~so[ución 9dinisteria[ gvo C1~ -2017-9dIN.ft9d Lima,
1 9 ABR 2011
Vistos; el Informe W 096-2017-MINAM/SG/OGAlINF, del Responsable del Sistema de Informática y Tecnología de la Información (e) de la Oficina General de Administración; el Memorando W 482-2017-MINAM/SG/OGA, del Director de la Oficina General de Administración; el Memorando W 281-2017-MINAM/SG/OPP, de la Directora de la Oficina de Planeamiento y Presupuesto; el Informe W 271-2017-MINAM/SG/OAJ, del Director de la Oficina de Asesoría Jurídica; y, CONSIDERANDO: LQue, mediante Decreto Legislativo W 1013 se creó el Ministerio del Ambiente como organismo del Poder Ejecutivo, con personería jurídica de derecho público, cuya función general es diseñar, establecer y supervisar la política nacional y sectorial ambiental, asumiendo la rectoría con respecto a ella; Que, el literal d) del artículo 7 del Reglamento de Organización y Funciones del Ministerio del Ambiente, aprobado por Decreto Supremo W 007-2008-MINAM, establece que es función del Ministro del Ambiente, entre otras, el aprobar, dirigir y evaluar las políticas y los planes de gestión del Ministerio y ejercer el control sobre la gestión; Que, asimismo, de conformidad con el literal a) del artículo 34 del referido Reglamento de Organización y Funciones, la Oficina General de Administración tiene la función de programar, dirigir, coordinar, ejecutar y supervisar el cumplimiento de las actividades relacionadas, entre otras, al sistema de informática en concordancia con las normas técnicas y legales vigentes; Que, de acuerdo a lo dispuesto en el subnumeral 07 del numeral 3.10 de las Normas de Control Interno, aprobadas mediante Resolución de Contraloría W 320-2006-CG, para el adecuado ambiente de control en los sistemas informáticos, se requiere que éstos sean preparados y programados con anticipación para mantener la continuidad del servicio. Para ello se debe elaborar, mantener y actualizar periódicamente un plan de contingencia debidamente autorizado y aprobado por el titular o funcionario designado donde se estipule procedimientos previstos para la recuperación de datos con el fin de afrontar situaciones de emergencia; Que, a través del Informe W 096-2017-MINAM/SG/OGAlINF, el Responsable del Sistema de Informática y Tecnología de la Información (e) de la Oficina General de Administración remite el Plan de Contingencia Informático 2017 - 2021 del Ministerio del Ambiente, el mismo que tiene por finalidad garantizar la operatividad de los servicios de tecnologías de la información y comunicaciones del Ministerio del Ambiente en caso ocurriese alguna eventualidad que interrumpa su funcionamiento; Con el visado del Director de la Oficina General de Administración, de la Directora de la Oficina de Planeamiento y Presupuesto, y del Director de la Oficina de Asesoría Jurídica;
"De conformidad con el Decreto Legislativo N° 1013, que aprueba la Ley de Creación, Organización y Funciones del Ministerio del Ambiente; el Decreto Supremo N° 007-2008-MINAM, que aprueba el Reglamento de Organización y Funciones del Ministerio del Ambiente; y, la Resolución de Contraloría W 320-2006-CG, que aprueba las Normas de Control Interno; SE RESUELVE: Artículo 1.- Aprobar el Plan de Contingencia Informático 2017 - 2021 del Ministerio Ambiente, el mismo que como Anexo forma parte integrante de la presente resolución.
del
Artículo 2.- Disponer la publicación de la presente resolución en el Portal Institucional Ministerio del Ambiente.
del
Regístrese
y comuníquese.
••
Ministerio
del P.,mbiente
PLAN DE CONTINGENCIA
INFORMÁTICO
2017 - 2021 MINISTERIO
DEL AMBIENTE
••
M n'')ter o CE' Amb P!1te
íNDICE
INTRO D U ee IÓN
4
1.
ASPECTOS
1.1
OBJ ETIVOS .............................................•.....•••••••..•••••..•..••••.•.•...•...................................................
5
FINALIDAD
5
1.
2
5
G EN ERALES ....................••.••...•.................••.••••••••...•..••.....•.•...•...................................
•.••••••••••.•.••••.............•.•................................................................•.....••.••.....•••..•....•••..•..
1.3
ALCANCE .......................................••...•.••••••.•••.•••••..••..••.................................................................
5
11.
BAS E LEGAL
6
111.
DEF IN ICION ES .................................•...............•.•.•..•••.••....•.•.....•.....•............................................
IV.
DIAG NÓSTiCO
4.1
DESCRIPCiÓN DE LOS PROCESOS CRíTiCOS ....................•..•..•...•••••.••..••••••...•...................•..................•.
11
4.2
INVENTARIO
11
4.3
IDENTIFICACIÓN
DE AM ENAZAS •••••.••••••••••.•••...........................................................................•....•••.
12
4.4
IDENTIFICACiÓN
DE IMPACTOS •......................................••.••••••.••.••••.••.••••••..•••..•..•............................
12
4.5
MATRIZ
V.
INTERVEN
\5.1 'S.2 ".}
,)5.3 , ,.5.3.1
........•••.•.•••••.•••••••.••...••••..............................................................••••••••••.•............••..••
7
....................•......................•.•....•.•..........•..••.••••••......................•.........................
11
DE COMPONENTES TECNOLÓGICOS .....••..............................................................•......•..••
DE ANÁLISIS DE RIESGOS .................................................••.••.••...•••••...••••••.••••••••••.................
16
CION ES .....•...••.••..••.••••••..••.••••••..•.•••...•.••••.........•••............•....................................•...
ORGANIZACiÓN
DEL EQUIPO DE CONTINGENCIA
INFORMÁTiCA
IDENTIFICACIÓN
DE SOLUCIONES ....•..••.•.•........................................................................•...........••...
14
................................•..•.•.•••••..•••••••.••••••••
16 21
ESTRATEG lAS •••••••..•............................................................................••..••••••..••.•••....•••..••.••••...••...
23
ESTRATEGIAS DE RESPALDO EN TECNOLOGíA DE LA INFORMACiÓN:
23
......................•.•.••..•••••••.•.................
5.3.1.1
ESCENARIO
1: DESTRUCCiÓN
5.3.1.2
ESCENARIO
2:
FALLA DE LOS SERVIDORES .............................................••........•........................
24
5.3.1.3
ESCENARIO
3:
FALLA DE LAS COMUNICACIONES
24
5.3.1.4
ESCENARIO
4:
FALLA DE LA ENERGíA ELÉCTRICA ...............•..................•••••••.•••••••.••••.•••.............
5.3.1.5
ESCENARIO
5: AUSENCIA
5.3.2
E INDISPONIBILlDAD
DEL CENTRO DE DATOS ...•••••..•••••.•••••................
..............•..•..••.••••.•..•..•.•..................................
DEL PERSONAL DE TECNOLOGíAS
DE LA INFORMACiÓN
ESTRATEGIAS FRENTE A EMERGENCIAS EN TECNOLOGíA DE LA INFORMACIÓN
••••...••............•......
.....•....................................•
23
25 25 25 26
5.3.2.1
ESCENARIO 1: DESTRUCCiÓN E INDISPONIBILlDAD
5.3.2.2
ESCENARIO
2:
FALLA DE LOS SERViDORES ••••••...................•....•••••..••••••..••.............•......•............
26
ESCENARIO
3:
FALLA DE LAS COMUNICACIONES
27
ESCENARIO
4:
FALLA DE LA ENERGíA ELÉCTRICA ..........................•...••....................................•..
ESCENARIO
5: AUSENCIA
.3.3
DEL CENTRO DE DATOS
...................••..••..............................•••..••••.•••...
DEL PERSONAL DE TECNOLOGíAS
DE LA INFORMACiÓN
ESTRATEGIAS PARA LA RECUPERACiÓN DE TECNOLOGíAS DE LA INFORMACiÓN
1: DESTRUCCiÓN
........................•...
.................................••••••..
5.3.3.1
ESCENARIO
5.3.3.2
ESCENARIO 2: FALLA DE LOS SERVIDORES •.••..••....................••••..........•..............•.•••••................
5.3.3.3
ESCENARIO
3:
E INDISPONIBILlDAD
FALLA DE LAS COMUNICACIONES
DEL CENTRO DE DATOS ••.................••.•..••••..••...
............•.••.••......•.............•.•.......................•••••.
27 27 28 29 36 36 2
•.• ....•
,
,
!' '
,
I
Minist'erio
del Ambiente
5.3.3.4
ESCENARIO
4:
FALLA DE LA ENERGíA ELÉCTRICA ...................•...............................•...................
37
5.3.3.5
ESCENARIO
5:
AUSENCIA
37
DEL PERSONAL DE TECNOLOGíAS
DE LA INFORMACiÓN
...........................•
VI.
MONITOREO
38
VII.
AN EXOS
40
RD.t.:
3
l
••
Mlnlstf.:'r o de A.mb ('l1te
INTRODUCCiÓN El Plan de Contingencia se define como el proceso de planificación, pruebas e implementación de procesos y procedimientos necesarios para la recuperación de los servicios informáticos en los casos que se produzcan interrupciones, emergencias, o desastres en uno de los Centros de Operaciones Tecnológicas del Ministerio del Ambiente MINAM o en su equipamiento. Este proceso deberá asegurar la operatividad de los servicios informáticos con los que cuenta el MINAM de manera eficiente y efectiva. El Plan de Contingencia cuenta con documentos que en conjunto permiten la gestión, ejecución, pruebas y mantenimiento, así como las actividades a realizar para la recuperación de los servicios de Tecnología de Información ante situaciones de incidentes y/o desastres por parte de los responsables autorizados. Para ello ha sido importante el aporte de los especialistas para identificar los recursos en base a la criticidad de las aplicaciones y plataformas que las soportan, y priorizan su recuperación.
4
••
Ministerio
delli,mbiente
1.
ASPECTOS GENERALES
1.1 Objetivos Establecer los procedimientos requeridos para asegurar el normal funcionamiento de los servicios de tecnologías de información y comunicaciones en el Ministerio del Ambiente - MINAM, ante la eventual presencia de siniestros que los paralicen parcial o totalmente. Los principales objetivos específicos del Plan de Contingencia Informático son los siguientes: •
Reconocer y detallar los riesgos que puedan afectar la continuidad de los servicios de tecnologías de la información y comunicaciones en el MINAM. • Definir las estrategias de respaldo, emergencia y recuperación para salvaguardar la infraestructura tecnológica y la información del MINAM. • Disponer de personal técnico debidamente capacitado para hacer frente a los riesgos informáticos que puedan materializarse ante un siniestro. • Implementar las acciones de respaldo, emergencia y recuperación en el menor tiempo posible, a fin de minimizar la materialización de los riesgos sin sufrir paralizaciones o pérdidas relevantes. 1.2 Finalidad Garantizar la operatividad de los Servicios de Tecnologías de la Información y Comunicaciones del Ministerio del Ambiente a fin de que se restablezcan en el menor tiempo posible, en caso de la ocurrencia de alguna eventualidad que interrumpa su funcionamiento. 1.3 Alcance El Plan de Contingencia Informático del Ministerio del Ambiente abarca todos los sistemas de información que alojan los servidores del ministerio, de las instalaciones tecnológicas, entre otros de similar característica, los mismos que son gestionados por el Sistema de Informática y Tecnologías de la Información del MINAM. Cabe precisar que para el caso de las unidades ejecutoras 002, 003, 004 Y las que se creen posteriormente, deberán tomar como referencia las acciones vertidas en el presente Plan para hacer frente a eventualidades. Asimismo, se consideran los elementos básicos y esenciales, componentes y recursos informáticos que conforman los servicios de tecnologías de la información y comunicaciones que maneja el MINAM, los cuales se detallan a continuación: ., Datos: En general se consideran datos todos aquellos elementos por medio de los cuales es posible la generación de información. Tales elementos pueden ser estructurados (Bases de Datos) o no estructurados (correos electrónicos) y se presentan en forma de imágenes, sonidos o colecciones de bits. 5
'f.
1
-.~r, -." ~~, 8 •. -,-~CJ 9
3
CD "tl
~
I
"1
"
IC
c3
12
E .
:
12
8,
-'
'
~ :)
"
,
...,.
;
!_-'
1
2
3
4
Probabilidad de Amenaza
El Riesgo se determina como el producto de la multiplicación de la Probabilidad de Amenaza por Magnitud de Daño, está agrupado en tres rangos, y para su mejor visualización, se aplica diferentes colores. Asumiendo que de acuerdo a los riesgos definidos se determina el impacto que se pueda tener. o o o
Bajo Impacto y Riesgo = 1 - 6 (gris) Medio Impacto y Riesgo = 8 - 9 (gris claro) Alto Impacto y Riesgo = 12 - 16 (gris oscuro)
3.7 Método Delphi. El Método Delphi, es una técnica de comunicación estructurada, desarrollada como un método de predicción sistemático interactivo basado en el consenso de un grupo de expertos, de forma anónima y realizando una retroalimentación controlada, ya que el grupo consultado solo es conocido por un coordinador que será el responsable de centralizar el trabajo de un grupo participante que no se conocerá ni se reunirá.
3.8 Análisis de Impacto.
El objetivo principal del análisis de impacto es determinar las funciones, procesos e infraestructura de soporte que son críticos para el funcionamiento operativo en una institución.
8
••
Ministerio
del /I.mbiente
3.9 Definiciones Tecnológicas . • Centro de Datos: El Centro de Datos, es un centro de procesamiento para obtener información, en el cual se albergan los sistemas de información, hardware, componentes asociados, como telecomunicaciones y sistemas de almacenamiento . • Servidor El Servidor, es un equipo informático que está al "servicio" de otras máquinas, ordenadores o personas llamadas clientes y que le suministran a estos, todo tipo de información . •
Equipo de Comunicaciones Los equipos de comunicaciones son los dispositivos que se utilizan para interconectar la red, computadoras personales, servidores, impresoras y demás equipos tecnológicos.
•
Base de Datos Las bases de datos son conjuntos de datos relacionados que se almacenan de forma que se pueda acceder a ellos de manera sencilla, con la posibilidad de relacionarlos, ordenarlos en base a diferentes criterios de selección .
• Acceso El acceso, es el resultado positivo de una autentificación, a un equipo informático, sistema, red o algún otro dispositivo, los accesos pueden ser de diferentes niveles de acuerdo a la función o cargo del usuario . • Datos Los datos son hechos y/o valores que al ser procesados constituyen una información, sin embargo, muchas veces datos e información se utilizan como sinónimos en el presente documento . • Golpe (Breach) El Golpe (Breach) es la vulneración exitosa de las medidas de seguridad, como el robo de información, la eliminación de archivos de datos valiosos, el robo de equipos, entre otros. • Integridad La Integridad, son los valores consignados en los datos que deben representar la realidad y su modificación debe ser registrada en bitácoras del sistema que permitan la auditoría de los acontecimientos. Las técnicas de control de actualización de datos sirven para prevenir el ingreso de valores errados en los datos sea esta situación provocada por el software de la Base de Datos, por fallas de los programas, del sistema, el hardware o, simplemente, por errores humanos.
9
•
Privacidad
La privacidad, se define como el derecho que tiene el MINAM para determinar, a quién, cuándo y qué información de su propiedad podrá ser difundida o transmitida a terceros . •
Seguridad
La seguridad, se refiere a las medidas que aplica el MINAM con el objeto de preservar la integridad de sus datos o información procurando que no sean modificados, destruidos o divulgados ya sea en forma accidental, no autorizada o intencional. En el caso de los datos e información contenidos en los sistemas de información del MINAM, la privacidad y seguridad guardan estrecha relación entre sí, aunque la diferencia entre ellas radica en que la primera se refiere a la distribución autorizada de información y la segunda al acceso no autorizado. •
Sistema de Información
El Sistema de Información, es un conjunto de elementos relacionados entre sí con un objetivo en común, en el cual se almacenan datos y se genera información relacionada a un tema en particular, para ponerlos a disposición de sus usuarios. Pueden ser registros simples como archivos de Word y Excel, o pueden ser complejos como una aplicación de software con base de datos. •
Cortafuegos
(Firewall)
El Cortafuegos, es un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios y pueden ser implementados en hardware o software, o en una combinación de ambos.
10
••
Ministerio del Ambiente
IV.
DIAGNÓSTICO
Actualmente
el Sistema de Informática
Oficina General de Administración, Gráfico W 2: Organigrama
y Tecnologías
de la Información"
depende de la
tal como se muestra en el siguiente organigrama:
de localización
del Sistema de Informática y Tecnologías
de la Información
DESPACHO
MINISTERIAL
I
SECRETARíA GENERAL
OFICINA GENERAL DE ADMINISTRACION
~2(:.
I~f-\In/v '-.>
fE) ~;~
\
"1'_ b
~~""")', ~
Fuente: Sistema de Informática y Tecnologías
~,','
-"-'/' --'''\ ¿ '",v;"'-'''''b~,:.
',.1
de la Información
('/.;;r
3/ ,:te ~
,j¡*~
¡
DestruFCió . 'indfsponibilidad del Centro de Datos ~6re~: Falla/de' Falla delJ nicaciones }~~-
.,:''J. ~
Como se Ru~qg:f'aztéc*:Ir en la Matriz de Análisis de Riesgo, los tres escenarios mencionad6'~1 ~~6ímpacto, correspondiendo al rubro de negli~~ncia; asimismo, se obser\iar~qu' iesgos relevantes están relacionados a las amenazas de eventos internos yi~i~*f "osr'
. ."" :'~?~~~:.' ~::~.¡. -.:
Eventos Extérnos~';' • Crimin~'f~:a: }ó','6:,' - Robo' - Ataquefd.~:S!if,º;s;, - HacKin~l::';';:. • suceso~i~í~j~9~i:r - Ince"naios:: - Inun'd~gÚj'h~és ' .
t~cnico de conformidad,
c. EqUiPode,l~e"¿tr-~,t~ciónde
.'.~.Gp.A
Tecnologías
continuación s~¡~H,.;r~~ponsabilidad
que incluya la evaluación. de del personal del MINAM.
de la Información
de cada rol para este equipo
l.'
•
Responsable de'~~~~~:'St;,comunicaciones Es el resp'oJls?P¡~iflj'~bEqUiPO de Recuperación de Tecnologías de la Información. Debe iniciar ~lfp:~qS,esode recuperación, realizando las pruebas de funcionamiento en los equir:>óSc.l~t~~dosde la infraestructura informática y los equipos componentes del DATAé!=r
o' \ l'
: 1;f':;';
\l:..J:"t-:;~"'~5- .2 Identificación R o. ~.~~:.~;'GA
de soluciones Dentro de las soluciones consideradas para cada escenario se encuentran las siguientes: Cuadro W 5: Identificación de soluciones por escenario ESCENARIO O SOLUCiÓN ID IMPACTO Implementar un centro de respaldo 1 externo. Destrucción e E-1 indisponibilidad del DataCenter
E-2
E-3
2
Implementar un centro virtual de respaldo de todos los servidores.
Falla de los Servidores
Implementar servidores virtuales de contingencia los servicios críticos, 1 utilizando los últimos archivos de backup.
Falla de las comunicaciones
Contar con Acuerdo de niveles de servicio (SLA) con los proveedores y 1 puedan sustituir de manera inmediata los equipos de comunicaciones. 21
••
Mlnlster.o del Amb'ente
ID
ESCENARIO
O
IMPACTO
SOLUCiÓN Activar de manera inmediata el
1 E-4
Falla de energía eléctrica
sistema alimentación
eléctrica (UPS)
con autonomía. Contar con un Sistemas de
2
Alimentación
Ininterrumpida
para cada
sede del MINAM. Ausencia del
E-S
1
Personal de Tecnologías Información
de la
2
Contar con un proveedor que pueda atender los servicios requeridos. Aplicabilidad
de la metodología
del
crashing para el manejo de recursos.
Fuente: Sistema de Informática y Tecnologías
de la Información
22
••
Ministerio del Ambiente
5.3 Estrategias
Esta fase se divide en tres rubros (estrategias) acciones
que involucran,
cada uno de los impactos identificados
5.3.1
de acuerdo a las características
las mismas que están relacionadas
El alcance
(escenarios)
de las Estrategias
de Respaldo
involucra
que deben realizarse de obligatorio
puedan realizar los procesos de restauración Su finalidad
y Tecnologías
de la Información,
garantizar
el funcionamiento
al personal técnico
establecer
de información
un ambiente
adecuado
equipos y servicios de tecnologías
vOL£. -qOCiO
Oporccióny Continuidad dol Nogocioon Contigoncia
Cuadro W 6: Niveles de servicio después de presentarse
5
para estabilizar
Para lo cual se definen
acudirá al llamado para responder
3
la
Incremento de la capacidad en cualquier capa Computacional de hardware o software. Denegación de servicios por fallas del software que afecten de forma general el sistema que impida el acceso a los servicios con impacto significativo operacional, entre un 95% al 100% de los usuarios. PRIORIDADDESOLUCiÓNALTA. Degradación de servicios por fallas sobre las estructuras de datos y software que NO impida el acceso a los servicios con impacto operacional medio-alto, entre un 70% al 94% de los usuarios. PRIORIDADDESOLUCiÓNMEDIA. Degradación de rendimiento sobre los servicios y problemas de forma que NO se impida el acceso a los servicios con impacto operacional bajo, entre el 1% al 69% de los usuarios. PRIORIDADDESOLUCiÓNBAJA. Solicitud de mejora o creación de un nuevo módulo de software.
de TI
I
un evento
Nivel 3: Hasta 60 días calendario. Nivel 1 : 30 minutos hábiles Nivel 2 : 4 horas hábiles Nivel 3: 10 horas hábiles Nivel 1 : 4 horas hábiles Nivel 2 : 8 horas hábiles Nivel 3: 2 día hábiles Nivel 1 : 2 días hábiles Nivel 2 : 5 días hábiles Nivel 3: 15 días hábiles Dependiendo su complejidad, tiempo acordado mediante acuerdo entre las partes afectadas.
*Sistema de Informática y Tecnologías de la Información, los porcentajes pueden variar en el tiempo según se vaya mejorando la confianza y estabilidad en los sistemas
28
••
Ministerio
del Ambiente
Como se puede apreciar las acciones de recuperación se inician al culminar las acciones de emergencia y están enfocadas a los escenarios definidos anteriormente y de acuerdo al siguiente detalle:
5.3.3.1 Escenario 1: Destrucción
e indisponibilidad
del Centro de Datos
Se ocupará un ambiente adecuado como lugar alterno para la restauración de equipos y servicios de tecnologías de información. En este diagrama se especifica la secuencia de restauración de servidores, sistemas y servicios que ofrece el Ministerio del Ambiente. La priorización de la restauración de los servicios de tecnologías de información del Ministerio del Ambiente se ejecutará de acuerdo a lo indicado en el diagrama del Proceso de recuperación en caso de destrucción del centro de procesamiento principal del MINAM elaborado para su recuperación. Para ello se considerará la siguiente información: Cuadro W 7: Prioridades para determinar el nivel de atención NIVEL
1
2
NIVEL DE ATENCION ATENCiÓN PRIORITARIA: Sistemas de información y equipos que requieran alta disponibilidad de: Atención a los usuarios externos y manejen alto volumen de información. Ejemplo: Workflow (Trámites, documentario, Impresoras, SIAF, Sistema Administrativo Financiero, Portal Web. ATENCiÓN NORMAL: Sistemas de información y equipos no relacionados con la atención a los usuarios y manejen bajo volumen de información. Ejemplo: Impresoras, Procesos de registro varios, Sistemas que no requirieran Conectividad y que cuenten con mayor plazo para la consulta y disponibilidad de información, etc.
29
Mlnlster o ce A'llb ente
Cuadro N° 8: Procedimiento de reporte de problemas de servicio en el MINAM W
ACTIVIDAD
1
'lñici5'éJel~'~'
2
procel!i_Ílliento Comunicar'el problema o falla,
DECRIPCIÓN
RESPONSABLE
,-El usuario del sistema identifica el Todos problema o falla del sistema de usuarios información y comunica de forma información inmediata, telefónicamente o por MINAM. correo electrónico al área de sistemas del MINAM los pormenores del caso.
los de del
La comunicación debe especificar el sistema de información que maneja, el usuario al que se le presentó la falla, los registros afectados (fechas, documentos, etc.), la descripción de los pasos realizados, y toda información adicional como pantallazos necesarios para identificar el problema. 3
Anali,zaty evaluar. el probler:nao falla.
El Responsable de recibir los reportes de fallas o problemas realizará la verificación, análisis y evaluación de los mismos, los soluciona si está a su alcance y comunica al interesado la solución; de lo contrario, escala el caso.
Responsable sistemas MINAM
de del
Se establece su nivel de prioridad de acuerdo al nivel de atención tomado del cuadro de procesos de comunicación Se finaliza el procedimiento si existe solución inmediata. 4
Escalar y gestionar la solución: del problema
El responsable de la etapa diligencia y evalúa la gravedad del problema, el cual debe ser documentado en formato pre establecido, para su monitoreo, bajo este esquema se da la prioridad y el escalamiento para que el problema
Responsable del área de sistemas asignado para solución y seguimiento del reporte.
30
Ministerio del Ambiente
W
ACTIVIDAD
DECRIPCIÓN
RESPONSABLE
sea solucionado. 5
Ejecutar pruebas
Después del diagnóstico, si se encuentra solución, se implanta la misma y se recupera la operación normal de lo contrario se escala al siguiente nivel y se verifica nuevamente el problema hasta encontrar la solución.
Responsable del área de sistemas asignado para solución y seguimiento del reporte.
Se realizan pruebas en el ambiente de pruebas para verificar la efectiva solución, luego se implementa en el ambiente de producción. Si no se puede volver a reproducir el problema en ambiente de pruebas o producción, se realiza seguimiento y monitoreo durante un mes hasta que se vuelva a presentar, si no vuelve a presentarse se cierra el problema y se hace reapertura si es necesario. Si la solución del problema impacta el proceso o procedimientos del sistema, requiere aprobación la cual debe quedar en un documento instructivo. Una vez solucionado el problema se registra y documenta la descripción de la solución del problema, fecha, responsable y si la solución dada requiere que se modifiquen los manuales.
6
Verificar solución y período de
Se envía comunicación de la solución y cierre del problema por email al funcionario que reportó el problema y a las partes interesadas del proceso, para verificación de la solución. Los usuarios del sistema deben Todos verificar que la solución dada sea usuarios satisfactoria durante un períodono sistemas
los de de 31
D'D~'~".~' .,~~??11'7"
.. >••
mayor a dos días, de lo contrario comunicarán al área de sistemas la inconformidad
para la reapertura del
Problema
se
y
devuelve
a
"'W""M'!"".
.
....
O
..
TOTAL
698
........
.
49
••
Mlm>tcr o oe A.mb ente
PC PORTÁTIL Tipo de Procesador
Cantidad
Pentium
O
Pentium 1I
O
Pentium 111 Celeron
O O O
Pentium D
O
Dual Core
O
Core 2 Duo
O
Pentium IV
Core 2 Quad
1
Core 13
3
Core 15
14
Core 17
120
O
AMD TOTAL
~'._/
IMPRESORAS
/ ~."bET
138
Y OTROS DISPOSITIVOS
ALLE LA CANTIDAD POR TIPO DE IMPRESORAS
, Tipo de Impresora
Cantidad
Matricial
O
Inyección de tinta
2
Láser
123
Térmicas
11
Plotter
7
Multifuncionales
38
Otros ... --
TOTAL
--
181
50
Ministerio del Ambiente
PERIFERICOS CON QUE CUENTA LA INSTITUCiÓN PERIFERICOS ENTRADA Equipo n,del MINAM, con el objeto de minimizar el riesgo de pérdida o integridad:ª'e~r'd'fación. Cuando se presenten eventos que pongan en [iesgo la integridad, v~a.; ."",.{iciconsistencia de la información se debe documentar realizar las acciones;~ii'd~¿Htes¡a su solución.
y
"~-"'~!;:;:~f~
,
,
, ", -*,~it-h_ A'~~-
,
POLlTICA,2:\i:l(I:)~~I~~TRACION DE CAMBIOS Toda solicitl1(jltle~tnej6ra(Creación y modificación de programas, pantallas y reportes) '>,."c","'.~I'" o reporte de¡;:¡JplJ ',e afecte los sistemas de información del MINAM, debe ser requerido por los~ ...~;¡r~nbs del sistema. ,:t-,
\-,
Cualquier tipq"d~ica-rnbio en la plataforma tecnológica debe quedar formalmente documentad6~.á1i~ ~ÍJ' solicitud hasta su implantación. Este mecanismo proveerá herramientas;,para~étéJéctuar seguimiento y garantizar el cumplimiento de los procedimientos "d¡~fi!m~bs. 7'"-.
2
-.
,
La bitácora de incit:l~n.teS'9.ebeser responsabilidad del encargado de seguridad de información o quien haga sus ved~s'.'
56
••
Ministerio
del Ambiente
Todo cambio a un recurso informático de la plataforma tecnológica relacionado con modificación de accesos, mantenimiento de software o modificación de parámetros debe realizarse de tal forma que no disminuya la seguridad existente. POLíTICA 3: SEGURIDAD DE LA INFORMACiÓN
Todo servidor o funcionario que utilice la infraestructura tecnológica del MINAM, tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad y confiabilidad de la información que maneje, especialmente si dicha información está clasificada como confidencial y/o crítica. POLíTICA 4: SEGURIDAD PARA LOS SERVICIOS INFORMÁTICOS La propiedad intelectual desarrollada en lo referente a programas, aplicativos informáticos, manuales, guías y procedimientos o concebida mientras el servidor o funcionario se encuentre en el sitio de trabajo, es propiedad exclusiva del MINAM. Esta política incluye patentes, derechos de reproducción, marca registrada y otros derechos de propiedad intelectual según lo manifestado en memorandos, planes, estrategias, productos, software, códigos fuentes, documentación y otros materiales. POlÍTICA 5: SEGURIDAD EN RECURSOS INFORMÁTICOS Los recursos informáticos deben cumplir como mínimo con lo siguiente:
•
• •
•
• • •
Administración de usuarios: Establece cómo deben ser utilizadas las claves de ingreso a los recursos informáticos, longitud mínima de las contraseñas, la frecuencia con la que los usuarios deben cambiar su contraseña y los períodos de vigencia de las mismas, entre otras. Rol de Usuario: Los sistemas operacionales, bases de datos y aplicativos deberán contar con roles predefinidos o con un módulo que permita definir roles, definiendo las acciones permitidas por cada uno de estos. Deberá permitir la asignación a cada usuario de diferentes roles, así como existir un rol para la administración de usuarios. Registros de auditoría: Hace referencia a los libros de bitácora de auditoría o registros de los sucesos relativos a la operación. El control de acceso a todos los sistemas de computación de la Entidad debe realizarse por medio de códigos de identificación y palabras claves o contraseñas únicos para cada usuario. Las palabras contraseñas o claves de acceso a los recursos informáticos asignados a los funcionarios son responsabilidad exclusiva de cada uno de ellos y no deben ser divulgados a ninguna persona. Los usuarios son responsables de todas las actividades llevadas a cabo con su código de identificación de usuario y sus claves personales. Todo sistema debe tener definidos los perfiles de usuario de acuerdo con la función y cargo de los usuarios que acceden a él. Toda la información del servidor de la base de datos que sea sensible, .crítica o
~"' -z. ;. v~
.,,~.
