Segunda Evaluacin a

Distancia
Auditoria de Tecnologas de
Informacin
VIII Ciclo
Ingeniera de Sistemas

DATOS DE IDENTIFICACIN
CURSO

: Auditoria de Tecnologas de Informacin

FECHA DE ENTREGA

SEMESTRE ACADMICO

ESTUDIANTE

: BRENIS LLAGUENTO JULIO ANTONIO

FACULTAD

:INGENIERIA

ESCUELA PROFESIONAL

:ING. DE SISTEMAS

PROFESOR

Programa Acadmico de Educacin

Superior a Distancia

Segunda Evaluacin a Distancia

Indicaciones Generales
No olvides de escribir tus nombres y apellidos en la primera pgina de la prueba, en los espacios
correspondientes, as como la Facultad y Escuela Profesional a la que perteneces.

Este examen consta de dos partes:

Primera parte: Preguntas objetivas que tiene un valor de 9 puntos

Segunda parte: Preguntas de ensayo que tiene un valor de 11 puntos

Importante: Esta evaluacin a distancia debe ser entregada a travs del Campus Virtual de nuestra universidad.

Preguntas objetivas
INSTRUCCIONES
La prueba objetiva esta constituida por dos partes, la primera de ellas consta de 5 preguntas donde
debes determinar la veracidad (V) o falsedad (F) de los enunciados. En la segunda parte hay preguntas
denominadas de eleccin mltiple, que costa de 4 tems en forma de pregunta con cinco alternativas (a, b, c, d,
e) de los cuales debes elegir la correcta.
A) VERDADERO FALSO:
Encierre en un crculo la letra V si es verdadero o F si es falso. (1 punto cada pregunta)
V

La planeacin estratgica de TI es necesaria para gestionar y dirigir todos los

recursos de TI en lnea con la estrategia y prioridades del negocio.

La funcin de servicios de informacin debe determinar la estrategia

administrativa tecnolgica para dar seguridad al negocio.

La funcin de sistemas de informacin debe crear y actualizar de forma regular

un modelo de informacin del negocio y definir sistemas apropiados para
optimizar el uso de esta informacin.

Los requerimientos de calidad se deben manifestar y documentar con

indicadores cualificables e identificables.

Adquirir, mantener y motivar una fuerza de trabajo para la creacin y entrega

de servicios de TI para el negocio, es una estrategia de fuerza de ventas de TI.

B) PRUEBA DE ELECCIN MLTIPLE:

Encierre en un crculo la alternativa correcta (1 punto cada pregunta)
6.

No son tendencias externas que influyen sobre la empresa:

a. Globalizacin.
b. Diversidad de actividades.
c. La fusin y formacin de alianzas estratgicas.
d. La eliminacin de ramas de negocio no rentables.
e. La estandarizacin de procesos.

7.

Todos los riesgos que se presentan, podemos:

1. Evitarlos.
2. Transferirlos.
3. Reducirlos.
4. Exponerlos
5. Asumirlos.
Son respuestas correctas.
a. 1,2,3,5
b. 1,3,4,5
c. 1,2,3,4
d. 1,2,3,4,5
e. N/A

8.

Son tipos de Auditoria general formal:

1. Financiera.
2. Estructuras.
3. Gestin.
a.
b.
c.
d.
e.

9.

12
13
23
2
1-23

Son principios de la auditoria:

1. Legalidad.
2. Control Interno.
3. Independencia.
4. Continuidad.
5. Precisin.
Identifique la opcin correcta;
a. 1,2,3
b. 1,3,5
c. 3,2,1
d. 3,1,5
e. 1,3,4

Preguntas de ensayo
INSTRUCCIONES
Las preguntas de tipo ensayo tienen por finalidad evaluar tu capacidad crtica y argumentativa
en torno a un tema, en tal sentido responde con tus propias palabras segn se indique.
1.

Plantear y Explicar dos (02) ejemplos de problemas que ocurriran o se suscitaran en

una empresa, debido a la violacin o atentado contra cada uno de los siguientes aspectos o
cualidades de un sistema de informacin:
(5 puntos)
a. Integridad.
b. Seguridad.
En una organizacin a la cual conozco y tomo como referencia acadmica, se ha
evidenciado serios problemas que afectan a la seguridad de la informacin e integridad de
las personas, teniendo los siguientes sucesos.
- El empleo de malas prcticas, personal no concientizado y sensibilizado en el manejo
de los controles de seguridad conllevo al uso no autorizado e indebido del sistema de
informacin manipulando distintos procedimientos y funcionalidades del sistema por
usuarios no autorizados vindose afectado la confidencialidad e integridad de la
informacin, la misma que conllevo a la apertura de procesos disciplinarios por parte
del rgano de control OCMA haca ms de 80 usuarios responsables en la institucin.
-

Recientemente se suscit un incendio en una de las sub sedes del Juzgado de Paz
Letrado de Pucala lo que ocasion una prdida de activos de informacin sensibles
como expedientes fsicos, perdida activos de Tecnologas de la Informacin como
computadoras, impresoras, pseudoservidores. base de datos, infraestructura, dejando
inoperativa dicha sede y sin funcionamiento alguno.

Con fecha 22 de Noviembre del presente ao se recibi una llamada telefnica a la

sede principal de una persona annima alarmando que se haba ingresado una bomba
en dicha sede judicial, se report a la polica correspondiente UDEX unidad de
desactivacin de explosivos haciendo un seguimiento en todos los distintos niveles a
fin de encontrar tal dispositivo, recomendando a la Gerencia que autorice la
evacuacin de todo el personal, tras 20 minutos de dicha peticin solo algunos
trabajadores evacuaron el edificio pudindose evidenciar la falta de concientizacin y
sensibilizacin ante un supuesto atentado,

En todos las sucesos antes descritas se puede evidenciar la falta de valoracin y gestin de
los riesgos y personal no concientizado y sensibilizado, la falta de controles establecidos
de seguridad de la informacin que permitan brindar la confidencialidad, integridad y
disponibilidad a la informacin como a la seguridad e integridad de las personas de toda la
institucin.
2.

Elabore un plan de contingencia informtico para una fbrica de cemento.

puntos)

(6

PLAN DE CONTINGENCIA
INFORMTICO

DE LA FABRICA DE CEMENTO

AO 2014

INTRODUCCIN:
El Plan de contingencia podemos definirlo como el conjunto de procedimientos alternativos a
la operatividad normal de la Institucin, cuya finalidad es la de permitir el funcionamiento de
esta, aun cuando alguna de sus funciones deje de hacerlos debido a algn accidente, desastre o
sabotaje tanto interno como ajeno a la Empresa. Las causas son variadas y pasan desde un
problema informtico, un fallo en energa elctrica, telecomunicaciones, etc. Hasta desastres
naturales o sabotajes.
El plan de Contingencia no implica un reconocimiento de la ineficiencia, sino todo lo
contrario, supone un importante avance a la hora de superar todas aquellas situaciones
descritas anteriormente que pueden provocar importantes prdidas, no solo materiales sino de
la informacin Institucional, as tambin como de aquellas derivadas de la paralizacin de las
funciones de la Fbrica de Cemento PACASMAYO, durante un periodo ms o menos
prolongado.
El presente documento pretende ayudar a comprender mejor la problemtica del entorno
informtico, ya que toda la institucin debe estar preparada para el caso de ocurrencias
imprevistas.
II. OBJETIVO:
El principal objetivo de un Plan de Contingencia es la de garantizar la continuidad de las
operaciones de la Fbrica de Cemento PACASMAYO.
La Gerencia General debe tomar conciencia que el desarrollo y la implementacin de planes
de contingencia comprende toda la empresa.
III. FINALIDAD:
El referido Plan tiene como finalidad identificar los riesgos, establecer los procedimientos y
mecanismos para preservar la seguridad de los equipos de cmputo, proteger la informacin
almacenada en ellos y garantizar la continuidad de las funciones de la fbrica de cementos
PACASMAYO.
IV. ALCANCE:
Estan comprendidos en la ejecucin del presente Plan los Gerentes, el personal encargado de
informtica y los responsables de cada gerente de la empresa y como conocimiento general, a
todos los trabajadores.
V. DISPOSICIONES GENERALES:
1. ANLISIS DE RIESGOS.
Este proceso en general consiste, en la identificacin de amenazas, las que en
combinacin con un anlisis de frecuencia y consecuencias permiten estimar un
riesgo.
OBJETIVOS:
- Identificar y analizar los diferentes factores de riesgo que potencialmente podrn
afectar las condiciones operativas de la red de cmputo de la empresa.
- Establecer, con fundamento en el anlisis de riesgo, las bases para la preparacin del
Plan de Contingencia Informtico, de acuerdo con la aceptabilidad del riesgo
estimado.
1.1.

IDENTIFICACIN DE ACTIVIDADES QUE IMPLICAN RIESGOS:

Los lugares principales de ocurrencia de una emergencia, son las diversas Gerencias,
Departamentos u Oficinas de la Fbrica de Cemento PACASMAYO.
Al evaluar la probabilidad de ocurrencia de un evento se asignar un valor nico para
la dependencia, sin embargo es importante establecer diferencias segn el GRADO
DE VULNERABILIDAD que presenten las reas a intervenir. Por ejemplo: el corte de
fluido elctrico combinado con un incendio, representa mayores riesgos de prdida de
informacin que la Inoperatividad de las computadoras por desgaste tecnolgico.
1.2.

IDENTIFICACIN DE AMENAZAS:
Una amenaza se define como el evento de posible ocurrencia con capacidad de afectar
negativamente las instalaciones y actividades de la Fbrica de Cemento
PACASMAYO y consecuentemente su imagen.
Aquellos eventos negativos que puedan afectar el desarrollo normal de las actividades
que se ejecutan en la Gerencia de la Fbrica de Cemento PACASMAYO, se conocen
como amenazas de tipo endgenas y requieren de un Plan de contingencia para su
prevencin y atencin entre ellas se consideran: Problemas con la tubera de agua y
desage, inconvenientes elctricos, cableado de red daado, etc.
Por otra parte, el desarrollo de actividades ajenas al tema informtico sumadas a los
fenmenos naturales puede llegar a constituirse en elementos perturbadores del medio
ambiente y posibles generadores de emergencias. Estas amenazas son de tipo exgeno
y entre ellas se consideran: Incendios, sismos, atentados y robo.
Las amenazas que podran afectar las instalaciones de la Fbrica de Cemento
PACASMAYO, y sus posibles causas se explican a continuacin:
1.2.1. FACTORES ENDGENOS:
1.2.1.1.

Problemas con la tubera de Agua y Desage:

No ocurren frecuentemente en los ambientes de las diversas Gerencias de
la Fbrica de Cemento PACASMAYO, pero en el caso que se llegara a dar,
los daos que causaran seran cuantiosos. Su ocurrencia puede deberse
principalmente a la negligencia de los empleados, debido a la disposicin
de las tuberas de agua y la proximidad de los servicios higinicos a las
oficinas. El peligro de afectacin de equipos puede llevarse a cabo en
forma horizontal (en el mismo piso). A esto se agrega el peligro de que la
gran mayora de Computadoras no cuentan con fundas impermeables que
minimicen estos inconvenientes.

1.2.1.2.

Dao del Cableado de Red.

Para que los equipos informticos de la Fbrica de Cemento
PACASMAYO, se integren a una red de cmputo y por ende accedan a sus
servicios, se usan cables de cobre en algunos casos, los mismos que se
encuentran protegidos por canaletas plsticas (ya sea de pared o de piso) y
en el resto de los casos la conexin y el acceso es va inalmbrica
(Wireless). La presencia de esta amenaza se circunscribe desde la
inaccesibilidad a la red por parte de un equipo, pasando por la de una
Gerencia, todo un piso y en el caso ms grave a toda la sede central de la
Fbrica de Cemento PACASMAYO y locales anexos, todo ello provocado
por cortes de cable, quiebres de cable, estiramientos de cable,
amalgamientos con cables elctricos y/o telefnicos, sulfatacin de

conectores entre otros factores; o en los casos de conexiones inalmbricas,

puede ser ruidos, vibraciones, interferencias, entre otros.
1.2.1.3.

Fallas de Equipo de Comunicaciones.

La Red de cmputo llega a todas las Gerencias de la Fbrica de Cemento
PACASMAYO, a travs de los equipos de comunicaciones (ya sean
Switches o Access Points) ubicados estratgicamente en los sectores norte,
centro y sur de las instalaciones, tal como se detalla seguidamente:

N DE A.P.

N DE
ROUTERS

N DE SWITCH

2
1

0
2

0
8

2
1
1
1
1
1

0
0
0
0
0
0

2
1
1
1
1
1

DEPENDENCIA
GERENCIA GENERAL
GERENCIA DE TECNOLOGIA DE
INFORMACIN
FINANZAS Y TESORERIA
OPERACIONES
INVESTIGACION Y DESARROLLO
RECURSOS HUMANOS
FINANZAS Y TESORERIA
LEGAL

TOTAL DE AP: 10
TORAL DE ROUTERS: 2
TOTAL DE SWICH: 10
Obviamente la alteracin y/o inoperatividad de algunos de estos
componentes se traduciran en que determinadas Gerencias no tengan
acceso a los servicios que brinda la red de la Fbrica de Cemento
PACASMAYO.
1.2.1.4.

Inoperatividad de Servidores de Comunicacin

Es una situacin fortuita, ocasionada por fallas de hardware y/o software,
que acarrea la imposibilidad de acceder a los servicios de Internet tan
comn en nuestros das como: correo electrnico, navegacin por pginas
web, portales, transferencia de archivos (ftp), entre otros. As mismo la
imposibilidad de acceder a los servicios de la Intranet de la Fbrica de
Cemento PACASMAYO.

1.2.1.5.

Inoperatividad de Servidores de Base de Datos

Todos los Aplicativos y Sistemas de Informacin que almacenan sus datos
en este Servidor estaran impedidos de acceder a su informacin (nivel
interno), as como las aplicaciones que interactan con el Portal de Internet
no podran brindar consultas de tipo "on line" en el ambiente de la Fbrica
de Cemento PACASMAYO, virtual (nivel externo).

1.2.1.6.

Inoperatividad del Servidor DNS Interno

Se cuenta con un Servidor DNS propiedad de la Fbrica de Cemento
PACASMAYO, que resuelve los nombres de dominios internos, cuya falla
originara tambin problemas en la red.

1.2.1.7.

Inconvenientes Elctricos:
8

Por razones de seguridad interna la Gerencia de Finanzas y Tesorera debe

disponer la supervisin y mantenimiento peridico de las instalaciones,
dispositivos y conexiones de la red elctrica de computo (tableros,
circuitos, pozo a tierra, grupo electrgeno, entre otros).
1.2.1.8.

Prdida de Informacin.
Mencin especial merece el tema del almacenamiento fsico de los medios
donde se realizan las copias de seguridad en los Servidores de Backup y Un
Disco Duro Externo, medida importante para evitar la prdida de la valiosa
informacin, los cuales hasta el momento son custodiados por la Gerencia
de Tecnologa de Informacin.
La informacin referente a los archivos de los repositorios compartidos de
cada Gerencia, la Base de Datos y los aplicativos es respaldada.
La informacin del usuario que est almacenada en el disco duro de la
computadora respectiva de trabajo, es total responsabilidad de cada
trabajador, Jefe y/o Gerencia.

1.2.1.9.

Accin de Virus Informtico:

Se consideran a los virus informticos como amenazas endgenas cuando
se infiltran desde el interior de la Institucin a travs del uso de diskettes,
memorias USB, discos externos, discos compactos o cualquier otro
dispositivo de almacenamiento infectados por parte de los usuarios de la
Fbrica de Cemento PACASMAYO, y como amenazas exgenas cuando
se infiltran a travs del correo electrnico y la navegacin en Internet.
Es importante sealar que las computadoras de la empresa cuentan con el
servicio de Antivirus.

1.2.1.10. Alteracin de la Informacin

Los diversos aplicativos y Sistemas de Informacin implementados en la
red de la Fbrica de Cemento PACASMAYO, son accedidos a travs del
software instalado en la computadora cliente, con los niveles de acceso y/o
capas de seguridad que provee dicho software, el Motor de Base de Datos y
la plataforma operativa. Hay que indicar que los usuarios que accesan a las
diferentes fuentes de informacin son personal autorizado formalmente por
su Jefe inmediato o Gerente. Esto garantiza el acceso a la informacin slo
por personal autorizado, evitando la manipulacin de estos por personal no
autorizado que traera como consecuencia graves daos a la informacin.
La administracin de la instalacin en donde se ubican los servidores de la
Fbrica de Cemento PACASMAYO, est a cargo del Departamento de
Sistemas de la Gerencia de Tecnologa de Informacin, a travs de la
Unidad de Proceso de Datos.
1.2.2. FACTORES EXGENOS
1.2.2.1.

Corte de Fluido Elctrico

Todos los equipos informticos hacen uso de electricidad por lo que su
ausencia conduce directamente a una inoperatividad de los mismos.

1.2.2.2.

Inoperatividad del Servidor DNS Externo

El servidor DNS que resuelven los nombres de dominios de Internet est

bajo la administracin de la Gerencia de Tecnologa de Informacin, en
este caso, cuya inoperatividad se traducira en la imposibilidad de acceder a
Internet.
1.2.2.3.

Accin de Virus Informticos:

Se consideran los virus informticos como amenazas exgenas debido a
que pueden alterar el normal desenvolvimiento de las actividades,
infiltrndose desde el exterior a travs del correo electrnico, archivos
adjuntos infectados o con la accin de navegar en Internet. Es de suma
importancia sealar que los usuarios de la red, cuentan con el servicio de
actualizacin automtica del Software Antivirus y proteccin adicional a
nivel de Servidor de Correo.

1.2.2.4.

Incendios:
La Fbrica de Cemento PACASMAYO ha designado a trabajadores de la
empresa Brigadistas designados en cada dependencia de la fbrica en el uso
de extintores con carga de producto de dixido de carbono y gas Haln
1211 los cuales son utilizados para la proteccin exclusiva de los equipos
de cmputo. Asimismo se debera capacitar en el uso de extintores ABC,
para ser utilizados en la preservacin de las instalaciones de la Sede
Central.
La fbrica no cuenta con sistemas detectores de humo ni de aspersin
automtica en la Sala de Servidores y Comunicaciones.

1.2.2.5.

Sismos
Las oficinas de la Fbrica de Cemento PACASMAYO, no se encuentran en
un edificio que cumpla con las normas tcnicas antissmicas, por lo que los
daos que podran causar al parque informtico serian de tipo moderado.

1.2.2.6.

Atentados
Son actos criminales efectuados por personas o grupos al margen de la ley.
La Fbrica de Cemento PACASMAYO, cuenta con personal de seguridad,
quienes se encuentran ubicados estratgicamente en las diversas reas y
puertas de acceso de la Sede Central, para realizar labores de control y
vigilancia a efectos de evitar cualquier robo de diversa naturaleza.
Adicionalmente, se estima conveniente que la empresa de seguridad que
presta sus servicios en la sede Central, garantice la honestidad y honradez
de los agentes de servicio de vigilancia, a fin de evitar que estos resulten
involucrados en acciones deshonestas.

1.2.2.7.

Hackers
Si entendemos como Hacker al individuo que usa sus habilidades y
recursos para invadir sistemas informticos ajenos, se entiende que estamos
expuestos a este tipo de accesos que pueden ocasionar daos en la red de la
Fbrica de Cemento PACASMAYO. Se debe mencionar que la red de la
fbrica no cuenta con un Sistema de Prevencin de Intrusos (IPS), por ello
el control de accesos a la red se gestiona va la MAC de la tarjeta de red.
La red de la fbrica s cuenta con un Firewall - basado en software - que
controla los accesos.
10

Finalmente es conveniente realizar en la Sede Central la Fbrica de

Cemento PACASMAYO, un resumen de riesgos ordenados por el factor de
riesgo cada de uno.
1.3.

Definicin de Posibles Escenarios

Un escenario es la combinacin de una amenaza con una actividad, y se define como
la posibilidad para que una amenaza determinada se materialice como una emergencia
en un sitio determinado.

La definicin de escenarios para el Proyecto se har combinando las actividades y

amenazas identificadas en los numerales anteriores. Los resultados de esta
combinacin se presentan en la Tabla 02.

TABLA N 02 ESCENARIOS DE EMERGENCIA

Endgenos

Amenazas
1
2
3
4

Exgenos

5
6
7
8
9
10
1
2
3
4
5
6
7

Problemas con la tubera de agua y

desage
Diseo de cableado de Red
Fallas de Equipos de Comunicacin
Inoperatividad
de
Servidores
de
Comunicacin
Inoperatividad de Servidores de Base de
Datos
Inoperatividad del Servidor DNS Interno
Inconvenientes Elctricos
Prdida de Informacin
Accin de Virus
Alteracin de la Informacin
Corte de Fluido Elctrico
Inoperatividad del Servidor DNS Externo
Accin de Virus
Incendios
Sismos
Atentados
Hackers

ACTIVIDAD
Internet
Base de Datos
y Sistemas
X
X
X
X
X

X
X
X

X
X

X
X
X
X
X
X

X
X
X
X
X

X
X
X
X
X

11

TABLA N 03 PROBABILIDAD DE LOS SINIESTROS

PROBABILIDAD

DEFINICIN

OCURRENCIA DE
EVENTOS

PUNTAJE

Frecuente

De ocurrencia Alta

1 al mes

Moderado

De ocurrencia Media

Entre 2 y 6 meses

Ocasional

De ocurrencia Limitada

Entre 7 y 12 meses

Remoto

De ocurrencia Baja

Entre 1 y 5 aos

Improbable

De ocurrencia muy baja

Entre 6 y 10 aos

Imposible

Excepcional posibilidad de
ocurrencia

De 10 aos a ms

1.3.1. Definicin de Factores de Vulnerabilidad

La vulnerabilidad es el grado relativo de sensibilidad, que un sistema tiene
respecto a una amenaza determinada. Los factores de vulnerabilidad dentro de
un anlisis de riesgos, permite determinar cules son los efectos negativos, que
sobre un escenario y sus zonas de posible impacto pueden tener los eventos que
se presenten. Para efectos del anlisis de riesgo, se consideran los siguientes
factores de vulnerabilidad:
Vctimas: Se refiere al nmero y clase de afectados (empleados,
personal de emergencia y la comunidad); considera tambin el tipo y la
gravedad de las lesiones.
Dao ambiental: Incluye los impactos sobre aire y comunidad a
consecuencia de la emergencia.
Prdidas materiales o econmicas: Representadas en instalaciones,
equipos, productos, valor de las operaciones de emergencia, multas,
indemnizaciones, y atencin mdica entre otros.
Imagen Institucional: Califica el nivel de deterioro de la imagen de la
Institucin como consecuencia de la emergencia.
Suspensiones: determina los efectos de la emergencia sobre el
desarrollo normal de las actividades de la Institucin en trminos de
das perdidos.

12

1.3.2. Estimacin de Gravedad

La gravedad de las consecuencias de un evento se evala sobre los factores de
vulnerabilidad, y se califica dentro de una escala que establece cuatro niveles.
Los niveles corresponden a gravedad nivel 1 o insignificante, nivel 2 o
marginal, nivel 3 o crtica, y nivel 4 o catastrfica. Los criterios de calificacin
para los factores de vulnerabilidad se presentan en la Tabla 05.
TABLA N 05 CALIFICACIN DE LA GRAVEDAD

Factor de
Vulnerabilidad Insignificante
1

Calificacin de Gravedad
Marginal 2

No hay
Lesiones leves
lesiones o no
que requieren
Vctimas
se requiere
atencin
atencin
hospitalaria
No hay
Impactos
impactos
Ambientales
Dao Ambiental
ambientales dentro del rea del
significativos
escenario
Prdidas
Menos de
Entre $1,000 y
Materiales
$1,000
$5,000
Econmicas
Slo de
Conocimiento
Imagen
conocimiento
Local
Institucional
Interno
No hay
Suspensin de 1
Suspensiones Suspensin
da

Crtica 3

Catastrfica 4

Lesiones con
necesidad de
hospitalizacin

Muertes

Impactos en las
Impacto con
reas aledaas al consecuencias
escenario
sobre la
comunidad
Entre $5,000 y
De $10,000 a
$10,000
ms
Conocimiento
Nacional

Conocimiento
Internacional

Suspensin de 2
das

Suspensin 3
das a ms

1.3.3. Clculo del Riesgo

El riesgo es producto de la combinacin de dos factores: la probabilidad de
ocurrencia de una amenaza y la gravedad de las consecuencias de la misma.
Matemticamente el riesgo (R) puede expresarse como el producto de la
probabilidad de ocurrencia (P) por la gravedad (G).
R = PxG
En la Tabla 06 se presenta un resumen de la aceptabilidad de riesgos segn
combinacin de probabilidad de ocurrencia y la gravedad de un evento.

13

TABLA N 06 - ACEPTABILIDAD DE RIESGO SEGN COMBINACIN DE

PROBABILIDAD DE
OCURRENCIA - GRAVEDAD DE UN EVENTO

PROBABILIDAD DE SINIESTROS

ACEPTABILIDAD DE RIESGO
1
2
3
4
5
6

Imposible
Improbable
Remoto
Ocasional
Moderado
Frecuente

INSIGNIFICANTE
1
A
A
A
T
T
T

GRAVEDAD
MARGINAL
CRITICA 3
2
A
T
T
T
T
I
T
I
I
I
i
I

CATASTRFICA
4
I
I
I
I
I
i

Leyenda
Aceptable

Tolerable

Inaceptable

Aceptabilidad
En cuanto a la aceptabilidad a los riesgos, los escenarios se clasifican como:
Aceptable: Un escenario situado en esta regin de la matriz significa que la
combinacin de probabilidad-gravedad no representa una amenaza significativa por lo
que no amerita la inversin inmediata de recursos y no requiere una accin especfica
para la gestin sobre el factor de vulnerabilidad considerado en el escenario.
Cuantitativamente representa riesgos con valores menores o iguales a tres puntos.
Tolerable: Un escenario situado en esta regin de la matriz significa que, aunque
deben desarrollarse actividades para la gestin sobre el riesgo, stas tienen una
prioridad de segundo nivel. Cuantitativamente representa riesgos con valores entre
cuatro y seis puntos.
Inaceptable: Un escenario situado en esta regin de la matriz significa que se requiere
siempre desarrollar acciones prioritarias e inmediatas para su gestin, debido al alto
impacto que tendran sobre el sistema. Cuantitativamente representa valores de riesgo
entre ocho y veinticuatro puntos.
.
Aceptabilidad del Riesgo

14

Aceptable

Tolerable

Inaceptable

Niveles de Planeacin
La aceptabilidad de riesgos est directamente relacionada con los niveles de planeacin de
contingencias requeridos especficamente para la Fbrica de Cemento PACASMAYO, de la
siguiente manera:
No plan: Un escenario situado en esta regin de la matriz, significa que la
combinacin de probabilidad-gravedad no representa una amenaza significativa; por
tanto no se requiere la inversin especifica de recursos especiales, ya que los
mecanismos de control existentes en EM la Fbrica de Cemento PACASMAYO
contrarrestan significativamente los efectos del riesgo identificado.
Plan General: Un escenario situado en esta regin de la matriz significa que, aunque
debe disearse una respuesta para dichos casos, sta debe ser slo de carcter general.
Plan Detallado: Un escenario situado en esta regin de la matriz significa que se
requiere siempre disear una respuesta detallada a las contingencias y que es preciso
realizar inversiones particulares para cada uno de estos escenarios.
Niveles de Planeacin
No Plan

Plan General

Plan Detallado

Los resultados de la estimacin de gravedad para los escenarios de emergencia son

presentados en la Tabla 07A y en la Tabla 07B se presentan los resultados del clculo de
riesgo y la aceptabilidad de los riesgos.

15

TABLA N 07A VALORES DE GRAVEDAD Y RIESGO PARA LOS DIFERENTES

FACTORES DE VULNERABILIDAD
Escenario

Endgenas

Victimas
1
2
3
4
5
6
7
8
9
10
11
12
13
14

Exgenas

15
1
2
3
4
5
6
7
8
9
10
11

Amenaza
Problemas con la tubera de agua y
desage en la actividad de Internet
Problemas con la tubera de agua y
desage en la actividad de Base de Datos
Dao de Cableado de Red en la actividad
de Internet
Diseo del Cableado de Red en la
actividad de Base de Datos
Falla de equipos de comunicacin en la
actividad de Internet
Falla de equipos de comunicacin en la
actividad de base de Datos
Inoperatividad
de
Servidores
de
comunicacin en la actividad de Internet
Inoperatividad de Servidores de Base de
Datos en la actividad de Sistemas
Inoperatividad del Servidor DNS Interno en
la Actividad de Internet
Inconvenientes elctricos en la actividad de
Internet
Inconveniente elctricos en la actividad de
Base de Datos Sistemas
Perdida de Informacin en la actividad de
Base de Datos
Accin del Virus en la actividad de Internet
Accin del Virus en la actividad de Base de
Datos Internet
Alteracin de la Informacin en la actividad
de Base de Datos
Corte de Fluido elctrico en la actividad de
Internet
Corte de fluido elctrico en la actividad de
Sistemas
Inoperatividad del Servidor DNS Externo en
la actividad de Internet
Accin del virus en la actividad de sistemas
Incendios en la actividad de Internet
Incendios en la actividad de sistemas
Sismos durante la actividad de Internet
Sistemas durante la actividad de sistemas
Atentados en la actividad de Internet
Atentados en la actividad de sistemas
Ataque de Hackers

Factores de Vulnerabilidad
Dao
Perdidas
Imagen
Ambiental
Econmicas
G
R
G
R
G
R
2
8
1
4
1
4

Probab.
4

G
1

R
4

Suspensin
G
2

R
8

16

16

10

10

10

3
3

1
1

3
3

1
1

3
3

2
2

6
6

1
1

3
3

1
2

3
6

16

16

4
2
2
4
4
1
1
4

1
3
3
2
2
4
4
1

4
6
6
8
8
4
4
4

1
3
3
2
2
4
4
1

4
6
6
8
8
4
4
4

2
4
4
1
1
4
4
2

8
8
8
4
4
4
4
8

1
3
3
4
4
4
4
1

4
6
6
16
16
4
4
4

1
4
4
2
2
4
4
1

4
8
8
8
8
4
4
4

16

TABLA N 07B Valores de Gravedad y Riesgo para los diferentes Factores de

Vulnerabilidad Asociados a Niveles de Aceptabilidad
Escenario

Endgenas

Victimas
1
2
3
4
5
6
7
8
9
10
11
12
13
14

Exgenas

15
1
2
3
4
5
6
7
8
9
10
11

Amenaza
Problemas con la tubera de agua y
desage en la actividad de Internet
Problemas con la tubera de agua y
desage en la actividad de Base de Datos
Dao de Cableado de Red en la actividad
de Internet
Diseo del Cableado de Red en la
actividad de Base de Datos
Falla de equipos de comunicacin en la
actividad de Internet
Falla de equipos de comunicacin en la
actividad de base de Datos
Inoperatividad
de
Servidores
de
comunicacin en la actividad de Internet
Inoperatividad de Servidores de Base de
Datos en la actividad de Sistemas
Inoperatividad del Servidor DNS Interno en
la Actividad de Internet
Inconvenientes elctricos en la actividad de
Internet
Inconveniente elctricos en la actividad de
Base de Datos Sistemas
Perdida de Informacin en la actividad de
Base de Datos
Accin del Virus en la actividad de Internet
Accin del Virus en la actividad de Base de
Datos Internet
Alteracin de la Informacin en la actividad
de Base de Datos
Corte de Fluido elctrico en la actividad de
Internet
Corte de fluido elctrico en la actividad de
Sistemas
Inoperatividad del Servidor DNS Externo en
la actividad de Internet
Accin del virus en la actividad de sistemas
Incendios en la actividad de Internet
Incendios en la actividad de sistemas
Sismos durante la actividad de Internet
Sistemas durante la actividad de sistemas
Atentados en la actividad de Internet
Atentados en la actividad de sistemas
Ataque de Hackers

Factores de Vulnerabilidad
Dao
Perdidas
Imagen
Ambiental
Econmicas
G
R
G
R
G
R
2
8
1
4
1
4

Probab.
4

G
1

R
4

Suspensin
G
2

R
8

16

16

10

10

10

3
3

1
1

3
3

1
1

3
3

2
2

6
6

1
1

3
3

1
2

3
6

16

16

4
2
2
4
4
1
1
4

1
3
3
2
2
4
4
1

4
6
6
8
8
4
4
4

1
3
3
2
2
4
4

4
6
6
8
8
4
4
4

2
4
4
1
1
4
4
2

8
8
8
4
4
4
4
8

1
3
3
4
4
4
4
1

4
6
6
16
16
4
4
4

1
4
4
2
2
4
4
1

4
8
8
8
8
4
4
4

17

1.4.
Conclusiones
El anlisis de riesgo realizado para la Fbrica de Cemento PACASMAYO constituye
un anlisis inicial de los riesgos asociados al desarrollo de las actividades informticas
al interior de la Institucin. Este anlisis en particular permite establecer un estado
inicial de referencia sobre el cual compara los riesgos en los escenarios identificados y
que potencialmente pueden desarrollarse durante el quehacer cotidiano.
Los resultados del anlisis indican que los escenarios que presentan mayor riesgo del
tipo exgeno son: corte de fluido elctrico, problemas con el circuito digital, Servidor
DNS, problemas naturales y de infraestructura; y los escenarios que presentan mayor
riesgo del tipo endgeno son: inoperatividad de equipos de comunicacin e
infraestructura.
Dado que ms de una actividad (relacionada al Plan de Contingencia) de la Gerencia
de Sistemas de Informacin y Planeamiento guarda estrecha relacin con las funciones
de otra dependencia como la Gerencia Administrativa Financiera se hace necesario un
nivel de estrecha coordinacin entre estas reas

2. PLAN DE CONTINGENCIAS
INTRODUCCIN:
La Gerencia de Administracin y Finanzas la Fbrica de Cemento PACASMAYO cuenta
con un Plan de Evacuacin, el cual le permite a los Brigadistas operativos conocer
anticipadamente las acciones a ejecutar cuando las circunstancias lo requieran, a fin de
contribuir a minimizar o neutralizar los efectos del desastre.
Por su parte la Gerencia de Sistemas de Informacin y Planeamiento, responsable del
monitoreo del parque informtico, cuenta con un proceso de copias de seguridad
(Backup), dicha informacin se almacena en los servidores de Backup y es copiado al
final de la cada quincena a un disco duro externo, el cul es remitido a la custodia de la
Gerencia General para que esta copia sea guardada.
La informacin de trabajo del personal de la Fbrica de Cemento PACASMAYO que se
guarda una copia de respaldo, es toda aquella informacin que es depositada o trabajada
en los repositorios compartidos por Gerencia, as como la Base de Datos de los Sistemas
de la Fbrica de Cemento PACASMAYO y los aplicativos son respaldados por la Unidad
de Proceso de Datos.
La informacin del usuario que est almacenada en el disco duro de la computadora
respectiva de trabajo, cuenta de correo, o cualquier otro dispositivo de almacenamiento o
unidad de trabajo diferente al indicado en el prrafo anterior, es total responsabilidad de
cada trabajador, Jefe y/o Gerencia, es decir, No es responsabilidad de la Gerencia de
Sistemas de Informacin y Planeamiento.
2.1.
Actividades Previas al Desastre
Son todas las actividades de planeamiento, preparacin, entrenamiento, mantenimiento
preventivo y correctivo del parque informtico y ejecucin de las actividades de
resguardo de la informacin e identificacin de las prioridades de restauracin del los
Sistemas Informticos, que nos aseguren un tiempo de respuesta aceptable y ptimo, y
que implique el menor costo posible a nuestra institucin.
Se han establecido los procedimientos relativos al Mantenimiento de equipos,
Impresoras y Servidores, Copia de Respaldo (backups) e Instalacin/Actualizacin de
Software Antivirus.
18

Para poder efectuar en forma ptima y en el menor tiempo posible las actividades
descritas anteriormente se debe conocer lo siguiente:
Reconocer el ambiente donde se encuentran los Servidores de la Fbrica de
Cemento PACASMAYO y el saber identificar a cada uno de ellos. Para ello en el
Anexo 01 adjunto al presente Plan se detalla la "Sala de Servidores", donde se
muestra la distribucin de equipos informticos, y los equipos de
comunicacin.
Conocer los procedimientos a realizar para ofrecer los servicios crticos de la
Fbrica de Cemento PACASMAYO a travs de la unidad de Proceso de Datos.
Gestionar adecuadamente los Activos de Software para contar con un Inventario de
Software por cada computadora de los usuarios, que facilite una rpida
identificacin y restauracin de los software instalados.
Mantenimiento Preventivo por Equipo Informatico
Equipo
Accin Preventiva /
Responsable
Correctiva
Computadoras Personales Revisin, limpieza interna y Gerencia de Tecnologia de
o Desktop
externa
de
todos
los Informacin (si equipo tiene
componentes. Revisin de garanta)
Virus
Impresoras
Limpieza interna
Gerencia de Tecnologa de
Informacin (si equipo tiene
garanta)
Servidores
Se realiza un monitoreo a Gerencia de Tecnologa de
travs de acciones manuales Informacin
en la consola del servidor
Limpieza interna

a. Sistemas de Informacin.

Se detallan la relacin de los niveles de prioridad con su puntaje que se

aplicarn a los Sistemas de Informacin desarrollados por Gerencia de
Sistemas de Informacin y Planeamiento o por terceros.
Niveles de Prioridad de Sistemas de
Informacin
Prioridad
Puntaje
Baja

Media

Alta

A continuacin se muestra la lista de Sistemas de Informacin ordenados por

prioridad de restauracin (desde la mxima prioridad hasta la ms baja), que
son necesarios para garantizar una continuidad de la operatividad y servicios
que ofrece la Fbrica de Cemento PACASMAYO ante un desastre o siniestro:
19

SISTEMAS DE
INFORMACIN
SISTEMA DE
VENTAS
PAGINA WEB
CORREO
SISTEMA
FINANCIERO
SISTEMA DE
CONTROL DE
ASISTENCIA

SISTEMAS DE INFORMACIN / SERVICIO IMPLEMENTADOS

PROVVEDOR
PLATAFORMA
LENGUAJE DE
USUARIOS
PROGRAMACIN
DESARROLLO
SQL, BAJO
VISUAL BASIC
TODAS LAS
PROPIO
WINDOWS
GERENCIAS
DESARROLLO
MYSQL, LINUX
PHP
TODAS LAS
PROPIO
GERENCIAS Y
CLIENTES
LINUX
MYSQL
PHP
TODAS LAS
GERENCIAS
DESARROLLO
SQL, BAJO
VISUAL BASIC
TODAS LAS
PROPIO
WINDOWS
GERENCIAS
PROVEEDOR
SQL, BAJO
VISUAL BASIC
TODAS LA
EXTERNO
WINDOWS
GERENCIAS

PRIORIDAD
3
3
3
3
1

b. Equipos de cmputo.

La Gerencia de Sistemas de Informacin y Planeamiento, mantiene un

inventario de los equipos de informtica, estos equipos conforman el parque
informtico de la Fbrica de Cemento PACASMAYO. A continuacin se
mostrar una serie de grficos con informacin sobre el parque informtico:
GERENCIA O REA
GERENCIA GENERAL
GERENCIA
DE
TECNOLOGA
INFORMACIN
FINANZAS Y TESORERIA
OPERACIONES
RECURSOS HUMANOS
INVESTIGACIN Y DESARROLLO
LEGAL

DE

NUMERO DE COMPUTADORAS
8
10
20
8
7
11
4

c. Obtencin y Almacenamiento de los Respaldos de informacin.

La Gerencia de Sistemas de Informacin y Planeamiento realiza copias de

respaldo a la siguiente informacin:
Software:
De Base de Datos
De Aplicativos/Programas
De Archivos de trabajo ubicados en los repositorios Compartidos de las
Gerencias.
Hardware:
No se cuenta en la actualidad con respaldo de equipos Servidores ubicados
en el local Institucional de los siguientes servicios: Base de Datos, Portal,
Correo, Intranet, Firewall y DNS y dems servicios. Sin embargo a fin de
cumplir con lo dispuesto en la NTP-ISO/IEC 17799:2004 EDI que en el acpite
11.1.4 inciso c) del "Marco de planificacin para la continuidad del negocio"
menciona: "los procedimientos de emergencia que describen las acciones a
realizar para desplazar de forma tmpora/ a lugares alternativos las actividades
esenciales del negocio o soportar servicios y para devolver la operatividad a los
20

procesos del negocio en el plazo requerido" se ha recomendado que se debe

contar en el ms breve plazo con Rediseo total de la infraestructura de la
sala de servidores o la posibilidad de un Centro de Datos Alternativo bajo la
modalidad de Alojamiento (Hosting o Housing) en una empresa de
reconocimiento comprobado en el medio.
d. Polticas (Normas y Procedimientos de backups).

La GSIP, responsable del monitoreo informtico, tiene establecido

procedimientos, para obtener copias de seguridad de Base de Datos,
Aplicativos y Archivos de trabajo de los repositorios compartidos de las
Gerencias.
Entrenamiento
En el Plan de Trabajo Institucional debera considerar tener programado
ejecutar diversas actividades de capacitacin terica y prctica contra
diferentes tipos de siniestros que afecten el parque informtico y la
Informacin Institucional, en ese sentido la alta direccin, debera considerar
programar eventos para orientar y concientizar a los trabajadores de la
Institucin respecto a su papel protagnico ante estas amenazas.
2.2.

Actividades durante el desastre

2.2.1. Plan de Emergencias
La Gerencia de Administracin y Finanzas, pondr en ejecucin el Plan de
Evacuacin cuando se produzcan desastres de diversos tipos, y en esto,^ los
brigadistas juegan un rol importante; por su parte el personal de Informtica
actuar paralelamente en los rubros inherentes a su actividad.
Al respecto, la GSIP proporciona una relacin de su personal, la misma que
ser utilizada en caso de producirse algn incidente informtico. Esta lista debe
alcanzarse al personal de seguridad y vigilancia de la Fbrica de Cemento
PACASMAYO para los casos de horario de fines de semana y/o feriados si se
diera la necesidad.
Procedimiento en caso de emergencia
El siguiente procedimiento de accin, especifica los pasos que se debern
seguir en casos de emergencia. Este procedimiento podr ser modificado para
incorporar informacin adicional que sea pertinente.
a) Determinar la ubicacin del incidente, estimar el tamao y el tipo de
incidente.
b) Llevar a cabo acciones especficas para controlar la anomala informtica.
c) Notificar la ocurrencia a los responsables del Departamento de Sistemas de
la Entidad.
d) Modificar las operaciones para evitar la re-ocurrencia potencial del
incidente.
e) Documentar el incidente.
A continuacin se muestra un cuadro resumen de procedimientos durante la
emergencia.
21

Horario
Laboral
Laboral
No laboral

Laboral
No Laboral

Procedimientos durante la Emergencia

Ocurrencia
Accin a Seguir
Problemas en funcionamiento de Avisar a la GTI va correo, telfono,
computador personal
informe o personalmente.
Problemas con la Pagina Web, correo, Avisar a la GTI va correo, telfono,
Internet y comunicacin
personalmente.
Problemas con la Pagina Web, correo Avisar al agente de seguridad
Internet y comunicaciones
encargado, quien notificara al personal
de la lista de nmeros telefnicos de
emergencia.
Siniestro
Avisar a la GTI via correo, telfono,
informe personalmente.
Siniestro
Avisar al vigilante ms cercado quien
notificar al personal de la lista de
nmeros telefnicos de emergencia.

2.2.2. Formacin de Equipos

La Gerencia de Administracin y Finanzas, a travs del Comit de Defensa
Civil de la Fbrica de Cemento PACASMAYO, (en caso de existir), deber
contar con Brigadistas que deben ser designados por los Gerentes de cada una
de las Gerencias, quienes actuarn inmediatamente en la lucha contra
incendios, evacuacin y primero auxilios, asimismo, harn uso de extintores
contra incendios y por su parte, personal de la GSIP, se encargar del aspecto
de recursos informticos de acuerdo a la clasificacin de prioridades.
Equipo Minimo de Respuesta
Equipos
Servidores de Base de datos y aplicativos
Computadoras personales o desktop
Extintores de polvo qumicos
Switches
Path Cord
Switch Wireless
Proyector Multimedia
Herramientas y otros

2.3.

Cantidad
5
5
4
5
12
2
1
Varios

Actividades despus del Desastre

2.3.1. Evaluacin de Daos
Inmediatamente despus que el siniestro haya concluido, los Brigadistas y el
personal de la GSIP realizarn en primer caso, una evaluacin de los bienes
materiales, equipos y Sistemas de Informacin que se hayan visto afectados por
el siniestro, indicando cuales pueden ser recuperados y en cuanto tiempo.
2.3.2. Priorizacin de Actividades del Plan de Accin
Las Oficinas involucradas en el Plan de Contingencia de acuerdo al mbito de
su competencia, previa evaluacin de los siniestros priorizan las actividades
22

correspondientes, a fin de habilitar los ambientes y poner en funcionamiento en

el trmino perentorio los equipos, sistemas operativos y sistemas de aplicacin
de la institucin. En materia de informtica se dar prioridad a las actividades
estratgicas y urgentes las cuales pueden ser:
Habilitacin de servidores si fuera el caso que estn daados.
Restauracin del ltimo Backup de datos de los sistemas en produccin.
Reinstalacin de los Sistemas de Informacin de acuerdo al Cuadro de
Prioridades en las PCS clientes.
Reinstalacin de Sistemas Operativos y Software Base en los terminales
que se encuentren operativos en ese momento, si es que presentasen
problemas.
Puesta en marcha del Centro de Datos de Respaldo Alternativo (Data
Center Backup
A continuacin se muestra un cuadro de Acciones Correctivas a tomar despus del desastre:
Acciones Correctivas a tomar despus del Desastre
Equipo
Informtico Accin Correctiva
Tiempo Estimado
Afectado
Equipo de Red: Hud Se reemplaza con Switch, 60 minutos
Switch
Hub o Router Inalmbrico
del Stock de equipos
informticos (Si hubiera).
Impresoras matriciales, Se reemplaza por una 20 minutos
inyeccin de tinta o laser Impresora del mismo tipo
si hay disponibilidad en
stock
de
equipos
informticos.
Caso
contrario se utilizar
impresora de red de la
misma rea o de otra
rea.
Equipos Comunicacin No se cuenta con stock 7 8 hotas
Routers
de este equipo
Computadoras
Se reemplaza con equipo 40 minutos
Personales
disponible en el stock de
equipos informticos.

Dependencia / Area
Responsable
GTI, GG

GTI, GG

GTI, GG
GTI, GG.

Si equipo tiene garanta y No Determinado

presenta fallas se acude
al CAS del fabricante
Servidor Portal , Servidor Puesta en marcha del
8 horas
Intranet, Servidor Base Centro de Datos de
de
Datos,
Servidor Respaldo Alternativo (en
Correo
el caso de que esta
solucin ya est
operativa).

Call Center del Proveddor

Servidor Portal , Servidor Se

reemplaza
Intranet, Servidor Base servidor Backup

GTI, GG

con 8 horas
de

GTI, GG.
Empresa proveedora del
servicio de Internet.

23

de
Datos,
Correo

Servidor Portal, Servidor Backup

de Intranet, Servidor
Backup de Base de
Datos, Servidor Backup
de Correo ubicados en el
local Institucional
Servidor File Server
Se realizan acciones de No determinado
reinstalacin
y
configuracin.
Servidor DNS / Firewall
Se reinstala y reconfigura 8 horas
el Servidor DNS ubicado
en la sala de los
Servidores.

Representante al llamado
de GTI
GTI

2.3.3. Ejecucin de Actividades

Los brigadistas, en forma coordinada con los responsables de la Gerencia de
Tecnologa de Informacin de la Fbrica de Cemento PACASMAYO, actuarn
en forma conjunta para la ejecucin de las tareas especficas para casos de
emergencia.
2.3.4. Retroalimentacin del Plan de Accin
El Plan de Contingencias es un documento de gestin de Gerencia de
Tecnologa de Informacin, teniendo la caracterstica de tener contenidos que
cambian en el tiempo, vale decir que van acorde con las emergencias que se
podran suscitar y con los cambios tecnolgicos de los equipos informticos, y
cuya informacin tendr que incorporarse al documento en el marco de una
retroalimentacin constante, garantizando la vigencia y utilidad de este Plan.

24