1. PLAN DE CONTINUIDAD OPERATIVA DEL MININTER
DENTRO DEL MARCO DEL SISTEMA NACIONAL DEL
RIESGO DE DESASTRE-SINAGERD
INDICE
I. OBJETIVO GENERAL
II. OBJETIVOS ESPECIFICOS
III. BAS LEGAL
IV. ANALISIS DE LA NORMA
4.1 Gestión de la continuidad Operativa
1
2. 4.2 Interacciones de la norma entre la gestión de la continuidad operativa y la Gestión
del Riesgo de desastre
IV. ALCANCE
V. RESPONSABILIDADES
5.1. Encargado de la seguridad Institucional
5.2 Responsable del proceso estratégico
VI. TERMINOLOGIA
6.1 Plan de continuidad operacional
6.2 Procedimientos de emergencia
6.3 Procedimiento de respaldo
6.4 Procedimiento operacional
6.5 Procedimiento de reanudación
6.6 Amenaza
6.7 Riesgo
6.8 Impacto del riesgo
VII. DESARROLLO, DESCRIPCION DEL PROCESO
VIII. DEIFINICION DEL PLAN DE CONTINUIDAD
8.1 El responsable del proceso estratégico
8.2 Desarrollo del plan de continuidad
IX REGISTROS
X ANEXOS
PLAN DE GESTION DE LA CONTINUIDAD OPERATIVA DEL SECTOR
INTERIOR
I. OBJETIVO GENERAL
Fortalecer la capacidad de gestión operativa del Ministerio del Interior y de los
órganos adscritos, Mediante el planeamiento estratégico para la continuidad
operativa de las actividades en situaciones críticas antes situaciones de
impacto de desastres, así como también dentro del ámbito de competencia del
2
3. sector, garantizando la sustentabilidad en las diferentes acciones por parte de
los funcionarios administrativos ,trabajadores . Asimismo Contar con los
principales mecanismos para generar los planes de prevención dentro de los
procesos estratégicos del Sistema Nacional de la Gestión del Riesgo de
Desastres - SINAGERD.
II. OBJETIVOS ESPECIFICOS
• Prevenir la interrupción en la operación de gestión de la Institución.
• Promover los instrumentos y herramientas necesarias a las áreas de la
de la Institución para que desarrollen los planes de Continuidad
Operativa que permitan el continuo funcionamiento de sus procesos
de cada área en funcionamiento.
• Comprobar de forma periódica y sistemática, que los recursos
contingentes estén disponibles
• Desarrollar en la Institución una cultura de la Gestión de Continuidad
Operativa mediante la comunicación, sensibilización y capacitación de
los colaboradores en los respectivos planes.
• Realizar un mejoramiento continuo de Sistema de Gestión
Continuidad Operativa mediante el Registro y seguimiento de acciones
preventivas, correctivas y de mejora continua
• Fomentar la resiliencia en la gestión administrativa del sector Interior a
partir del establecimiento de las variables estrategias de continuidad
operativa de forma coordinada entre la Institución del sector Interior y
el área encargada de la verificación periódica de las mismas.
III. BASE LEGAL
• Ley N° 29664, Ley que crea el Sistema Nacional de Gestión del
Riesgo de Desastres (SINAGERD) .
• Ley W 29158, Ley Orgánica del Poder Ejecutivo.
3
4. • Decreto Supremo W 034-2014-PCM, Decreto Supremo que aprueba
el Plan Nacional de Gestión del Riesgo de Desastres - PLANAGERD
2014-2021.
• Decreto Supremo N° 055-2013-PCM, Decreto supremo que aprueba
la modificación del Reglamento de Organización y Funciones de la
Presidencia del Consejo de Ministros.
• Decreto Supremo N°111-2012-PCM, Decreto Supremo que incorpora
la Política
• Nacional de Gestión del Riesgo de Desastres como Política Nacional
de obligatorio
• Cumplimiento para las entidades del Gobierno Nacional.
• Decreto Supremo N° 048-2011-PCM, Decreto Supremo que aprueba
el Reglamento de
• la Ley N° 29664, que crea el Sistema Nacional de Gestión del Riesgo
de Desastres
• (SINAGERD).
• Decreto Supremo N° 063-2007-PCM, Re
IV . ANALISIS DE LAS NORMAS
4.1 La Gestión de la Continuidad Operativa
I. mediante R.M 028-2015-PCM. Contienen los lineamientos para su
elaboración de dicho plan, Se hace referente a diferentes tipos de
situaciones, como interrupciones informáticos, en los servicios de
electricidad, disturbios y otros tipos de conmoción social, guerras,
terrorismo, sismos, fenómenos naturales y otros. Accidentes que
involucran a numeroso personal clave. En el Perú existen lineamientos
para las entidades públicas de los tres niveles de gobierno, con los
lineamientos publicados por la PCM en febrero 2015
II. La Gestión del Riesgo de Desastres es una disciplina reciente, con la
toma de conciencia creciente de que los “desastres naturales”, deben
4
5. llamarse así, entre comillas, porque en realidad se puede reducir los
impactos de los fenómenos naturales: se puede hacer que estos causen
un determinado nivel de daños sin llegar a ser un desastre, o por lo
menos si hay desastre, que sus impactos sean lo más reducidos posible.
III. Los organismos multilaterales y los de cooperación bilateral han estado
promoviendo el desarrollo de esta gestión, que en los países más
desarrollados también tiene mucho más tiempo. Y esta gestión está
dividida en varios procesos principales. La lista varía un poco según los
países, pero en el Perú, según la Ley Nº 29664, la cual en febrero del
2011 creó el llamado “Sistema Nacional de Gestión del Riesgo de
Desastres” (SINAGERD, y su Reglamento publicado mediante Decreto
Supremo Nº 048-2011-PCM), estos son 7:
1. Estimación del riesgo
2. Prevención del Riesgo
3. Reducción del Riesgo
4. Preparación
5. Respuesta
6. Rehabilitación (que ojo: incluye asegurar la continuidad de los servicios
públicos básicos)
7. Reconstrucción
Según la normativa del SINAGERD, las entidades deben hacer “planes de
operaciones de emergencia”, es decir cada una debe saber qué le toca
hacer en el marco de su misión y cuando se presenta una emergencia, y
prepararse para ello; es un tema esencialmente de Respuesta, aunque si se
hacen planes para responder, hay también elementos de Preparación.
Entre la gestión prospectiva (estimación, prevención y reducción), la gestión
reactiva (preparación, respuesta y rehabilitación) y la correctiva
(reconstrucción).
3.2 Relación, Interacciones de la norma entre la gestión de la Continuidad
Operativa y la Gestión del Riesgo de Desastres
5
6. Los procesos de gestión del riesgo de desastres (GRD) pueden ser imposibles
de llevar a cabo si no se tiene una buena gestión de la Continuidad Operativa
de la Institución y / o Empresa. Cuando se produce un evento imaginemos
solo un instante: ¿ han hecho planes de operaciones de emergencia, todo
saben lo que les toca hacer Se produce el evento, digamos un sismo de gran
magnitud para situarnos es nuestra realidad, y no se logra hacer nada, es la
parálisis parcial o total: no se logra contactar a las personas que deben
“responder”, no hay nadie para dar órdenes, se derrumbó la sede institucional
con gran parte de los mandos y del personal clave adentro, o muchas de las
personas previstas ya no pueden operar porque están bajo los escombros de
sus casas o de los muros que cayeron sobre el vehículo en el que transitaban,
etc. Todos los planes de respuesta a la emergencia terminan quedando en sólo
eso: planes en el papel. Y visto de manera más macro, ni hablar de poder
trabajar en la rehabilitación y la reconstrucción después, ciertas entidades no
podrán hacerlo durante un buen tiempo.
Como ya se habrán dado cuenta sin mucho esfuerzo, eso sólo se puede evitar
cuando la empresa o la entidad se han organizado muy bien en lo que respecta
a la gestión de su continuidad operativa (o del negocio), como parte intrínseca
de su organización, ni siquiera es un tema de preparación específica para los
desastres (esta coadyuva en ello más bien; por eso el área a cargo de temas
de “defensa civil “es uno de los socios clave del área de continuidad), es una
manera de funcionar y de organizarse que ya debe estar ahí, simplemente. Una
buena GRD es imposible sin una buena gestión de la continuidad del negocio
(u operativa), por supuesto, es otra de las interacciones, cuando en el marco
de la gestión de la continuidad, se tiene planes de continuidad, estos tienen
que articularse con los planes de operaciones de emergencia que se
tengan, los planes tienen que “conversar”. ¿Puede haber personas que estén
involucradas en las dos cosas al mismo tiempo? Depende del tipo de
actividad de la entidad o empresa, más en unos casos, menos en otros. Pero
por ejemplo, un equipo especializado en la gestión de la continuidad no lo está
en el plan de operaciones de emergencia; está más bien ayudando a que éste
6
7. pueda realizarse. Esta diferencia quede bien clara. En el mundo de las
empresas y/o instituciones modernas o de los Estados más modernos, que
practican El plan de continuidad de operatividad desde hace mucho tiempo,
esto es obvio, pero se puede entender que en nuestro país y en muchas
instituciones no sea así, sobre todo si sólo se ve a la gestión de la continuidad
operativa como una fuente de gastos y trabajo adicionales.
V. ALCANCE
5.1. MININTER, PNP, SUCAMEC, ONAGI, MIGRACIONES.
VI. RESPONSABILIDADES
6.1 Encargado de Seguridad Institucional: apoyar la generación del plan
de Continuidad operacional con el responsable del proceso estratégico:
Revisar, actualizar este procedimiento según los lineamientos para la
Gestión de Continuidad operativa de las entidades públicas en los tres
niveles de gobierno.
6.2 Responsable del proceso estratégico: el Jefe y / o Director
correspondiente del proceso estratégico o en quien este delegue es
responsable de generar el plan de continuidad operacional, activar su
funcionamiento y asignar responsabilidades cuando corresponda
ejecutar actividades.
VII. TERMINOLOGIA
7.1 Plan de continuidad operacional:
Documento aprobado que debe ser utilizado como un instrumento de
gestión, entrega los lineamientos necesarios para contrarrestar
interrupciones a las actividades del servicio y proteger los procesos
críticos de la institución contra los efectos de fallas importantes en los
sistemas de Gestión de Riesgos o contra desastres, a fin de asegurar
una restauración oportuna, del plan de continuidad se pueden derivar los
procedimientos de emergencia, de respaldo, operacional y de
reanudación.
7
8. 7.2 Procedimientos de emergencia:
Describen las acciones por realizar tras un Incidente que ponga en
peligro las operaciones del proceso.
7.3 Procedimientos de respaldo: describen las acciones por realizar para
desplazar Las actividades esenciales del riesgo o los servicios de
soporte a lugares temporales alternos y para devolver la operatividad
de los procesos del negocio en los plazos requeridos.
7.4. Procedimientos operacionales: procedimientos a seguir mientras se
termina la recuperación y restauración.
7.5 Procedimiento de reanudación: Describen las acciones por realizar
para que las operaciones del proceso vuelvan a la normatividad.
7.6 Amanaza: causa potencial de un incidente no deseado, que puede dar
lugar a daños a un sistema o a una organización.
7.7 Riesgo: combinación de la probabilidad de un acontecimiento y de su
consecuencia.
6.8 Impacto del riesgo: determinar si la probabilidad del
acontecimiento y su consecuencia tienen un impacto técnico y/o político.
VII. DESARROLLO / DESCRIPCION DEL PROCESO
7.1 Formato del plan de continuidad operacional
• Índice
• Objetivo
• Alcance
• Responsabilidades
• Terminología
• Documentos aplicables o relacionados
• Desarrollo/Descripción del procedimiento
• Registros
• Anexos
VIII. DEFINICIÓN DEL PLAN DE CONTINUIDAD
8
9. 8.1 El responsable del proceso estratégico es quien debe definir el plan de
continuidad operacional y su activación. Para generar el plan de
continuidad operacional se debe considerar lo siguiente:
• Obtener el compromiso del Jefe Superior para la implementación del
plan de continuidad.
• Identificar los cometidos y responsabilidades concretas de cada uno de
los integrantes que implementara el plan de continuidad, para esto se
debe utilizar en el siguiente cuadro1
:
Nombre del proceso: proceso objeto del plan de continuidad operacional.
SUBPROCESO
Etapa relevante
de subproceso.
Responsable Subrogrograncia2
SUBPROCESO
ETAPA 1 Cargo del
responsable
cargo del subrogante
ETAPA 2 cargo del
responsable
cargo del subrogante
ETAPA 3 cargo del
responsable
cargo del subrogante
8. 2 Desarrollo del plan de continuidad.
8.2.1 El plan de continuidad, debe cubrir los aspectos críticos y esenciales de la
actividad del servicio, de acuerdo a lo definido en una directiva, para esto
se debe:
• Comprender los riesgos que enfrenta la Institución en términos de la
probabilidad y el impacto en el tiempo, incluyendo la identificación y la
determinación de la prioridad de los procesos críticos de la razón de ser
de la institución.
1
El cuadro se alimenta de la información de la planilla donde se registra el personal a cargo la seguridad
2
Son subrogantes aquellos funcionarios que entran a desempeñar el empleo del titular o suplente por el
sector o órgano adscrito. cuando no existe un subrogante se debe designar a aquel que reemplaza al
responsable de ejecutar dicha etapa del proceso.
9
10. • Identificación de todos los activos involucrados en los procesos
estratégicos seleccionados.
• Comprensión del impacto que puedan tener las interrupciones causadas
por evento/s de seguridad de la información (es importante encontrar
soluciones para manejar los incidentes que producen impactos menores,
así como los incidentes graves que pueden amenazar la viabilidad de la
institución).
• Consideración de pólizas de seguro adecuadas que puedan formar parte
de todo el proceso de continuidad del negocio y de la gestión de riesgos
operacionales.
• Identificación y consideración de la implementación de controles
preventivos y mitigantes adicionales a los ya identificados.
• Identificación de recursos financieros, organizacionales, técnicos y
ambientales suficientes para tratar los requisitos de la seguridad de la
información.
• Garantizar la seguridad del personal y la protección de los servicios de
procesamiento de la información y de la propiedad de la organización.
• Formulación y documentación de los planes de continuidad del negocio
que aborda los requisitos de seguridad de la informaci6n acorde con la
política de continuidad operacional.
•
Para lo anterior se debe utilizar la siguiente tabla sucesivamente con
todos los subprocesos críticos:
AMENAZAS RIESGO RESPONSABLE
DE EVALUAR EL
RIESGO
PERDIDA
ACEPTABLE
DE
INFORMACION
PLAN DE
CONTINUIDAD
(se describen
las acciones
por realizar
tras un
incidente que
ponga en
peligro las
operaciones de
la institución)
PLAN DE
REANUDADCION
(describen las
acciones por
realizar para que
las operaciones
de la institución
vuelvan a la
normatividad)
ESCALA
MIENTO
RESPON
SABLE
DE
ACTIVAR
EL PLAN
10
11. Errores
humanos
Actividades
Recursos
necesarios
Fallas en
equipos
Actividades
Recursos
necesarios
Robo Actividades
Recursos
necesarios
Fuego Actividades
Recursos
necesarios
Desastres
naturales
Actividades
Recursos
necesarios
Conflictos
sociales
Actividades
Recursos
necesarios
8.2..2 Con el fin de garantizar su consistencia el plan de continuidad de
negocio debe considerar lo siguiente:
• Identificar las variables que permiten la activación del plan de
continuidad.
• En la estrategia de recuperación de desastres: costos de las
diferentes alternativas, costos de los servicios alternos, prioridades y
tiempo de recuperación, negocios, usuarios, y servicios aspectos
técnicos e información.
• Definir los contactos con autoridades externas pertinentes (ej.
bomberos, PNP, ONAGI, etc.)
• Procedimientos de contingencia y procedimientos de reanudación a
la operación normal.
• Documentaci6n de procedimientos y procesos acordados.
• Capacitación apropiada sobre manejo de emergencias.
• Cronograma de pruebas del plan de continuidad operacional.
• Responsabilidades individuales de ejecución y propietarios de cada
plan de continuidad.
11
12. • Debe existir un rol de custodio de dicha informaci6n, quien será
responsable de su mantención, garantizando su integridad,
accesibilidad y actualización.
8.3 Difusión y capacitación sobre el plan de continuidad.
8.3.1 Todo el personal involucrado en el alcance del sistema de seguridad
de la Información debe conocer el plan de continuidad operacional y
su respectiva Función dentro del. Todo el personal no solo debe
estar consciente de su existencia, sino conocer su contenido, junto
con las actividades y responsabilidades de cada parte.
8.3.2 Se debe difundir a través de un plan, según las indicaciones del área
de recursos humanos3
8.4 Prueba del plan de continuidad.
8.4.1 El plan de continuidad operacional debe ser puesto a prueba a lo
menos una vez cada dos arios, con el fin de garantizar que en la
instituci6n se entienda claramente como debe ser ejecutado. El
objetivo es evaluar su viabilidad, y garantizar que los funcionarios
estén familiarizados con éste.
8.4.2 Las pruebas que se le realicen al plan de continuidad deben
simular de la formas más fidedigna posible, las condiciones y
consecuencias reales de un evento catastrófico, con el objetivo de
evitar que tales pruebas no sean limitadas ni deficientes; deben
indicar cómo y cuándo se va a probar cada elemento del plan (cada
uno de los elementos se debería probar con frecuencia).
8.4.3 Es posible hacer uso de distintas tipos de pruebas, las cuales
pueden incluir:
3
Mención al Área de recursos humanos , se debe su responsabilidad en cuanto a la generación y
gestión de un plan de difusión del sistema de seguridad de la información
12
13. Hacer uso del plan en diferentes escenarios, por medio de
listas de chequeo, analizando las disposiciones de
recuperaci6n con ayuda de ejemplos de interrupciones.
Simulaciones del plan (particularmente para la formación
del personal en sus funciones de gesti6n de crisis/ post
incidentes)
Pruebas de recuperación técnica (garantizando que los
sistemas de informaci6n se puedan restaurar eficazmente).
Prueba de servicios externos (energía, comunicaciones,
etc.)
Pruebas de los recursos y servicios del proveedor
(asegurando que los servicios y productos proporcionados
externamente cumplirán el compromiso contraído)
8.4.4 Cualquiera sea la prueba que se utilice de deben registrar los
resultados y cuando sea necesario, tomar las acciones para
mejorar los planes.
8.5 Mantenimiento y actualización del plan de continuidad
8.5.1 El plan de continuidad operacional debe estar actualizado y
revisado periódicamente.
8.5.2 El plan debe ser actualizado cuando se presenten a lo menos
algunos de los siguientes cambios:
Adquisición o cambio de equipamiento de los procesos
estratégicos.
Actualizaciones en los sistemas operacionales estratégicos.
En el personal crítico del proceso.
En la estrategia de la instituci6n.
En las ubicaciones físicas de las instalaciones donde se
desarrollan los procesos estratégicos.
Proveedores de servicio relevantes para los procesos de la
instituci6n.
13
14. En los procesos estratégicos (eliminación, modificación o
nuevos)
IX. REGISTROS
IDENTIFICACION ALMACENAMIENTO PROTECCION RECUPERACION RETENCION DSIPOSICION
-- -- -- -- -- --
-- -- -- -- -- --
-- -- -- -- -- --
X. ANEXOS
CONCLUSIONES Y RECOMENDACIONES
1. Los procedimientos técnicos, administrativos y legales permiten
garantizar una adecuada y oportuna gestión de la continuidad
operativa en las Entidades Publica y en los tres niveles de
gobierno, así como su correspondiente implementación
2. De conformidad con el RM N° 028-2015-05.02.2015 manifiesta que
la Policía Nacional del Perú se orienta la actuación de y todos los
actores involucrados que interactúan de manera articulada y
participativa en la gestión de Riesgo de desastre con la finalidad
de proteger la integridad de la vida de las personas su patrimonio
y propender al desarrollo sostenible del país.
3. La adecuación y el alcance de la complejidad de sus operadores
y servicios, es imperativo en base a la norma, se hace imperativo
bajo responsabilidad de la máxima autoridad de la Institución,
dicha gestión se implementara mediante la ejecución del plan de
Continuidad Operativa respectivo, aprobado por el titular de la
entidad.
4. Coordinar con los responsables de los Centros de Operaciones de
Emergencia (COE) y las unidades de los medios de
14
15. comunicaciones de la entidad, según corresponda, para la
implementación de la continuidad operativa.
15