20210724 Plan de Continuidad de Negocio v1-1

Plan de Continuidad de Negocio

Sistema de Gestión de Seguridad de la Información Documento propiedad de insttantt Documento vigente en RED. Cualquier versión impresa es una copia no controlada.

Versión: Fecha Revisión: Revisado Por: Aprobado Por:

1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez de 1 12

Documento de Uso Restringido

insttantt

Sistema de Gestión de Seguridad de la Información


insttantt


1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez Documento de Uso Restringido






insttantt

Contenido

Introducción 3 .................................................................................

Objetivo 3 ..........................................................................................

Objetivo General 3 .......................................................................................................

Objetivos Específicos 3 .............................................................................................

Alcance 4 ...........................................................................................

Marco Legal 4 ..................................................................................

Estructura del PCN 5 ...................................................................

Identificación y Clasificación del Riesgo 5 .................................................

Roles y Responsabilidades 7 ................................................................................

Actividades del PCN 9 ................................................................

Escenarios y Tiempos de Restauración 11.......................






insttantt






insttantt

Introducción

Con el fin de establecer mecanismos para mitigar los riesgos identificados por el área de operaciones que amenazan la normal prestación del servicio para las soluciones ofrecidas por insttantt, la Dirección de Operaciones de insttantt, ha definido las acciones que se deben seguir en el momento de presentarse una contingencia que afecte los servicios para mantener o restablecer el servicio en el menor tiempo posible, acciones que se encuentran definidas teniendo en cuenta la disponibilidad de recursos físicos y humanos actuales, y relacionadas en el presente documento. A continuación, se p re s e n t a e l d o c u m e n to Plan de Continuidad de Negocio (PCN) el cual hace parte del Sistema de Gestión de Seguridad de la Información de insttantt.

Objetivo

Objetivo General

Recuperar la prestación del servicio de las soluciones ofrecidas por insttantt, ante la presencia de eventos que puedan alterar el normal funcionamiento de los sistemas de información considerados como críticos para la operación en insttantt, restableciendo el servicio en el menor

tiempo posible, a través de la puesta en marcha de procedimientos, actividades y recursos requeridos para afrontar la contingencia.

Objetivos Específicos

• Restablecer la operatividad de las soluciones en el menor tiempo posible dependiendo del evento presentado.

• Mantener operativos los sistemas de información críticos, cuando son interrumpidos o degradados por contingencias que afectan parcial o totalmente los servicios de datos.

• Identificar, evaluar y mitigar los riesgos a los que se encuentra expuesta la tecnología provista para la prestación del servicio.

• Reducir las consecuencias de la posible pérdida de información relacionada con el evento inesperado en un nivel aceptable, al ejecutar procedimientos de respaldo y recuperación apropiados.

• Minimizar la posible afectación de reputación y operativa que se genere por la presencia de una falla técnica o humana en la plataforma tecnológica.






insttantt

Alcance

El Plan de Continuidad de Negocio, cubre a la infraestructura de cloud, software y canales de comunicación que soportan las soluciones críticas de insttantt como son:

• Hub

• PrivacyHub

• BusinessHub

• Insttantt.com

• Cosmos

Los procedimientos, las actividades y los recursos del PCN, están relacionadas con las funciones que competen a cada uno de los participantes asignados para la ejecución del PCN. Los participantes asignados tendrán disposición completa d e t o d o s l o s r e c u r s o s t é c n i c o s , financieros, y humanos necesarios para llevar a cabo el PCN.

Marco Legal

El PCN contempla regulación local para apoyar a las entidades que estén regidas por un marco normativo relacionado a planes de continuidad de negocios. A continuación se presenta el marco legal que contempla el PCN.

Circular Externa 042/2012 expedida por la Superintendencia Financiera de Colombia

Esta circular regula los requerimientos mínimos de seguridad y calidad para la realización de operaciones. En el Artículo 3.2.3. se exige que las entidades vigiladas que contraten bajo la modal idad outsourcing con terceros para la atención parcial o total de los distintos canales, deben cumplir como mínimo, el exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. En este sentido, insttantt ha desarrollado el PCN en cumplimento de esta norma.


Esta circular imparte instrucciones a entidades vigiladas relacionadas con los requerimientos mínimos para la gestión del riesgo de ciberseguridad. Al respecto, el artículo 4.1.6 menciona que se debe C o n s i d e r a r d e n t r o d e l p l a n d e continuidad del negocio la respuesta, re c u p e ra c i ó n , rea n u d a c i ó n d e l a operación en contingencia y restauración ante la materialización de ataques cibernéticos. Por otro lado, el 4.1.7. menciona que se deben Realizar pruebas del plan de continuidad del negocio que simulen la materialización de ataques cibernéticos.






insttantt

Se aclara que los requerimientos de esta circular en materia de política de continuidad no aplican particularmente a insttantt por no ser una entidad Vigilada por la Superintendencia Financiera de Colombia, sin embargo, insttantt dispone l o s r e c u r s o s n e c e s a r i o s p a r a e l cumplimiento de esta normatividad.


Esta circular fija las reglas relativas al uso de servicios de computación en la nube. El artículo 4.1. menciona que los acuerdos o contratos que suscriban las entidades para la prestación de servicios de c o m p u t a c i ó n e n l a n u b e d e b e n comprender una política de continuidad. En este sentido insttantt valida que sus proveedores de infraestructura cloud cuenten con planes y certificaciones de continuidad, así como la implementación de su propio PCN.

Estructura del PCN

Se ha definido una estructura para el PCN que parte de la identificación y clasificación del riesgo, continúa con el i nve n t a r i o d e a c t i vo s y re c u r s o s t e c n o l ó g i c o s q u e i m p a c t a n l a continuidad, define las actividades del

PCN, y finalmente determina y asigna Roles y Responsabilidades para cada una de las actividades necesarias.

Identificación y Clasificación del Riesgo

Identificación del Riesgo de Continuidad

Clasificación del Riesgo

E l s i g u i e n te c u a d r o p r e s e n t a l a clasificación del riesgo según el nivel de impacto y su probabilidad. El número relacionado en el cuadro, está asociado al Risk ID de la tabla previa de identificación del Riesgo de Continuidad.

Risk ID Risk

SEC-001 Business Disruption / Incident

SEC-002 Cibersecurity Breach

SEC-003 Malware Attack

SEC-004 Development Bugs

SEC-005 Failure of Physical facilities

SEC-006 Human Factor Failure

SEC-007 Information Leakage

SEC-008 Lack of Compliance

SEC-009 Unaware Risks

SEC-010 Technical Failures

SEC-011 Unauthorized Access to Networks, Instances and/or Data






insttantt

• Impactos: 1 = Insignificante, 2 = Menor, 3 = Moderado, 4 = Mayor, 5 = Catastrófico

• Bajo: Zona de riesgo baja: Asumir el riesgo.

• Medio : Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo.

• Alto: Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir.

• Extremo: Zona de riesgos extrema: Reducir el riesgo, evitar, compartir o transferir.

Inventario de Software, Hardware, y Sistemas de Información

A continuación presentamos los tipos de activos definidos para el inventario de Software, Hardware, y Sistemas de Información.

• Código Fuente • Documentación • Continues Delivery Pipeline • Servicios SaaS • Application Insights • Service Bus Namespace • Email Service Account • Shared Dashboard • SQL DataBase • SQL Server • Virtual Network • Virtual Machine • Public IP address • Network Security Group • Network Interface • Disk • Storage Account • App Service • App Service Plan • CDN Profile • Endpoint • Event Hubs Namespace • App Service (Slot) • Key Vault • Azure DevOps Organization • Connection • Local Network Gateway • Virtual Network Gateway • Resource Group • Subscription • Office 365 Account

La base de datos del inventario se encuentra disponible con acceso restringido en la Red, y los accesos están definidos en el Sistema de Seguridad de la información.

Impacto

5 4 3 2 1

Muy probable

(5)

Probable (4) 005

Moderado (3)

002 003

004 009 006

Poco probable

(2)001

010 011 008

Rara vez (1) 007






insttantt

Roles y Responsabilidades

A continuación se presentan los comités, roles y responsabilidades establecidos para el PCN de insttantt.

Comité de PCN

Es el encargado de revisar y actualizar, el PCN, así como facilitar su ejecución en el momento requerido. Los siguientes son los integrantes del Comité PCN:

• CEO (Para eventos de impacto 4 y 5)

• Rol de Líder de Cuenta asignados en el área de operaciones.

• Rol de Servicio en el área de operaciones

• Rol de Seguridad en el área de operaciones

• Rol de Cumplimiento en el área de operaciones

Coordinador del PCN

El Coordinador del PCN es el canal de comunicación entre el Equipo Ejecutor del PCN y el Comité del PCN a través del cual se transmitirán las decisiones tomadas en torno a las acciones del PCN, los niveles de ejecución del PCN y el estado de los recursos que cubre el PCN.

Es el que autoriza la puesta en marcha del PCN cuando lo considere necesario, de acuerdo con el reporte dado por el grupo de desarrollo del Plan.

El Coordinador del PCN es el rol de implementaciones o quien haga sus veces y en su ausencia la persona que delegue, integrante de esa área y perteneciente al equipo de Operaciones, dado el tipo de labores especificas a desarrollar dentro del plan, labores que son compatibles con las tareas cotidianas a cargo del equipo.

Responsabilidades:

• Proponer políticas y acciones al PCN

• Mantener actualizado el PCN.

• Autorizar la ejecución del PCN

• Elaborar los informes referidos al PCN.

• Proponer reuniones para revisión del PCN.

• Encargado de monitorear y asegurar el estricto cumplimiento del PCN y del mantenimiento de los canales de comunicación entre los diferentes grupos de trabajo.

• Establecer el equipo ejecutor del PCN






insttantt

Equipo Ejecutor del PCN.

Está conformado por colaboradores responsables de la ejecución de las tareas definidas dentro del PCN:

• Administradores de Activos de información críticos, infraestructura y DBA.

• El equipo de Servicio.

• Arquitecto de Soluciones.

• Dos usuarios de los sistemas de información críticos o personal del área de SQA que apoyen las pruebas de funcionamiento para avalar la puesta en marcha del sistema.

Las funciones del equipo ejecutor son:

• Ejecutar en tiempo y forma, cada una de las actividades planeadas.

• Documentar y formalizar el PCN.

• O rd e n a r l a d o c u m e n t a c i ó n inherente y los papeles de trabajo de la contingencia.

• Diseñar planes de entrenamiento para los funcionarios de Insttantt, para que se involucren en las tareas del Plan.

• Realizar las pruebas necesarias al Plan de Continuidad de Negocios de TI, antes y después de una contingencia.






insttantt

Actividades del PCN

A continuación se presentan las actividades a realizar en casos de afectación de la continuidad del servicio:

Actividades de la Contingencia

Recibe Actividad Canal / Herramienta Actividades Líder Actividad

1

• Mesa de Servicio

• Funcionario Interno

• Sistema de Monitoreo Automático

• Zendesk [email protected] y creación del Ticket de soporte

• 3CX - Extensión de Servicio al Cliente

• Contacto Directo al funcionario por cualquier canal

• Alertas de Servicio

• Mesa de servicio: Recibe notificación y procede dentro de los 10 minutos siguientes a: i) notificar al cliente que estamos trabajando en la resolución; ii) replicar indisponibilidad del servicio parcial o total; y iii) Reporte a soporte Nivel II.

• Funcionario interno: Crea un Ticket de soporte y procede a comunicarse directamente con el área de servicio para validar que recibieron el Ticket y realice actividad de validación.

• Sistema de monitoreo: Crea un Ticket de soporte de forma automática en la herramienta Zendesk.

Clemencia Sierra Líder de Servicio

+573147438828 clemencia.sierra@instta

ntt.com

2 Soporte nivel II

• 3CX - Extensión Soporte Nivel II

• Microsoft Azure DevOps

• Visual Studio

• Zendesk

• Replicar indisponibilidad del servicio.

• Diagnosticar situación.

• Validar y ejecutar acción que solucione el fallo.

• Notificar restablecimiento del servicio a la mesa de servicio.

Javier Ramirez Coordinador de PCN

+573105666408 javier.ramirez@insttantt.

com

mailto:[email protected]




1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez de 10


insttantt

3 Soporte nivel II

• 3CX - Extensión Dirección de Operaciones

• Llamada directa al coordinador de operaciones.

• Correo a [email protected]

• En caso de que el servicio no haya sido restablecido en 10 min se debe comunicar a la Dirección de Operaciones.



com

4Coordinador de Operaciones

• Microsoft Teams - Develop Channel

• Visual Studio.

• Azure, Google Cloud, AWS, SQL, MongoDB

• Revisión de Logs en MongoDB, SQL, Application Insigth y Web Apps. Contactar al comité del plan de contingencias.

• En caso que el servicio no se haya restablecido en 60 minutos se debe aprobar la activación y ejecución del Plan de Continuidad de Negocio.



com

Itamar Aguirre Líder Infraestructura

+573176492606 Itamar.aguirre@insttantt

.com

5Coordinador de PCN


• Visual Studio.

• Azure, Google Cloud, AWS, SQL, MongoDB

• Correo electrónico.

• Establecer Equipo Ejecutor del PCN

• Informar la activación del PCN a: i) Comité del PCN; ii) Equipo Ejecutor del PCN; iii) Proveedores en caso de que corresponda a un proveedor de insttantt; y iv) clientes afectados.

• Revisión de ANS establecidos con clientes afectados para monitoreo de los tiempos.



com

6Equipo Ejecutor del PCN

• Microsoft Azure o Google Cloud Platform (GCP). Telemetría de Azure, Desarrollo Front (Browser), Postman, SOAP UI.

• Desplegar infraestructura de contingencia, activación de servicios alternos, roll-back de publicaciones, y confirmar tiempo de solución.

• Informar al Coordinador del PCN una vez este el servicio restablecido.



com

Itamar Aguirre Líder Infraestructura

+573176492606 Itamar.aguirre@insttantt

.com












insttantt

Escenarios y Tiempos de Restauración

A continuación se presentan los escenarios y los tiempos de restauración definidos para el PCN, así como el Recovery Time Objective - RTO (Objetivo del tiempo de recuperación) y el Recovery Point Objective - RPO (Objetivo del Punto de Recuperación):

7Coordinador de PCN


• Correo electrónico

• 3CX - Mesa de Servicio

• Verificar disponibilidad y normalidad de los servicios y notificar a: i) Comité del PCN; ii) Equipo Ejecutor del PCN; iii) Proveedores en caso de que corresponda a un proveedor de insttantt; y iv) clientes afectados.



com

8Coordinador de PCN

Comité plan de contingencia.

Evaluar la ejecución del Plan de Continuidad de Negocio y generar informe de cierre e incidencias.



com



RTO1 hora

Desde el momento de declaración de la contingencia

RPO 24 horas Desde el ultimo corte de backup








insttantt

Escenarios y Tiempos de Restauración

Tipo Incidencia Incidencia ActividadesTiempo Máximo

(Minutos)

1Afectación en la instancia o máquina Denegación de servicios Reinicio del servicio

10 minutos Para restaurar servidor

2Afectación en la instancia o máquina

Por daños o afectaciones de la infraestructura en la nube

Reparación de la infrastructura en la nube

30 minutos Para restaurar infraestructura

3Afectación en la instancia o máquina

Desbordamiento de memoria del servidor Reinicio del servicio


4Commit No Verificado

Código erróneo en el commit

Corrección del código erróneo o rollback a la versión anterior del código y publicar de nuevo

45 minutos Para identificar error de código y su corrección

5Afectación de Conexión con Tercero

Falla de comunicación con el servidor del tercero

Comunicar al tercero para que levante el servicio

60 minutos o según los niveles de

servicio establecido para el proveedor


Vencimiento de certificados para conexión

Enviar el nuevo certificado al provedor para que sea cambiado




Vencimiento de credenciales de conexión

Solicitar al provedor para que renueve las credenciales



8Afectación Base de Datos

Se llena la capacidad de la base de datos

Ampliar la capacidad de la base de datos

15 minutos Para aprovisionar la

infraestructura

9Afectación Base de Datos Por daños en los datos

Restauración del último Backup de base de datos

20 minutos Para restauración del

Backup


Se cae el servidor de base de datos

Reiniciar el servidor de base de datos



Por daños o afectaciones de la infraestructura en la nube

Reparación de la infrastructura en la nube

30 minutos Para restaurar infraestructura

20210724 Plan de Continuidad de Negocio v1-1

Documents

Transcript of 20210724 Plan de Continuidad de Negocio v1-1