Guía de Cumplimiento de Continuidad de Negocio · Web viewEsta Guía se apoya en el cumplimiento...

PROCESO GOBIERNO Y GESTIÓN DE LA INFORMACIÓN CÓDIGO GGGU04

GUIAGUIA DE

CUMPLIMIENTO DE CONTINUIDAD DE

NEGOCIO

VERSIÓN 1

GUIA DE CUMPLIMIENTO DE

CONTINUIDAD DE NEGOCIO

BOGOTÁ D.C.2018

ELABORÓ: Profesional Oficina tecnologías de la información

REVISÓ:Profesional de la Oficina Asesora de Planeación

APROBÓ:Jefe Oficina tecnologías de la información

FECHA:20/04/2018

FECHA: 06/06/2018

FECHA: 22/06/2018

CONTENIDO

1


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

1. OBJETIVO...............................................................................................................................5

2. ALCANCE................................................................................................................................6

3. AMBITO DE APLICACIÓN....................................................................................................6

4. REQUISITOS DE CALIDAD APLICABLE..........................................................................6

5. DEFINICIONES.......................................................................................................................6

6. GENERALIDADES.................................................................................................................8

7. CONTEXTO DE LA ORGANIZACIÓN.................................................................................8

7.1 NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS.............8

7.2 ALCANCE DEL SISTEMA DE GESTIÓN..................................................................9

8. LIDERAZGO..........................................................................................................................10

8.1 COMPROMISO DE LA ALTA DIRECCIÓN.............................................................10

8.2 POLÍTICA......................................................................................................................11

8.3 ROLES Y RESPONSABILIDADES..........................................................................11

8.3.1 Comité de Directivo...............................................................................................12

8.3.2 Líder Oficina de Tecnologías de la Información............................................13

8.3.3 Líder del Plan de Continuidad de Negocio......................................................14

8.3.4 Coordinador Grupo de Infraestructura.............................................................14

8.3.5 Coordinador Grupo de Aplicaciones................................................................14

8.3.6 Coordinadores de proceso..................................................................................14

8.3.7 Funcionarios Críticos...........................................................................................14

9. RECURSOS...........................................................................................................................15

9.1 SENSIBILIZACIÓN Y CAPACITACIÓN...................................................................15

9.2 COMUNICACIÓN.........................................................................................................16

9.3 INFORMACIÓN DOCUMENTADA............................................................................16

10. OPERACIÓN..........................................................................................................................17

10.1 ANÁLISIS DE IMPACTO AL NEGOCIO - BIA........................................................17

10.2 ESTRATEGIA DE CONTINUIDAD DE NEGOCIO.................................................19

10.2.1 Plan de Recuperación de Procesos..............................................................19

10.2.2 Plan de Recuperación Tecnológica..............................................................20

2


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

10.2.3 Retorno a Operación con normalidad..........................................................21

10.3 EJERCICIOS Y PRUEBAS........................................................................................22

11. MEJORA CONTINUA...........................................................................................................22

12. REFERENCIAS BIBLIOGRAFICAS..................................................................................22

3


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

INDICE DE FIGURAS

Ilustración 1 Mapa de Procesos SNS...........................................................................................9Ilustración 2 Organigrama PCN – SNS......................................................................................12Ilustración 3 Nivel de criticidad....................................................................................................18Ilustración 4 Recuperación de procesos....................................................................................20Ilustración 5 Recuperación Tecnológica....................................................................................20Ilustración 6 Replicación Tecnológica........................................................................................21

4


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

INDICE DE TABLAS

Tabla 1 Integrantes COE..............................................................................................................13

5


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

1. OBJETIVODefinir, documentar y socializar la metodología de gestión del plan de continuidad del negocio, desarrollando los factores de éxito para la implementación de este.

Identificar la acciones planeadas y orientadas al logro de los objetivos estratégicos de la entidad, las cuales permitan establecer la continuidad de sus operaciones.

2. ALCANCE

Este documento contiene los requisitos considerados dentro de la Norma ISO 22301, con los componentes claves del Plan de Continuidad de Negocio aplicados dentro de la Superintendencia Nacional de Salud, dando cumplimento al anexo A17 ¨Aspectos de seguridad de la información de la gestión de continuidad de negocio¨ de la norma ISO 27001

3. AMBITO DE APLICACIÓN

Este documento hace parte de la documentación del Subsistema de Seguridad de la Información dentro del Sistema Integrado de Gestión de la Superintendencia Nacional de Salud.

La estrategia establecida con el uso de esta guía define la forma en la cual operará la Entidad ante un desastre, para continuar prestando sus servicios en la sede principal de la SNS en la ciudad de Bogotá y pueda seguir prestando la disponibilidad de sus sistemas de información.

4. REQUISITOS DE CALIDAD APLICABLE

Esta Guía se apoya en el cumplimiento de los lineamientos establecidos en la Norma Técnica Colombiana NTC 5722; Continuidad de Negocio, Sistemas de Gestión de Continuidad de Negocio y los criterios definidos en el procedimiento Gestión para la Continuidad de Negocio (GGPD02). Los cuales son aplicados para dar cumplimento al anexo A17 ¨Aspectos de seguridad de la información de la gestión de continuidad de negocio¨ de la norma ISO 27001

5. DEFINICIONES

Los siguientes términos y definiciones que se encuentran en el presente documento están Basados en la Norma NTC-ISO/IEC 27000 y ISO 22301 y son aplicables al Sistema Integrado de Gestión de la Superintendencia Nacional de Salud.

6


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

Activación: Acto de declarar que los acuerdos de la organización de Continuidad de Negocio deben llevarse a la práctica con el fin de continuar la entrega de productos o servicios clave.

Análisis de Impacto al Negocio (BIA, por sus siglas en inglés, Business Impact Analisys): Proceso del análisis de actividades y el efecto que una interrupción de negocio podría tener sobre ellas.

Continuidad de Negocio: Capacidad de la organización para continuar con la entrega de productos o servicios a los niveles predefinidos aceptables después de un evento perjudicial.

Ejercicio: Proceso para entrenar, evaluar, practicar, y mejorar el desempeño en una organización.

Evento: Ocurrencia o cambio de un conjunto particular de circunstancias.

Incidente: Situación que sería o podría llevar a una interrupción, pérdida, emergencia o crisis.

Infraestructura: Sistema de instalaciones, equipos y servicios necesarios para el funcionamiento de una organización.

Mejoramiento continuo: Actividad periódica para mejorar el desempeño.

Minutogramas: son documentos anexos al GGPL01, se desarrollan bajo el formato COFL02

Plan de Continuidad de Negocio - PCN: Procedimientos documentados que guían a las organizaciones para responder, recuperar, reanudar y restaurar a un nivel pre-definido de operación debido a la interrupción.

Plan de emergencias: Documento que contempla las acciones e instrucciones que se deben seguir para responder rápida, eficaz y con el menor traumatismo posible ante una Emergencia.

Plan de Recuperación de Desastres (DRP, por sus siglas en inglés, Disaster Recovery Plan): Es la estrategia que se sigue para restablecer los servicios de tecnología (red, servidores, hardware y software) después de haber sufrido una afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad de negocio.

Prueba: Procedimiento para determinar la presencia, cualidad o veracidad de algo.

7


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

Recurso: Todos los activos, recursos humanos, conocimientos, información, tecnología, locales y suministros e información que una organización tiene que tener disponibles para su uso, cuando sea necesario, con el fin de operar y cumplir con su objetivo.

Riesgo: Efecto de la incertidumbre sobre los objetivos.

6. GENERALIDADES

El contenido de este documento sigue las buenas prácticas de la norma ISO 22301, sin embargo, la Superintendencia Nacional de Salud no adelanta procesos de certificación en la misma.

El Plan de Continuidad de Negocio de la Entidad se desarrolla en el marco del anexo A17 ¨Aspectos de seguridad de la información de la gestión de continuidad de negocio¨ de la norma ISO 27001, en la cual si se tienen procesos certificados en la SNS.

7. CONTEXTO DE LA ORGANIZACIÓN

La Superintendencia Nacional de Salud establece su contexto de acuerdo con los usuarios que atiende y a la normatividad que la regula, de igual manera se establecen las necesidades y expectativas de las partes interesadas en cuanto al Subsistema de Seguridad de la Información de la Entidad. El Contexto de la Organización está establecido en la Guía Metodológica de Análisis de Riesgos de Seguridad y Privacidad de la Información - ASGU05

7.1 NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS

La SNS adopta el modelo de gestión de la continuidad de negocio, dando cumplimiento con las exigencias establecidas por el gobierno nacional a través del Ministerio de Tecnologías de la Información y las Comunicaciones MINTIC, con el manual GEL, y el componente de Seguridad y privacidad de la información

El seguimiento a la implementación del manual GEL, se realiza a través de la herramienta en línea para el monitoreo, evaluación y control de los resultados institucionales y sectoriales, llamada Formulario Único Reporte de Avance de la Gestión, FURAG. Estableciendo así la necesidad de las partes interesadas externas a nivel normativo.

A nivel interno de la SNS se realizan auditorias al Sistema Integrado de Gestión, y a nivel de la Oficina de Tecnología de la Información, en adelante OTI, se contratan auditorías externas para los procesos designados en la implementación de la norma ISO27001; en estas auditorías se evalúa entre otros, el anexo A17 ¨Aspectos de seguridad de la

8


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

información de la gestión de continuidad de negocio¨, relacionado con el objeto de esta guía.

7.2 ALCANCE DEL SISTEMA DE GESTIÓN

La Entidad tiene 17 agrupaciones de procesos, el plan de continuidad de negocio inicia abarcando dos agrupaciones, uno misional ¨Protección al usuario y Participación ciudadana¨ y uno de apoyo ¨Gestión de TICS¨; en el subsistema de gestión de calidad de la SNS, se establece el mapa de procesos, en donde se resaltan los Macroprocesos mencionados, ver ilustración 1.

Ilustración 1 Mapa de Procesos SNS.

El plan de continuidad de negocio abarcará las 17 agrupaciones de procesos de la Entidad, anualmente se ampliará la cobertura hasta abarcar la totalidad de los procesos

9


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

de la SNS; el alcance definido para cada año se discrimina dentro del documento: GGPL01 Plan de Continuidad de Negocio, en adelante PCN.

8. LIDERAZGO

Dando cumplimiento a las directrices establecidas por el Gobierno Nacional, mediante el manual GEL, la SNS certifica un proceso misional, ¨Protección al usuario y Participación ciudadana¨ y uno de apoyo ¨Gestión de TICS¨ con la norma ISO 27001, para lo cual es requerido establecer el plan de continuidad de negocio respectivo, considerado en el anexo 17 de la misma norma. De este modo la alta gerencia plasma su compromiso y participación con el desarrollo de dichas iniciativas.

La entidad manifiesta su intención de implementar y mantener el PCN para toda la entidad, mediante la destinación anual de recursos para este fin, los cuales son gestionados y administrados por la OTI.

8.1 COMPROMISO DE LA ALTA DIRECCIÓN

La alta dirección demuestra su liderazgo y compromiso con la gestión del plan de continuidad de negocio – PCN, de la siguiente manera:

o Garantizando disponibilidad de los recursos necesarios para el PCN, a través del PAG para la OTI, con la asignación de equipos de computo destinados a soportar el PCN.

o Comunicando la importancia de la Continuidad de Negocio, mediante la aprobación de la política de continuidad de negocio, firmada por el superintendente nacional de salud en el documento ASPO09.

o Dirigiendo y apoyando a las personas que contribuyen a la eficacia del PCN, a través del jefe de la OTI y el coordinador del grupo de Administración y Seguridad de la Información.

o Promoviendo mejora continua, mediante la realización de los ejercicios del PCN.

10


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

8.2 POLÍTICA

La política definida para el plan de continuidad de negocio se encuentra enmarcada en las políticas de tercer nivel del subsistema de seguridad de la información, ASPO09, establecidas dentro del sistema integrado de gestión de la Entidad, es posible acceder a dicha política en la página web de SNS https://www.supersalud.gov.co, pestaña superintendencia, subsistema integrado de gestión, Subsistema de Seguridad en la Información, Requisitos generales, Políticas; o en la siguiente url: https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-de-seguridad-en-la-informacion

La política relacionada anteriormente cita: ¨La Entidad debe implementar un Plan de Continuidad de Negocio, con la finalidad de mitigar el impacto de los incidentes de interrupción, en los cuales la Entidad no tiene injerencia directa, para lo cual se establecen las siguientes acciones que permiten recuperar la operación de esta:

a. Se debe establecer un Plan de Continuidad de Negocio con el fin de restaurar la operación, después de la ocurrencia de un incidente de interrupción mayor, de acuerdo con el Procedimiento de Continuidad De Negocio GGPD02.

b. Los Planes de Recuperación de Desastres de la Entidad, deben ser probados una vez al año, por la Oficina de Tecnologías de la Información con la participación de las áreas pertinentes; con el fin de verificar la efectividad de estos e identificar la mejora continua del proceso. ¨

8.3 ROLES Y RESPONSABILIDADES

En el sistema Integrado de Gestión se detallan los roles y responsabilidades identificados para la Entidad, en este documento se relacionan los roles y responsabilidades específicos para el desarrollo del PCN, los cuales tienen asignadas diferentes responsabilidades a ejecutar ante un evento de interrupción real y previo a este; la ilustración 3 relaciona el organigrama de los roles identificados para el PCN.

11

https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-de-seguridad-en-la-informacion

https://www.supersalud.gov.co/es-co/superintendencia/sistema-integrado-de-gestion/subsistema-de-seguridad-en-la-informacion

https://www.supersalud.gov.co/


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

Ilustración 2 Organigrama PCN – SNS

8.3.1 Comité de Directivo

Tras la ocurrencia de un incidente de interrupción, el Comité operativo de emergencias, en adelante COE, definido en el Plan de Respuesta ante Emergencia y Contingencia de la SNS, califica y evalúa el nivel de impacto del incidente y de ser procedente activa el PCN de la Entidad, de igual forma dará la orden de desactivar el PCN cuando las condiciones así lo permitan. El COE comunica oficialmente al Jefe de la OTI, para que inicie los protocolos de activación o desactivación del PCN.

El Comité Operativo de Emergencias está conformado por la alta dirección, la siguiente tabla relaciona los roles integrantes de dicho comité.

12

COMITE DIRECTIVO

LIDER OTI

LIDERES PROCESOS

COORDINADOR 1

FUNCIONARIOS CRÍTICOS

COORDINADOR 2


COORDINADOR ..n


LIDER P CONTINUIDAD DE

NEGOCIO


COORD INFRAESTRUCTURA


COORD DE APLICACIONES



GUIAGUIA DE


NEGOCIO

VERSIÓN 1

# ÁREA CARGO

1 Superintendencia Superintendente

2 Superintendencia Delegada para la Supervisión Institucional

Superintendente Delegado

3 Superintendencia Delegada para las Medidas Especiales.


4 Superintendencia Delegada de procesos administrativosSuperintendente Delegado

5 Superintendencia Delegada para la supervisión de riesgos


6 Oficina de Tecnología de la Información Jefe de Oficina

7 Oficina Asesora de Planeación Jefe de Oficina

Tabla 1 Integrantes COE

La decisión de activación y/o desactivación del PCN, según corresponda la toma al menos una de las siguientes instancias, puede darse por el Comité de Emergencias – COE como ya se mencionó, o por el señor Superintendente o por el Comité Institucional de Gestión y Desempeño; dichas instancias definirán los parámetros relacionados con los canales adecuados de comunicación al interior y exterior de la entidad para funcionarios, proveedores y terceras partes interesadas, mediante la oficina asesora de comunicaciones.

8.3.2 Líder Oficina de Tecnologías de la Información

Representado por el Jefe de Tecnología de la Información, gestiona la adquisición de recursos para soportar el PCN, tiene a su cargo la coordinación de los grupos de trabajo de la OTI, tanto como coordinación de las funciones en tecnología que pertenezca a contratistas y/o proveedores de servicios de red y tecnológicos, de este modo realiza la gestión necesaria para la activación/desactivación del PCN con el proveedor y a nivel interno de la Entidad, se encarga de presentar los reportes de la operación contingente al COE.

13


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

8.3.3 Líder del Plan de Continuidad de Negocio

Realiza la recopilación de información necesaria para construir el PCN, identifica, documenta y socializa las funciones y responsabilidades de los roles del PCN, gestiona los ejercicios que se deben efectuar al PCN, solicita los recursos necesarios para las estrategias del PCN, realiza el reporte de los ejercicios de prueba, apoya la operación contingente durante el incidente, siguiendo las estrategias planteadas en el PCN.

8.3.4 Coordinador Grupo de Infraestructura

Tiene la responsabilidad de Adelantar las gestiones necesarias para que los servicios tecnológicos de cada uno de los procesos críticos estén disponibles antes, durante y después de un fallo mayor, verificando la operación del ambiente productivo alterno.

8.3.5 Coordinador Grupo de Aplicaciones

Tiene la responsabilidad de adelantar las gestiones necesarias para que los sistemas de información críticos de la Entidad estén disponibles antes, durante y después de un fallo mayor, verificando la disponibilidad de los mismo en el ambiente productivo alterno.

8.3.6 Coordinadores de proceso

Representados por los directores, delegados, jefes de oficina de los procesos críticos en la Superintendencia Nacional de Salud, los cuales son responsables de establecer el grado de criticidad de sus procesos durante el proceso de levantamiento de información, así mismo son responsables de identificar el personal requerido y de respaldo, para soportar la operación de la Entidad ante un incidente de interrupción mayor y/o durante los ejercicios de prueba.

8.3.7 Funcionarios Críticos

Son las personas identificadas para soportar el plan de restauración de procesos dentro del PCN, los cuales tiene la responsabilidad de acatar las instrucciones establecidas por los líderes de procesos y por el líder PCN relacionadas con la estrategia, la cual se da a conocer a través de las capacitaciones, deben participar en los ejercicios de prueba bajo la coordinación del líder PCN.

El establecimiento del punto de restauración de información de los sistemas de información y el tiempo de restauración, son responsabilidad de los roles antes relacionados.

14


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

9. RECURSOS

La Entidad realiza la asignación de los recursos necesarios para la implementación y mantenimiento del PCN, mediante la asignación de recursos por el Plan Anual de Gestión, los cuales son administrados por la Oficina de Tecnologías de la Información – OTI. Algunas de las inversiones de la Entidad son: contratación de profesionales calificados, contratación de servicios tecnológicos con proveedores de tecnología, capacitación a funcionarios en la norma ISO 22301, compra de equipos de cómputo, portátiles disponibles para soportar el PCN, arrendamiento de instalaciones alternas, asignación de recursos para soportar el teletrabajo, entre otros; entre los cuales algunos no requiere de inversión económica, como lo son los convenios interinstitucionales para contingencias de operación.

9.1 SENSIBILIZACIÓN Y CAPACITACIÓN

En la Superintendencia Nacional de Salud, se realizan jornadas de sensibilización y capacitación del Plan de Continuidad de Negocio, las cuales se realizan mínimo 1 vez al año o si las estrategias definidas en el PCN sufren cambios por variaciones en la organización de la Entidad y/o en la Infraestructura técnica de la misma.

Jornadas de sensibilización

Se imparten a toda la Entidad, socializando la política, la importancia del PCN, entre otra información general del mismo; todos los funcionarios y contratistas son convocados de forma presencial o virtual vía streaming.

Jornadas de capacitación

Se imparten al personal identificado para soportar la operación del PCN durante la ocurrencia de un incidente perjudicial, donde se busca dar a conocer los roles y responsabilidades definidos en la estrategia del plan, capacitando sobre las diferentes actividades a realizar por cada rol, en caso de entrar en operación los procedimientos definidos para la continuidad de negocio.

Se socializan documentos creados para las diferentes estrategias, como protocolos de activación/desactivación, minutogramas de pruebas, manuales de operación, entre otros, los cuales son utilizados dentro de los ejercicios de prueba, esta información se encuentra como anexo en el documento GGPL01.

15


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

9.2 COMUNICACIÓN

Las comunicaciones se manejan según el plan de Prevención, Preparación y Respuesta ante Emergencias, código STPL01, mediante la oficina asesora de comunicaciones, los cuales establecen los protocolos de comunicación interna y externa ante la ocurrencia de un incidente perjudicial. Considerando transmitir la información autorizada por el Superintendente Nacional de Salud y/o el COE a: las partes interesadas y los empleados, clientes, otras partes interesadas y medios. En el mantenimiento del PCN en caso de ser necesario, la oficina asesora de comunicaciones es la encargada de comunicar a nivel interno y externo los ejercicios de prueba del PCN.

En el desarrollo del PCN, se identifican las partes interesadas externas que se relacionan con la entidad, las cuales se detallan en la Guía de Contacto con las Autoridades y Grupos de Interés Especial, con código GGGU01, las cuales son contactadas por las partes interesadas del PCN según se requiera.

9.3 INFORMACIÓN DOCUMENTADA

En el desarrollo de la gestión de continuidad de negocio se formaliza ante la entidad mediante el sistema integrado de gestión, con esta guía de cumplimiento de continuidad de negocio, código GGGU04, el procedimiento PCN, código GGPD02, donde se establecen los punto de control del mismo y el Plan Continuidad de Negocio PCN, con código GGPL01, el cual contiene la especificación de la estrategia de operación, monitoreo y mejora continua del plan de continuidad de negocio establecido para la SNS.

La guía de cumplimiento de continuidad de negocio, código GGGU04 y el Procedimiento PCN código GGPD02, no incluye información sensible de los procesos de la Entidad y su contenido se clasifica como público, el Plan de Continuidad de Negocio – PCN, Código GGPL01 será divulgado parcialmente a las partes interesadas, a través de las capacitaciones y simulacros del PCN, donde se socializará la estrategia del PCN con los roles y responsabilidades, el documento completo se considera público clasificado y se encuentra disponible en la intranet de la Entidad, con acceso restringido para las partes interesadas.

El PCN Código GGPL01, actualiza la versión cada vez que se incluyan nuevos procesos en el alcance y/o se realicen cambios considerables en la organización y/o infraestructura de la Entidad, lo cual se formaliza mediante memorando con la oficina de planeación de la Entidad dentro del sistema integrado de gestión.

16


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

Los cambios realizados en el PCN se socializan con las partes interesadas durante el desarrollo del plan de capacitaciones anuales y/o cuando se requiera por actualización del documento.

10. OPERACIÓN

La Entidad cuenta con diferentes documentos, donde se registra la identificación de los procesos críticos para la operación de la entidad, los recursos necesarios, la definición de estrategias y planes de acción; los cuales están contenidos en el Plan de Continuidad de Negocio – PCN, Código GGPL01.

La documentación del PCN, se actualiza periódicamente incluyendo la mejora continua del proceso y se encuentra en la biblioteca digital de documentos de la Entidad, carpeta: Oficina de tecnología de la información, la cual tiene acceso restringido.

10.1 ANÁLISIS DE IMPACTO AL NEGOCIO - BIA

El Análisis de Impacto al Negocio – BIA (Business Impact Analysis), se desarrolla con el fin de identificar la criticidad y priorización de los diferentes procesos de la entidad mediante la identificando de los impactos financieros, legales y de imagen, que afectarían a la entidad en caso de presentarse un incidente perjudicial; esto se realiza mediante la realización de entrevistas a los diferentes procesos.

La siguiente ilustración contiene la criticidad identificada para los diferentes grupos de trabajo que soportan la operación de los procesos, señalando en color azul el proceso misional Protección al Usuario y Participación Ciudadana y en color verde el proceso de apoyo, Gestión TIC; para los cuales se identifican los recursos mínimos necesarios para la recuperación de la operación. El consolidado de esta información se encuentra como anexo del documento GGPL01.

17


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

Ilustración 3 Nivel de criticidad

El BIA anualmente ampliará la cobertura hasta cubrir la totalidad de los procesos de la SNS; el detalle del análisis se relaciona en el anexo BIA del documento GGPL01 Plan de Continuidad de Negocio PCN.

En la ejecución del BIA, se realiza la identificación de los factores de riesgo de interrupción sobre los procesos críticos, usando la matriz de riesgos de activos de información, relacionada en la Guía Metodológica de Análisis de Riesgos de Seguridad y Privacidad de la Información, con código ASGU05, con el fin de relacionarlos en el plan de tratamiento de riesgos permitiendo realizar la respectiva valoración de los riesgos de interrupción; de este modo es posible identificar las causas que afectan la operación normal de los servicios.

Con los resultados obtenidos en las entrevistas, el análisis de riesgos y el apoyo de los grupos de trabajo de la OTI, es posible establecer los criterios para determinar el plan de recuperación de procesos y el plan de recuperación de TI, identificando los niveles de recuperación tecnológica requeridos.

18


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

10.2 ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

La Entidad relaciona el establecimiento de sus estrategias ante incidentes de perjudiciales en el Plan de Continuidad de Negocio, este documento pretende servir como facilitador para proceder con el manejo adecuado de la información, tareas y actividades necesarias para facilitar la recuperación ante una interrupción, dando cumplimiento a los requerimientos de seguridad de la información y/o Informáticos establecidos por la Entidad, para su adecuada operación.

Las estrategias definidas están basadas en los objetivos de recuperación y necesidades de recursos identificadas en el BIA, las cuales quedan registradas dentro del Plan de Continuidad de Negocio – PCN, Código GGPL01, el cual es de conocimiento interno con acceso restringido, por su connotación público clasificado, dado que contiene guías de operación específicas, las cuales poseen información detallada de la operación de la Entidad, esta documentación se encuentra en la biblioteca digital de la Entidad, carpeta: Oficina de tecnología de la información

La Superintendencia Nacional de Salud, activará las estrategias definidas en el PCN, según sea la necesidad, si el incidente perjudicial afecta las personas e instalaciones, se activarán las estrategias relacionadas al plan de recuperación de procesos, si el incidente perjudicial afecta los sistemas de información, se activarán las estrategias relacionadas al plan de recuperación tecnológico.

10.2.1 Plan de Recuperación de Procesos

La SNS cuenta con un plan de Prevención, Preparación y Respuesta ante Emergencias - STPL01 transversal a la entidad, una vez ocurrido un incidente perjudicial que tenga afectación en las personas e instalaciones, se hace uso de este plan como primera respuesta al incidente, posterior a esto se realiza la evolución del impacto del incidente, así el comité directivo toma la decisión de activar o no la estrategia del PCN.

El PCN, identifica las partes interesadas externas que se relacionan con la entidad, las cuales se detallan en la Guía de Contacto con las Autoridades y Grupos de Interés Especial, con código GGGU01, las cuales son contactadas durante la operación en contingencia.

La estrategia definida para la recuperación de procesos del PCN, incluye una contingencia relacionada con las personas y las instalaciones para soportar la operación de los procesos críticos de la Entidad.

19


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

Ilustración 4 Recuperación de procesos

En el análisis de impacto al negocio, se identificaron las personas críticas y el backup de estas para soportar el PCN, esta información se encuentra en un anexo del documento GGPL01, donde se especifican los números de contacto personal de estos funcionarios, dado que es posible requerirlos en horarios no hábiles y es necesario comunicarse con ellos para comunicar la activación de las estrategias definidas.

En caso de que el incidente perjudicial afecte las instalaciones de operación administrativas y/o el Centro de Atención al Ciudadano, se consideran las estrategias planteadas para cada una, donde se tienen considerados recursos como equipos de cómputo, conectividad a los sistemas de información de la Entidad, divulgación de estrategia de atención al ciudadano, entre otros.

10.2.2 Plan de Recuperación Tecnológica

En el PCN se define la implementación de procedimientos para permitir la recuperación y restauración de los sistemas de información críticos, identificados en el BIA tecnológico (incluido como anexo en el documento GGPL01), logrando así restablecer la disponibilidad de estos, con las condiciones de Seguridad de la Información establecidas para la operación.

Ilustración 5 Recuperación Tecnológica

20

Personas e Instalaciones

ESTRATEGIA PERSONAS*Personal crítico

ESTRATEGIA INSTALACIONES* Centro de Atención al Ciudadano* Operación Administrativa

Sistemas de Información

RESPALDOS TI* Contingencia* Activación DRP


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

Uno de los esquemas de respaldo considerados para soportar la continuidad tecnológica de la Entidad, está planteado con acciones de contingencia, representadas con copias de seguridad de Bases de Datos, copias de las Máquinas virtuales de los servidores de aplicación, entre otros, dichos respaldos se garantizan con independencia de hardware.

En caso de que el incidente perjudicial afecte la totalidad del centro de datos principal, la Entidad hará uso del Plan de Recuperación de Desastres – DRP, establecido con el Centro Alterno de Datos, el cual se encuentra ubicado en una ciudad diferente a la ubicación del Centro de Datos Principal.

Ilustración 6 Replicación Tecnológica

En el PCN se encuentra como anexo, la documentación técnica relacionada al procedimiento de activación del Plan de Restauración de Desastres tecnológico – DRP.

10.2.3 Retorno a Operación con normalidad

La Superintendencia Nacional de Salud, retornará a la operación normal de sus sistemas de información y procesos, una vez sea determinado por el comité de emergencias - COE, el Superintendente y/o el Comité de desarrollo Institucional - CDI, impartiendo la decisión de desactivar el PCN, dicha acción es comunicada al Jefe de la OTI, quien utilizará los protocolos respectivos a nivel interno de la Entidad y con los diferentes proveedores para retornar a la operación normal.

El líder del PCN, utilizará el protocolo de comunicaciones con la oficina asesora de comunicaciones, para contactar los funcionarios y convocarlos para la restauración de actividades, así mismo divulgará externamente la normalización de la operación.

La Superintendencia Nacional de Salud, enfoca sus esfuerzos en promover la resiliencia organizacional entre sus funcionarios, desarrollando estrategias que le permitan a la

21


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

Entidad tener la capacidad de recuperarse tras la ocurrencia de un incidente perjudicial, recuperando la operación en situaciones cambiantes.

10.3 EJERCICIOS Y PRUEBAS

Se realizan los ejercicios y pruebas del PCN 2 veces al año, según plan de pruebas definido entre el líder del PCN y las áreas participantes de la Entidad, durante la ejecución de estas se utilizan algunos anexos del documento GGPL01, como: minutogramas, protocolos, guías de procedimientos, entre otros.

Posterior a la ejecución de las pruebas se incluye como anexo al documento GGPL01, los informes resultado de los ejercicios de prueba del PCN usando el formato COFL02.

11. MEJORA CONTINUA

Se identifican oportunidades de mejora del PCN, con el registro de las lecciones aprendidas, identificación de puntos de falla, optimización de los minutogramas de las pruebas, protocolos, guías y procedimientos, entre otros, realizando evaluación de proceso y en general con los resultados de los ejercicios de prueba realizados.

La mejora continua del PCN de la Entidad, también se da gracias a la asignación de recursos, los cuales permiten ampliar la capacidad de respuesta ante un incidente perjudicial, lo cual conlleva a modificar la estrategia generando versionamiento de las guías y protocolos definidos dentro del plan.

12. REFERENCIAS BIBLIOGRAFICAS

En el contexto de la entidad se identifican las siguientes leyes a las cuales se les da cumplimiento con la creación desarrollo y mejora continua del plan de continuidad de negocio.

Ley 1266 DE 2008 Artículo 1°. Objeto. La presente Ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales a que se refiere el artículo 15 de la Constitución Política, así como el derecho a la información establecido en el artículo 20 de la Constitución Política, particularmente en relación

22


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

con la información financiera y crediticia, comercial, de servicios y la proveniente de terceros países.

Ley 1273 de 2009 Artículo 1°. Adicionase el Código Penal con un Título VII BIS denominado "De la Protección de la información y de los datos", del siguiente tenor: CAPITULO PRIMERO de los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos y CAPITULO SEGUNDO de los atentados informáticos y otras infracciones.

Ley 1581 de 2012 (Habeas Data) Por la cual se dictan disposiciones generales para la protección de datos. Esta ley busca proteger los datos personales registrados en cualquier base de datos que permite realizar operaciones, tales como recolección, almacenamiento, uso, circulación o supresión por parte de entidades de naturaleza pública y privada, sin embargo, a los datos financieros se les continúa aplicando la Ley 1266 de 2008, excepto los principios.

Decreto 1078 del 26 de mayo de 2015 Artículo 2.2.9.1.2.1. Componentes. Los fundamentos de la estrategia serán desarrollados a través de 4 componentes que facilitarán la masificación de la oferta y la demanda de Gobierno En Línea. 4. Seguridad y privacidad de la Información.

Decreto 2573 de 12 de diciembre de 2014 Artículo 5. Componentes. Los fundamentos de la estrategia serán desarrollados a través de 4 componentes que facilitarán la masificación de la oferta y la demanda de Gobierno En Línea. 4. Seguridad y privacidad de la Información.

Ley 87 de 1993 “por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones” Proteger los recursos de la organización buscando su adecuada administración ante posibles riesgos que los afectan. Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos

Ley 734 de 2002 “por la cual se expide el Código Disciplinario Único” Artículo 34. Deberes. Son deberes de todo servidor público: 5. Custodiar y cuidar la documentación e información que por razón de su empleo, cargo o función conserve bajo su cuidado o a la cual tenga acceso, e impedir o evitar la sustracción, destrucción, ocultamiento o utilización indebidos.

23


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

Ley 734 de 2002. Artículo 48. Faltas gravísimas. Son faltas gravísimas las siguientes: 43. Causar daño a los equipos estatales de informática, alterar, falsificar, introducir, borrar, ocultar o desaparecer información en cualquiera de los sistemas de información oficial contenida en ellos o en los que se almacene o guarde la misma, o permitir el acceso a ella a personas no autorizadas.

Ley 1712 de 2014 Regula el derecho de acceso a la información pública, los procedimientos para el ejercicio y garantías del derecho y las excepciones a la publicidad de la información. Toda persona puede conocer sobre la existencia y acceder a la información pública en posesión o bajo control de los sujetos obligados. El acceso a la información solamente podrá ser restringido excepcionalmente.

Los documentos guía para la elaboración del plan de continuidad de negocio de la Entidad son:

o NTC ISO-22301:2012 Continuidad de Negocio. Sistemas de gestión de Continuidad de Negocio. Requisitos.

o NTC ISO-IEC 27001:2013 Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información Requisitos.

o Guía para la preparación de las TIC para la continuidad de negocio, MINTIC.o Guía para realizar el Análisis de Impacto de Negocios BIA, MINTIC.o Guía: Controles de Seguridad y Privacidad de la Información, MINTIC.

CONTROL DE CAMBIOSASPECTOS

QUE CAMBIARO

N EN EL DOCUMEN

TO

DETALLES DE LOS CAMBIOS EFECTUADOS

RESPONSABLE DE LA

SOLICITUD DEL CAMBIO

FECHA DEL CAMBIODD/MM/AAAA

VERSIÓN

Adopción del

documento

Se solicita creación mediante memorando NURC: 3-2018-009260.

Se aprueba mediante memorando NURC: 3-2018-010440.

Jefe Oficina de Tecnologías

de la Información

22/06/2018 1

24


GUIAGUIA DE


NEGOCIO

VERSIÓN 1

25

Guía de Cumplimiento de Continuidad de Negocio · Web viewEsta Guía se apoya en el cumplimiento...

Documents

Transcript of Guía de Cumplimiento de Continuidad de Negocio · Web viewEsta Guía se apoya en el cumplimiento...