Gestión de La Continuidad Del Negocio
of 11
-
Upload
gerardo-araneda-fernandez -
Category
Documents
-
view
13 -
download
0
description
Continuidad del negocio IT
Transcript of Gestión de La Continuidad Del Negocio
PROCEDIMIENTO PARA LA EMISION DE DOCUMENTOS
Poltica de gestin de la continuidad del negocioFecha emisin:
10/11/2011
Revisin: 1
PL-SGSI-A.14
Fecha revisin:
10/11/2011
1.- OBJETIVO Y ALCANCE
Establecer mediante este documento, la manera como la Agencia de Cooperacin Internacional de Chile (AGCI) contrarresta las interrupciones de las actividades en torno a los procesos del negocio ante la probabilidad de fallas o desastres importantes o desastres en los sistemas de informacin y asegurar su reanudacin oportuna. El alcance est dado por el mapa de proceso de la Poltica General de Seguridad de la Informacin.2.- DOCUMENTOS DE REFERENCIA
Norma ISO 27001:2005
Requisitos Tcnicos y Medios de Verificacin de DIPRES 2011
Poltica General de Seguridad de la Informacin de AGCI. Objetivo de Auditora Gubernamental N03, ao 2011 (Gua Tcnica N53), Proceso Gestin de Riesgo.3.- DEFINICIONES
No tieneAutorizado porRevisado y Aprobado por
Juan Flores Ferrando
Encargado de Seguridad de la InformacinJorge Daccarett BahnaDirector Ejecutivo
4.- DESCRIPCION DE ACTIVIDADES
4.1 Inclusin de la seguridad de la informacin en el proceso de gestin de continuidad del negocioResumen
NNOMBRE DE LA ACTIVIDADRESPONSABLEDESCRIPCIN DE LA ACTIVIDADREGISTROS ASOCIADOS
1Anlisis de los procesos del NegocioEncargado de Seguridad
Responsable de Matriz de Riesgo institucional
Jefe de Poltica y PlanificacinAnlisis de los procesos ms relevantes (entre ellos el del Negocio) incluidos dentro del alcance del Sistema de Gestin de Seguridad de la InformacinMatriz de Riesgo simplificada de AGCI ao 2011
2Identificacin de Riesgos en la Seguridad de la InformacinEncargado de Seguridad
Responsable de Matriz de Riesgo institucional
Jefe de Poltica y PlanificacinIdentificacin de riesgos asociados a la Seguridad de la InformacinMatriz de Riesgo de Seguridad de la Informacin
Para desarrollar un Plan de Continuidad del Negocio eficaz y eficiente, se debe primeramente conocer y entender cules son los procesos que son esenciales dentro de AGCI, con el fin de asegurar la continuidad de las actividades en caso de contingencia o incidente de seguridad consideradas graves tales como incendios, terremotos, cortes de servicios bsicos, atentados terroristas, por mencionar. Su orientacin es al proceso de bien y/o servicio incluido dentro del alcance del Sistema de Gestin de Seguridad de la Informacin, relacionado con la Gestin de la Cooperacin que Chile otorga, especficamente el Proceso Global Cooperacin Triangular y el Proceso de Becas de Cooperacin Horizontal.Para ello, AGCI, a travs de su Encargado de Seguridad de la Informacin y el responsable de llevar la Matriz de Riesgo Institucional (alojada en el Departamento de Poltica y Planificacin) analizan dicho proceso, de acuerdo a su importancia, las consecuencias de las interrupciones de dichos servicios, la capacidad operativa de AGCI a medida que pasa el tiempo de interrupcin, y cul es el plazo mximo para volver a la normalidad sin llegar a incurrir en graves prdidas.Para la identificacin mencionada anteriormente, AGCI posee una matriz denominada Plan de Tratamiento de Riesgos Crticos (anexo 01), la cual proviene del proceso de Gestin de Riesgos como parte del Objetivo Gubernamental N03 para los aos 2011 y 2014 del Consejo de Auditora General de Gobierno (CAIGG). Su pretendido es obtener los procesos priorizados en base al nivel de exposicin al riesgo ponderado en la matriz de riesgo simplificada del servicio.En el caso de AGCI, solo ser considerado el proceso de bien y/o servicio mencionado, dado que el plan de tratamiento sealado tambin considera procesos de soporte no incluidos dentro del alcance del Sistema de Gestin de Seguridad de la Informacin (SGSI) para el ao 2011 (anexo 02 Extracto Matriz de Riesgo Simplificada-Proceso de Gestin de Riesgos AGCI 2011). 4.1.1 Activos de informacin asociados al proceso del negocioEl proceso de Gestin de la Cooperacin que Chile otorga, posee activos de informacin que han sido identificados y clasificados de acuerdo a su criticidad, segn lo establece el documento del SGSI Poltica de Gestin de Activos. Esta identificacin y clasificacin da origen a un inventario, y sus bienes de informacin han sido agrupados de acuerdo a los procesos que intervienen en el Sistema de Gestin de Seguridad de la Informacin. Es decir, en el inventario de Activos de Informacin del SGSI, el cual se encuentra en poder del Encargado de Seguridad, se encuentran todos los Activos de Informacin asociados al proces de Gestin de la Cooperacin que Chile otorga.Cabe sealar, que frente a la ocurrencia de desastres catastrficos propios de la naturaleza, como terremotos, tsunamis, incendios huracanes, inundaciones, por mencionar; aquellos provocados por la intervencin humana como incendios, atentados terroristas, etc; o por error de manipulacin como apagones de energa elctrica (blackout); son considerados como factores de riesgos mayores y que dificultaran el proceso del negocio de AGCI concentrado en los activos mencionados en el punto anterior. Para ello se ha realizado una identificacin del riesgo considerando los factores de desastres sealados (anexo 03).Respecto a planes mitigantes o de controles preventivos, la Poltica de Control de Acceso es fundamental para los actos terroristas que pudieran afectar a la AGCI, para ellos su control es vital para minimizar este riesgo. Ahora bien, en relacin a los apagones o cortes de energa elctrica, la Unidad de Informtica y la Direccin de Informtica del Ministerio de Relaciones Exteriores cuenta con UPSs que permite mantener el suministro energtico en caso de este incidente.La Agencia de Cooperacin Internacional de Chile, no posee presencia regional, y solo se limita a su direccin comercial en el edificio del Ministerio de Relaciones Exteriores, en consecuencia, la administracin y control de ste activo fijo es responsabilidad de la Subsecretara de Relaciones Exteriores, por ende, todos los organismos dependientes y relacionados del MINREL alojados en el Edificio Carrera, se deben guiar por las directrices que emanen de esta cartera.
4.1.2 Seguridad del personalAnte la ocurrencia de desastres catastrficos durante la jornada laboral, el personal de AGCI debe guiarse por el protocolo establecido por el Departamento de Prevencin de Riesgos y Seguridad del MINREL, al igual que lo que seale la Brigada de Emergencia de AGCI. Esto permitir evacuar el edificio y de alguna manera garantizar la integridad del personal que labora en este edificio.
4.1.3 Formulacin, documentacin y planes de prueba de continuidad del negocio.
Tal como se seala en el cuadro del numeral 4.1.1 de este documento, la Subsecretara de Relaciones Exteriores del MINREL es la responsable del Edificio Carrera donde AGCI ha establecido su direccin comercial, por ende, no es posible establecer un Plan de Continuidad del Negocio sin conocer directrices y/o instrucciones ante desastres catastrficos. La Subsecretara de Relaciones Exteriores, ha comprometido su Plan de Continuidad del Negocio para el ao 2013.
4.2 Continuidad del negocio y evaluacin del riesgoResumen
NNOMBRE DE LA ACTIVIDADRESPONSABLEDESCRIPCIN DE LA ACTIVIDADREGISTROS ASOCIADOS
1Anlisis de riesgo incorporando la seguridad de la informacinEncargado de Seguridad
Encargado de Riesgo institucional
Jefe de Poltica y PlanificacinModelamiento de riesgos asociados al proceso de Gestin de la Cooperacin que Chile torga.Matriz de Riesgo de Seguridad de la Informacin
Para la aplicacin de la evaluacin del riesgo en torno a la seguridad de la informacin, el Encargado de Seguridad en conjunto con el Encargado de la Matriz de Riesgo de AGCI, realizan el moldeamiento de stos sobre el proceso de la Gestin de la Cooperacin que Chile otorga. Para ello puede asociar las amenazas y vulnerabilidades establecidas (anexo 04) lo que permitir categorizar en torno a la Seguridad de la Informacin para posteriormente establecer un Plan de Continuidad eficaz y eficiente.El resultado de este moldeamiento da origen a la Matriz de Riesgo de Seguridad de la Informacin (anexo 05), la que debe ser socializada ante el Comit de Seguridad y la Direccin Ejecutiva trimestralmente por el Encargado de Seguridad.4.3 Desarrollo e implementacin del Plan de Continuidad del NegocioResumen
NNOMBRE DE LA ACTIVIDADRESPONSABLEDESCRIPCIN DE LA ACTIVIDADREGISTROS ASOCIADOS
1Conformacin del comit de CrisisDireccin Ejecutiva
Encargado de Seguridad
Comit de SeguridadConformacin del comit de Crisis, quines deben dirigir las acciones durante la contingencia y recuperacin de la informacinNo tiene
2Conformacin de equipo de recuperacinEncargado de Seguridad
Comit de Seguridad
Conformacin del Equipo de recuperacin, cuyo propsito es establecer todos los sistemas necesarios para restablecer el quehacer institucional, Asimismo, deben realizar las pruebas necesarias para completar el restablecimiento operacional.
No tiene
3Asignacin de personal de apoyoDireccin Ejecutiva
Jefe de Administracin y FinanzasDesignacin, de ser necesario, de personal que pueda efectuar las tareas en conjunto con el Equipo de RecuperacinCorreo electrnico al Jefe de DAF con solicitud de personal de apoyo para la recuperacin
4Convocatoria del Comit de CrisisEncargado de SeguridadEl Encargado de Seguridad, convoca al Comit de Crisis, con el propsito de analizar y tomar las medidas en torno a las actividades para el Equipo de RecuperacinCorreo electrnico convocando al Comit de Crisis
5Anlisis de la crisis y recuperacinComit de Crisis
Encargado de Seguridad
Equipo de RecuperacinAnlisis entre el Comit de Crisis, Encargado de Seguridad y el Equipo de Recuperacin. Este ltimo elabora un informe con los antecedentes de la recuperacin, el que debe ser socializado con el Comit de Crisis y el Encargado de Seguridad, quin a su vez lo remite a la Direccin EjecutivaInforme de Recuperacin de la informacin
6Fase de vuelta la normalidadDirector Ejecutivo
Encargado de SeguridadElaboracin por parte del Encargado de Seguridad, de un informe de Anlisis de Impacto , el que debe ser socializado ante el Comit de Seguridad y el Director Ejecutivo.Informe de Anlisis de Impacto
7Socializacin de Continuidad del NegocioEncargado de SeguridadSocializacin de la Poltica de Continuidad del Negocio y de los documentos del SGSIPantallazo de Intranet
4.3.1 Responsabilidades sobre la continuidad del negocioDada la realidad de AGCI en torno a la elaboracin de un Plan de Continuidad del Negocio, es importante establecer algunos tpicos importantes necesarios para enfrentar la continuidad comercial, lo que permitir una vez conocidas y establecidas las directrices de la Subsecretara del MINREL aplicarlas y/o ajustarlas para definir de manera ms adecuada en plan de AGCI.a) Comit de CrisisEste comit esta conformado por el Director Ejecutivo de AGCI, el Encargado de Seguridad y dos integrantes del Comit de Seguridad de la Informacin. En el caso del Director Ejecutivo, inclusive su subrogante, podr designar a un representante, preferentemente un Jefe de Departamento.
Este Comit de Crisis es el encargado de dirigir las acciones durante la contingencia y recuperacin de la informacin.
b) Equipo de Recuperacin y Unidades de NegocioEste equipo esta conformado preferentemente por el Encargado de la Unidad de Informtica, y un representante por cada departamento de lnea de AGCI o donde se vea afectada la continuidad comercial. Para ello, le Encargado de Seguridad emitir un correo a los Jefes de Departamento para su designacin.
Este comit debe establecer todos los sistemas necesarios para restablecer el quehacer institucional, Asimismo, deben realizar las pruebas necesarias para completar el restablecimiento operacional.
El Director Ejecutivo podr designar, a travs de su Encargado de Seguridad y el Jefe del Departamento de Administracin y Finanzas, el personal necesario en la medida que el Comit de Crisis informe de los avances, con el propsito de minimizar los tiempos para el restablecimiento del negocio.4.3.2 Etapas del desarrollo de la Continuidad del Negocioa) Fase a alerta y transicinEn esta etapa se describe la actuacin ante las primeras etapas de un suceso que implique la prdida parcial o total de uno o varios servicios crticos, de acuerdo al numeral 4.1.1 de este documento. Para ello el Encargado de Seguridad convoca al Comit de Crisis, mediante correo electrnico de ser posible, analizando las directicas que emanen de la Subsecretara de Relaciones Exteriores de acuerdo a su Plan de Continuidad del Negocio.b) Fase de RecuperacinAnlisis en conjunto con el Comit de Crisis del impacto que generar en la Continuidad del Negocio y dar as el comienzo para que el Equipo de Recuperacin comienza su accionar. El Equipo de Recuperacin terminada la fase, elabora un informe de Recuperacin detallando la informacin recuperada, y aquella que definitivamente ha sido perdida. Este debe ser enviado al Comit de Crisis y al Encargado de Seguridad, quin a su vez lo socializar con el Director Ejecutivo.c) Fase de vuelta a la normalidadUna vez recibida las directrices o instrucciones de la Subsecretara de Relaciones Exteriores, en el caso de terremotos, inundaciones, atentados terroristas y/o explosiones, El Director Ejecutivo, o quin el Encargado de Seguridad, darn la orden para que el personal comience la etapa de poblar las dependencias de AGCI y comenzar el trabajo cotidiano.Paralelamente, el Encargado de Seguridad debe entregar a la Direccin Ejecutiva un Anlisis de Impacto del desastre.
4.3.3 Socializacin
El Encargado de Seguridad es el responsable de generar los espacios para la socializacin de este documento y lo que respecta la continuidad del negocio, como sus modificaciones y/o actualizaciones. Asimismo, procurar la disponibilidad de los documentos del Sistema de Gestin de Seguridad de la Informacin en la intranet de AGCI, con el propsito de asegurar mediante este medio de comunicacin su oportuna socializacin.
5.- CONTROL DE REGISTROSIdentificacin
del registroAlmacenamientoProteccinResponsableTiempo retencin y disposicin en AGCI
Matriz de Riesgo simplificada de AGCI ao 2011Archivador en poder del Encargado de RiesgoGaveta bajo llave en oficina de Poltica y PlanificacinEncargado de Riesgo5 aos
Matriz de Riesgo de Seguridad de la InformacinArchivador en poder del Encargado de RiesgoGaveta bajo llave en oficina de Poltica y PlanificacinEncargado de Riesgo5 aos
Correo electrnico al Jefe de DAF con solicitud de personal de apoyo para la recuperacinArchivador Jefe de DAFGaveta bajo llave en oficina de Jefe de DAFJefe del Departamento de Administracin y Finanzas5 aos
Correo electrnico convocando al Comit de CrisisPC de Encargado de SeguridadPC en oficina bajo llave Encargado de SeguridadEncargado de Seguridad5 aos
Informe de Recuperacin de la informacinArchivador Encargado de SeguridadGaveta bajo llave en oficina de Encargado de SeguridadEncargado de Seguridad5 aos
Informe de Anlisis de Impacto Archivador Encargado de SeguridadGaveta bajo llave en oficina de Encargado de SeguridadEncargado de Seguridad5 aos
6.- CONTROL DE CAMBIOS
Revisin NPg. ModificadaMotivo del cambioFecha Aprobacin
7.- ANEXOS1 Plan de Tratamiento de Riesgos Crticos
2 - Extracto Matriz de Riesgo Simplificada-Proceso de Gestin de Riesgos AGCI 2011
Pgina 11 de 11
_1386504436.vsdTtulo
Funcin
Fase
_1386505226.vsdTtulo
Funcin
Fase
