Estado Plurinacional de Bolivia SEG-002

Lineamientos para la elaboración e implementación

de Planes de Contingencia Tecnológica
en entidades del sector público
 Lineamientos para la elaboración e
implementación de Planes de Contingencia
Tecnológica en entidades del sector público
Lineamientos para la elaboración e
implementación de Planes de Contingencia
Tecnológica en entidades del sector público
SEG-002

Este documento ha sido elaborado por los miembros del Consejo para las Tecnologías de
Información y Comunicación del Estado Plurinacional de Bolivia (CTIC-EPB).

Coordinación Secretaría Técnica del CTIC-EPB: Khantuta Muruchi y Carolina Ovale.

Grupo de Trabajo de Seguridad: Alejandro Monasterio, Alvaro Gutiérrez Copa, Benjo Huallpa
M., Brayan Alcon, Brayan Athea, Cristobal Coarite, Carla Calisaya Choque, Carlos Oblitas Villegas,
Christian Urquidi, Christian Felipe Virreira, David Gutierrez, Dania Valenzuela Avendaño, Edson
Vallejos Pacheco, Eric Daniel Colquechambi Sánchez, Fabian Espinoza Valencia, Fidel Morales,
Gabriela Murguia Torrez, Gloria Stephany Chuquimia Nina, Grover Ivan Medina Segura, Hernan
Enrique Maidana, Harold F.Chávez B., Horacio López Justiniano, Humberto Bellido Quintanilla,
Juan Carlos Patón Mamani, Javier Condori Machidado, Krissia Stephanie Ferreira Paravicini,
Karina Medinaceli, Luis Ariel Huancario Tupa, Luis Fernando Catacora Vásquez, Luis Fernando
Zegarra Castro, Luz Maribel Garay Quisbert, Luis Fernando Quiroga Altamirano, Mary Medina Z.,
Mariel Pizarro Balboa, Miguel Machicao, Miriam Alicia Rosales Rodríguez, Edson Vallejos Pacheco,
Marcelo Romero, Nelson Luna Maidana, Noel Choque Parra, Oscar Álex Villegas Gonzales, Omar
C. Mendoza Mollinedo, Patricia López Avendaño, Patricia Urquiola Torres, Ramiro Lazarte Lujan,
Ranald Soliz Lima, Rodny Escobar, Ramiro Ramallo Rocha, Rene Cayo Acuña, Rene Gelafio Sonco
Humerez, Ricardo Camacho, Rodrigo Beltran, Rose Mary Vargas, Rosmery Ana Zegarra Deheza,
Samuel Wilson Gómez Carranza, Sandra Florez Córdova, Sandra Ailen Macuchapi, Shirley Nahir
Pattzi Villavicencio, Victor Bernal Rodas, Willy Gómez López, Wilfredo R. Alarcón, Vladimir Terán
Gutiérrez.

Diseño: Orestes Sotomayor

Diagramación: Jorge Dennis Goytia Valdivia

Cuidado de edición: Montserrat Fernández

Deposito Legal: XX-XXXX-XX

Se autoriza la reproducción total o parcial de este documento citando la fuente, así como el uso del
mismo para obras derivadas que se distribuyen en las mismas condiciones.

La Paz , Bolivia
2018
 Consejo para las Tecnologías de Información y Comunicación

Contenido
1 Introducción................................................................................................. 9
2 Marco normativo referencial.................................................................... 15
3 Objetivo...................................................................................................... 19
4 Alcance y ámbito de aplicación................................................................ 19
5 Términos y definiciones............................................................................ 20
6 Lineamientos para la elaboración de planes de contingencia
tecnológica en entidades del sector público.......................................... 22
6.1 Contexto de la entidad............................................................................................. 22
6.1.1 Descripción de la entidad y su contexto............................................ 22
6.1.1.1 Procesos, funciones y servicios de la entidad.............. 23
6.1.1.2 Factores internos y externos.............................................. 24
6.1.1.3 Requisitos legales y reglamentarios................................ 24
6.1.2 Análisis de riesgos e impactos............................................................... 25
6.1.2.1 Análisis de riesgos.................................................................... 26
6.1.2.2 Análisis de impactos................................................................ 26
6.1.3 Necesidades y expectativas de las partes interesadas.............. 27
6.1.4 Alcance de la contingencia tecnológica............................................. 27
6.2 Organización para la contingencia tecnológica.............................................. 28
6.2.1 Definición de la política de contingencia tecnológica.................. 28
6.2.2 Roles y responsabilidades....................................................................... 29
6.2.2.1 Delegación de atribuciones por ausencia ...................... 35
6.2.2.2 Incumplimiento.......................................................................... 35
6.2.3 Lista de responsabilidades y autoridades......................................... 36
6.3 Planificación de la contingencia tecnológica................................................... 36
6.3.1 Objetivos planteados para la contingencia tecnológica.............. 36
6.3.2 Establecimiento de necesidades........................................................... 37
6.3.3 Establecimiento del cronograma de pruebas del plan de
contingencia.................................................................................................. 37
6.4 Recursos necesarios para la contingencia tecnológica............................... 38

7
 6.4.1 Competencias del personal de la entidad.......................................... 38
6.4.2 Capacitación y sensibilización................................................................ 38
6.4.3 Información documentada....................................................................... 39
7 Lineamientos para la implementación de los Planes de
Contingencia Tecnológica......................................................................... 40
7.1 Operación del plan de contingencia tecnológica............................................ 40
7.1.1 Concepto de operaciones......................................................................... 40
7.1.2 Planificación y control del Plan de Contingencia
Tecnológica.................................................................................................... 41
7.1.3 Estrategia del Plan de contingencia tecnológica........................... 41
7.1.4 Establecer e implementar procedimientos de contingencia
tecnológica.................................................................................................... 42
7.1.4.1 Procedimientos o guías de activación y
notificación.................................................................................. 42
7.1.4.2 Procedimientos o guías de escalamiento y
comunicación.............................................................................. 42
7.1.4.3 Procedimientos o guías de contingencia
tecnológica.................................................................................. 43
7.1.5 Estructura de gestión de incidentes................................................... 43
7.1.6 Cronograma de sensibilización, capacitación y
entrenamiento.............................................................................................. 43
7.2 Evaluación de desempeño....................................................................................... 43
7.2.1 Revisión y aprobación por el Comité de Seguridad de la
Información.................................................................................................... 44
7.2.2 Mantenimiento del Plan de contingencia tecnológica................. 44
7.3 Mejora del Plan de contingencia tecnológica.................................................. 44
ANEXOS............................................................................................................. 47
Anexo A. Guía para la metodología de análisis de riesgos.................................... 49
Anexo B. Metodología de análisis de impactos......................................................... 62
Anexo C. Plan de tratamiento de riesgos ................................................................... 76
Anexo D. Plan de recuperación de desastre............................................................... 79
Anexo E. Modelo de pruebas plan de contingencias tecnológicas.................... 82
Anexo F. Procedimiento de información documentada......................................... 84

8
 Consejo para las Tecnologías de Información y Comunicación

1 Introducción

El Consejo para las Tecnologías de Información y Comunicación del Estado

Plurinacional de Bolivia (CTIC-EPB) se constituye en una instancia de coordina-
ción técnica para la implementación de Gobierno Electrónico y para el uso y desa-
rrollo de Tecnologías de Información y Comunicación en el país.

Entre las principales funciones asignadas al CTIC-EPB se encuentran:

yy Formular propuestas de políticas y normativa relacionada con Gobierno

Electrónico, a ser presentadas a la AGETIC;

yy Presentar proyectos, programas de Gobierno Electrónico y Tecnologías de

Información y Comunicación en el ámbito gubernamental a la AGETIC para
su gestión;

yy Generar mecanismos de participación para instituciones y organizacio-

nes de la sociedad civil en la proposición, formulación de políticas y accio-
nes relacionadas con Gobierno Electrónico, Tecnologías de Información y
Comunicación en el ámbito gubernamental;

yy Establecer espacios de coordinación entre las entidades del sector público

para el desarrollo conjunto de programas, proyectos o acciones de Gobierno
Electrónico, Tecnologías de Información y Comunicación en el ámbito
gubernamental;

yy Desarrollar y proponer estándares abiertos oficiales del Estado Plurinacional

de Bolivia en materia de Gobierno Electrónico y Tecnologías de Información
y Comunicación aplicables a las entidades del sector público;

yy Establecer espacios de coordinación de comunidades de desarrollo informá-

tico, dentro del Estado, con la ciudadanía y a nivel internacional.

El 5 de mayo de 2016 se llevó a cabo la inauguración y la Primera Reunión del

Pleno del CTIC-EPB, en la que se conformaron seis grupos temáticos de traba-

9
 jo: Interoperabilidad, Software Libre, Seguridad, Infraestructura, Desarrollo de
Software y Datos Abiertos.

Cada Grupo de Trabajo estuvo integrado por servidores públicos de las entida-
des del nivel central del Estado: Órgano Electoral, Legislativo, Judicial y Ejecutivo,
incluyendo sus instituciones descentralizadas, autárquicas, empresas públicas y
autoridades de regulación sectorial, Ministerio Público y Procuraduría General del
Estado.

Adicionalmente, se invitó a participar, en calidad de miembros adjuntos, a repre-

sentantes de entidades territoriales autónomas, universidades públicas e indíge-
nas y sociedad civil.

Cada uno de los grupos fue conformado con la finalidad de trabajar y elaborar
propuestas a ser presentadas al Consejo para su posible implementación a nivel
estatal.

Cabe mencionar que el desarrollo de los Grupos de Trabajo y del Consejo se en-
marca en el Reglamento de Funcionamiento del CTIC-EPB, aprobado mediante la
Resolución Administrativa N° 024/2016 de la AGETIC, de fecha 31 de mayo de
2016.

Para la gestión 2018, el Grupo de Trabajo de Seguridad se planteó como objetivo

la formulación de los lineamientos para que las entidades del sector público del
Estado Plurinacional de Bolivia elaboren e implementen Planes de Contingencia
Tecnológica.

El Grupo estuvo conformado por los representantes de las siguientes entidades:

yy Administración de Aeropuertos y Servicios Auxiliares a la Navegación Aérea

(AASANA)

yy Administración de Servicios Portuarios – Bolivia (ASP-B)

yy Aduana Nacional (AN)

10
 Consejo para las Tecnologías de Información y Comunicación

yy Agencia de Gobierno Electrónico y Tecnologías de Información y

Comunicación (AGETIC)1

yy Agencia Para el Desarrollo de la Sociedad de la Información en Bolivia

(ADSIB)

yy Autoridad de Fiscalización y Control Social de Electricidad (AE)

yy Autoridad de Fiscalización del Juego (AJ)

yy Autoridad de Fiscalización y Control Social de Empresas (AEMP)

yy Autoridad de Regulación y Fiscalización de Telecomunicaciones y

Transportes (ATT)

yy Autoridad de Fiscalización y Control de Pensiones y Seguros (APS)

yy Banco Central de Bolivia (BCB)

yy Banco de Desarrollo Productivo (BDP)

yy Cámara de Senadores

yy Dirección General de Aeronáutica Civil (DGAC)

yy Empresa de Apoyo a la Producción de Alimentos (EMAPA)

yy Empresa Nacional de Electricidad (ENDE)

yy Empresa Pública Nacional Estratégica Lácteos de Bolivia (LACTEOSBOL)

yy Escuela de Altos Estudios Nacionales (EAEN)

1 En el caso de la AGETIC, los participantes de la mesa son miembros del Centro de Gestión de Incidentes Informáticos (CGII).

11
 yy Escuela Militar de Ingeniería (EMI)

yy Facultad de Derecho y Ciencias Políticas – Universidad Mayor de San Andrés

(UMSA)

yy Fondo Nacional de Desarrollo Regional (FNDR)

yy Instituto Boliviano de Metrología (IBMETRO)

yy Instituto Nacional de Estadística (INE)

yy Instituto Nacional de Reforma Agraria (INRA)

yy Ministerio de Economía y Finanzas Públicas (MIN-EFP)

yy Ministerio de Hidrocarburos (MIN-HID)

yy Ministerio de Justicia y Transparencia Institucional (MIN-JTI)

yy Ministerio de Minería y Metalurgia (MIN-MM)

yy Ministerio de Obras Públicas, Servicios y Vivienda MIN-OPSV)

yy Ministerio de Trabajo, Empleo y Previsión Social (MIN-TEPS)

yy Programa Bono Juana Azurduy (BJA)

yy Servicio de Impuestos Nacionales (SIN)

yy Servicio Estatal de Autonomías (SEA)

yy Servicio General de Identificación Personal (SEGIP)

yy Servicio Geológico Minero (SERGEOMIN)

12
 Consejo para las Tecnologías de Información y Comunicación

yy Servicio Nacional de Registro y Control de la Comercialización de Minerales

y Metales (SENARECOM)

yy Servicio Nacional del Sistema de Reparto (SENASIR)

yy Yacimientos Petroleros Fiscales Bolivianos (YPFB)

yy Miguel Machicado (sociedad civil)

yy Brayan Alcon (sociedad civil)

Asimismo, es importante resaltar la participación de otras entidades u órganos

del Estado, a través de sugerencias y acotaciones al documento inicial elaborado
por el Grupo. Entre estas se encuentran:

yy Agencia Nacional de Hidrocarburos (ANH)

yy Autoridad General de Impugnación Tributaria (AIT)

yy Boliviana de Aviación (BOA)

yy Dirección General del Servicio Civil (DGSC)

yy Gobierno Autónomo Municipal de Potosí (GAMP)

yy Instituto Geográfico Militar (IGM)

yy Ministerio de Educación (MIN-EDU)

yy Observatorio Plurinacional de la Calidad Educativa (OPCE)

yy Oficina Técnica para el Fortalecimiento de la Empresa Pública (OTFEP)

yy Registro Único para la Administración Tributaria Municipal (RUAT)

13
 yy Servicio Nacional de Propiedad Intelectual (SENAPI)

yy Servicio Nacional de Patrimonio del Estado (SENAPE)

yy Unidad de Análisis de Políticas Sociales y Económicas (UDAPE)

Además de todas las instituciones mencionadas y con el fin de desarrollar un

trabajo más abierto y participativo, el Grupo incorporó a varios miembros de la
sociedad civil.

El resultado de ese trabajo conjunto es el presente documento de “Lineamientos

para elaboración e implementación de Planes de Contingencia Tecnológica en en-
tidades del sector público”, que recoge las deliberaciones, análisis y sugerencias
de todos los miembros del Grupo de Seguridad del CTIC-EPB.

14
 Consejo para las Tecnologías de Información y Comunicación

2 Marco normativo referencial

La elaboración del presente documento se enmarca en el mandato institucional

respaldado por:

yy El artículo 22 del Decreto Supremo N° 29894, de 7 de febrero de 2009, inciso

t), de Organización del Órgano Ejecutivo, que establece que: “El Ministerio de
la Presidencia es el ente rector de Gobierno Electrónico y de Tecnologías de
Información y Comunicación para el sector público del Estado Plurinacional
de Bolivia, siendo el encargado de establecer las políticas, lineamientos y
normativa específica para su implementación, seguimiento y control”.

yy El Decreto Supremo Nº 2514, de 9 de septiembre de 2015, en sus siguien-

tes incisos:

ƒƒ Artículo 2, de creación de la Agencia de Gobierno Electrónico y Tecnologías

de Información y Comunicación (AGETIC), como “una institución pública
descentralizada de derecho público, con personalidad jurídica, autonomía
de gestión administrativa, financiera, legal y técnica y patrimonio propio,
bajo tuición del Ministerio de la Presidencia”.

ƒƒ Artículo 9, párrafo I, de creación del: “Consejo para las Tecnologías de

Información y Comunicación del Estado Plurinacional de Bolivia (CTIC-
EPB), como instancia de coordinación para la implementación de Gobierno
Electrónico y para el uso y desarrollo de Tecnologías de Información y
Comunicación”.

ƒƒ Artículo 11, que establece como parte de las funciones del CTIC-EPB: “a)
Formular propuestas de políticas y normativa relacionada con Gobierno
Electrónico, a ser presentadas a la AGETIC” y “b): Presentar proyectos
y programas de Gobierno Electrónico y Tecnologías de Información y
Comunicación en el ámbito gubernamental a la AGETIC para su gestión.

ƒƒ Artículo 7, que enumera entre las funciones de la AGETIC: “f) Establecer

los lineamientos técnicos en seguridad de información para las entidades

15
 del sector público” e “i) Elaborar, proponer, promover, gestionar, articular
y actualizar el Plan de Implementación de Gobierno Electrónico y el Plan
de Implementación de Software Libre y Estándares Abiertos para las en-
tidades del sector público; y otros planes relacionados con el ámbito de
gobierno electrónico y seguridad informática”

El respaldo normativo específico concerniente al Plan de Contingencia Tecnológica

incluye:

yy El artículo 5 de la Ley N° 164, de 8 de agosto de 2011, Ley General de

Telecomunicaciones, que establece como uno de los principios del sector
de telecomunicaciones y TIC a la continuidad: “Los servicios de telecomuni-
caciones y tecnologías de información y comunicación, así como el servicio
postal, deben prestarse en forma permanente y sin interrupciones, salvo los
casos previstos por norma”.

yy El artículo 164 (Continuidad del servicio), del Decreto Supremo N° 1391 de

Reglamento General de la Ley 164 de Telecomunicaciones, que señala que:
“Sin perjuicio de los derechos establecidos en la Ley Nº 164, cuando la ATT
tramite reclamaciones, respecto a los servicios de telecomunicaciones dis-
ponibles al público; previo análisis podrá ordenar al operador o proveedor
que mantenga el servicio o que, en el plazo que el indique, proceda a su
re-conexión, según corresponda, mientras resuelva el reclamo presentado”.

yy Los siguientes artículos del Decreto Supremo N° 1793, de Reglamento para

el Desarrollo de Tecnologías de Información y Comunicación, de 13 de no-
viembre de 2013:

ƒƒ Artículo 3 (Definiciones) Parágrafo VI. Respecto a la seguridad informática:

a. Seguridad informática: Es el conjunto de normas, procedimientos y

herramientas, las cuales se enfocan en la protección de la infraestruc-
tura computacional y todo lo relacionado con ésta y, especialmente,
la información contenida o circulante.

16
 Consejo para las Tecnologías de Información y Comunicación

b. Seguridad de la información: la seguridad de la información es la

preservación de la confidencialidad, integridad y disponibilidad de
la información; además, también pueden estar involucradas otras
propiedades como la autenticidad, responsabilidad, no repudio y
confiabilidad.

c. Plan de contingencia: Es un instrumento que comprende métodos y

el conjunto de acciones para el buen gobierno de las Tecnologías de
la Información y Comunicación en el dominio del soporte y el desem-
peño, contiene las medidas técnicas, humanas y organizativas nece-
sarias para garantizar la continuidad del servicio y las operaciones
de una entidad, en circunstancias de riesgo, crisis y otras situaciones
anómalas.

ƒƒ Artículo 4 (Principios) Parágrafo II. Tratamiento de datos personales,

Inciso d) Seguridad: “Se debe implementar los controles técnicos y ad-
ministrativos que se requieran para preservar la confidencialidad, inte-
gridad, disponibilidad, autenticidad, no repudio y confiabilidad de la in-
formación, brindando seguridad a los registros, evitando su falsificación,
extravío, utilización y acceso no autorizado o fraudulento”.

ƒƒ Artículo 4 (Principios) Parágrafo III. Contenidos digitales: “Los contenidos

digitales se rigen con los siguientes principios:

a. Prácticos: Proveer de información práctica y realista;

b. Accesibles: Disponibilidad e intercambio de información en todo

momento;

c. Contextualizados: Deben ser acordes a la circunstancia socio-econó-

mica, cultural y lingüística de los usuarios;

d. Legibles: Su escritura debe ser concisa, sin ambigüedades, redundan-

cias ni imprecisiones;

17
 e. Ejemplificativos: Deben contener situaciones paradigmáticas, tener
ejemplos, casos de estudio y escenarios auténticos y relevantes”.

ƒƒ Artículo 8 (Plan de contingencia), que establece que: “Las entidades pú-

blicas promoverán la seguridad informática para la protección de datos en
sus sistemas informáticos, a través de planes de contingencia desarrolla-
dos e implementados en cada entidad”.

18
 Consejo para las Tecnologías de Información y Comunicación

3 Objetivo

El objetivo del presente documento es establecer los lineamientos para que las
entidades del sector público del Estado Plurinacional de Bolivia puedan elabo-
rar, implementar y actualizar sus Planes de Contingencia Tecnológica, tomando
en cuenta los procedimientos, acciones a seguir y recursos a considerar ante la
presencia de cualquier evento que dañe una parte o la totalidad de los recursos
tecnológicos.

4 Alcance y ámbito de aplicación

En este documento se formulan los lineamientos para la elaboración e imple-

mentación de los Planes de Contingencia Tecnológica de las entidades del sector
público del Estado Plurinacional de Bolivia.

Los lineamientos contenidos en este documento deberán ser utilizados por todas
las entidades del sector público, sin perjuicio del trabajo desarrollado por aque-
llas entidades que hayan asumido previamente parámetros, rectores, normas y
estándares nacionales e internacionales, vigentes o de otra naturaleza, en ma-
teria de contingencia tecnológica, siempre y cuando no sean contrapuestas a los
lineamientos establecidos en el presente documento.

Las entidades del sector público que ya tengan implementado un Sistema de

Gestión de Continuidad del Negocio bajo normas nacionales o internacionales
podrán realizar un mapeo o cuadro de equivalencia para la verificación de concor-
dancia con los actuales lineamientos.

19
 5 Términos y definiciones

yy Comité de Seguridad de la Información (CSI): Equipo de trabajo confor-

mado para gestionar, promover e impulsar iniciativas en seguridad de la
información.

yy Confidencialidad: Propiedad que determina que la información no esté dis-

ponible ni sea revelada a individuos, entidades o procesos no autorizados.

yy Disponibilidad: Propiedad de acceso y uso de información a entidades au-

torizadas cuando estas lo requieran.

yy Entidad del sector público: Entidades públicas del nivel central del Estado;
instituciones descentralizadas, autónomas, estratégicas, empresas pú-
blicas; empresas estatales mixtas; empresas estatales intergubernamen-
tales y otras entidades públicas no incluidas en las categorías señaladas
precedentemente.

yy Integridad: Propiedad que salvaguarda la exactitud y completitud de la

información.

yy MTD: (Tiempo máximo de inactividad tolerable) Es el máximo tiempo tole-

rable sin servicio o caída de servicio que una entidad puede soportar para
cumplir con sus objetivos planteados, sin que se produzcan efectos irrever-
sibles. También hace referencia al tiempo durante el cual el proceso identi-
ficado puede ser inoperable hasta que la entidad empiece a tener pérdidas
y colapse.

yy Plan de Contingencia: Es un instrumento que comprende métodos y el con-

junto de acciones para el buen gobierno de las Tecnologías de la Información
y Comunicación en el dominio del soporte y el desempeño, contiene las
medidas técnicas, humanas y organizativas necesarias para garantizar la
continuidad del servicio y las operaciones de una entidad, en circunstancias
de riesgo, crisis y otras situaciones anómalas.

20
 Consejo para las Tecnologías de Información y Comunicación

yy Responsable de Seguridad de la Información (RSI): Servidor públi-

co responsable de gestionar, planificar, desarrollar e implementar el Plan
Institucional de Seguridad de la Información.

yy RTO: (Tiempo Objetivo de Recuperación): Es el periodo de tiempo real dentro

del cual la entidad debe recuperarse después de una interrupción. También
hace referencia al tiempo transcurrido entre la interrupción y recuperación
e indica el tiempo disponible para recuperar lo interrumpido.

yy RPO: (Punto Objetivo de Recuperación): Es la tolerancia o sensibilidad que

tienen los procesos críticos de la entidad para su operación, respecto a la
pérdida de información sensible. Hace referencia también al rango de tole-
rancia que la entidad tiene en relación con la pérdida de datos o información
y eventos de desastre.

yy Seguridad de la Información. La seguridad de la información es la preser-

vación de la confidencialidad, integridad y disponibilidad de la información;
además, también pueden estar involucradas otras propiedades como la au-
tenticidad, responsabilidad, no repudio y confiabilidad.

yy Seguridad Informática. Es el conjunto de normas, procedimientos y herra-

mientas que se enfocan en la protección de la infraestructura computacio-
nal y todo lo relacionado con esta y, especialmente, la información conteni-
da o circulante.

21
 6 Lineamientos para la elaboración de planes de
contingencia tecnológica en entidades del sector público

Las entidades del sector público deberán elaborar sus Planes de Contingencia
Tecnológica conforme a los lineamientos establecidos en el presente documento.
El proceso de elaboración incluye las siguientes cuatro partes integrantes:

yy El contexto de la entidad, que ayuda a identificar los procesos de la en-

tidad, sus factores internos y externos, además de los requisitos legales y
reglamentarios para poder elaborar el análisis de riesgos e impactos que
permita identificar las necesidades y expectativas de las partes interesadas
y determinar el alcance de la contingencia tecnológica.

yy La organización para la contingencia tecnológica, donde se definirá la

política de contingencia que debe seguir la entidad, así como la asignación
de roles y responsabilidades necesarios para su aplicación.

yy La planificación de la contingencia tecnológica, en la que se formularán

los objetivos planteados para la contingencia tecnológica además del esta-
blecimiento de necesidades y el cronograma para las pruebas del plan de
contingencia tecnológica.

yy Los recursos necesarios para la contingencia tecnológica, donde se de-

finirán aspectos como el personal necesario para la implementación del plan
de contingencia, la capacitación y sensibilización necesaria del personal
identificado y la documentación de la información.

6.1 Contexto de la entidad

6.1.1 Descripción de la entidad y su contexto

Una adecuada definición de los parámetros básicos a ser considerados para la

contingencia tecnológica requiere la descripción del contexto de la entidad y su
funcionamiento, que incluye los siguientes elementos: los procesos de la entidad,

22
 Consejo para las Tecnologías de Información y Comunicación

sus funciones y servicios, los factores internos y externos, los requisitos legales
y reglamentarios.

6.1.1.1 Procesos, funciones y servicios de la entidad

En una primera instancia se deberá realizar un análisis macro a nivel de la entidad

del sector público, para lo cual se utilizará la siguiente información:

yy Organigrama: Documento que permitirá conocer la composición orgánica

de la entidad, su estructura interna y jerarquía.

yy Plan Estratégico Institucional (PEI): Documento que permitirá tomar en

cuenta el horizonte a mediano plazo al que apunta la entidad del sector pú-
blico, sus metas y objetivos trazados, así como su avance alcanzado hasta
el momento, su historia y evolución a lo largo del tiempo.

yy Plan Operativo Anual (POA): Documento que posibilita identificar las me-
tas y objetivos a corto plazo de la entidad del sector público, que deberán
aportar al cumplimiento del PEI.

yy Procesos y procedimientos: Documentación que permitirá conocer los

diferentes procesos y procedimientos llevados adelante en la entidad, las
áreas que participan, el flujo de información generado, así como el uso o no
de sistemas de información.

yy Manuales de puestos y funciones: Documentación que permite conocer

la responsabilidad que cada cargo tiene en la entidad y los procesos en los
que participa.

A fin de complementar esta información consultada, se podrán sostener reunio-

nes con las áreas organizacionales pertinentes de la entidad pública.

Con toda la información recopilada, se elaborará un cuadro informativo para la

priorización de los procesos, funciones o servicios de mayor relevancia al inte-

23
 rior de la entidad. Para ello, se podrá utilizar como base el siguiente formato de
cuadro:

Cuadro 1: Identificación de procesos funciones o servicios

Misión entidad:
Procesos críticos Servicios de tecnologías de
Funciones
relacionados información relacionados

6.1.1.2 Factores internos y externos

Una vez identificados los procesos, funciones o servicios que sean relevantes
para la contingencia tecnológica, cada entidad del sector público definirá, con
base en su jerarquía y funciones, los factores externos e internos de los procesos
que pueden generar incertidumbre y ocasionar riesgos.

6.1.1.3 Requisitos legales y reglamentarios

La entidad del sector público debe asegurarse que los requisitos legales de su
funcionamiento estén vinculados a la contingencia tecnológica, sean aplicables
y puedan ser reglamentados de acuerdo a la normativa vigente en el Estado
Plurinacional de Bolivia, además de revisar:

yy Los requisitos legales, estatutarios, normativos y contractuales que la en-

tidad del sector público y sus dependencias hayan establecido con los pro-
veedores de servicio o terceros asociados a la entidad, que tengan relación
con los procesos, funciones o servicios críticos.

yy El conjunto de principios y objetivos, PEI, POA, manuales de funciones, re-

glamentos internos y cualquier otra fuente documental relacionada a la con-
tingencia tecnológica.

24
 Consejo para las Tecnologías de Información y Comunicación

yy La evaluación de riesgos previos que la entidad del sector público haya rea-
lizado: los informes, reportes de incidentes y/o cualquier documento relacio-
nado a amenazas o vulnerabilidades a las que la entidad del sector público
haya sido expuesta.

yy Cualquier otra documentación interna o externa que la entidad del sec-

tor público determine como apropiada y necesaria para la contingencia
tecnológica.

6.1.2 Análisis de riesgos e impactos

Los Planes de Contingencia Tecnológica de las entidades del sector público re-
quieren de la elaboración de un análisis de riesgos e impactos, para lo cual se
puede adoptar un estándar o metodología nacional o internacional, vigente o de
otra naturaleza, siempre y cuando no sea contrapuesta a los lineamientos esta-
blecidos en el presente documento y que se adecúe a los procesos, funciones
o servicios identificados como necesarios para la contingencia tecnológica. Los
Anexos A y B del presente documento muestran algunas de las posibles metodo-
logías a seguir.

La metodología seleccionada debe establecer, implementar y mantener un proce-

so formal y documentado en cuanto al análisis de impacto y de riesgos que:

yy Considere los requisitos identificados en la descripción de la entidad y el

contexto.

yy Establezca el marco de la evaluación y defina criterios de categorización.

yy Incluya un análisis sistemático para la priorización de los riesgos e impactos.

(El Responsable de Seguridad de la Información (RSI) presentará los resul-
tados de la evaluación de riesgos e impactos al Comité de Seguridad de la
Información (CSI) para analizar su priorización y tratamiento posterior. La
priorización puede ser establecida a partir de lo definido previamente por la
entidad del sector público a través del CSI).

25
La metodología seleccionada debe permitir actualizaciones y revisiones.

6.1.2.1 Análisis de riesgos

Respecto al análisis de riesgos, la metodología debe contener:

yy Identificación del riesgo: Para la identificación del riesgo se tomarán en

cuenta los procesos, funciones o servicios que inciden en la contingencia
tecnológica.

yy Valoración del riesgo: Para esto se evaluarán las posibles consecuencias

de la materialización del riesgo.

yy Clasificación del riesgo: La clasificación del riesgo permitirá definir cuáles

son los riesgos que deben tratarse con prioridad.

6.1.2.2 Análisis de impactos

La entidad del sector público debe establecer, implementar y mantener la evalua-

ción y la determinación del análisis de impacto conforme sus procesos, funciones
o servicios identificados previamente.

El análisis de impacto en el negocio debe incluir lo siguiente:

yy Identificación: Se deben identificar todas las actividades que apoyan la

provisión de procesos, funciones o servicios necesarios para la continuidad
tecnológica.

yy Evaluación de los impactos: Se deben evaluar los impactos en el tiempo

o su frecuencia para determinar los periodos de recuperación, o para medir
los tiempos de interrupción de las actividades que apoyan los productos,
funciones o servicios.

yy Establecimiento de plazos: Es necesario para la reanudación de las activi-

dades a un nivel mínimo aceptable, determinado por la entidad, que incluya
 Consejo para las Tecnologías de Información y Comunicación

los indicadores de continuidad RTO (Tiempo Objetivo de Recuperación), RPO

(Punto Objetivo de Recuperación) y MTD (Tiempo Máximo de Inactividad
Tolerable).

6.1.3 Necesidades y expectativas de las partes interesadas

El Plan de Contingencia Tecnológica debe incorporar un relevamiento de las

necesidades y expectativas de las partes interesadas, relacionadas a los proce-
sos, funciones y servicios considerados prioritarios para cumplir con la misión,
visión y objetivos estratégicos de la entidad del sector público en momentos de
contingencia.

En este sentido, dicho relevamiento podrá realizarse con base en los requisitos
que se tengan para la continuidad tecnológica, bajo el siguiente formato:

Cuadro 2: Identificación de necesidades y expectativas de las partes interesadas

Partes Requisito Requisito Requisito Plazo
Área
interesadas implícito obligatorio opcional necesario

Sin embargo, la entidad del sector público también podrá hacer uso de otras me-
todologías, nacionales o internacionales, que considere adecuadas para el releva-
miento de las necesidades y expectativas de las partes interesadas.

6.1.4 Alcance de la contingencia tecnológica

La entidad del sector público definirá los alcances relacionados con los procesos,
funciones o servicios considerados prioritarios para cumplir con su misión, visión
y objetivos estratégicos en situaciones de contingencia tecnológica.

Con base en todo el diagnóstico previo realizado, el RSI propondrá al CSI los al-
cances de la contingencia tecnológica de la entidad del sector público, para que
sean aprobados y revisados.

27
 Una vez aprobados, los alcances quedarán establecidos y serán comunicados a
las partes interesadas identificadas en el punto 6.1.3.

6.2 Organización para la contingencia tecnológica

La organización permitirá la definición de la política de contingencia tecnológica y

la asignación de roles y responsabilidades en los casos de contingencias.

6.2.1 Definición de la política de contingencia tecnológica

La política de contingencia tecnológica proporciona el marco en torno al cual se

diseñan y construyen los Planes de Contingencia Tecnológica y debe ser ajustada
a las necesidades de la entidad, de tal forma que apoye al cumplimiento de los
alcances propuestos.

En la política se establece claramente lo que deben lograr los planes de contingen-

cia tecnológica; por tanto, su contenido debe ser corto, claro, preciso y conciso.

La política debe ser aprobada por la Máxima Autoridad Ejecutiva (MAE) o la ins-
tancia jerárquica que corresponda. La MAE y el CSI deberán demostrar compromi-
so para la asignación de recursos destinados al cumplimiento de la misma.

La política deberá ser comunicada y socializada a todas las partes interesa-

das identificadas en el punto 6.1.3. por tratarse de un lineamiento necesario
a ser tomando en cuenta para el normal funcionamiento de la entidad ante la
contingencia.

El contenido mínimo de la política incluye:

1. Objetivo general

2. Alcance

3. Cumplimiento de normas legales

28
 Consejo para las Tecnologías de Información y Comunicación

4. Estrategias de cumplimiento

5. Revisión y aprobación por el Comité de Seguridad de la Información (CSI)

6. Difusión

7. Histórico de cambios

Las estrategias de cumplimiento se refieren a todo lo necesario en cuanto a so-

luciones para lograr la contingencia tecnológica, con base en lo identificado en el
punto 6.1.2. Cada entidad determinará las estrategias más apropiadas para lograr
este punto; de forma referencial, se muestran posibles estrategias solo como
ejemplo en los Anexos C y D.

6.2.2 Roles y responsabilidades

La MAE de la entidad del sector público debe asegurar la conformación de una

estructura adecuada, transversal a todas las partes interesadas, para la adminis-
tración y funcionamiento del Plan de Contingencia Tecnológica, que incluya la
definición de roles y responsabilidades, tanto de los líderes de proceso como de
las gerencias.

Esta estructura, formada exclusivamente para el funcionamiento del Plan de

Contingencia Tecnológica, deberá tener roles y responsabilidades asignados. De
forma referencial, se pueden considerar los siguientes roles:

A. Coordinador de contingencia tecnológica (Requerido)

B. Líder de administración /recuperación de infraestructura física

C. Líder de recuperación tecnológica (Requerido)

D. Coordinadores de recuperación

29
 E. Apoyo

F. Comunicación (Requerido)

A) Coordinador de contingencia tecnológica

El coordinador de Contingencia Tecnológica es el encargado de dirigir y liderar

todas las actividades del plan de continuidad. Es el responsable de declarar la
contingencia ante el escenario de interrupción en la entidad del sector público,
con base en las decisiones tomadas por el Comité de Seguridad de la Información
o en situaciones que ameriten su activación inmediata.

Este rol y responsabilidad recaerá en el Responsable de Seguridad de la

Información (RSI) designado u otro personal que se considere idóneo y de cargo
jerárquico y será designado por el Comité de Seguridad de la Información (CSI)
mediante vía formal.

Responsabilidades

yy Delegar de manera expresa al CSI la responsabilidad de actualizar, mantener

y probar el Plan de contingencia tecnológica.

yy Evaluar y aprobar los recursos requeridos para establecer y mantener la es-

trategia de recuperación y contingencia tecnológica de la entidad.

yy Liderar las reuniones del CSI en los temas relacionados con los planes de
contingencia tecnológica.

yy Advertir sobre nuevos riesgos que afectan a la continuidad de la operación

normal de la entidad y que ponen al descubierto debilidades del Plan de
Contingencia Tecnológica.

yy Establecer los objetivos de recuperación y activar el Plan de contingencia

tecnológica ante el escenario de interrupción, teniendo en cuenta el resul-
tado de la evaluación.

30
 Consejo para las Tecnologías de Información y Comunicación

yy Monitorizar los reportes sobre el estado de recuperación o evaluación du-

rante una contingencia y conocer los daños sufridos (si es que existieran).

yy Velar por la seguridad del personal que actúa en el área del evento.

yy Velar por la ejecución del debido análisis causa-raíz del evento que ocasione
la contingencia tecnológica y sus posibles riesgos.

yy Comunicar y coordinar con la MAE o instancia superior correspondiente si el

equipo de comunicación debe divulgar la contingencia.

B) Líder de administración / recuperación de infraestructura física

Este rol y responsabilidad será asignado al jefe de dirección, departamento, uni-

dad o área relacionada a sistemas, tecnologías de la información o similares.

El líder administrativo coordinará los aspectos logísticos internos cuando la enti-

dad del sector público se encuentre operando bajo contingencia. También gestio-
nará en cada una de las instalaciones el suministro de elementos esenciales para
asegurar el desarrollo de la operación.

Responsabilidades

yy Gestionar la ejecución según el Plan de Contingencia tecnológica.

yy Coordinar el suministro de elementos esenciales como transporte, recursos

de infraestructura y papelería.

yy Efectuar una evaluación del daño (si lo hubiera) y notificar al CSI.

yy Presentar la información necesaria para efectuar reclamos ante asegurado-

ras o garantías.

yy Mantener informado al coordinador de contingencia tecnológica.

31
 C) Líder de recuperación tecnológica

Es la persona encargada de liderar la recuperación tecnológica, con base enlas

estrategias de contingencia tecnológica implementadas; es el contacto directo
entre la dirección, gerencia de unidad, la jefatura o departamento de tecnología,
sistemas o similares y el Comité de Seguridad de la Información (CSI). Además,
apoya las decisiones tomadas por el coordinador de contingencia tecnológica du-
rante la declaración y activación de la contingencia.

Responsabilidades

yy Liderar la recuperación tecnológica, con base en las estrategias de contin-

gencia implementadas.

yy Identificar los posibles riesgos de aspectos tecnológicos adicionales al es-

tado de contingencia, registrarlos y comunicarlos al coordinador de contin-
gencia tecnológica.

yy Colaborar en la comunicación a los proveedores o servicios de su competen-

cia, sobre el estado de contingencia en que se encuentra la entidad del sec-
tor público, previa decisión y autorización del coordinador de contingencia
tecnológica, mediante comunicado.

yy Entregar los reportes correspondientes al CSI sobre el estado de la

recuperación.

yy Velar por la actualización de la estrategia tecnológica en los casos que se

presenten situaciones como cambios en los aplicativos, cambio en la in-
fraestructura, roles y responsabilidades, disponibilidad de los recursos, en-
tre otros.

yy Velar por la realización de las pruebas del Plan de Contingencia Tecnológica

y revisar los resultados obtenidos en las mismas.

32
 Consejo para las Tecnologías de Información y Comunicación

yy Verificar que las actividades de ajuste sobre el plan y resultado de las prue-
bas hayan sido ejecutadas e implementadas.

D) Coordinadores de recuperación

Los coordinadores de recuperación son las personas encargadas de liderar la re-

cuperación de los procesos, funciones o servicios basados en las estrategias de
contingencia. Constituyen el contacto directo entre los procesos de negocio y el
líder de recuperación tecnológica y además colaboran con las decisiones tomadas
por el coordinador de contingencia tecnológica y el comité durante la declaración
y activación de la contingencia.

Responsabilidades

yy Identificar los posibles riesgos que afectan la contingencia tecnológica de la

operación normal de la entidad del sector público.

yy Liderar las reuniones para diagnosticar y evaluar las interrupciones que es-
tán afectando la prestación del servicio.

yy Ejecutar los Planes de Contingencia Tecnológica ante el incidente

presentado.

yy Mantener comunicación constante durante el estado de contingencia.

yy Cubrir las áreas de respuesta en:

ƒƒ Software: Solucionar errores en la programación, configuración y fallas de

seguridad de código, entre otras.

ƒƒ Hardware: Solucionar problemas de mantenimiento o daños en hardware,

entre otras.

33
 ƒƒ Seguridad: Gestión y respuesta a incidentes de seguridad de la informa-
ción o informáticos, evaluación de riesgos asociados a la contingencia
tecnológica, entre otras.

ƒƒ Recuperación y restauración de sistemas: Recuperar y restaurar las ope-

raciones de los sistemas, dependiendo del tipo de incidente, o coordinar
algún soporte externo si fuera necesario, entre otros.

yy Entregar los reportes correspondientes al Comité de Seguridad de la

Información, sobre el estado de la recuperación de sus áreas.

yy Velar por la realización de las pruebas del Plan de Contingencia Tecnológica

y revisar los resultados obtenidos en la misma.

yy Verificar que las actividades de ajuste sobre el plan y resultado de las prue-
bas hayan sido ejecutadas e implementadas.

E) Apoyo

Responsabilidades

yy Realizar las actividades que le sean asignadas durante la declaración de

contingencia.

yy Advertir sobre riesgos que puedan afectar la continuidad en la prestación

del servicio o la funcionalidad del Plan de Contingencia Tecnológica.

yy Revisar y alertar sobre las implicaciones legales que puede tener, por ejem-
plo, el apagar un sistema, el infringir los contratos de nivel de servicios, el
no apagar un sistema en peligro, la responsabilidad de daños causados por
ataques iniciados desde algún sistema interno o externo, entre otros.

yy Coordinar toda comunicación con las autoridades legales y organismos de

investigación.

34
 Consejo para las Tecnologías de Información y Comunicación

G) Comunicación

El servidor público encargado de las comunicaciones institucionales tiene la res-

ponsabilidad de asesorar en la comunicación del evento de interrupción a nivel
interno (colaboradores) y a nivel externo (clientes, proveedores, alianzas, orga-
nismos de control, entre otros), en situaciones que sean definidas en coordina-
ción con la MAE.

Responsabilidades

yy Asesorar a la MAE, al comité y específicamente al coordinador de con-

tingencia tecnológica sobre los temas de comunicación en momentos de
contingencia.

6.2.2.1 Delegación de atribuciones por ausencia

De acuerdo a la conformación de la estructura para la Administración de la

Contingencia Tecnológica descrita en el punto 6.2.2. de Roles y responsabilida-
des, la entidad del sector público definirá, de acuerdo a su organización, la desig-
nación de delegación en caso de ausencia; es decir, un servidor público de reem-
plazo para los roles identificados, de tal forma que se garantice el cumplimiento
de responsabilidades.

La delegación de atribuciones por ausencia será considerada con base en pa-

rámetros de los resultados del análisis de impacto y tiempos de recuperación,
además, se debe indicar en este punto cuando una entidad del sector público
declara “ausencia”.

6.2.2.2 Incumplimiento

De acuerdo a sus normas internas y a las normativa que regula la responsabilidad

por la función pública, la entidad del sector público tomará las determinaciones
necesarias ante la infracción o incumplimiento de funciones del personal que tie-
ne asignados los roles y responsabilidades de la ejecución de los planes de con-
tingencia tecnológica.

35
 6.2.3 Lista de responsabilidades y autoridades

En función de los resultados de las necesidades y expectativas de las partes

interesadas identificadas en el punto 6.1.3., el RSI deberá elaborar una lista de
autoridades y responsabilidades de todas las partes interesadas durante la con-
tingencia tecnológica.

Esta lista además deberá tener un plan de llamadas retroalimentado en el cual

se establezca la comunicación a las autoridades de la contingencia tecnológica.

6.3 Planificación de la contingencia tecnológica

Como parte integral de los Planes de Contingencia Tecnológica, la parte de pla-

nificación tiene los objetivos planteados para la contingencia tecnológica y el
establecimiento de necesidades, además de la elaboración del cronograma de
pruebas del plan de contingencia tecnológica.

6.3.1 Objetivos planteados para la contingencia tecnológica

Con base en la definición de la Política de Contingencia Tecnológica del punto

6.2.1., se plantearán objetivos que se deberán cumplir durante la contingencia
tecnológica:

yy Objetivo general: que corresponde al objetivo planteado en el Punto 6.2.1.

de la Política de Contingencia Tecnológica.

yy Objetivos estratégicos, relacionados a las necesidades y expectativas de las

partes interesadas, reflejadas en los puntos 6.1.3. y 6.1.4. de alcance de la
contingencia tecnológica.

ƒƒ Por ejemplo: Reducir el impacto de incidentes que afecten la contingen-

cia tecnológica, relacionada a hardware, software, equipos y periféricos
que soportan los principales procesos, funciones y servicios prestados
por la entidad del sector público para el cumplimiento de sus funciones.

36
 Consejo para las Tecnologías de Información y Comunicación

yy Objetivos tácticos: son aquellos que se formulan con base en los resultados
de los tiempos de recuperación establecidos como producto del análisis de
impactos del punto 6.1.2.

ƒƒ Por ejemplo: Facilitar los procedimientos y capacidades para la recupera-

ción de activos críticos de la infraestructura de tecnologías de informa-
ción de la entidad para rehabilitar las funciones y procesos identificados
en un plazo de 2 horas.

Todos los objetivos deben estar en concordancia con las metas propuestas y con-
siderar lo necesario para la contingencia tecnológica; asimismo, deben ser espe-
cíficos, medibles, relevantes y temporales.

6.3.2 Establecimiento de necesidades

El establecimiento de necesidades toma en cuenta los requisitos y requerimien-

tos para la ejecución del Plan de Contingencia Tecnológica, que se desprenden de
los objetivos planteados.

Las necesidades deben ser claramente identificadas por el RSI y los servidores
públicos que tienen asignados los roles y responsabilidades del punto 6.2.2. en un
listado que sea aprobado y revisado por el Comité de Seguridad de la Información.

6.3.3 Establecimiento del cronograma de pruebas del plan de

contingencia

La entidad deberá realizar todas las pruebas del Plan de Contingencia Tecnológica,
para lo cual se establecerán cronogramas, con base en los tiempos establecidos
en el Análisis de Impactos y con los escenarios definidos de acuerdo al análisis
de riesgos.

El cronograma deberá considerar intervalos planificados donde se establezcan

puntos claros de medición que se realicen al menos una vez al año para verificar
su eficacia y generar la capacidad técnica y operacional para responder y garanti-
zar que el Plan de Contingencia Tecnológica no presente fallos.

37
 En el ANEXO E se presenta, como ejemplo, un Modelo de Pruebas de Plan de
Contingencias Tecnológicas.

6.4 Recursos necesarios para la contingencia tecnológica

La entidad del sector público proporcionará el personal necesario para la imple-

mentación, mantenimiento, pruebas controladas y mejora de los planes de con-
tingencia tecnológica, a cuyo efecto deberá contar con presupuesto asignado,
así como prever la contratación de personal externo en caso de no contar con los
recursos humanos para ello.

A través de las instancias correspondientes, la MAE priorizará y gestionará los

recursos económicos para que la infraestructura, en toda su magnitud, esté dis-
puesta para resistir y darle continuidad a sus operaciones, de conformidad al aná-
lisis de riesgos del punto 6.1.2.

6.4.1 Competencias del personal de la entidad

La entidad del sector público determinará las competencias necesarias de su per-

sonal, respetando los roles de los responsables de la contingencia tecnológica.
Asimismo asegurará, mediante un presupuesto especial, que su personal sea ca-
pacitado y esté incluido en su plan o programa anual de capacitaciones.

6.4.2 Capacitación y sensibilización

Para el éxito del Plan de Contingencia Tecnológica, es fundamental contar con la

participación y el compromiso del personal involucrado en el mismo. El Comité de
Seguridad de la Información debe encargarse de que todos los servidores públi-
cos involucrados reciban capacitación y entrenamiento sobre temas relacionados
a los Planes de Contingencia Tecnológica.

Los jefes de las áreas sustantivas, en coordinación con el área de Recursos

Humanos y el Responsable de Seguridad de la Información, realizarán, de forma
periódica, la capacitación y sensibilización a todo el personal de la entidad del

38
 Consejo para las Tecnologías de Información y Comunicación

sector público con el respectivo proceso de evaluación para medir el aprendizaje

y desempeño.

Las entidades del sector público también podrán solicitar capacitaciones o sensi-
bilizaciones al Centro de Gestión de Incidentes Informáticos (CGII) de la AGETIC.

6.4.3 Información documentada

Toda la información de los procesos de planificación del Plan de Contingencia

Tecnológica, como de los planes y procedimientos que lo componen, deberán ser
conservados como información documentada y aprobada por el CSI. En conse-
cuencia, la entidad o empresa pública deberá tener un procedimiento para dicho
efecto.

Las entidades del sector público que ya tengan un procedimiento, pueden mante-
ner o seguir, de forma referencial, el modelo del Anexo F.

39
 7 Lineamientos para la implementación de los Planes de
Contingencia Tecnológica

Una vez que se ha avanzado en la elaboración del Plan de Contingencia

Tecnológica, deben establecerse los lineamientos para su implementación, mis-
mos que deberán incluir:

yy La operación del plan de contingencia tecnológica, que define el con-

cepto de operaciones y abarca la planificación, control y estrategia del plan
mencionado, para un adecuado establecimiento e implementación de proce-
dimientos y estructura de gestión de incidentes y lo realizado en el crono-
grama de sensibilización, capacitación y entrenamiento.

yy La Evaluación de desempeño referida al Plan de Contingencia Tecnológica,

que verifica la revisión y aprobación por parte del Comité de Seguridad de la
Información y el mantenimiento del plan.

yy La mejora del plan de contingencia, que incorpora su retroalimentación

y mejora continua.

7.1 Operación del plan de contingencia tecnológica

En este punto se incluyen la planificación, control y estrategia del Plan de

Contingencia Tecnológica, para un adecuado establecimiento e implementación
de procedimientos o guías necesarias, además de la estructura de gestión de
incidentes, así como todo lo realizado en el cronograma de sensibilización, capa-
citación y entrenamiento.

7.1.1 Concepto de operaciones

Las operaciones son todas las actividades y acciones realizadas que deben ser
llevadas a cabo para lograr superar la contingencia tecnológica.

Es necesario definir claramente lo que la entidad del sector público requiere para
cumplir con los puntos 6.2. (Organización) y 6.3. (Planificación). Las acciones lle-

40
 Consejo para las Tecnologías de Información y Comunicación

vadas a cabo deben considerar el control de cambios previsto y la revisión de las

consecuencias de los cambios no deseados según sea necesario.

7.1.2 Planificación y control del Plan de Contingencia Tecnológica

La planificación de la implementación del Plan de Contingencia Tecnológica debe

permitir controlar todo lo identificado en el punto 6.1.2. (Análisis de Riesgos e
Impacto) que se encuentre enmarcado en el alcance aprobado por el CSI, minimi-
zando sus consecuencias negativas, y también determinar los requisitos para la
seguridad de la información ante situaciones adversas.

Asimismo, debe permitir cumplir con la política definida en el punto 6.2.1. y el uso
eficiente de recursos del punto 6.4.

7.1.3 Estrategia del plan de contingencia tecnológica

A partir de la planificación y control establecidos, es necesario tomar en cuenta

el punto 6.1.2. del análisis de riesgos e impacto y optimizar la implementación de
acciones asumidas frente a los riesgos e impactos contemplados.

La estrategia del Plan de Contingencia Tecnológica corresponde a los procedi-

mientos que restituyan las funciones tecnológicas que fueran afectadas.

Para la implementación de la estrategia propuesta en el punto 6.2.1., se debe

contemplar mínimamente lo siguiente:

yy Comunicación y sensibilización (cumplimiento del punto 6.4.2)

yy Pruebas de implementación de la estrategia de contingencia tecnológica

yy Comunicación de resultados de las pruebas

yy Procedimiento de gestión de información de la entidad del sector público

41
 7.1.4 Establecer e implementar procedimientos de contingencia
tecnológica

La entidad del sector público debe establecer e implementar procedimientos res-

paldados que permitan verificar acciones u operaciones que se realicen para el
Plan de Contingencia Tecnológica, dentro de los cuales se puede incluir de forma
no limitativa, los siguientes:

7.1.4.1 Procedimientos o guías de activación y notificación

El procedimiento de activación y notificación considerará a los actores del punto

6.2.2. (Roles y responsabilidades) y a otros actores involucrados, cuando sea ne-
cesario u oportuno, con la finalidad de enunciar las causas y justificar el estado
de contingencia para activar el Plan de Contingencia Tecnológica elaborado y su
forma de notificación.

Para la elaboración de estos procedimientos se deben considerar como base y de

forma no limitativa, los siguientes periodos:

yy Ante la ocurrencia de un evento (identificación de la presencia de una

contingencia)

yy Durante la Contingencia Tecnológica (respuesta y restitución)

yy Después de la Contingencia Tecnológica (vuelta a la normalidad, evaluación,

no conformidades y revisiones posteriores)

7.1.4.2 Procedimientos o guías de escalamiento y comunicación

La entidad del sector público elaborará procedimientos para el escalamiento y

comunicación del Plan de Contingencia Tecnológica. El escalamiento debe estar
de acuerdo al Plan de Contingencia Tecnológica de cada entidad para su comuni-
cación a las partes interesadas.

42
 Consejo para las Tecnologías de Información y Comunicación

Las entidades del sector público deberán reportar la ocurrencia de incidentes in-
formáticos, que activen el Plan de Contingencia Tecnológica, al Centro de Gestión
de Incidentes Informáticos (CGII), de acuerdo al Artículo 17 del Decreto Supremo
2514.

7.1.4.3 Procedimientos o guías de contingencia tecnológica

Los procedimientos o guías que se desprendan de la contingencia tecnológica

y su estrategia deben ser elaborados por la entidad del sector público, conside-
rando con claridad los procesos de planificación, preparación, detección, reporte,
valoración, decisión, ejecución, respuesta y erradicación para la mejora continua
ante la ocurrencia de la activación del Plan de Contingencia Tecnológica.

7.1.5 Estructura de gestión de incidentes

La estructura de la gestión de incidentes podrá considerar como referencia el

Anexo C de los Lineamientos para la Implementación de los Planes Institucionales
de Seguridad de la Información de las entidades del Sector Público.

7.1.6 Cronograma de sensibilización, capacitación y entrenamiento

En este punto se debe documentar las capacitaciones y sensibilización que fue-

ron dictadas y las evaluaciones correspondientes que miden el aprendizaje y
desempeño, que además muestren el cumplimento de lo planificado en el punto
6.4.2.

7.2 Evaluación de desempeño

La evaluación de desempeño considerará la revisión del Plan de Contingencia

Tecnológica por parte del Comité de Seguridad de la Información y el manteni-
miento del plan de continuidad con su respectivo seguimiento, medición y análi-
sis de evaluación.

43
 7.2.1 Revisión y aprobación por el Comité de Seguridad de la
Información

El Plan de Contingencia Tecnológica deberá ser revisado por el Comité de

Seguridad de la Información que impulsará su aprobación ante la Máxima
Autoridad Ejecutiva de la entidad del sector público.

En función de las revisiones, se podrán realizar acciones que permitan un mejor se-
guimiento, medición, análisis y evaluación de estrategia del Plan de Contingencia
Tecnológica.

7.2.2 Mantenimiento del Plan de contingencia tecnológica

El RSI deberá promover la realización de pruebas periódicas del Plan de

Contingencia Tecnológica, en relación con el cumplimiento y eficacia de las estra-
tegias que se desprenden del mismo.

Si durante las pruebas que se realicen existen servicios de interoperabilidad, se

deberá coordinar la colaboración entre instituciones públicas, a objeto de garan-
tizar la continuidad tecnológica.

Los resultados de las pruebas permitirán medir la efectividad y cumplimiento de

las estrategias implementadas para que, en función de las mismas, se realice la
mejora continua al Plan de Contingencia Tecnológica.

7.3 Mejora del Plan de contingencia tecnológica

La entidad del sector público deberá realizar la mejora continua a fin de mantener
la efectividad del Plan de contingencia Tecnológica, considerando como mínimo
las siguientes recomendaciones:

yy Revisión para eliminar las no conformidades que existieran con respecto al

Plan de Contingencia Tecnológica y todo lo inherente a él.

44
 Consejo para las Tecnologías de Información y Comunicación

yy Controlar y revisar el Plan de Contingencia Tecnológica para implemen-

tar cualquier acción necesaria que derive en correcciones o formas de
prevención.

yy La entidad del sector público deberá conservar la información documentada

sobre las correcciones que se realicen, las acciones implementadas y los
resultados de lo modificado.

Disposiciones adicionales

Disposición final

Las entidades públicas priorizarán en sus presupuestos institucionales los recur-

sos para el cumplimiento del Plan de Contingencia Tecnológica, en el marco de
su asignación presupuestaria y de su POA, previa evaluación y análisis técnico
efectuado por cada entidad.

45
 Consejo para las Tecnologías de Información y Comunicación

ANEXOS

47
 Consejo para las Tecnologías de Información y Comunicación

Anexo A
Guía para la metodología de análisis de riesgos

1 Introducción

Los Lineamientos para la Elaboración e implementación de Planes de Contingencia

Tecnológica establecen que cada entidad del sector público puede elegir meto-
dologías de normas y estándares nacionales e internacionales vigentes o de otra
naturaleza, siempre y cuando no sean contrapuestas a los lineamientos estable-
cidos en el presente documento con respecto al Análisis de Riesgos.

La metodología de Análisis de Riesgos puede ser alguna de las sugeridas en el pre-

sente anexo que tiene como finalidad brindar una guía u orientación al respecto.

2 Objetivo

La presente guía tiene el objetivo de orientar en la metodología de análisis de

riesgos a partir de la cual se desarrolla como mínimo las siguientes fases:

Identificación del riesgo: Para la identificación del riesgo se tomarán en cuenta

los procesos, funciones o servicios que inciden en la contingencia tecnológica.

Valoración del riesgo: Para la valoración del riesgo se evaluarán las posibles
consecuencias de la materialización del riesgo.

Clasificación del riesgo: La clasificación del riesgo permitirá definir cuáles son
los riesgos que deben tratarse con prioridad.

3 Primera metodología

La primera metodología se basa en considerar el análisis de riesgos, con base en

riesgos y oportunidades (R&O). El proceso general es el siguiente:

49
 Establecer el contexto

Valoración de riesgos y oportunidades

Identificar R&O
Comunicación Seguimiento
y consulta y medición
Analizar R&O

Evaluar R&O

Tratar los riesgos y oportunidades

Figura del Proceso para Riesgos

Identificación de R&O

Evaluación de R&O

Planes de acción de R&O

Revisión y reevaluación

Retroalimentación

Para el proceso mencionado se define lo siguiente:

yy Probabilidad

Nivel Valor Calificación Descripción Frecuencia

Es poco probable que ocurra el R&O Se ha presentado en
1 1 Baja De presentarse, se daría en situaciones el último año, una vez
especiales o nunca
Es probable que ocurra el R&O Se ha presentado en
2 2 Media Puede presentarse en algún momento el último año más de
pese a los controles establecidos una vez
Es altamente probable que suceda el
R&O Se ha presentado en
3 3 Alta el último año más de
Se va presentar el evento de manera dos veces
inevitable o favorable

50
 Consejo para las Tecnologías de Información y Comunicación

yy Impacto

Nivel Valor Calificación Descripción Frecuencia

El impacto es de manera interna o pun-
tual en las partes interesadas, procesos, Se ha presentado en
1 1 Baja productos y servicios. el último año, una vez
De presentarse, se tratarían como o nunca
correcciones.
El impacto afecta a los procesos,
productos y servicios o elementos del
sistema de gestión. Se ha presentado en
2 2 Media el último año más de
De presentarse, se tratarían como accio- una vez
nes correctivas o posibles cambios en el
sistema de gestión.
El impacto afecta a la confianza de
los procesos, productos y servicios o
elementos del sistema de gestión. Se ha presentado en
3 3 Alta el último año más de
De presentarse, se tratarían como dos veces
acciones correctivas y harían cambios
importantes en el sistema de gestión.

yy Índice de riesgo

El índice del riesgo es la manera cualitativa de medir lo significativo en cada

riesgo.

Se calcula a partir de la valoración de la probabilidad de ocurrencia y del impacto

del riesgo. Es el producto de la probabilidad (p) e Impacto (i) expresado de la si-
guiente manera:

IR = P * I

51
 yy La matriz del índice del riesgo se usa para ilustrar los diferentes índices
posibles:

Probabilidad
Índice del Riesgo
Baja (1) Media (2) Alta (3)
3 6 9
Alto (3)
MEDIO ALTO ALTO
Impacto

2 4 6
Medio (2)
BAJO MEDIO ALTO
1 2 3
Bajo (1)
BAJO BAJO MEDIO

yy En función a la evaluación efectuada, se tienen las siguientes zonas de

riesgos:

Riesgo
Zona Calificación Decisión
Asumir
Bajo
Verde Verificar
(1 a 2)
Estimar
Repartir
Medio
Amarilla Asignar
(3 a 5)
Cambiar
Dominar
Alto
Roja Evitar
(≥ 6)
Eliminar

ƒƒ Asumir el riesgo: implica estar expuesto a la probabilidad e impacto que

podría derivar en un plan de acción de ser necesario.

ƒƒ Verificar el riesgo: implica la comprobación de que la probabilidad e im-

pacto permanecen constantes.

ƒƒ Estimar el riesgo: considera una posible variación en la probabilidad o

impacto.

52
 Consejo para las Tecnologías de Información y Comunicación

ƒƒ Repartir el riesgo: entre otros procesos internos, por ejemplo: acuerdos

entre distintas áreas o unidades organizacionales.

ƒƒ Asignar el riesgo: a otros procesos externos, por ejemplo: incorporar en

los términos de referencia.

ƒƒ Cambiar el riesgo: modificando la probabilidad y/o impacto en los térmi-

nos de referencia.

ƒƒ Dominar el riesgo: asegurando que no cambien la probabilidad y/o im-

pacto, por ejemplo: aplicar algún reglamento o procedimiento.

ƒƒ Evitar el riesgo: implica plantear acciones para prevenir el evento, por

ejemplo: optimización del proceso, hacer el seguimiento, uso de tecnolo-
gías disponibles.

ƒƒ Eliminar el riesgo: se centra en actuar sobre la fuente de origen, por

ejemplo: rediseño del proceso, cambio de tecnología.

yy Formulario de registro

Una vez conocidas todas las definiciones, se llenará el siguiente cuadro, con las
personas involucradas en la contingencia tecnológica:

53
54
Área Organizacional
Proceso
Sub Proceso
Objetivo

Gestión del
Selección de riesgo
Riesgo / Identificación del riesgo / oportunidad Evaluación del riesgo
y oportunidad
Oportunidad
N° Fuente (Nivel)
Denominación Índice del Decisión
estratégico Consecuencia Probabilidad Impacto
Riesgo Oportunidad del riesgo u Descripción Causas riesgo del
o nivel de o efecto (P) (I)
oportunidad o (P*I) Riesgo
operaciones
 Consejo para las Tecnologías de Información y Comunicación

4 Segunda metodología

La segunda metodología se basa en identificar escenarios disruptivos para poste-

riormente realizar el análisis de riesgo correspondiente, bajo los siguientes pasos:

yy Identificación de escenarios disruptivos

yy Análisis del riesgo

yy Identificación de activos de información críticos afectados

yy Identificación de procesos y servicios de TI afectados

Los cuales se detallan a continuación:

yy Identificación de escenarios disruptivos

La identificación de escenarios disruptivos considera el tipo de riesgo, los riesgos

y las potencialidades de ocurrencia que, por ejemplo de forma no limitada, pue-
den ser de las siguientes categorías:

Tipo de riesgo Riesgo ¿Es un Potencial Riesgo?

Sismo /terremoto Sí
Desastres Tormenta eléctrica Sí
Riada No
Incendio Sí
Daños Accidentales
Inundación No
Hacking informático Sí
Tecnológico Ciberamenazas Sí
Ransomware Sí
Eventos Externos Fallo de energía Sí
Conmociones sociales /
Eventos Sociales Sí
Saqueos

55
 yy Análisis de riesgos

El análisis de riesgos se realiza bajo las siguientes consideraciones:

Valoración 1 2 3 4 5
Impacto Insignificante Menor Moderado Severo Catastrófico
Probabilidad Raro Poco Probable Posible Probable Casi Cierto

Rango (1-4) (5-8) (9-12) (13_18) (19 a 25)

Nivel de
Insignificante Menor Moderado Severo Catastrófico
Riesgo

Donde, a partir de la tabla de escenarios disruptivos que sí son potenciales, se

llena el siguiente cuadro (Por ejemplo):

Controles Probabilidad
Tipo de riesgo Riesgo Impacto Riesgo
existentes / ocurrencia
Sismo /terre-
Desastres No se tiene 2 5 10
moto
Tormenta Pararrayos/conexión
3 4 8
eléctrica a tierra
Daños Personal entrenado y
Incendio 2 5 10
Accidentales extintores
Hacking infor- Análisis de vulnerabi-
Tecnológico 2 5 15
mático lidades
Dispositivos de segu-
Ciberamenaza 2 4 8
ridad corta fuegos
Políticas de seguridad
Ransomware 2 4 8
de la información
Eventos
Fallo de energía UPS y generador 3 1 3
Externos
Conmociones
Eventos
sociales / No existe 2 5 10
Sociales
Saqueos

56
 Consejo para las Tecnologías de Información y Comunicación

yy Identificación de activos de información críticos afectados

Este paso considera la identificación de activos de información críticos que son

afectados, al igual que los procesos o servicios de tecnologías de la información
que son afectados (Por ejemplo):

Tipo de riesgo Riesgo Activos de información críticos

Servidor A, B y C.
Sismo /terremoto Cortafuegos
Desastres Bases de datos A y B
Servidor A, B y C.
Tormenta eléctrica
Cortafuegos
Servidor A, B y C.
Daños Accidentales Incendio Cortafuegos
Bases de datos A y B
Hacking informático Servidor A, B y C.
Ciberamenaza Cortafuegos
Tecnológico
Bases de datos A y B
Ransomware
Computadoras de escritorio
Servidor A, B y C.
Eventos Externos Fallo de energía Cortafuegos
Bases de datos A y B
Servidor A, B y C.
Conmociones sociales / Cortafuegos
Eventos Sociales
Saqueos Bases de datos A y B
Computadoras de escritorio

57
 yy Identificación de Procesos y Servicios de TI Afectados (Por ejemplo)

Tipo de Activos de información Procesos / servicios

Riesgo
riesgo críticos de (ti) afectados
Servicio WEB
Servidor A, B y C. Sistema X y Y
Sismo /terremoto Cortafuegos Servidor de dominio
Bases de datos A y B Servicios de red
Servicio de telefonía iP
Desastres
Servicio WEB
Servidor A, B y C.
Sistema X y Y
Tormenta eléc- Cortafuegos
Servidor de dominio
trica
Servicios de red
Servicio de telefonía iP
Servicio WEB
Servidor A, B y C. Sistema X y Y
Daños
Incendio Cortafuegos Servidor de dominio
Accidentales
Bases de datos A y B Servicios de red
Servicio de telefonía iP
Hacking informá- Servicio WEB
tico Servidor A, B y C.
Sistema X y Y
Cortafuegos
Tecnológico Ciberamenaza Servidor de dominio
Bases de datos A y B
Servicios de red
Ransomware Computadoras de escritorio
Servicio de telefonía iP
Servicio WEB
Servidor A, B y C. Sistema X y Y
Eventos
Fallo de energía Cortafuegos Servidor de dominio
Externos
Bases de datos A y B Servicios de red
Servicio de telefonía iP
Servicio WEB
Servidor A, B y C.
Sistema X y Y
Eventos Conmociones so- Cortafuegos
Servidor de dominio
Sociales ciales / Saqueos Bases de datos A y B
Servicios de red
Computadoras de escritorio
Servicio de telefonía iP

58
 Consejo para las Tecnologías de Información y Comunicación

5 Tercera metodología

El análisis de riesgos es el proceso que permite determinar y categorizar las

amenazas potenciales y vulnerabilidades asociadas a activos de información. El
resultado de este proceso permitirá un nivel de riesgo sobre el cual se deben
implementar soluciones relacionadas a la contingencia tecnológica.

Esta metodología quiere determinar la importancia que tienen las posibles ame-
nazas y vulnerabilidades a las que está expuesta y realizar una descripción del
escenario en el cual se puede dar la materialización de la amenaza, asumiendo
que el responsable conoce y entiende los riesgos.

Una vulnerabilidad es toda aquella debilidad que se presenta, dada comúnmente

por la inexistencia o ineficacia de un control. Está relacionada con la parte interna
de la entidad del sector público.

Una amenaza es todo elemento que, haciendo uso o aprovechando una vulne-
rabilidad, atenta o puede atentar contra la seguridad; está relacionada con la
parte externa de la entidad. Las amenazas surgen a partir de la existencia de
vulnerabilidades.

La determinación del riesgo para cada activo/amenaza resulta de:

yy La probabilidad de que ocurra el incidente, es decir, que la amenaza explote

la vulnerabilidad.

yy La magnitud del impacto que el evento produce sobre el activo.

La valoración del riesgo se da en función de la probabilidad y el impacto ocasio-

nado sobre el activo en escalas cualitativas.

59
 Cuadro: Valoración cualitativa
Escalas
Probabilidad Impacto
Cierta/Inminente Crítico
Muy Probable Severo
Probable Moderado
Poco Probable Menor
Improbable Irrelevante

La probabilidad y el impacto se combinan en una tabla para calcular y valorar el

riesgo en una matriz de probabilidad versus impacto.

Figura de la matriz para valorar el riesgo

Y 1 2 3 4 5

Cierta/
Bajo Medio Alto Crítico Crítico
Inminente

Muy probable Bajo Medio Alto Alto Crítico

PROBABILIDAD

Probable Irrelevante Bajo Medio Alto Alto

Poco probable Irrelevante Bajo Bajo Medio Medio

Improbable Irrelevante Irrelevante Irrelevante Bajo Bajo

IMPACTO Irrelevante Menor Moderado Severo Crítico

La valoración cualitativa del riesgo no limita a la entidad del sector público de

utilizar valoraciones cuantitativas. Después de los resultados de la valoración, se
deben tratar los que caen en la parte superior del gráfico expuesto.

La matriz que se puede utilizar para este efecto es la siguiente:

60
 Consejo para las Tecnologías de Información y Comunicación

Figura de la matriz de riesgos

VALORACIÓN DE RIESGOS
Nivel de
# Amenaza Situación Vulnerabilidad Probabilidad Impacto
riesgo

61
 Anexo B
Metodología de análisis de impactos

1 Introducción

Los Lineamientos para la Elaboración e implementación de Planes de Contingencia

Tecnológica establecen que cada entidad del sector público puede elegir meto-
dologías de normas y estándares nacionales e internacionales vigentes, o de otra
naturaleza, siempre y cuando no sean contrapuestas a los lineamientos estable-
cidos en el presente documento con respecto al análisis de impactos.

En consideración, se puede revisar la ISO 22317, norma internacional que aborda

el Análisis de Impacto en el Negocio (BIA).

La metodología de Análisis de Impactos también puede ser alguna de las sugeri-

das en el presente anexo que tiene como finalidad brindar una guía u orientación
al respecto.

2 Objetivo

La presente guía tiene el objetivo de orientar en la metodología de análisis de

impactos a partir de la cual se desarrolla como mínimo las siguientes fases:

yy Identificación: La identificación de todas las actividades que apoyan la pro-

visión de procesos, funciones o servicios que son necesarios para la conti-
nuidad tecnológica.

yy Evaluación de los impactos: La evaluación de los impactos en el tiempo o

frecuencia para determinar tiempos de recuperación, o para medir tiempos
de interrupción de las actividades que apoyan los productos, funciones o
servicios.

yy Establecimiento de Plazos: El establecimiento es necesario para la reanu-

dación de estas actividades a un nivel aceptable mínimo especificado que

62
 Consejo para las Tecnologías de Información y Comunicación

sea determinado por la entidad, que incluyan los indicadores de continuidad

RTO, RPO y MTD.

3 Primera metodología

Se define impacto como el grado o la medida de efectos adversos o consecuen-

cias, derivadas de la interrupción de un proceso crítico, existen diferentes tipos
de impacto que deben ser valorados de acuerdo a los siguientes criterios, por
ejemplo de forma no limitada:

Tipos de Impacto
Tipo de impacto Descripción
Efectos adversos de un incidente disruptivo que ocasiona pérdi-
Pérdida económica
das financieras para la entidad
Efectos adversos de un incidente disruptivo que ocasiona el
Incumplimiento legal
incumplimiento de regulaciones sectoriales o incumplimiento de
y/o regulatorio
niveles de servicio con terceras partes interesadas
Daño a la reputación Efecto adverso de un incidente disruptivo que ocasiona una pér-
/ imagen dida de reputación o compromete la imagen pública de la entidad
Afectación del Efecto adverso de un incidente disruptivo que afecta de manera
servicio al cliente directa a los niveles de servicio prestados a los clientes

Valoración del Impacto

Valoración del impacto
Valor Descripción
1 Insignificante
2 Menor
3 Moderado
4 Severo
5 Catastrófico

RTO (Tiempo Objetivo de Recuperación)

A continuación se describen los valores RTO: estos valores son definidos por
la entidad de acuerdo al análisis previo, por ejemplo, pueden ser de forma no
limitada:

63
 Valoración del RPO
TABLA PARA ESTIMAR EL RTO
VALOR DESCRIPCIÓN
1 El proceso requiere estar restaurado en menos de 15 minutos
2 El proceso requiere estar restaurado en menos de 30 minutos
3 El proceso requiere estar restaurado en menos de 1 hora.
4 El proceso requiere estar restaurado en menos de 2 horas
5 El proceso requiere estar restaurado en menos de 6 horas
6 El proceso requiere estar restaurado en menos de 12 horas
7 El proceso requiere estar restaurado en menos de 24 horas
8 El proceso requiere estar restaurado en menos de 120 horas
9 El proceso requiere estar restaurado en menos de dos semanas

RPO (Punto Objetivo de Recuperación)

A continuación se describen los valores RPO; estos valores son definidos por
la entidad de acuerdo al análisis previo, por ejemplo, pueden ser de forma no
limitada:

Valoración del RPO

Tabla para estimar el RPO
Valor Descripción
1 El proceso requiere operar con información actualizada
2 El proceso puede operar con el backup de información de las últimas 4 horas
3 El proceso puede operar con el backup de información de las últimas 8 horas
4 El proceso puede operar con el backup de información de las últimas 12 horas
5 El proceso puede operar con el backup de información de las últimas 24 horas

MTD (Tiempo Máximo de Inactividad Tolerable)

A continuación se describen los valores MTD; estos valores son definidos por
la entidad de acuerdo al análisis previo, por ejemplo, pueden ser de forma no
limitada:

64
 Consejo para las Tecnologías de Información y Comunicación

Estimación del MTD

Tabla para estimar el MTD
Valor Descripción
1 El proceso estará operativo totalmente en menos de 15 minutos
2 El proceso estará operativo totalmente en menos de 30 minutos
3 El proceso estará operativo totalmente en menos de 1 hora.
4 El proceso estará operativo totalmente en menos de 2 horas
5 El proceso estará operativo totalmente en menos de 6 horas
6 El proceso estará operativo totalmente en menos de 12 horas
7 El proceso estará operativo totalmente en menos de 24 horas
8 El proceso estará operativo totalmente en menos de 120 horas
9 El proceso requiere estar restaurado en menos de dos semanas

Niveles Mínimos de Servicio

Son los niveles de servicio, comprometidos por la entidad, para restaurar la opera-
tividad de un proceso crítico después de un incidente disruptivo respecto al RTO
definido para el proceso.

Prioridades de recuperación

Los procesos críticos presentan actividades, subprocesos y/o activos de informa-

ción que tienen mayor criticidad de recuperación para facilitar condiciones ope-
rativas al proceso. A continuación, se describen los valores definidos al respecto:

Valoración de las prioridades de recuperación

Prioridad de recuperación
Valor Descripción
A Es altamente prioritario para la recuperación del proceso
M Es medianamente prioritario para la recuperación del proceso
B Tiene una baja prioridad para la recuperación del proceso

65
 A continuación, se muestran ejemplos del llenado de las tablas BIA de forma
referencial:

Análisis del Impacto (BIA)

Proceso Sub Proceso
Gestión de la infraestructura de redes y comunicaciones
Gestión de Telecomunicaciones
(firewalls, switches, vpns, vlans, medios de transmisión)
Prioridad de Recuperación A

0-15 15-30 30-60 6-12 12-24 1-5

TIPO DE IMPACTO 1-2 Hrs. 2-6 Hrs. >5 Días
Min. Min. Min. Hrs. Hrs. Días

Mode- Catas-
Pérdida económica Menor Menor Menor Menor Menor Menor Severo
rado trófico

Incumplimiento legal Mode- Mode- Catas-

Menor Menor Menor Menor Menor Severo
y/o regulatorio rado rado trófico

Daño a la reputación Mode- Mode- Mode- Catas-

Menor Menor Menor Severo Severo
/ imagen rado rado rado trófico

Afectación del
Mode- Mode- Catas-
servicio a la Menor Menor Menor Severo Severo Severo
rado rado trófico
ciudadanía

Afectación del
Mode- Mode- Mode- Catas-
Servicio / Usuarios Menor Menor Severo Severo Severo
rado rado rado trófico
Internos

1 2 3 4 5 6 7 8 9
MTD : 5 días
< 15 < 30 < 12 < 24 < 120 >120
Máximo Periodo de < 1 Hr. < 2 Hrs. < 6 Hrs.
Min. Min. Hrs. Hrs. Hrs. Hrs.
Interrupción Tolerable
X

1 2 3 4 5 6 7 8 9
RTO : 12 horas
< 15 < 30 < 12 < 24 < 120 >120
Tiempo Objetivo < 1 Hr. < 2 Hrs. < 6 Hrs.
Min. Min. Hrs. Hrs. Hrs. Hrs.
de Recuperación
X

RPO : 1 Semana 1 2 3 4 5 6 7 8 9
(Archivos de
< 15 < 30 < 12 < 24 < 120 >120
Configuración) < 1 Hr. < 2 Hrs. < 6 Hrs.
Min. Min. Hrs. Hrs. Hrs. Hrs.
Punto Objetivo de
Recuperación X

66
 Consejo para las Tecnologías de Información y Comunicación

Proceso Sub Proceso

Gestión de Telecomunicaciones Gestión de los enlaces de comunicación
Prioridad de Recuperación A

0-15 15-30 30-60 6-12 12-24

TIPO DE IMPACTO 1-2 Hrs. 2-6 Hrs. 1-5 Días >5 Días
Min. Min. Min. Hrs. Hrs.

Mode- Catastró-
Pérdida económica Menor Menor Menor Menor Menor Menor Severo
rado fico

Incumplimiento legal Mode- Mode- Catastró-

Menor Menor Menor Menor Menor Severo
y/o regulatorio rado rado fico

Daño a la reputación Mode- Mode- Mode- Catastró-

Menor Menor Menor Severo Severo
/ imagen rado rado rado fico

Afectación del servicio Mode- Mode- Catastró-

Menor Menor Menor Severo Severo Severo
a la ciudadanía rado rado fico

Afectación del Servicio Mode- Mode- Mode- Catastró-

Menor Menor Severo Severo Severo
/ Usuarios Internos rado rado rado fico

1 2 3 4 5 6 7 8 9
MTD : 5 días
< 15 < 30 < 12 < 24 < 120 >120
Máximo Periodo de < 1 Hr. < 2 Hrs. < 6 Hrs.
Min. Min. Hrs. Hrs. Hrs. Hrs.
Interrupción Tolerable
X

1 2 3 4 5 6 7 8 9
RTO : 12 horas
< 15 < 30 < 12 < 24 < 120 >120
Tiempo Objetivo < 1 Hr. < 2 Hrs. < 6 Hrs.
Min. Min. Hrs. Hrs. Hrs. Hrs.
de Recuperación
X

1 2 3 4 5 6 7 8 9
RPO : n/a :
Punto Objetivo de < 15 < 30 < 12 < 24 < 120 >120
< 1 Hr. < 2 Hrs. < 6 Hrs.
Recuperación Min. Min. Hrs. Hrs. Hrs. Hrs.

67
 Proceso Sub Proceso
Gestión de los Sistemas de
Gestión, administración y producción del [SISTEMA X]
Información
Prioridad de Recuperación A

0-15 15-30 30-60 6-12 12-24

TIPO DE IMPACTO 1-2 Hrs. 2-6 Hrs. 1-5 Días >5 Días
Min. Min. Min. Hrs. Hrs.

Mode- Catastró-
Pérdida económica Menor Menor Menor Menor Menor Menor Severo
rado fico

Incumplimiento legal Mode- Catastró-

Menor Menor Menor Menor Menor Severo Severo
y/o regulatorio rado fico

Daño a la reputación Mode- Catastró-

Menor Menor Menor Menor Severo Severo Severo
/ imagen rado fico

Afectación del servicio Mode- Mode- Catastró-

Menor Menor Menor Severo Severo Severo
a la ciudadanía rado rado fico

Afectación del Servicio Mode- Mode- Mode- Catastró-

Menor Menor Severo Severo Severo
/ Usuarios Internos rado rado rado fico

1 2 3 4 5 6 7 8 9
MTD : 5 días
< 15 < 30 < 12 < 24 < 120 >120
Máximo Periodo de < 1 Hr. < 2 Hrs. < 6 Hrs.
Min. Min. Hrs. Hrs. Hrs. Hrs.
Interrupción Tolerable
X

1 2 3 4 5 6 7 8 9
RTO : 12 horas
< 15 < 30 < 12 < 24 < 120 >120
Tiempo Objetivo < 1 Hr. < 2 Hrs. < 6 Hrs.
Min. Min. Hrs. Hrs. Hrs. Hrs.
de Recuperación
X

RPO : 24 horas 1 2 3 4 5 6 7 8 9
(Backup Base Datos)
< 15 < 30 < 12 < 24 < 120 >120
Punto Objetivo de < 1 Hr. < 2 Hrs. < 6 Hrs.
Min. Min. Hrs. Hrs. Hrs. Hrs.
Recuperación
X

4 Segunda metodología

Introducción

El análisis de impactos es parte del plan de continuidad y debe entenderse como

un marco conceptual sobre el que las entidades del sector público deben planifi-
car integralmente los alcances y objetivos que protejan la información en todas
sus áreas críticas identificadas previamente.

68
 Consejo para las Tecnologías de Información y Comunicación

Objetivo

Tener disponible una metodología que especifique y permita identificar las áreas
críticas y sus impactos de modo que sea un instrumento para garantizar la correc-
ta medición y magnitud del impacto en una interrupción.

Pasos a seguir para el análisis de impactos

Identificación de
1
funciones y procesos

Evaluación de impactos
2
operacionales

Identificación de
3
procesos críticos

Establecimiento de
4
tiempos de recuperación

Identificación de
5
recursos

Disposición del RTO/RPO 6

Identificación de
7
alternos

Generación de informe
8
de impacto de negocio

Etapa inicial de requerimientos

Para poder llevar a cabo correctamente un análisis de impactos es necesario con-

siderar los principales puntos:

yy Identificar funciones y procesos: es decir, tener en cuenta cuáles de estos

procesos son indispensables para que entren en operación rápidamente,
asignándoles prioridades para contener el incidente sufrido. Cabe recalcar
que todos los procesos deben ser ejecutados dentro del plan de contingen-
cia tecnológica.

69
 yy Revisar las consecuencias: es necesario evaluar las consecuencias obte-
nidas a nivel operacional y financiero en un proceso considerado de alta
prioridad.

yy Estimar tiempos de recuperación: de acuerdo a las posibles alteraciones de

los procesos altamente prioritarios para el funcionamiento de las infraes-
tructuras de TI.

La información para la recopilación de requerimientos debe ser obtenida en pri-

mera instancia de las mismas entidades y áreas de la entidad del sector público.
Se recurren a recursos como ser:

yy Encuestas: conjunto de preguntas cerradas o abiertas que se envían a los

interesados o propietarios de procesos e información.

yy Entrevistas: son obtenidas de manera personal al entrevistar a los interesa-

dos o propietarios de procesos e información.

yy Talleres: se obtiene la información requerida al trabajar colectivamente con

el grupo de interesados o propietarios de procesos e información.

Al finalizar esta etapa se presenta un informe detallado de las funciones y proce-

sos críticos de la entidad.

En todos los casos la información recopilada debe ser almacenada y comunicada

de acuerdo a los reglamentos e instructivas de la entidad del sector público en la
que se trabaja.

Requerimientos de tiempo de recuperación

El lapso de tiempo concreto requerido para que la información de la entidad del

sector público esté disponible oportuna y ordenadamente tras las interrupcio-
nes de los servicios e infraestructura de TI es compuesto principalmente por los
componentes:

70
 Consejo para las Tecnologías de Información y Comunicación

yy MTD (Maximun Tolerable Downtime, tiempo máximo de inactividad tolera-

ble): tiempo durante el cual el proceso puede ser inoperable hasta que la
entidad empiece a tener pérdidas y colapse.

yy RTO (Recovery Time Objective, tiempo de recuperación objetivo): tiempo

transcurrido entre la interrupción y recuperación; indica el tiempo disponible
para recuperar lo interrumpido.

yy RPO (Recovery Point Objective, punto de recuperación objetivo): es el rango

de tolerancia de que la entidad puede tener sobre la pérdida de datos o in-
formación y evento de desastre.

yy WRT (Work Recovery Time, tiempo de recuperación de trabajo): es el tiempo

invertido en buscar datos perdidos y realizar las reparaciones necesarias; es
el tiempo entre la recuperación del sistema y normalización de los procesos.

Identificación de funciones y procesos paliativos

En este punto se identifican las funciones y procesos de la entidad del sector

público útiles para apoyar la misión y objetivos realizables. El resultado de este
punto es generar un listado de roles y procesos que analicen el cumplimiento del
plan de contingencia tecnológica.

Evaluación de impactos operacionales

Permite evaluar el nivel de la interrupción en varios aspectos, utilizando la si-

guiente tabla como referencia:

71
 EVALUACIÓN DE IMPACTOS OPERACIONALES
El impacto operacional permite evaluar el nivel negativo de una interrupción en varios aspectos
de las operaciones de la entidad; el impacto se puede medir utilizando un esquema de valoración,
con los siguientes niveles: A, B o C.
La operación es crítica para un negocio. Una operación es crítica
Nivel A cuando al no contar con esta, la función de la entidad no puede
realizarse.
La operación es una parte integral de la entidad, sin esta el nego-
Nivel B
cio no podrá operar normalmente, pero la función no es crítica.
Nivel C La operación no es una parte integral de la entidad.

Para ejemplificar el desarrollo presentamos la tabla:

VALORACIÓN OPERACIONAL POR NIVELES DE CRITICIDAD

Categoría Tolerancia
(Función de Procesos (Servicio) Nivel a fallas Descripción
la entidad) (Horas)
Sistema de control de Contenedor de
Aplicaciones B 3
flujo de documentos aplicaciones
Web Sitio web entidad A 1 Capa de presentación
Contenedor de
Base de datos SQL nómina A 1
aplicaciones en SQL
Seguridad de Servicio de firewall de la
Firewall A 1
información entidad
Sistemas de SAN (Storage Area Capacidad de
A 3
almacenamiento Network) almacenamiento en SAN
Comunicación de
Comunicaciones Acceso local a internet C 4
internet del usuario local
Cuartos de Servicio de centro de
Centro de datos A 1
máquinas datos de la entidad
Desarrollo interno
Proveedores de
o contratado por
aplicaciones y/o Interno/externo B 2
externos. Canales de
comunicaciones
comunicación.
Profesionales
encargados de
Recurso humano Interno/externo C 3 administrar las
infraestructuras de la
entidad.

72
 Consejo para las Tecnologías de Información y Comunicación

Identificación de procesos críticos

La identificación de procesos y operaciones críticas para la entidad del sector

público tiene base en la clasificación antes propuesta de acuerdo a sus objetivos
y metas.

Establecimiento de los tiempos de recuperación

Una vez identificados y clasificados todos los procesos, se analizan los tiempos
que tardan en normalizarse sin afectar o colapsar la entidad del sector público,
cada entidad determina estos tiempos en función de sus necesidades.

Como ejemplo:

Categoría Proceso Crítico Prioridad de

MTD (en días)
(Función Crítica) (Servicios) Recuperación
Sistema de control de
Aplicaciones 2 días 3
flujo de documentos
Soporte informático Dispositivos móviles 2 días 3
Aplicaciones Sistema de nómina 0.5 día* 1
Seguridad de
Firewall 0.5 día* 1
información
Sistema de SAN (Storage Area
1 día 2
almacenamiento Network)
Comunicaciones Servicio WiFi 1 día 2
Cuartos de máquina Centro de datos 0.5 día* 1
Soporte informático Equipo PC de usuario 3 días 4

Identificación de recursos

Los recursos y procesos indispensables para normalizar las operaciones y proce-

sos en la entidad del sector público deben ser priorizados, de igual forma los pro-
cesos alternos que hacen posible la operabilidad en caso de interrupciones. Para
ello, es oportuno que las entidades tengan métodos alternativos temporales que
coadyuven a superar las crisis generadas por las interrupciones en cada proceso
crítico establecido.

73
 Como ejemplo:

Categoría (Función Procesos críticos Identificación de recursos

crítica) (Servicios) críticos de sistemas TI
Sistema de entrada de novedades adminis-
Aplicaciones Sistemas de nómina trativas.
Interfaces con el Sistema Financiero.
Reglas de entrada y salida de puertos.
Seguridad de
Firewall Reglas NAT/PAT.
información
Direccionamiento IP público.
Control de identificación de usuarios con
Comunicaciones Servicio WiFi Portal Cautivo.
Control de usuarios locales vs. invitados.
Control de operaciones de Servidores, Equipos
de Comunicaciones, Sistemas de Almacena-
Cuartos de máquina Centro de datos
miento, Sistemas de Backups, Aire Acondicio-
nado, Acometida Electrica.

Documentos Generados

Al culminar el análisis de riesgos es necesario tener aprobado por el Consejo de

Seguridad de la información (CSI) y Máxima Autoridad Ejecutiva (MAE) los siguien-
tes documentos y procesos:

yy Listado y evaluación de procesos críticos

yy Prioridades de sistemas y aplicaciones

yy Procesos con análisis de tiempos de recuperación

yy Identificación de recursos

Listado de evaluación y procesos críticos:

74
 Consejo para las Tecnologías de Información y Comunicación

Procesos Tiempo de Tiempo de

Categoría Identificación de recursos
Críticos recuperación recuperación
(Función crítica) críticos de Sistema TI
(Servicios) Objetivo-RTO Trabajo-WRT
Control de operaciones de
1 día 1 día
servidores.
Sistemas de 0.5 día 0.5 día
Cuartos de Centro de almacenamiento.
máquinas datos
Sistemas de backups. 1.5 días 1 día
Aire acondicionado. 1 día 0.5 día
Acometida eléctrica. 0.5 día 0.5 día

Generación de Informe de Impacto del Negocio

Con todos los requerimientos y documentos generados elabora un informe donde

se establecen también las posibles soluciones y alternativas para minimizar el
impacto generado.

75
 Anexo C
Plan de tratamiento de riesgos

Como parte integral se tienen los Planes de Tratamiento de Riesgos para

Contingencia Tecnológica, los cuales están diseñados para la respuesta plani-
ficada ante el fallo o pérdida de activos de información de la infraestructura de
Tecnologías de Información en situaciones de contingencia.

Este plan de tratamiento de riesgos forma parte de las posibles estrategias que
se implementen y su uso no es obligatorio, sino de forma condicional a los reque-
rimientos de la entidad del sector público.

1 Objetivos

yy Reducir el impacto de incidentes que afecten la contingencia tecnológica

de hardware, software, equipos y periféricos que soportan los principales
procesos y servicios prestados por la infraestructura de Tecnologías de
Información de la entidad.

yy Optimizar los esfuerzos y recursos necesarios para atender cualquier con-

tingencia de manera oportuna y eficiente, definiendo las personas respon-
sables de las actividades a desarrollar para la respuesta de incidentes dis-
ruptivos relacionados con fallos de la infraestructura de tecnologías de la
Información.

yy Facilitar los procedimientos y capacidades para la recuperación de activos

críticos de la infraestructura de tecnologías de información de la entidad.

2 Metodología

yy Descripción de la contingencia

yy Activos de información afectados

yy Medidas de prevención

76
 Consejo para las Tecnologías de Información y Comunicación

yy Recursos mínimos asignados para la recuperación

yy Procesos críticos relacionados

yy Convenios realizados para la recuperación

3 Planificación y ejecución de plan de tratamiento de riesgos

Todo plan de tratamiento de riesgos asociados a la contingencia tecnológica re-

quiere identificar con precisión los siguientes elementos:

yy Definir el tipo de contingencia tecnológica a probar

yy Establece el escenario o condiciones de fallo

yy Fecha y hora de la prueba

yy Comunicación sobre la planificación a las partes interesadas

yy Recursos necesarios

yy Objetivo de la prueba

yy Procedimiento de prueba

yy Responsable de la ejecución

yy Equipo de validación de pruebas

4 Procedimientos del plan de contingencia

Debe tener un procedimiento de la prueba a realizarse; todas las actividades

descritas en un procedimiento deben ser superadas para considerar el Plan de
Tratamiento de Riesgos de Contingencias Tecnológicas. En caso que alguna de

77
 las actividades especificadas en un procedimiento falle, se considera que la eje-
cución ha sido fallida.

Todos los planes y procedimientos de contingencia tecnológica deben probarse

al menos una vez al año para verificar su eficacia y para crear la capacidad técnica
y operacional para responder a incidentes y para garantizar la recuperación de
activos de información críticos.

Todo procedimiento debe tener un responsable de su ejecución y una instancia

independiente que supervise y evalúe la ejecución exitosa o fallida de pruebas
de contingencia.

4.1 Detalle de procedimientos

Detalle de Procedimientos Descripción

Procedimiento a […]
Procedimiento b […]
Procedimiento c […]
[…] […]
Procedimiento n […]

4.2 Programación y pruebas

Gestión/Año
Procedimiento Estado
ene feb mar abr may jun jul ago sep oct nov dic
Procedimiento a ejecutado x
Procedimiento b ejecutado x
Procedimiento c Programado x
[…] Programado x
Procedimiento n Programado x

78
 Consejo para las Tecnologías de Información y Comunicación

Anexo D
Plan de recuperación de desastre

Los planes de recuperación de desastres en Contingencia Tecnológica proporcio-

nan procedimientos detallados a seguir, paso a paso, para recuperar los sistemas,
redes y otros que han sufrido disrupciones para ayudar a resumir la normalidad
en las operaciones de la entidad del sector público.

Este plan de recuperación de desastres forma parte de las posibles estrategias

que se implementen y su uso no es obligatorio, sino de forma condicional a los
requerimientos de la entidad del sector público.

1 Objetivo

El objetivo de estos procesos es minimizar cualquier impacto negativo en las ope-

raciones de la entidad del sector público.

El proceso de recuperación de desastres identifica los sistemas, redes y otros,

críticos de tecnologías de la información (con la criticidad); fija las prioridades
para su recuperación y dibuja los pasos necesarios para actividades previas al
desastre, actividades durante el desastre y actividades después del desastre.

Todo plan integral de recuperación de desastres debería incluir a todos los pro-
veedores relevantes, las fuentes de experiencia para recuperar los sistemas
afectados y una secuencia lógica de los pasos a seguir hasta alcanzar una recu-
peración adecuada de desastre.

2 Estructura del plan

Esta estructura proporciona la orientación necesaria para elaborar un plan de re-

cuperación de desastres efectivo.

Actividades previas al desastre: Actividades de resguardo de información que

aseguren una recuperación con el menor costo, realizar o elaborar un plan de
acción por cada proceso, función o servicio, que sea identificado en la criticidad.

79
 Actividades durante el desastre: Establecer un programa de prácticas de eje-
cución de procedimientos ante diferentes siniestros que puedan ocurrir y definir
actividades y actores con flujos de contingencias.

Actividades después del desastre: Evaluación de daños, que tenga prioriza-

ción de actividades del plan con su respectiva ejecución de actividades, la res-
tauración del proceso, función o servicio una evaluación de los resultados de la
recuperación y la optimización del plan de recuperación de desastres.

3 Metodología

Se puede seguir de forma no limitativa la siguiente metodología:

1. Establecer el alcance de la acción, como por ejemplo, elementos internos,

activos externos, recursos de terceros, enlaces a oficinas, clientes y pro-
veedores, etc.

2. Recopilar toda la documentación relevante de la infraestructura de redes,

como los diagramas de las redes, la configuración de los equipos y bases
de datos, etc.

3. Obtener copias de los planes de recuperación de redes y de tecnologías

de la información existentes.

4. Examinar el historial previo de disrupciones y cómo fueron gestionados.

5. Identificar los activos TI que la dirección considera de importancia crí-

tica. Por ejemplo, procesos, funciones o servicios, servidores, acceso a
internet.

6. Determinar el tiempo máximo que está dispuesta a aceptar la entidad del

sector público, en caso de indisponibilidad de los equipos de TI, de acuer-
do al análisis de impactos.

80
 Consejo para las Tecnologías de Información y Comunicación

7. Identificar los procedimientos operativos que se utilizan actualmente

para responder a disrupciones y preparar al personal para manejar los
sistemas críticos, especialmente en casos de emergencia.

8. Identificar las capacidades de respuesta de los proveedores en casos de

emergencia, si se han utilizado alguna vez, si funcionaron correctamente,
cuánto paga la compañía por estos servicios, el estado del contrato de
servicio, la existencia del acuerdo de nivel de servicio (SLA).

9. Resultados de todas las evaluaciones, que identifique lo que se está ha-

ciendo frente a lo que debería hacerse con recomendaciones sobre cómo
lograr el nivel requerido en el análisis de impactos.

10. Revisar el plan de recuperación de desastres y mejorarlo.

11. Realizar pruebas de los planes y activos de recuperación de sistemas para

validar su operatividad.

81
 Anexo E
Modelo de pruebas plan de contingencias tecnológicas

Objetivo de la prueba:

Fecha y hora de realización de la prueba:

Responsable de ejecución: Líder de recuperación tecnológica y/o listado con prelación.

Descripción contingencia
[Descripción]
[Activos de Información Afectados]
Escenario o condiciones de fallo
[Causas]
[Efectos]
Comunicación a partes interesadas Listado de personas a ser comunicadas
Recursos de hardware
Recursos de software
Recursos mínimos asignados
Recursos de respaldo
para la recuperación
Facilidades
Costo
Fecha de planificación: __/__/__
Procedimiento de la prueba Fecha de aprobación: __/__/__
[Detalle de procedimientos]
Validación de la prueba

[Comentarios/observaciones/evidencias]

[Validación del procedimiento]

[Sello/firma] [Sello/firma]

[Departamento Sistemas] [Responsable de Seguridad Información]

82
 Consejo para las Tecnologías de Información y Comunicación

[Aprobación del procedimiento]

[Sello/firma] [Sello/firma]

[Delegado del Comité de Seguridad de la [Delegado de Auditoría Interna]

Información]

Resultado: [Prueba exitosa / Prueba fallida]

Comentarios del resultado:

83
 Anexo F
Procedimiento de información documentada

Elaboración de Responsable de Seguridad Comité de Seguridad

información de la Información de la Información

Elaboran información
documentada y/o hacen
cambios

Reciben, analizan y
verifican la información
documentada

Cumple requisitos
NO

SI

Codifican y procesan
información
documentada

Autorizan información

Coordinan difusión de la
información
documentada

Opera y archiva
información Integran al archivo y
documentada distribuye información

84