y servicios para el Presupuesto Anual, en coordinación con todos los órganos de la Municipalidad. Elaborar y evaluar el Plan Anual de Adquisiciones y Contrataciones en el marco del presupuesto institucional y en estricta observancia de las normas correspondientes; verificando su cumplimiento. Personal Organizar, ejecutar y controlar las actividades de informática y comunicaciones. Administración de los servidores instalados Cautelar por la seguridad e integridad de la Base de datos Establecer mecanismo y procedimientos para un correcto resguardo (BACKUP) de la información. Tesorería Efectuar los pagos comprometidos, recaudar, depositar, conciliar y custodiar los documentos valorados de la institución efectuando los registros en el Sistema Integrado de Administración Financiera y en concordancia con las normas y procedimientos establecidos por el Sistema Nacional de Tesorería Gubernamental y demás dispositivos legales vigentes. 22 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

23 Contabilidad Recibir, ejecutar y registrar las operaciones contables y financieras del pliego en el Sistema Integrado de Administración Financiera del Sector Público en concordancia con las normas y procedimientos establecidos por el Sistema Nacional de Contabilidad Gubernamental. Almacén y Control Patrimonial Registro y control de ingresos y salidas de suministros y bienes en general. SBN: Consultas - Superintendencia de Bienes Nacionales Unidad de tecnología de la Información Organizar, ejecutar y controlar las actividades de informática y comunicaciones. Administración de los servidores instalados Cautelar por la seguridad e integridad de la Base de datos Establecer mecanismo y procedimientos para un correcto resguardo (BACKUP) de la información. 23 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

24 11.2. Identificar Recursos del Sistema. Identificar el hardware, software y otros recursos específicos que incluye el sistema; indicar cantidad y tipo). IDENTIFICAR RECURSOS DE SISTEMAS OFICINA DE PLANEAMIENTO Y PRESUPUESTO DIRECTOR DE PLANEAMIENTO Y PRESUPUESTO 01 PC (Configuración del Computador, Configuración de Perfil de Usuario.) Impresora Laser y Matricial. Herramientas Office: (Word, Excel, etc), Acrobat Reader, Antivirus Karspesk, Nero, etc. Sistema SIAF, INTRASIG, SIAME. Correo Electrónico Institucional. Internet. Teléfono anexo. 01 Nextel OFICINA GENERAL DE ADMINISTRACION Logística 01 PC (Configuración del Computador, Configuración de Perfil de Usuario.) Impresora Laser y Matricial Herramientas Office: (Word, Excel, etc), Acrobat Reader, Antivirus Karspesk, Nero, etc. Sistema SIAF, INTRASIG, SIAME, LOGISTICO. Correo Electrónico Institucional. Internet. Teléfono FIJO. Teléfono anexo. 01 Nextel. Personal 01 PC (Configuración del Computador, Configuración de Perfil de Usuario.). Impresora Laser Herramientas Office: (Word, Excel, etc), Acrobat Reader, Antivirus Karspesk, Nero, etc. Sistema SIAF, INTRASIG. Correo Electrónico Institucional. Internet. PDT. Teléfono anexo. 01 Nextel Tesorería 01 PC (Configuración del Computador, Configuración de Perfil de Usuario.). 01 Impresora Laser y 01 Matricial. Herramientas Office: (Word, Excel, etc), Acrobat Reader, Antivirus Karspesk, Nero. Sistema SIAF, INTRASIG, CAJA, LOGISTICO. Correo Electrónico Institucional Internet (Telecredito, Telebanking.) Teléfono anexo 01 Nextel. 24 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

25 Contabilidad 01 PC (Configuración del Computador, Configuración de Perfil de Usuario.). 01 Impresora Laser, Disquetera Externa. Herramientas Office: (Word, Excel, etc), Acrobat Reader, Antivirus Karspesk, Nero. Sistema SIAF, INTRASIG. Correo Electrónico Institucional Internet Teléfono anexo PDT 01 Nextel Almacén y Control Patrimonial 01 PC (Configuración del Computador, Configuración de Perfil de Usuario.). 01 Impresora Laser y Matricial Herramientas Office: (Word, Excel, etc), Acrobat Reader, Antivirus Karspesk, Nero. Sistema LOGISTICO, INTRASIG. SBN. Correo Electrónico Institucional. Internet Teléfono anexo. 25 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

26 11.3. Identificar Roles Críticos. IDENTIFICAR ROLES CRÍTICOS Profesional en Presupuesto Operar el sistema computarizado de presupuesto. Elaborar la información estadística relacionada a su área. Consolidar el cuadro de necesidades de bienes y servicios. Plan Anual de Adquisiciones. Profesional en Logística Elaborar las bases administrativas, de acuerdo a las políticas y normas de adquisiciones y contrataciones de los Organismos Financieros. Revisar la ficha técnica y los términos de referencia (TDR). Supervisar registro, recepción, almacenamiento y distribución. Profesional de Personal Registrar y controlar la asistencia y proponer el rol de vacaciones. permanencia del personal y elaborar y Profesional en Tesorería Comprobar el ingreso por todo concepto y control del manejo de fondos para pagos en efectivo. Recibir, registrar y controlar los fondos. Operar correctamente el sistema computarizado tesorería. Registrar en el Sistema el tipo de cambio (Nuevos Soles por US$). Profesional en Contabilidad Emisión de notas contables. Preparar los informes y comunicaciones sobre observaciones, hallazgos. Elaborar la Planilla mensual. Asistente Control Patrimonial y Almacén Registro y control de ingresos y salidas de suministros y bienes en general. Cautelar por la seguridad e integridad de la Base de datos Profesional en Unidad de Tecnología de la Información Establecer mecanismo y procedimientos para un correcto resguardo (BACKUP) de la información. Organizar, ejecutar y controlar las actividades de informática y comunicaciones. Administración de los servidores instalados. Recibir y registrar el flujo documentario. Asistente de Oficina General de Administración Elaborar documentos con indicaciones precisas del gerente. Elaborar la agenda de actividades de la Gerencia de Administración y Finanzas y mantener informado al gerente. 26 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

27 11.4. Identificar impactos de la caída y tiempos aceptables de caída. (Caracteriza el impacto en roles críticos si un recurso crítico no está disponible, incluso identifica el periodo máximo aceptable que el recurso puede no estar disponible antes de obtener impactos no aceptables). IDENTIFICAR IMPACTOS DE LA CAÍDA Y TIEMPOS ACEPTABLES DE CAÍDA Recursos Impacto de la caída Tiempo de caída aceptable Oficina de Planeamiento y Presupuesto Director de Planeamiento y Presupuesto Sistema Siame. SistemaSiaf. No se realiza la formulación de presupuesto por áreas y sus modificaciones. No se realiza ampliaciones presupuestarias. No se realiza la transmisión en el modulo Presupuestario. 3 horas 3 horas SistemaIntrasig. No se realizan requerimientos. 5 horas Herramientas de Office (Word Excel. Etc). No se puede hacer una efectiva comunicación interna. No se puede hacer una efectiva comunicación interna ( correo electrónico). 1 horas Línea telefónica (anexo). No se puede hacer una efectiva comunicación interna. 3 horas Internet. Personal Sistema Siaf. Sistema Intrasig. Herramientas de Office (Word Excel. Etc). No se pueden realizar descargas de normas legales. No se puede coordinar con sectoristas, envió de información. No se puede realizar la fase de compromiso de planillas, liquidaciones, modificaciones, etc. No se puede realizar el control de asistencia del personal No se emitiría los reportes de obreros, pensionistas, Vacaciones, etc. No se puede hacer una efectiva comunicación interna 3 horas 5 horas 5 horas 1 horas AFP. No se puede realizar las declaraciones de planillas de los impuestos. 1 hora PDT. No se puede realizar las declaraciones de planillas de los impuestos. 1 hora Línea telefónica (Anexo). No se puede hacer una efectiva comunicación interna. 3 horas Internet. Tesorería No se pueden realizar descargas de normas legales No se pueden realizar actualizaciones del PDT. Consultas a SBS, Essalud. 2 horas Sistema de Caja. No se pueden cobrar a los contribuyentes los arbitrios. 3 horas Sistema Siaf. No se pueden realizar Girados. 5 horas Sistema Intrasig. No se registra comprobantes de pago y emisión de cheques. Retraso de pago de proveedores. 5 horas Herramientas de Office No se pueden emitir memos y cartas a otra áreas de la 1 hora (Word Excel. Etc). Municipalidad. Línea telefónica (anexo). No se puede hacer una efectiva comunicación interna. 5 horas Internet. No se puede realizar transmisión del SIAF, TELECRÉDITO, 3 horas SUNAT, etc. Contabilidad 27 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

28 Sistema Siaf. Sistema Intrasig. No se realiza la fase de devengados y compromisos. No se realiza el cierre contable. No se realiza requerimientos. No se realiza el POI. 3 horas 5 horas COA. No se reflejan los Gastos. 3 horas PDT. No se pueden realizar pagos Gastos. 3 horas Herramientas de Office (Word Excel. Etc). No se pueden emitir memos y cartas a otra áreas de la Municipalidad. 2 horas Línea telefónica (anexo). No se puede hacer una efectiva comunicación interna. 3 horas Internet. No se puede hacer una efectiva comunicación interna( correo electrónico) 3 horas No se puede realizar transmisión del SIAF, SUNAT, etc. Logística Sistema Siaf. No se puede realizar la fase de compromiso. 2 horas Sistema Logístico. No se puede realizar las órdenes de compra y Ordenes de Servicio. 3 horas Sistema Intrasig. No se puede realizar los requerimientos 5 horas Herramientas de Office (Word Excel. Etc). No se pueden emitir memos y cartas a otra áreas de la Municipalidad. 2 horas Línea telefónica (línea fija). No se puede realizar la comunicación con Proveedores. 3 horas Línea telefónica (anexo). No se puede hacer una efectiva comunicación interna. 3 horas Internet. No se puede realizar la transmisión de la fase de compromiso. No existe comunicación vía correo electrónico con los proveedores. No se puede realizar procesos, consultas a la SUNAT, etc. 3 horas Almacén y Control Patrimonial Sistema Logístico. No se puede realizar las órdenes de compra y Ordenes de Servicio. 3 horas Sistema Intrasig. No se puede realizar los requerimientos. 5 horas SBN. No se registra los bienes adquiridos por la Municipalidad. Herramientas de Office No se pueden emitir memos y cartas a otra áreas de la 2 horas (Word Excel. Etc). Municipalidad. Línea telefónica (anexo). No se puede hacer una efectiva comunicación interna. 3 horas Internet. Descarga de actualizaciones de la SBN. 5 horas Justificación de los tiempos estimados para restablecer los servicios de la MDLP en caso de caída. SIAME: El soporte al sistema lo realiza una empresa tercera(instalación en servidor, configuración y restauración de datos, Instalación en la PC cliente y su configuración) y se tiene que realizar las coordinaciones pertinentes para que puedan restablecer el servicio. SIAF: Para restablecer el servicio en caso de que la data se haya dañado se tiene que realizar las coordinaciones con soporte del Ministerio de Economía y Finanzas, para restaurar un backup anterior, también se presentan caídas como problemas de 28 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

29 Hardware, software y el tiempo que se tomaría para cambiar un componente o instalación y configuración del sistema Operativo y restablecer la Data y hacer las pruebas pertinentes que den la conformidad de servicio. INTRASIG:La caída del servicio se considera por perdida de información, Ataques como virus, caída de la Base de Datos, Caídas por Hardware, etc. CAJA Y RENTAS: La caída de servicio se considera por problemas de Hardware o perdida de algún archivo, en caso a estos problemas se tiene que cambiar un componente del servidor, restaurar un backup anterior para ubicar el archivo faltante y se pueda restablecer el servicio. SISTEMA LOGISTICO: La caída del servicio o emitir un mensaje de error, la oficina de Logistica tendrá que comunicarse con la empresa tercera para el soporte de esta, y el tiempo dependerá de que tan grave sea el problema generado. INTERNET: La caídas del servicio de Internet se da normalmente por averías y por ser un servicio de conexión inalámbrico y considerando la ubicación de la Municipalidad los equipos de comunicación de radio enlace están expuestos a la humedad y a las aves que originan el descalibramiento de estos equipos, etc. También se debe considerar las fallas de Hardware y software (Sistema Operativo e Isa Server), o por alguna desconfiguración en las reglas de firewall. ANEXOS TELEFONICOS: En caso de alguna falla en el anexo telefónico, cada oficina tendrá que requerir el servicio de un tercero para la reparación del mismo. NOTA: También se debe tener en cuenta, que para la transmisión del SIAF, AFP,etc. se necesita del servicio de Internet entonces el restablecimiento de estos servicios dependerá que tan rápido se restablezca el servicio de Internet. Los tiempos variantes del restablecimiento de los servicios en las oficinas de la MDLP, se considera el impacto en cada oficina. 29 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

30 Priorizar el recupero de recursos. Listar la prioridad asociada con el recupero de un recurso específico, basado en la caída del impacto y el tiempo de caída aceptable. Usar escalas cuantitativas o cualitativas Alto, Medio, Bajo). PRIORIZAR EL RECUPERO DE RECURSOS Recursos Prioridad de Recupero Oficina de Planeamiento y Presupuesto Director de Planeamiento y Presupuesto PC Impresora Sistema Siame Sistema Siaf Sistema Intrasig Herramientas de Office (Word Excel. Etc) Línea telefónica (Anexo) Internet ALTO ALTO ALTO ALTO BAJO MEDIO MEDIO ALTO Oficina General de Administración Logística PC Impresora Sistema Siaf Sistema Logístico Sistema Intrasig Herramientas de Office (Word Excel. Etc) Línea telefónica (Línea Fija) Línea telefónica (Anexo) Internet ALTO ALTO ALTO ALTO BAJO MEDIO ALTO MEDIO ALTO Personal PC Impresora Sistema Siaf Sistema Intrasig Herramientas de Office (Word Excel. Etc) AFP PDT Línea telefónica (Anexo) Internet ALTO ALTO ALTO ALTO MEDIO ALTO ALTO MEDIO ALTO 30 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

31 Tesorería PC Impresora Sistema de Caja Sistema Siaf Sistema Intrasig Herramientas de Office (Word Excel. Etc) Línea telefónica (Anexo) Internet ALTO ALTO ALTO ALTO ALTO BAJO ALTO ALTO Contabilidad PC Impresora Sistema Intrasig COA PDT Herramientas de Office (Word Excel. Etc) Línea telefónica (Anexo) Internet ALTO ALTO BAJO ALTO ALTO BAJO MEDIO ALTO Almacén y Control Patrimonial PC Impresora Sistema Logístico Sistema Intrasig SBN Herramientas de Office (Word Excel. Etc) Línea telefónica (Anexo) Internet ALTO ALTO ALTO BAJO ALTO MEDIO ALTO ALTO Unidad de Tecnología de la Información PC Línea Telefónica (Anexo) Internet Herramientas de Office (Word Excel. Etc) ALTO ALTO ALTO MEDIO 31 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

32 12. DISENO DE ESTRATEGIA DE CONTINUIDAD DE LOS PROCESOS Y SERVICIOS QUE BRINDA LA MUNICIPALIDAD i. Estrategia de Respaldo y Recuperación ii. Planificar la necesidad de personal adicional para atender los problemas que ocurran. Recurrir al procesamiento manual (de facturas, órdenes, cheques, etc.) si fallan los sistemas automatizados. Planificar el cierre y reinicio progresivo de los dispositivos y sistemas que se consideran en riesgo. Disponer del suministro adicional de combustible para los generadores, en caso de fallas eléctricas prolongadas. Elaborar un programa de vacaciones que garantice la presencia permanente del personal. Almacenamiento y Respaldo de la Información (BACKUPS) Manual de Procedimiento de Backup - definen la frecuencia de los backup (diario o periódico, incremental o total) considerando la criticidad de los datos y la frecuencia con que se introduce nueva información. Manual de Procedimiento de Backup - definen la ubicación de los backups, los estándares de identificación, la frecuencia de rotación de medios y el modo de transporte al sitio externo. Los datos se respaldaran en discos magnéticos, cintas o discos ópticos. Es una buena práctica contar con lugar alternativo externo para el almacenamiento de la información más importante. iii. Sitios Alternos para el Centro de Cómputo El plan incluye una estrategia para recuperar y ejecutar operaciones de sistemas en instalaciones alternativas por un periodo extendido; los sitios alternativos pueden ser: Propios de la organización De una entidad con la que hay un acuerdo de reciprocidad Instalaciones alquiladas En función a su aprestamiento operativo los sitios alternos se clasifican en: Sitios fríos son instalaciones con el espacio adecuado e infraestructura adecuados (electricidad, telecomunicaciones y controles ambientales) para soportar el sistema de TI; no contiene equipos de cómputo. Sitios tibios son ambientes equipados parcialmente con hardware, software, equipos de telecomunicaciones y electricidad; y que además se mantienen en estatus operativos. Sitios calientes son instalaciones que cuentan con el equipo y personal necesarios 24 horas por día, 7 días por semana. 32 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

33 Sitios reflejos son instalaciones totalmente redundantes con información actualizada en tiempo real y técnicamente idénticos al sitio primario. iv. Roles y Responsabilidades Designar un responsable general del plan y toma de decisiones. Designar equipos para ejecutar el plan; cada equipo debe entrenarse y prepararse para actuar. El personal de la recuperación se asignará a equipos específicos que responderán al evento, recuperarán los sistemas de TI y restaurarán operaciones normales. Los tipos específicos de equipos requeridos dependen del sistema afectado. El tamaño de cada equipo, sus denominaciones y estructura dependen de la organización. v. Tipo de Equipos Gestión de la crisis: El responsable de este equipo será el administrador, el cual tendrá que reportar directamente con el encargado de la crisis. Evaluación de daños: estará a cargo de especialistas auditoría interna, logística, de informática y cualquier otro personal que crea conveniente incluir. Ellos determinarán la magnitud de todos los posibles daños que hayan ocurrido durante una contingencia. Recuperación de sistemas operativos, utilitarios, servidores, redes, bases de datos, aplicaciones y telecomunicaciones: este equipo estará formado por personal de la unidad de Tecnología e Información. Recuperación en sitio alterno: Los jefes de este equipo serán el jefe de Unidad de Tecnología de la Información. Restauración en el sitio original: La conformación de este equipo será similar a la del equipo de recuperación en sitio alterno. Prueba del plan: Los encargados de este equipo serán el jefe de la Unidad de Tecnología de la Información. Apoyo administrativo, transporte y reubicación: este equipo estará liderado por líder de Proyecto y el Jefe de la Unidad de Tecnología de la Información. Además conformarán el equipo dos personas más, los cuales apoyarán cada uno el aspecto administrativo y transporte. Estas personas serán escogidas a criterio por la Oficina General de Administración. Compras (equipos y suministros): este equipo estará conformado por personal de Logística, Unidad de Tecnología de la Información. El director de Oficina General de Administración señalará a las personas adecuadas para este equipo. 33 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

34 Consideraciones de Costos Asegurar que la estrategia elegida pueda implementarse de manera eficaz con el personal y recursos financieros disponibles. Determinar un presupuesto de gastos para el planeamiento de contingencias: Software y hardware. Transporte. Pruebas. Entrenamiento. Materiales. Tiempo a incurrir. Servicios, etc Escenario I: NO HAY COMUNICACIÓN ENTRE CLIENTE SERVIDOR EN MDLP. A. Impacto Impacto i. No se puede trabajar con los recursos de la red MDLP. (Información). Área Afectada Área en que labora. ii. Interrupción de sus actividades. Área en que labora. Tiempos aceptables de Caída. TIEMPOS ACEPTABLES DE CAIDA. RECURSO PRIORIDAD DE RECUPERO 1. Sistema Intrasig, Siaf, Siame, Tribu, etc. ALTO 2. Servidor archivos. ALTO 3. Servidor de Correo. ALTO 4. Internet. ALTO B. Recursos de Contingencia Componentes de Remplazo: Tarjeta de Red, Conector RJ-45, Jack RJ-45, Testeador, herramientas de Cableado Estructurado, etc. 34 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

35 C. Procedimiento: 35 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

36 12.2. Escenario II: Falla de Servidor Crítico. A. Impacto iii. Impacto Paralización de los sistemas o aplicaciones que se encuentran en los servidores que presentan fallas. Todas las Áreas Área Afectada iv. Posible Pérdida de Hardware y Software. Tecnología de la Información v. Perdida del proceso automático de Backup y restore. Tecnología de la Información vi. Interrupción de las operaciones. Tecnología de la Información Tiempos aceptables de Caída. TIEMPOS ACEPTABLES DE CAIDA. RECURSO PRIORIDAD DE RECUPERO 1. Servidor Base de Datos ALTO 2. Servidor Web MEDIO 3. Servidor de Aplicaciones - SISTEMAS ALTO 4. Servidor de Controlador de Dominio Primario ALTO 5. Servidor de Correo ALTO 6. Servidor FIREWALL - PROXY MEDIO 7. Servidor SIAF ALTO 8. Servidor FILESERVER ALTO 9. Servidor Antivirus, Controlador de Dominio Secundario, Servidor de Libro de Visitas ALTO 10. Servidor Backup ALTO Detalla algunas de las causas de la Falla del Servidor. CASO A: Error Físico de Disco de un Servidor (Sin RAID). Dado el caso crítico de que el disco presenta fallas, tales que no pueden ser reparadas, se debe tomar las acciones siguientes: 1. Ubicar el disco malogrado. 2. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y teléfono a jefes de área. 3. Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso. 36 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

37 4. Bajar el sistema y apagar el equipo. 5. Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y darle partición. 6. Restaurar el último backup en el disco, seguidamente restaurar las modificaciones efectuadas desde esa fecha a la actualidad. 7. Recorrer los sistemas que se encuentran en dicho disco y verificar su buen estado. 8. Habilitar las entradas al sistema para los usuarios. CASO B: Error de Memoria RAM En este caso se dan los siguientes síntomas: El servidor no responde correctamente, por lentitud de proceso o por no rendir ante el ingreso masivo de usuarios. Ante procesos mayores se congela el proceso. Arroja errores con mapas de direcciones hexadecimales. Es recomendable que el servidor cuente con ECC (error correctchecking), por lo tanto si hubiese un error de paridad, el servidor se autocorregirá. Todo cambio interno a realizarse en el servidor será fuera de horario de trabajo fijado por la Institución, a menos que la dificultad apremie, cambiarlo inmediatamente. Se debe tomar en cuenta que ningún proceso debe quedar cortado, y se deben tomar las acciones siguientes: 1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y teléfono a jefes de área. 2. El servidor debe estar apagado, dando un correcto apagado del sistema. 3. Ubicar las memorias malogradas. 4. Retirar las memorias malogradas y reemplazarlas por otras iguales o similares. 5. Retirar la conexión del servidor con el concentrador, ésta se ubica detrás del servidor, ello evitará que al encender el sistema, los usuarios ingresen. 6. Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia el concentrador, habilitar entradas para estaciones en las cuales se realizarán las pruebas. 7. Probar los sistemas que están en red en diferentes estaciones. Finalmente luego de los resultados, habilitar las entradas al sistema para los usuarios. 37 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

38 CASO C: Error de Tarjeta(s) Controladora(s) de Disco Se debe tomar en cuenta que ningún proceso debe quedar cortado, debiéndose ejecutar las siguientes acciones: 1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y teléfono a jefes de área. 2. El servidor debe estar apagado, dando un correcto apagado del sistema. 3. Ubicar la posición de la tarjeta controladora. 4. Retirar la tarjeta con sospecha de deterioro y tener a la mano otra igual o similar. 5. Retirar la conexión del servidor con el concentrador, ésta se ubica detrás del servidor, ello evitará que al encender el sistema, los usuarios ingresen. 6. Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia el concentrador, habilitar entradas para estaciones en las cuales se realizarán las pruebas. 7. Al final de las pruebas, luego de los resultados de una buena lectura de información, habilitar las entradas al sistema para los usuarios. CASO D: Error Lógico de Datos La ocurrencia de errores en los sectores del disco duro del servidor puede deberse a una de las siguientes causas: Caída del servidor de archivos por falla de software de red. Falla en el suministro de energía eléctrica por mal funcionamiento del UPS. Bajar incorrectamente el servidor de archivos. Fallas causadas usualmente por un error de chequeo de inconsistencia física.plan de Contingencia de los Sistemas de Información de la Municipalidad. En caso de producirse alguna de las situaciones descritas anteriormente; se deben realizar las siguientes acciones: PASO 1: Verificar el suministro de energía eléctrica. En caso de estar conforme, proceder con el encendido del servidor de archivos, una vez mostrado el prompt de Dos, cargar el sistema operativo de red. PASO 2: Deshabilitar el ingreso de usuarios al sistema. 38 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

39 PASO 3: Descargar todos los volúmenes del servidor, a excepción del volumen raíz. De encontrarse este volumen con problemas, se deberá descargarlo también. PASO 4: Cargar un utilitario que nos permita verificar en forma global el contenido del(os) disco(s) duro(s) del servidor. PASO 5: Al término de la operación de reparación se procederá a habilitar entradas a estaciones para manejo de soporte técnico, se procederá a revisar que las bases de datos índices estén correctas, para ello se debe empezar a correr los sistemas y así poder determinar si el usuario puede hacer uso de ellos inmediatamente. Si se presenta el caso de una o varias bases de datos no reconocidas como tal, se debe recuperar con utilitarios. CASO E: Caso de Virus Dado el caso crítico de que se presente virus en las computadoras se procederá a lo siguiente: Se contará con antivirus para el sistema que aíslan el virus que ingresa al sistema llevándolo a un directorio para su futura investigación El antivirus muestra el nombre del archivo infectado y quién lo usó. Estos archivos (exe, com, ovl, nlm, etc.) serán reemplazados del diskett original de instalación o del backup. Si los archivos infectados son aislados y aún persiste el mensaje de que existe virus en el sistema, lo más probable es que una de las estaciones es la que causó la infección, debiendo retirarla del ingreso al sistema y proceder a su revisión. B. Recursos de Contingencia Componente de Remplazo (Memoria, Disco Duro, etc.). Backup diario deinformación del servidor 39 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

40 C. Procedimiento: 40 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

41 12.3. Escenario III: Ausencia Parcial o Permanente del Personal de Unidad de Tecnología de la Información. A. impacto Impacto Área Afectada Interrupción de funciones de la persona ausente Administración de bases de datos. Control y monitoreo de servidores. Soporte a los usuarios. Ajustes a programas críticos en producción Todas las Áreas B. Recursos de Contingencia Se presentan las funciones actuales que tienen a su cargo el personal de la Tecnología de la Información. 41 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

42 C. Procedimiento Inicio Ausencia de Personal de REDES en la UTI Solicitud de Servicio (Creación de user) Existe documentación? SI El Jefe de UTI atiende Solicitud. Documentación de Redes. NO Existe Persona capacitada para atender solicitud SI Persona Capacitada atiende Solicitud. NO Comunicarse con el personal redes? SI Se comunica con el personal de REDES para guiarnos y atender NO Información se encontro en Internet?. SI Búsqueda de información en Internet y atendió solicitud. NO Servicios de Terceros Atendio Solicitud FIN 42 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

43 12.4. Escenario IV: Interrupción del Fluido Eléctrico A. impacto Impacto Área Afectada Cierre inapropiado de las Bases de Datos Oracle. Todas las áreas Finalización incompleta de los Backup. Todas las áreas Falla de un componente de equipo servidor Pérdida total o parcial de la operatividad de los sistemas. Todas las áreas Todas las áreas Se puede presentar lo siguiente: 1. Si fuera corto circuito, el UPS mantendrá activo los servidores, mientras se repare la avería eléctrica. 2. Para el caso de apagón se mantendrá la autonomía de corriente que el UPS nos brinda (corriente de emergencia (*)), hasta que los usuarios completen sus operaciones (para que no corten bruscamente el proceso que tienen en el momento del apagón), hasta que finalmente se realice el By-pass de corriente con el grupo electrógeno, previo aviso y coordinación. 3. Cuando el fluido eléctrico de la calle se ha restablecido se tomarán los mismos cuidados para el paso de grupo electrógeno a corriente normal (o UPS). * Llámese corriente de emergencia a la brindada por grupo electrógeno y/o UPS. ** Llámese corriente normal a la brindada por la compañía eléctrica. B. Recursos de Contingencia Si se produjera en horas de la noche una interrupción del fluido eléctrico, se podrían paralizarlos procesos de cierre y backup de los servidores con motores de base de datos Oracle. Por tal motivo es necesario revisar continuamente el estado de las baterías del UPS. Dichas baterías deben garantizar una autonomía de aproximadamente una hora. Es necesario establecer un procedimiento que permita al personal de seguridad de la Municipalidad avisar al personal de Informática de este hecho. El UPS se caracteriza por emitir una alarma fácil de identificar. 43 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

44 C. Procedimiento: Manual de encendido y apagado de los servidores. VER ANEXO Nº2 Manual de encendido y apagado del UPS.VER ANEXO Nº TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

45 12.5. Escenario V: CORTE DEL SERVICIO DE INTERNET A. Impacto Impacto Área Afectada Interrupción de la recepción y envío de información, mensajes y data a nivel nacional e internacional. Todas las áreas B. Recursos de Contingencia Hardware 1 Routercon1 entrada LAN Software Herramientas de Internet. Backup de las reglas del servidor Firewall. 45 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

46 C. Procedimiento: 46 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

47 12.6. ESCENARIO IV: INDISPONIBILIDAD DEL CENTRO DE CÓMPUTO A. Impacto Impacto Área Afectada i. Caída de la Red LAN: Servidores Windows y Linux, equipos de comunicación. Todas las Áreas ii. Interrupción de las comunicaciones Internas y Externas. Todas las Áreas iii. Paralización de los sistemas que soportan las funciones de la Institucion. Todas las Áreas iv. Paralización de operaciones de Informática. Todas las Áreas v. Perdida de Hardware y Software. Tecnología de la Información IDENTIFICAR IMPACTO DE LA CAIDA Y TIEMPOS ACEPTABLES DE CAIDA. RECURSO 1. Servidor Base de Datos, Intrasig. 2. Servidor Web 3. Servidor de Aplicaciones - SISTEMAS IMPACTO NO se elaboran Requerimientos. NO se realiza la Consolidación de Cuadro de Necesidades. NO se realiza el Plan Anual de Adquisiciones. NO se realiza el Plan de control de Asistencia del Personal. No se emiten reportes de Obreros, Planillas, CAS, etc. No se mantendría informado a los usuarios internos y externos a de los acontecimientos en el Distrito de la Punta. No se realizaría consultas de contribuyentes acerca de los arbitrios. No se brindaría información acerca del depósito a los Proveedores. NO se realiza Elaboración, Modificación de Calendario de Compromiso. NO se realiza Orientación Presupuestal. NO se realiza Reportes Internos. No se realiza Órdenes de Compra, servicio, pagos, Almacén. No se realiza Registro de Comprobantes, Órdenes de Giro, Pagos, Ingresos y Conciliaciones. TIEMPO DE CAIDA ACEPTABLE 3 Horas 8 Horas 3 Horas 4. Servidor de Controlador de Dominio Primario 5. Servidor de Correo 6. Servidor FIREWALL - PROXY 7. Servidor SIAF 8. Servidor FILESERVER 9. Servidor Antivirus, Controlador de Dominio Secundario, WSUS 10. Servidor Backup No existiría seguridad Centralizada en el acceso a la red de la Municipalidad. (No se administra Perfiles, accesos a los sistemas, etc.). No existiría comunicación Interna y Externa (Proveedores, Instituciones Gubernamentales, etc.). No existiría Comunicación Externa (MEF, SUNAT, etc.). No se realizaría el registro de Comprobantes de Pago y Cheques (Pago al Personal de la Municipalidad de la Punta). Los usuarios de la Municipalidad de la Punta no tendrían acceso a los archivos guardados en el servidor (Pérdida de Información). Vulnerabilidad de red de la Municipalidad expuesta a infecciones como Virus, Troyanos, etcy falta de seguridad en el Sistema Operativo, aplicaciones, etc por realizar las actualizaciones. En caso de una contingencia no habría disponibilidad de Información. 3 Horas 3 Horas 5 Horas 5 Horas 5 Horas 8 Horas 8 Horas 47 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

48 B. Recursos de Contingencia Si es necesario, el hardware y software necesarios deben activarse o adquirirse, así como ser transportados al sitio alterno; las estrategias básicas para disponer de equipo de reemplazo son: o Acuerdos con proveedores: Se establecen acuerdos de nivel de servicios con los proveedores de software, hardware y medios de soporte; se debe especificar el tiempo de respuesta requerido. o Inventario de equipos: Los equipos requeridos se compran por adelantado y se almacenan en una instalación segura externa (el sitio alterno). o Equipo Compatible Existente: Equipo existente en sitios alternativos. Comprar los equipos cuando se necesitan puede ser mejor financieramente, pero puede incrementar de manera significativa el tiempo de recuperación. Almacenar un equipo sin usar es costoso, pero permite que la recuperación comience más rápidamente. Considerar la posibilidad de un desastre extendido que requiere reemplazos masivos de equipos y retrasos del transporte. Mantener listas detalladas de necesidades de equipo y especificaciones dentro del plan de contingencia. Recursos de Contingencia Generales Router (Proveído por el proveedor de Internet y WAN). Servidores y Equipos de Comunicación (Switchs, Antenas, Fibra, etc.). Gabinete de Comunicaciones y Servidores. Materiales Y herramientas para cableado Estructurado6. UPS y Equipos de aire acondicionado. Backup de los Sistemas. Instaladores de las aplicaciones, de Software Base, Sistema Operativo, Utilitarios, etc. 48 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

49 Recursos de Contingencia Específicos EQUIPOS DE REMPLAZO 1. Servidor Base de Datos a. Hardware: Un servidor tipo Xeon con las siguientes características: 1 Procesador,1 discos de 160 GB 2 GB de RAM. El equipo deberá contar con unidad para CD y DVD. b. Software y data: Windows Server 2003 Estándar Editión Oracle 10g. Backup diario de las Bases de Datos. Backup de las fuentes la Aplicación. Backup de ejecutables de la Base de Datos. 2. Servidor Web a. Hardware: Computador Compatible con las siguientes características: Intel Core 2 Duo, disco duro de 160 GB, 3 GB de RAM. El equipo deberá contar con unidad para CD y DVD b. Software y data Windows Server 2003 Estándar Editión. Configuración de IIS 6.0. Propios del Sistema Operativo. Backup de la data del Sitio Web. 3. Servidor de Aplicaciones - SISTEMAS a. Hardware Un servidor tipo Xeoncon las siguientes características: 1 Procesadores, 1 discos de 320 GBY 3 GB de RAM. El equipo deberá contar con unidad para CD y DVD. b. Software y data Windows Server 2003 Estándar Editión. Backup de la Data de los sistemas que se ejecutan en la Municipalidad. Backup de ejecutables de los Sistemas. 4. Servidor de Controlador de Dominio Primario a. Hardware Computador Compatible con las siguientes características: Intel Core 2 Quad, 1 disco duro de 160 GB, 3 GB de RAM. El equipo deberá contar con unidad para CD y DVD. b. Software y data Windows Server 2003 Estándar Editión Backup del perfil de los usuarios, Políticas de Seguridad, Servidor DNS. Backup de los Instaladores. 5. Servidor de Correo a. Hardware Computador Compatible con las siguientes características: Intel Core 2 Quad, disco duro de 500 GB, 3 GB de RAM. El equipo deberá contar con unidad para CD y DVD b. Software y data Windows Server 2003 Estándar Editión 64 bits. Backup del buzón de los usuarios. Backup de los Instaladores Microsoft Exchange TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

50 6. Servidor FIREWALL - PROXY a. Hardware Computador Compatible con las siguientes características: Intel Core 2 Quad, disco duro de 160 GB, 3 GB de RAM. El equipo deberá contar con unidad para CD y DVD b. Software y data Windows Server 2003 Estándar Editión. Backup de las reglas de seguridad para el acceso a Internet. Backup de los Instaladores de Isa Server Servidor SIAF a. Hardware Computador Compatible con las siguientes características: Intel Core 2 Quad, disco duro de 160 GB, 3 GB de RAM. El equipo deberá contar con unidad para CD y DVD. b. Software y data Windows Server 2003 Estándar Editión Backup de las reglas. Backup de los Instaladores. 8. Servidor FILESERVER a. Hardware Computador Compatible con las siguientes características: Intel Core 2 Quad, disco duro de 500 GB, 3 GB de RAM. El equipo deberá contar con unidad para CD y DVD. b. Software y data Windows Server 2003 Estándar Editión Backup de las reglas. Backup de los Instaladores. 9. Servidor que Antivirus, Controlador de Dominio Secundario. a. Hardware Computador de escritorio Compatible con las siguientes características: Intel Core 2 Quad, disco duro de 500 GB, 4 GB de RAM. El equipo deberá contar con unidad para CD y DVD b. Software y data Windows Server 2003 Estándar Editión Backup de los Instaladores. 10. Servidor Servidor Backup a. Hardware Computador de escritorio Compatible con las siguientes características: Intel Core 2 Quad, disco duro de 500 GB, 4 GB de RAM. El equipo deberá contar con unidad para CD y DVD. b. Software y data Windows Server 2003 Estándar Editión. Backup Software de Vitalización, Moodle, GLPI. Infraestructura del Ambiente Alterno PROPIO: Para este escenario, se requiere acondicionar un ambiente alterno que pueda ser utilizado como sala de servidores en el momento de la contingencia. Con un espacio de aproximadamente 15 m 2 que tiene forma rectangular para facilitar la ubicación de los equipos y mobiliario. 50 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

51 El ambiente alterno contará con los siguientes recursos: 3 mesas para monitores y teclados de los 8 servidores principales 3 sillas 3 Switches 24 Ports (10/100) 1 Router para la conexión a internet 1 UPS 1 Teléfono 1 Extinguidor Clase A (Gas Carbónico) Útiles de Oficina Cuadro de la mejor Alternativa de Implementar un centro de Computo Alterno ALTERNATIVA PARA IMPLEMENTAR CENTRO DE COMPUTO ALTERNO Alternativas Ventajas Desventajas 1) Centro Computo Alterno Propio La Municipalidad construiría su propio CCA en una oficina remota 1) Constituye activo fijo de la Municipalidad de la Punta 1) Alta Inversión 2) Manejo de la BD solo por personal de la Municipalidad 2) Tiempo en la construcción 2) Outsourcing del Centro Computo Alterno La Municipalidad tercerizara su CCA con otra empresa especialista en proporcionar estos servicios Modalidades: 1) Menor inversión, ya que es compartido 2) Tiempo de implementación menor 3) La seguridad es parte del servicio 4) No requiere RRHH adicional 3) Inversión adicional en seguridad en el CCA 4) Recurso Humano Adicional para el manejo del CCA (operación) 5) Implementar procedimientos de Seguridad adicionales sobre la BD por estar localizada en una entidad externa a) Housing, La Municipalidad de la Punta es dueño de los equipos, solo alquila el espacio físico seguro. b) Hosting, La Municipalidad de la Punta es dueño solo del software propio de su operativa, el proveedor del servicio proporciona todo. 51 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

52 C. Procedimientos Restauración de lasala de Servidores o Centro de Cómputo Alterno (CCA). 52 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

53 vi. Proveedores Claves LISTADO DE PROVEEDORES RECURSOS EMPRESA NOMBRE TELF. FIJO TELF. FIJO ANEXO FAX BASE DE DATOS ORACLE INTERNET OPTICAL NETWORKS Ángel de la Cruz Alarcon TELEFONIA FIJA Y MOVIL NEXTEL SISTEMA SIAF MEF Pacheco ANTIVIRUS KARPESKY LA EMPRESA Sergio Cacho COMPONENTES DE PC. TEXCO PERU SOCETSA TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

54 13. PLAN DE VERIFICACION Y PLAN DE PRUEBAS Tres medidas de minimizar los riesgos de la tecnología son la: Verificación Prueba Mantenimiento de los sistemas. Cada componente de un sistema de cómputo equipo, comunicaciones y programas debe ser verificado y probado rigurosamente antes de utilizarlo para un evento Plan de Verificación Para el Plan de Contingencia es muy importante y es conveniente que una autoridad independiente aplique las pruebas de verificación. Para sistemas de menor importancia, la verificación puede realizarse internamente. Las pruebas de verificación (también conocidas como pruebas de calidad) pueden incluir: Probar los equipos bajo condiciones que simulen las de operación real. Probar los programas para asegurar que se siguen los estándares apropiados y que desempeñan las funciones esperadas. Asegurar que la documentación sea la adecuada y esté completa. Asegurar que los sistemas de comunicación se ciñan a los estándares establecidos y funcionen de manera efectiva. Verificar que los sistemas sean capaces de operar bajo condiciones normales, pero también bajo potenciales condiciones inesperadas. Asegurar que se cuente con las debidas medidas de seguridad y que estas se ciñan a las normas establecidas Procedimientos para las Pruebas del Plan de Contingencia Introducción Todos los planes de contingencia deben ser probados para demostrar su habilidad de mantener la continuidad de los procesos críticos de la empresa. Las pruebas se efectúan simultáneamente a través de múltiples unidades, incluyendo entidades externas. Realizando pruebas se descubrirán elementos operacionales que requieren ajustes para asegurar el éxito en la ejecución del plan, de tal forma que dichos ajustes perfeccionen los planes preestablecidos. 54 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

55 Objetivos El objetivo principal, es determinar si el Plan de contingencia es capaz de proporcionar el nivel deseado de apoyo a la sección o a los procesos críticos de la Municipalidad, probando la efectividad de los procedimientos expuestos en el plan de contingencias. Las pruebas permiten efectuar una valoración detallada de los costos de operación en el momento de ocurrencia de una contingencia. Procedimientos para las Pruebas del Plan de Contingencias Niveles de Prueba Se recomiendan dos niveles de prueba: Pruebas en pequeñas Unidades Orgánicas. Pruebas en a nivel Gerencial. La premisa es comenzar la prueba en las Unidades Orgánicasmás pequeñas, extendiendo el alcance a nivel Gerencial, para finalmente realizar las pruebas entre sedes o con otras instituciones externas. Métodos para Realizar Pruebas de Planes de Contingencia a) Prueba Específica Consiste en probar una sola actividad, entrenando al personal en una función específica, basándose en los procedimientos estándar definidos en el Plan de Contingencia. De esta manera el personal tendrá una tarea bien definida y desarrollará la habilidad para cumplirla. b) Prueba de Escritorio Implica el desarrollo de un plan de pruebas a través de un conjunto de preguntas típicas (ejercicios). Características: La discusión se basa en un formato preestablecido. Esta dirigido al equipo de recuperación de contingencias. Permite probar las habilidades gerenciales del personal que tiene una mayor responsabilidad. Los ejercicios de escritorio son ejecutados por el encargado de la prueba y el personal responsable de poner el plan de contingencias en ejecución, en una situación hipotética de contingencia. Un conjunto de preguntas se pedirán que resuelva el personal. El encargado y el personal utilizarán el plan de contingencias para resolver las respuestas a cada situación. El encargado contestará a las preguntas que se relacionan con la 55 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

56 disponibilidad del personal entrenado, suficiencia de los recursos, suficiencia de máquinas, y si los requerimientos necesarios están a la mano. Los ajustes serán hechos al plan o al ambiente determinado durante esta fase si cualquier parte del plan no cumple con los objetivos propuestos. c) Simulación en Tiempo Real Las pruebas de simulación real, en una Unidad Orgánica, a nivel de Gerencia en la Municipalidad está dirigido a una situación de contingencia por un período de tiempo definido. Las pruebas se hacen en tiempo real. Son usadas para probar partes específicas del plan. Permiten probar las habilidades coordinativas y de trabajo en equipo de los grupos asignados para afrontar contingencias. Preparaciones PRE Prueba Repasar el plan de contingencia. Verificar si se han asignado las respectivas responsabilidades. Verificar que el plan este aprobado por la alta dirección de la institución. Entrenar a todo el personal involucrado, incluyendo orientación completa de los objetivos del plan, roles, responsabilidades y la apreciación global del proceso. Establecer la fecha y hora para la ejecución de la prueba. Desarrollar un documento que indique los objetivos, alcances y metas de la prueba y distribuirlo antes de su ejecución. Asegurar la disponibilidad del ambiente donde se hará la prueba y del personal esencial en los días de ejecución de dichas pruebas. No dejar de lado los resultados obtenidos, la meta es aprender y descubrir las vulnerabilidades, no generar fracaso y frustración. La prueba inicial se enfoca principalmente en entrenar al equipo que ejecutará con éxito el plan de contingencias, solucionando el problema y restableciendo a la normalidad las actividades realizadas. Enfocar los procesos críticos que dependen de sistemas específicos o compañías externas donde se asume que hay problemas. Definir el ambiente donde se realizarán las reuniones del equipo de recuperación de contingencias. Distribuir una copia de la parte del Plan de Contingencias a ser ejecutado. 56 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

57 Comprobación de Plan de Contingencias La prueba final debe ser una prueba integrada que involucre secciones múltiples e instituciones externas. La capacidad funcional del plan de contingencia radica en el hecho de que tan cerca se encuentren los resultados de la prueba con las metas planteadas. El diagrama representa los pasos necesarios, para la ejecución de las pruebas del plan de contingencias. 57 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

58 58 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

59 14. PLAN DE MANTENIMIENTO En la mayoría de las organizaciones los cambios ocurren todo el tiempo. Los productos y los servicios cambian continuamente en todos los niveles. El aumento de procesos basados en tecnología, ha incrementado significativamente el nivel general de dependencia sobre la disponibilidad de sistemas e información para que la Municipalidad opere efectivamente. Es por lo tanto necesario que el PLAN DE CONTINGENCIA, se adecue a esos cambios y se mantenga continuamente actualizado. Cuando se realizan cambios al PLAN DE CONTINGENCIA, se deben probar completamente y hacer las correcciones requeridas. Esto implica el uso de procedimientos formales de control de cambios bajo el manejo del líder del equipo del Plan de Contingencia. Control de cambios al Plan. Responsabilidad en el mantenimiento de cada parte del plan. Pruebas a todos los cambios del plan. Aviso a persona responsable del mantenimiento Control de Cambios al Plan Se recomienda establecer controles formales del cambio para cubrir cualquier modificación al Plan de Contingencia. Esto es necesario debido al nivel de complejidad contenida dentro del plan. Se debe preparar una plantilla para solicitud de cambios y debe ser aprobada. Esta sección contendrá una plantilla de la solicitud de cambio a ser usada en el Plan de Contingencia Responsabilidad en el Mantenimiento de Cada Parte del Plan Cada parte del plan será asignada a un miembro del equipo del Plan de Contingencia o un Gerente en la organización, que será responsable de actualizar y mantener el plan. El líder del equipo de Plan de Contingencia, mantendrá el control completo del Plan de Contingencia, pero los jefes de las unidades necesitarán mantener sus propias secciones al día. 59 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

60 14.3. Pruebas a todos los cambios del plan El equipo del Plan de Contingencia, nombrará una o más personas que serán responsables de coordinar todos los procesos de prueba y asegurar que todo cambio al plan se prueba apropiadamente. Cuando los cambios se hacen o son propuestos al Plan de Contingencia, se debe notificar al coordinador de pruebas del Plan de Contingencia. Esta sección del Plan de Contingencia, contiene una comunicación del coordinador del Plan de Contingencia a las unidades de la Municipalidad afectadas y contiene información acerca de los cambios que se requieren probar o reexaminar ANEXOS. 60 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

61 Aviso a persona responsable por el entrenamiento SECCION DEL PLAN DE CONTINGENCIA CAMBIADA RESUMEN DE CAMBIOS HECHOS FECHA AFECTA LOS PROGRAMAS DE ENTRENAMIENTO SE REQUIERE RE-ENTRENAMIENTO (SI/NO) COMENTARIOS: COMENTARIOS: COMENTARIOS: COMENTARIOS: COMPLETADO POR NOMBRE: FECHA: REVISADO POR NOMBRE: FECHA: 61 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

62 Control de Cambios al Plan PLAN DE CONTINGENCIA FORMATO PARA CAMBIOS Cambio Nro. Descripción del Cambio Justificación para el cambio Fecha en que se hace efectivo Alternativas consideradas o eliminadas Proceso(s) dela institucion(es) impactadas Cronograma de Pruebas Entrenamiento Ajustado al cambio Solicitado por: Responsable del Plan NOMBRE: FIRMA: FECHA / / Aprobado por: NOMBRE: CARGO FECHA / / FIRMA: COMPLETADO POR NOMBRE: FECHA: REVISADO POR NOMBRE: FECHA: 62 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

63 Responsabilidad en el Mantenimiento de Cada Parte del Plan CONTENIDO DEL PLAN Inicio del proyecto Inicio de actividades Organización del proyecto Evaluación del riesgo Evaluación de incidentes y amenazas Evaluación de riesgos para la Municipalidad Comunicaciones e IT Otros procedimientos de recuperación del desastre Sitios Preparación para una Posible Emergencia Estrategias de backup y recuperación Personal y proveedores claves Procedimientos y documentación Clave Fase de recuperación del desastre Planeación para manejar la emergencia Notificación Prueba Planeación de la prueba Dirección de la prueba Entrenamiento del personal Administración del programa de entrenamiento Evaluación del entrenamiento Mantenimiento del plan Mantenimiento del PCN PERSONA RESPONSABLE DEL MANTENIMIENTO DEL PLAN NOMBRE POSICIÓN COMPLETADO POR NOMBRE: REVISADO PORNOMBRE: FECHA: FECHA: 63 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

64 15. PLAN DE ENTRENAMIENTO Todo el personal de la Unidad de la Unidad de Tecnología de la Información, debe entrenarse en el proceso de recuperación del Plan de Contingencia. Esto es particularmente importante cuando los procedimientos son significativamente diferentes de las operaciones normales y se requiere un desempeño excelente para garantizar la restauración de los equipos de cómputo. La capacitación se debe planear detenidamente y debe ser completamente estructurada y coherente acorde con las exigencias de recuperación. El entrenamiento se debe evaluar para verificar que ha logrado sus objetivos Objetivos del Entrenamiento Entrenar todo el personal en los procedimientos particulares a seguir durante el proceso de recuperación del plan de contingencia. Difusión del Plan de entrenamiento Alcance del Entrenamiento La capacitación se llevará a cabo de manera exhaustiva para que se llegue a estar familiarizado con todos los aspectos del proceso de recuperación. La capacitación cubrirá todos aspectos de la sección de actividades de recuperación del plan de contingencia. Es importante desarrollar un programa corporativo que cubra las partes esenciales requeridas para comunicar los procedimientos del proceso de recuperación de los procesos de negocio de la Institución Revisión y Actualización El seguimiento permanente permite conocer la evolución, los cambios en condiciones actuales, el cumplimiento de metas propuestas y los ajustes requeridos. La evaluación periódica del Plan de Contingencia se realiza a través de: Simulacros Simulaciones Evaluación del desempeño por evento La simulación y simulacros Las simulaciones y simulacros son evaluaciones muy importantes, pues entrenan al personal, enfrentándolo en situaciones probables de emergencia o desastres y ponen a prueba la capacidad de la Municipalidad de la Punta. 64 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

65 Los Simulacros, llamados también ejercicios de evaluación, constituye la actividad práctica por excelencia en el proceso de preparación del Plan de Contingencia para situaciones de desastres. Las Simulaciones, son ejercicios de escritorio que se realizan en situaciones ficticias controladas Guía para simulaciones y simulacros Conforme u Comité de emergencia y defina sus funciones. Evalué los riesgos informáticos, y la vulnerabilidad de la Municipalidad. Realice un inventario de recursos humanos y materiales. Elabore un plan para la atención de del centro de computo y centro de computo alterno. Difunda el plan a todo el personal de la Municipalidad. Coordinar con las instituciones que nos prestan servicios Realice simulaciones o ejercicios de escritorio Evaluación del Simulacro Todas las conclusiones deben integrase en un documentos para uso del comité, con la finalidad de facilitar el proceso de ajuste del plan de acuerdo a los resultados. Los pasos son: Reunión con las comisiones o brigadas de las áreas de la Municipalidad. Revisión del Plan e integración de las recomendaciones y decisiones adoptadas de acuerdo con las lecciones aprendidas del ejercicio. Difusión del documento de evaluación Errores Frecuentes en la Realización de los Simulacros Improvisación y falta de planificación adecuada al simulacro. Falta de entrenamiento del personal participante en los procedimientos que se desarrollan. Dificultares disciplinarias con los simuladores, que en ocasiones no asumen la ejecución de los ejercidos con la responsabilidad requerida. Falta de coordinación entre las diferentes entidades participantes del simulacro. 65 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

66 15.8. Comunicación al personal Una vez se defina la capacitación a ser impartida a los empleados, es necesario avisarles acerca del programa de capacitación en el que se requiere su asistencia. Esta sección contiene una comunicación que debe enviarse a cada miembro del personal para avisarles acerca de su horario de entrenamiento. La comunicación debe darse con el fin de avisar y saber si pueden asistir en dichas fechas y horas. Se debe enviar una comunicación separada a los Gerentes, Jefes, encargados de la la Municipalidad, avisándoles del horario propuesto de entrenamiento para que su personal asista Evaluación del entrenamiento Se debe valorar el programa de capacitación individual del Plan de Contingencia y el Plan de Contingencia completo, para asegurar su eficacia y aplicabilidad. Esta información se tomará de los entrenadores y también de las personas que toman los entrenamientos. Este proceso se hará con cuestionarios al final, con el propósito de tener realimentación. 16. ANEXOS: Comunicación Entre Los Locales de la MDLP, Configuración de Servidores y Equipos de Comunicación Comunicación entre los locales de la MDLP. 66 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

67 67 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

68 Servicio de Internet MDLP 68 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

69 Configuración de Servidores y Equipos de Comunicación 69 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

70 Ubicación de los servidores Físicos de la MDLP UBICACIÓN DE SERVIDORES FISICOS EN LA SALA DE SERVIDORES Nº FUNCION Se rvido r de A plic ac io nes Serv ido r de P ro duccio n (Intrasig, Oracle) Se rvido r de D o minio Servidor Firewall - P ro xy Se rvido r de P ruebas Se rvido r de C o rreo Serv ido r que alma cena s erv ido res Virtuales Serv ido r de A rchiv o s Servidor Siaf Servidor WEB HOSTNAME MDLP-AP01.mdlp.local PRODUCCION. mdlp.local MDLP-DC01.mdlp.local Cancerbero.mdlp.local exiserver. mdlp.local SEREXCH01.mdlp.local MDLP-FW02.mdlp.local MDLP-FS01.mdlp.local MDLP-AP02.mdlp.local MDLP-WEB01. MDLP.LOCAL IP ADDRESS DESCRIPCION DE SERVIDORES APLICACIONES CARACTERISTICAS SISTEMA OPERATIVO MODELO CANT. N º P R OC ESA D OR OR ES Sistema Logistico, Tribu, Caja, Siame, Zziber Visual. Window s Server 2003 Estándar Editión HP PROLIANT ML 150 Intel Xeón E5405 GHZ Base de Datos Oracle Window s Server 2003 Estándar Editión HP PROLIANT ML 350 G5 Xeón 1.6 GHZ Servidor Directorio Activo, DNS. Window s Server 2003 Enterprise Editión ISA Server 2006 Estándar Edition Window s Server 2003 Estándar Editión PC COMPATIBLE PC COMPATIBLE Intel Core 2 Quad Intel Core 2 Quad Servidores Virtuales, Pruebas LINUX HP PROLIANT ML 350 G5 Microsoft Exchange 2007, AntiSpam Window s Server bits Estándar Editión Servidores Viruales, Backup. Window s Server 2003 R2 Estándar Editión Servidor de Archivos Window s Server 2003 Estándar Editión Sistema Siaf Window s Server 2003 Estándar Editión Servidor Web Window s Server 2003 Enterprise Editión PC COMPATIBLE PC COMPATIBLE PC COMPATIBLE PC COMPATIBLE PC COMPATIBLE Xeon 1.6 GHZ 1 Intel Core 2 Quad Intel Core 2 Quad Intel Core 2 Quad Intel Core 2 Quad DISCO DURO 300 GB 120 sas 160 GB 320 GB 120 sas 660 (2 discos) 900 GB (3 discos) 500 GB 150 GB 160 GB Intel Core 2 Duo RAM 2GB 2GB 1 GB 3 GB 2GB 3 GB 4GB 3 GB 3 GB 3 GB COD. PATRIMONIAL S/C S/C S/C S/C S/C S/C S/C S/C S/C S/C ESTADO Operativo Operativo Operativo Operativo Operativo Operativo Operativo Operativo Operativo Operativo EQUIPOS UBICADOR EN GABINETE DE PISO DE LA SALA DE SERVIDORES EQUIPOS UBICADOS EN EL PISO DE LA SALA DE SERVIDORES Descripción de Servidores Físicos por Tipo. DESCRIPCION SERVIDORES FISICOS POR TIPO Nº FUNCION Servidor de Aplicaciones Servidor de Produccion (Intrasig, Oracle) Servidor de Pruebas Servidor de Dominio Servidor de Archivos Servidor Firewall -Proxy Servidor Siaf Servidor de Correo Servidor que almacena servidores Virtuales Servidor WEB D E S C R IP C IO N D E S E R V ID O R E S TIPO HOSTNAME IP ADDRESS APLICACIONES CARACTERISTICAS SISTEMA OPERATIVO MODELO CANT. SERVIDOR SERVIDOR SERVIDOR PC Compatible PC Compatible PC Compatible PC Compatible PC Compatible PC Compatible PC Compatible MDLP-AP01.mdlp.local PRODUCCION.mdlp.local exiserver.mdlp.local MDLP-DC01.mdlp.local MDLP-FS01.mdlp.local Cancerbero.mdlp.local MDLP-AP02.mdlp.local SEREXCH01.mdlp.local MDLP-FW02.mdlp.local MDLP-WEB01. MDLP.LOCAL Sistema Logistico, Tribu, Caja, Siame, Zziber Visual. Windows Server 2003 Estándar Editión HP PROLIANT ML 150 Intel Xeón E5405 GHZ Base de Datos Oracle Windows Server 2003 Estándar Editión HP PROLIANT ML 350 G5 Servidores Virtuales, Pruebas Intrasig, Orale. LINUX HP PROLIANT ML 350 G5 Servidor Directorio Activo, DNS. Windows Server 2003 Enterprise Editión Servidor de Archivos Windows Server 2003 Estándar Editión ISA Server 2006 Estándar Edition Windows Server 2003 Estándar Editión Sistema Siaf Windows Server 2003 Estándar Editión Microsoft Exchange 2007, AntiSpam Windows Server bits Estándar Editión Servidores Viruales, Backup. PC COMPATIBLE PC COMPATIBLE PC COMPATIBLE PC COMPATIBLE PC COMPATIBLE PC COMPATIBLE Xeón 1.6 GHZ Xeon 1.6 GHZ 1 Intel Core 2 Quad Intel Core 2 Quad Intel Core 2 Quad Intel Core 2 Quad Intel Core 2 Quad Intel Core 2 Quad Servidor Web Windows Server Windows Server 2003 R2 Estándar 2003 Enterprise Editión Editión PC COMPATIBLE ESTADO Operativo Operativo Operativo Operativo Operativo Operativo Operativo Operativo Operativo Operativo 70 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

71 Descripción de Servidores Virtuales según Ubicación. DESCRIPCION SERVIDORES VIRTUALES - MDLP HOSTNAME FUNCION IP ADDRESS Aplicaciones WEB SERVER libro.munilapunta.gob.pe Iibro EXCISERVER MONITOR Servidor de Monitoreo -RED CACTI WEB CORREO Servidor Web Pagina Web CAM-OCI-129 Servidor de Inventario Oci Inventory MDLP-FW02 MDLP-AV02 Servidor de Antivirus Consola Antivirus Karpesky MDLP-DC02 Controlador de Dominio Secundario MDLP-WSUS01 Servidor de Actualizaciones WSUS Servidor de Controlador de Dominico Secundario CONFIGURACIÒN DE LOS SERVICIOS QUE BRINDA LA MUNICIPALIDAD Servidor de ACTIVE DIRECTORY (MDLP-DC01.mdlp.local) a. MANUAL DE DISEÑO DE DIRECTORIO ACTIVO. NOMBRE DE SERVIDOR: MDLP-DC01.mdlp.local DIRECCION IP: SISTEMA OPERATIVO: WINDOWS SERVER 2003 STANDAR EDITION 71 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

72 Dominio de la municipalidad UO para agrupar usuarios, equipos, servidores, grupos. UO que agrupa usuarios según área o Gerencia. 72 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

73 UO. Agrupa equipos según áreas o Gerencias. 73 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

74 UO. Que agrupan usuarios según acceso hacia una carpeta (administración de permisos). UO. Que agrupan servidores FISICOS y VIRTUALES. 74 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

75 b. MANUAL DE POLÍTICAS DE SEGURIDAD A NIVEL DE DOMINIO b.1. POLITICA A NIVEL DE USUARIO Internet Explorer Titulo de la barra de Texto: Municipalidad de la Punta. Configurar como página de inicio de Internet Explorer a: Panel de control Prohibir el acceso al Panel de Control. Panel de control /Agregar y quitar Programas Ocultar la opción agregar y quitar programas desde la red. Ocultar la opción agregar y quitar programas desde Microsoft. Ocultar la opción agregar y quitar programas desde un CD-ROM o Disquete. Ocultar la pagina agregar nuevos programas. Ocultar la pagina agregar o quitar componentes de Windows. Ocultar la pagina agregar y quitar programas. Ocultar la pagina configurar acceso y programas predeterminados. Quitar agregar o quitar programas. Quitar la información de Soporte Técnico. Panel de control /Pantalla Impedir cambios en el papel Tapiz. Ocultar la ficha apariencia y temas. Ocultar la ficha configuración. Sistema Desactivar reproducción automática (Desactivar reproducción automática en: Todas las Unidades.) No mostrar la Pantalla de bienvenida de introducción al iniciar sesión. 75 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

76 Escritorio No agregar recursos compartidos de documentos abiertos recientemente a mis sitios de red. Ocultar el icono de mis sitios de red del escritorio. Prohibir al usuario cambiar la ruta de mis documentos. Prohibir el ajuste de las barras de herramientas del escritorio. Quitar el elemento propiedades del menú contextual de mis documentos. Escritorio /Active Desktop Configurar el papel tapiz del escritorio una imagen de la Municipalidad de la Punta. Menú Inicio y barra de tareas. Bloquear la barra de tareas. Borrar el historial de documentos abiertos recientemente al salir. Forzar menú inicio clásico. Impedir cambios en la configuración de la barra de tareas y del menú inicio. No guardar el historial de documentos abiertos recientemente. No mostrar ninguna barra de herramientas personalizada en la barra de Tareas. Quitar conexiones de red del menú inicio. Quitar el icono mi música del menú inicio. Quitar el icono mis documentos del menú inicio. Quitar el icono de mis imágenes del menú inicio. Quitar el icono mis sitios de red del menú inicio. Quitar el menú mis documentos del menú inicio. Quitar el menú favorito del menú inicio. Quitar las carpetas de usuario del menú inicio. Quitar programas del menú configuración. 76 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

77 Quitar vínculos y accesos a Windows update. b.2. POLITICA A NIVEL DE EQUIPO Sistema Impedir el acceso a herramientas de edición de registro. Red /Conexiones de Red Impedirel cambio de nombre en la conexión LAN. No mostrar la conexión LAN en la barra de tareas. Prohibir la configuración TCP/IP avanzada. Perfiles de usuarios. PROGRAMAS / SERVICIOS QUE SIEMPRE DEBEN ESTAR INSTALADOS Y CONFIGURADOS EN UNA PC APLICATIVO Windows XP/SP3. Microsoft office Compatibilidad office Internet Explorer 8. Correo Outlook 2003 (Protocolo Exchange Compressor.). Acrobat reader. Antivirus Karpesky. Configuración par el acceso a Internet. Configuración de impresoras local/re. Ultra VNC. Flash Player. Agente de Inventario. 77 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

78 c. MANUAL DE DISEÑO DEL FILE SERVER Y DIRECTORIOS DE LA MUNICIPALIDAD. NOMBRE DE SERVIDOR: MDLP-FS01.mdlp.local DIRECCION IP: SISTEMA OPERATIVO: WINDOWS SERVER 2003 STANDAR EDITION Se mapea la Unidad L en la PC del Usuario: Que identifica el servidor de archivos. Unidad L: Identifica Servidor de Archivos. Distribución de Carpetas en el servidor de Archivos. Distribución de Carpetas en el Servidor de Archivos. 78 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

79 Cuotas en cada carpeta en el servidor de archivos. Asignación de Cuotas según las carpetas creadas en el servidor de Archivos. Filtro de Archivos El Servidor de Fileserver tiene configuraciones según carpeta para el filtrado de archivos. Por ejemplo música, video, 79 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

80 Heredar Permisos Grupo de acceso a las carpetas creadas en el servidor de Archivos. 80 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

81 Algunos Grupos se detallan a continuación: GRUPOS / USUARIOS ACCESO A LAS UNIDADES DEL SERVIDOR DE ARCHIVOS Alcldia G. Alcaldía P.rovillion regidores Carpeta Común G. Todos los Usuarios mdlp Gerencia de Desarrollo Local Carpeta Común - GDL GG. Gerencia de Desarrollo Local j.iturrizaga c.namuche Dirección General - GDL G. Dirección General - GDL a.avila c.leyva Dpto. Estudios y Proyectos G. Estudios y Proyectos Carlos Ames i.espinoza Gerencia de Rentas G. Gerencia de Rentas n.pohl m.rodriguez s.vergel m.buendia c.morales j.carbonel f.aldave c.crisanto Gerencia de Servicios a la Ciudad Carpeta Comun - GSC GG. Gerencia de Servicios a la Ciudad Direccion General - GSC G. Direccion General - GSC H.almaydaj.llerena Division de Seguridad Integral Division de Seguridad Integral r.murillo m.farfan m.llallihuaman Division de Limpieza Publica y Áreas Verdes Division de Limpieza Publica y Areas Verdes f.anduaga A.finceth m.huaman División del Medo Ambiente G. División Medio Ambiente a.jara l.ferreyra dma Gerencia de Desarrollo Humano y Comunicaciones G. Gerencia de Desarrollo Humano y Comunicaciones l.quiñonesg.henrici g.carranza e.rivera m.herrada m.alacheo.herandeza.orjedaf.cornejo Comunicaciones G. Comunicaciones m.capristan g.villarreal Gerencia Municipal G. Gerencia Municipal G. Calidad de Servicio a.mandriotti s.villalva r.penailillo Oficina de Asesoría Jurídica G. Oficina de Asesoria Juridica m.guemberena j.alva k.caballero e.paniagua E.bettocchi Oficima de Control Interno G. Oficina de Control Interno z.barrera j.medina l.more Oficina General de Administración Carpeta Común - OGA Direccion General - OGA GG. Oficina General de Administración G. Dirección General - OGA c.crisanto m.alvaradoo.noziglia e.vila Unidad de Logistica y Bienes Patrimoniales G. Unidad de Logística y Bienes Patrominales c.rodriguez d.narrea m.silupu m.boero r.niquen s.ramos v.huanca Unidad de Tesoreria G. Unidad de Tesoreria m.negrete s.cucche j.paredes m.angeldonisl.bustanante Unidad de Personal G. Unidad de Personal j.carreno o.bulnes c.leau Unidad de Contabilidad G. Unidad de Contabilidad a.ponce m.taico m.zuazoo.schenone r.salviz Unidad de Tecnología de la Información G. Unidad de Tecnología de la Información d.delacruz j.ravina t.aliaga j.penafiel j.vigo m.artega Oficina de Planeamiento Y presupuesto G. Oficina Planeamiento y Presupuesto f.davila b.rios j.tarazona j.avila w.bocanegra c.arizaga p.alvarez Oficina de Secretaria General y Archivo G. Oficina Secretaria General y Archivo d.mesa j.zevallos r.rodriguez m.cegarra Gerencia de Servicios Sociales Division de Salud y Bienestar Social Division de Salud y Bienestar Social a.solis Programa Tratamiento de Drogas Programa Tratamiento de Drogas J.flores M.alache Programa Alimentario Programa Alimentario d.sancho 81 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA

82 Servidor de CORREO (SEREXCH01.mdlp.local) a. Manual de Diseño de Exchange Server NOMBRE DE SERVIDOR: SEREXCH01.mdlp.local DIRECCION IP: SISTEMA OPERATIVO: WINDOWS SERVER 2003 STANDAR EDITION 64 bits. MICROSOFT EXCHANGE Lista de todas las cuentas de correo de los usuarios. Listado de distribución de Grupos de la MDLP. 82 TECNOLOGIA DE LA INFORMACIÓN MUNICIPALIDAD DE LA PUNTA