PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y ......Plan de Continuidad del negocio: es el plan general que...

13
PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES PARA LA CONTINUIDAD DEL NEGOCIO BOGOTÁ D.C AGOSTO de 2019

Transcript of PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y ......Plan de Continuidad del negocio: es el plan general que...

Page 1: PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y ......Plan de Continuidad del negocio: es el plan general que agrupa toda aquella información que permite la gestión hacia la continuidad,

PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y

COMUNICACIONES PARA LA CONTINUIDAD DEL

NEGOCIO

BOGOTÁ D.C AGOSTO de 2019

Page 2: PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y ......Plan de Continuidad del negocio: es el plan general que agrupa toda aquella información que permite la gestión hacia la continuidad,

Documento público clasificado

PLAN DE TECNOLOGÍAS DE

INFORMACIÓN Y COMUNICACIONES

PARA LA CONTINUIDAD DEL NEGOCIO

Proceso

asociado

Código

Versión

Tecnología de Información

y Comunicaciones

D-TI-26

02

1

CONTENIDO

NOTA DE CALIFICACIÓN DE LA INFORMACIÓN ........................................................................ 2

1. OBJETIVO ....................................................................................................................... 3

2. ALCANCE ........................................................................................................................ 3

3. TERMINOS Y DEFINICIONES ............................................................................................ 3

4. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO ................................................................ 4

5. INTERRELACIÓN ENTRE SEGURIDAD DE LA INFORMACIÓN Y CONTINUIDAD DEL

NEGOCIO ........................................................................................................................ 4

6. REQUISITOS DE GESTIÓN DE CONTINUIDAD DE SEGURIDAD DE LA INFORMACIÓN ....... 5

7. SERVICIOS CRÍTICOS DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIONES ............. 6

7.1 Prioridad de los servicios ................................................................................................ 7

8. FASES DE CONTINUIDAD ................................................................................................ 8

8.1 Preparación para la continuidad del negocio ................................................................. 8

8.1.1 Riesgo de plan de continuidad del negocio ..................................................................... 8

8.1.2 Plan de Contingencia ...................................................................................................... 8

9. ESTRATEGIAS PARA CONTINUIDAD ................................................................................ 9

10. INTERRELACIÓN DE PLANES ........................................................................................... 9

11. COMUNICACIÓN DE ALERTAS....................................................................................... 10

12. PLAN DE PRUEBAS ........................................................................................................ 10

13. DOCUMENTOS ASOCIADOS .......................................................................................... 10

14. BIBLIOGRAFÍA ............................................................................................................... 12

15. RESPONSABLE DEL DOCUMENTO ................................................................................. 12

Page 3: PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y ......Plan de Continuidad del negocio: es el plan general que agrupa toda aquella información que permite la gestión hacia la continuidad,

Documento público clasificado

PLAN DE TECNOLOGÍAS DE

INFORMACIÓN Y COMUNICACIONES

PARA LA CONTINUIDAD DEL NEGOCIO

Proceso

asociado

Código

Versión

Tecnología de Información

y Comunicaciones

D-TI-26

02

2

NOTA DE CALIFICACIÓN DE LA INFORMACIÓN

Este documento, contiene información pública clasificada semiprivada del Área de

Tecnologías y Sistemas de Información. La Información contenida es de su propiedad. Se

prohíbe cualquier utilización impropia, así como cualquier tipo de reproducción y/o

distribución por cualquier medio físico, mecánico, electrónico y/o digital. Ningún otro uso

de la información aquí contenida es permitido sin la autorización expresa y escrita del Área

de Tecnologías y Sistemas de Información. Toda la información aquí contenida es de

carácter PÚBLICA CLASIFICADA SEMIPRIVADA y sólo es de interés del Área de Tecnologías y

Sistemas de Información y los expresamente autorizados por el Área de Tecnologías y

Sistemas de Información.

Page 4: PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y ......Plan de Continuidad del negocio: es el plan general que agrupa toda aquella información que permite la gestión hacia la continuidad,

Documento público clasificado

PLAN DE TECNOLOGÍAS DE

INFORMACIÓN Y COMUNICACIONES

PARA LA CONTINUIDAD DEL NEGOCIO

Proceso

asociado

Código

Versión

Tecnología de Información

y Comunicaciones

D-TI-26

02

3

1. OBJETIVO Describir mediante documentación, los procedimientos que se deben realizar en caso que se presenten eventos disruptivos, de tal forma que se requiera la restauración y/o recuperación de los servicios de misión crítica que se encuentran bajo la gestión del proceso de Tecnologías de Información y Comunicaciones, en caso de presentarse algún tipo de interrupción.

2. ALCANCE El plan de continuidad del negocio abarca los procesos de la Entidad, a razón que los servicios prestados por el Área de Tecnologías y Sistemas de Información son usados por los funcionarios, contratistas y colaboradores del Departamento Administrativo de la Presidencia de la República, que han solicitado el acceso a los mismos.

3. TERMINOS Y DEFINICIONES Análisis de impacto del negocio (BIA – Business Impact Analysis): mediante la definición de los servicios críticos de la Entidad, se realiza una priorización de los mismos, con el fin de asignar el tiempo de recuperación, en caso de presentarse algún tipo de interrupción. De tal manera que si el servicio tiene mayor prioridad, su tiempo de recuperación debe ser menor con respecto a los servicios que tienen menor prioridad.1 Evento Disruptivo: son los sucesos que se pueden presentar, como por ejemplo pérdida de servicio, falla de seguridad, desastres naturales. Gestión de continuidad del negocio: es el proceso mediante el cual se identifican las amenazas potenciales y el impacto que pueden causar en caso que se materialicen; de tal forma que busca que la Entidad tenga una mayor capacidad de resistencia, dando una respuesta oportuna a salvaguardar la información y lo más importante, la reputación que tiene hacia las partes interesadas. Plan de contingencia: en estos planes se definen las actividades realizadas a diario, las cuales en el momento que se requiera puedan ser restauradas, de acuerdo al evento o incidente que se pueda presentar. Plan de Continuidad del negocio: es el plan general que agrupa toda aquella información que permite la gestión hacia la continuidad, como por ejemplo los procedimientos que contiene la información que permita responder, recuperar, reanudar y restaurar los servicios críticos definidos,

1 Ver documento: “Análisis de Impacto del Negocio” que se encuentra en carpeta compartida de continuidad

Page 5: PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y ......Plan de Continuidad del negocio: es el plan general que agrupa toda aquella información que permite la gestión hacia la continuidad,

Documento público clasificado

PLAN DE TECNOLOGÍAS DE

INFORMACIÓN Y COMUNICACIONES

PARA LA CONTINUIDAD DEL NEGOCIO

Proceso

asociado

Código

Versión

Tecnología de Información

y Comunicaciones

D-TI-26

02

4

tras presentarse una interrupción, definiendo el momento que se requiere activar. En este plan se encuentra el análisis de impacto de negocio. Servicios Tecnológicos críticos de la Entidad: estos servicios son aquellos que se encuentran en la plataforma tecnológica, los cuales son usados como medio de trabajo, por los procesos para desarrollar algunas de las actividades que permiten el desarrollo de la misión de la Entidad.

4. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Manual de Políticas de Seguridad la información M-TI-012 se describe la gestión de la continuidad del negocio, a partir de Seguridad de la Información y enfocado en los servicios que se encuentra bajo la responsabilidad y gestión del Área de Tecnologías y Sistemas de Información.

5. INTERRELACIÓN ENTRE SEGURIDAD DE LA INFORMACIÓN Y CONTINUIDAD DEL NEGOCIO

En la imagen 1: Relación entre continuidad del negocio y seguridad de la información, se puede visualizar la concordancia en cuanto a los controles de continuidad de seguridad de la información de la norma NTC-ISO-IEC 27001:2013 de seguridad de la información y los requerimientos de la norma ISO 22301:2012 de continuidad del negocio, adoptada en Colombia como NTC-5722 del año 2012.

2 Ver documento en: https://dapre.presidencia.gov.co/dapre/DocumentosSIGEPRE/M-TI-01-Manual-Politicas-

Seguridad-Informacion.pdf

Page 6: PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y ......Plan de Continuidad del negocio: es el plan general que agrupa toda aquella información que permite la gestión hacia la continuidad,

Documento público clasificado

PLAN DE TECNOLOGÍAS DE

INFORMACIÓN Y COMUNICACIONES

PARA LA CONTINUIDAD DEL NEGOCIO

Proceso

asociado

Código

Versión

Tecnología de Información

y Comunicaciones

D-TI-26

02

5

Imagen 1: Relación entre continuidad del negocio y seguridad de la información De esta forma, se puede concluir que el plan de Tecnologías de Información y Comunicaciones para continuidad del negocio, busca salvaguardar la información aplicando los controles y pruebas que permitan que en caso que se requiera, sea aplicado dicho plan.

6. REQUISITOS DE GESTIÓN DE CONTINUIDAD DE SEGURIDAD DE LA INFORMACIÓN

Se define en el Manual de Políticas de Seguridad de la Información M-TI-01, la Gestión de continuidad del negocio, de tal forma que indica: “Es el conjunto de procedimientos y estrategias definidos para contrarrestar las interrupciones en las actividades misionales de la entidad, para proteger sus procesos críticos contra fallas mayores en los sistemas de información o contra desastres y asegurar que las operaciones se recuperen oportuna y ordenadamente, generando un impacto mínimo o nulo ante una contingencia.

Page 7: PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y ......Plan de Continuidad del negocio: es el plan general que agrupa toda aquella información que permite la gestión hacia la continuidad,

Documento público clasificado

PLAN DE TECNOLOGÍAS DE

INFORMACIÓN Y COMUNICACIONES

PARA LA CONTINUIDAD DEL NEGOCIO

Proceso

asociado

Código

Versión

Tecnología de Información

y Comunicaciones

D-TI-26

02

6

Prevenir interrupciones en las actividades de la plataforma informática del DAPRE que van en detrimento de los procesos críticos de TI afectados por situaciones no previstas o desastres. Se debe desarrollar e implantar un Plan de Continuidad para asegurar que los procesos misionales de TI del DAPRE podrán ser restaurados dentro de escalas de tiempo razonables. El DAPRE deberá tener definido un plan de acción que permita mantener la continuidad del negocio teniendo en cuenta los siguientes aspectos:

- Identificación y asignación de prioridades a los procesos críticos de TI del DAPRE de acuerdo con su impacto en el cumplimiento de la misión de la entidad.

- Documentación de la estrategia de continuidad del negocio. - Documentación del plan de recuperación del negocio de acuerdo con la estrategia definida

anteriormente. - Plan de pruebas de la estrategia de continuidad del negocio.

La continuidad del negocio deberá ser gestionada por la Dirección del DAPRE. La alta dirección del DAPRE será la responsable de velar por la implantación de las medidas relativas a ésta. Igualmente, es responsable de desarrollar las tareas necesarias para el mantenimiento de estas medidas. La alta dirección del Departamento, se encargará de la definición y actualización de las normas, políticas, procedimientos y estándares relacionados con la continuidad del negocio, igualmente velará por la implantación y cumplimiento de las mismas.

7. SERVICIOS CRÍTICOS DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIONES

Los Servicios Tecnológicos críticos de la Entidad, se denominan de esa forma por la importancia que se deriva de ellos en el desarrollo de las labores de la entidad a diario, permitiendo ser de ayuda en la consecución de la misión, mediante el desarrollo de las actividades realizadas por los funcionarios, contratistas y colaboradores del DAPRE. Estos sistemas de misión crítica son aquellos a los cuales se les asigna una mayor prioridad para el momento que se requiera la activación de los planes de contingencia, por su importancia, dado que les facilita a los usuarios de la plataforma tecnológica el desarrollo de sus actividades.

Page 8: PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y ......Plan de Continuidad del negocio: es el plan general que agrupa toda aquella información que permite la gestión hacia la continuidad,

Documento público clasificado

PLAN DE TECNOLOGÍAS DE

INFORMACIÓN Y COMUNICACIONES

PARA LA CONTINUIDAD DEL NEGOCIO

Proceso

asociado

Código

Versión

Tecnología de Información

y Comunicaciones

D-TI-26

02

7

Los servicios que están contemplados para el análisis de impacto, son algunos de los que se encuentran definidos en el Catálogo de Servicios de Tecnología de Información y Comunicaciones D-TI-01, que se encuentra publicado en SIGEPRE3, los cuales son: - Página Web principal de la Entidad - Internet - Correo electrónico – Microsoft Exchange - Sistema de Gestión Humana - Sistema de Gestión Documental “ESCRIBE PRESIDENCIA” Estos servicios son elegidos por la razón, que en caso que suceda alguna interrupción de los mismos, la importancia para la Entidad de su disponibilidad tiene un margen alto y medio. Se debe tener en cuenta que actualmente se cuenta con un centro alterno geográficamente disperso, en el cual se mantiene la disponibilidad de los servicios y en caso de requerirse, cuenta con 10 puestos de trabajo, para que sean usados por los funcionarios que son de vital importancia para la continuidad de los servicios; y así puedan trabajar sin ningún inconveniente, mientras se realizan los ajustes para dar normalidad a las actividades desarrolladas por la Entidad.

7.1 Prioridad de los servicios Se define el orden de atención de los servicios de misión crítica que brinda el proceso de tecnología de información y comunicaciones, definidos de esa forma por su importancia para el desarrollo de las actividades encaminadas al desarrollo de la misión de la Entidad, por parte de los funcionarios, contratistas y colaboradores del Departamento Administrativo de la Presidencia de la República. A continuación, se visualiza la prioridad de atención de los servicios críticos:

SERVICIO

PRIORIDAD

RÈPLICA DATACENTER ALTERNO

Página principal de la Entidad

Alta Si

Internet

Alta Si

Correo electrónico

Alta Si

Sistema de Gestión Humana

Media Si

3 Sistema de Gestión Integrado de la Presidencia de la República

Page 9: PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y ......Plan de Continuidad del negocio: es el plan general que agrupa toda aquella información que permite la gestión hacia la continuidad,

Documento público clasificado

PLAN DE TECNOLOGÍAS DE

INFORMACIÓN Y COMUNICACIONES

PARA LA CONTINUIDAD DEL NEGOCIO

Proceso

asociado

Código

Versión

Tecnología de Información

y Comunicaciones

D-TI-26

02

8

Sistema de Gestión Documental

“ESCRIBE PRESIDENCIA”

Media Si

8. FASES DE CONTINUIDAD

8.1 Preparación para la continuidad del negocio

8.1.1 Riesgo de plan de continuidad del negocio Mediante la gestión de riesgo enfocado en la continuidad del negocio se conocen las causas y efectos que puede tener la materialización de un riesgo, de tal forma que se evalúa su impacto y probabilidad, así como los controles que se deben definir. De esta forma, para el Sistema de Gestión de Seguridad de la Información y de la Continuidad del negocio se define el riesgo en SIGEPRE:

- Falta de acceso a la información por ausencia de un plan de continuidad que permita mantener la confidencialidad, integridad y disponibilidad de los activos de información SGSI

El riesgo no se ha materializado, gracias a la configuración actual de la plataforma tecnológica, la cual es definida entre los centros de cómputo como activa – activa, de tal forma que, adicional a dicha configuración, se realizan pruebas mensuales a los servicios definidos en alta disponibilidad. Los riesgos tienen un monitoreo trimestral, de tal forma que se documenta y se evidencia la aplicación de los controles definidos y así se mantiene la visión de la continuación de la seguridad de información y del negocio.

8.1.2 Plan de Contingencia Los planes de contingencia permiten definir y tener disponible los documentos en los cuales se realiza la descripción de los procedimientos que se deben llevar a cabo para restaurar los servicios. De esta forma se encuentra descrito en el documento y sus anexos:

- Plan de Contingencia Activación Servicios Principales Centro Alterno y recuperación del catálogo de servicios.docx.

o 1. VMwareCentroAlterno.xls. o 2. VMwareCentroPrincipal.xls. o 3. Servidores Fisicos.xlsx.

Page 10: PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y ......Plan de Continuidad del negocio: es el plan general que agrupa toda aquella información que permite la gestión hacia la continuidad,

Documento público clasificado

PLAN DE TECNOLOGÍAS DE

INFORMACIÓN Y COMUNICACIONES

PARA LA CONTINUIDAD DEL NEGOCIO

Proceso

asociado

Código

Versión

Tecnología de Información

y Comunicaciones

D-TI-26

02

9

o 4. AdminCentral SharePoint.xlsx. o 5. Mapa Bases de Datos.xlsx. o 6. Restauración de una base de datos SQL.docx. o 7. Restaurar BD Exchange desde Symantec Backup Exec.docx. o 8. Restaurar Máquina Virtual desde Symantec Backup Exec.docx. o 9. Restaurar Máquina Virtual en VMware.docx. o 10. Restaurar sitio SharePoint.docx.

9. ESTRATEGIAS PARA CONTINUIDAD Con una periodicidad mensual, se realizan pruebas a la continuidad de los servicios que presta el proceso de tecnología y sistemas de información, de tal forma que se direcciona el tráfico de red de Presidencia a la puerta de enlace del canal alterno. De esta forma, las pruebas realizadas a los servicios son documentadas en acta en la cual se evidencian las mismas, actualmente se encuentra en el Sistema Integrado de la Presidencia de la República – SIGEPRE:

- Tarea de plan de acción del proceso de tecnología y sistemas de información: Realizar las pruebas que garanticen la operación en el centro alterno y el indicador: Número de pruebas centro alterno.

10. INTERRELACIÓN DE PLANES Se relacionan los planes definidos para continuidad del negocio, desde Tecnologías de Información y Comunicaciones, los cuales se encuentran en el repositorio de carpeta compartida: \\hera1\ccnas$\DAPR\Sistemas\CONTINUIDAD.

Servicio Documento de Plan de Recuperación4

Página principal de la Entidad

Plan de Contingencia Activación Servicios Principales Centro Alterno y recuperación del catálogo de servicios Plan de Recuperación Desastres – SharePoint 2013

Internet DRP Activación Servicios Principales Centro Alterno - Internet

Correo electrónico

Plan de Contingencia Activación Servicios Principales Centro Alterno y recuperación del catálogo de servicios

4 Documentos disponibles en carpeta compartida: \\hera1\ccnas$\DAPR\Sistemas\ CONTINUIDAD

Page 11: PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y ......Plan de Continuidad del negocio: es el plan general que agrupa toda aquella información que permite la gestión hacia la continuidad,

Documento público clasificado

PLAN DE TECNOLOGÍAS DE

INFORMACIÓN Y COMUNICACIONES

PARA LA CONTINUIDAD DEL NEGOCIO

Proceso

asociado

Código

Versión

Tecnología de Información

y Comunicaciones

D-TI-26

02

10

Plan de Recuperación Desastres - Exchange

Sistema de Gestión Humana

Plan de Contingencia Activación Servicios Principales Centro Alterno y recuperación del catálogo de servicios Plan de Recuperación Desastres - IIS

Sistema de Gestión Documental

“ESCRIBE PRESIDENCIA”

Plan de Contingencia Activación Servicios Principales Centro Alterno y recuperación del catálogo de servicios Plan de Recuperación Desastres - IIS

11. COMUNICACIÓN DE ALERTAS En el momento que se presente interrupción del servicio, el jefe de Área de Tecnologías y Sistemas de información, indica a la alta dirección la novedad. De tal forma que la alta dirección autorice reportar a las partes interesadas pertinentes, la interrupción presentada.

12. PLAN DE PRUEBAS Se realiza mensualmente el ejercicio controlado de configuración del centro alterno, para que éste sea el único que se encuentre disponible; evidenciándose el paso a paso en acta, la cual puede ser consultada en el indicador que hace parte del proceso de Tecnologías de Información y Comunicaciones, llamado: Número de pruebas centro alterno. Estas pruebas son realizadas por coordinadores de Grupo de redes y plataforma TI, en compañía del grupo de atención de incidentes – CSIRT, que hace parte de Casa Militar.

13. DOCUMENTOS ASOCIADOS Manual de Políticas de Seguridad de la Información M-TI-01. Documentos de continuidad se encuentran en la ruta: \\hera1\ccnas$\DAPR\Sistemas\CONTINUIDAD:

- Carpeta: Contingencias

Page 12: PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y ......Plan de Continuidad del negocio: es el plan general que agrupa toda aquella información que permite la gestión hacia la continuidad,

Documento público clasificado

PLAN DE TECNOLOGÍAS DE

INFORMACIÓN Y COMUNICACIONES

PARA LA CONTINUIDAD DEL NEGOCIO

Proceso

asociado

Código

Versión

Tecnología de Información

y Comunicaciones

D-TI-26

02

11

o Plan de Contingencia Activación Servicios Principales Centro Alterno y recuperación del catálogo de servicios

o Subcarpeta: Anexos - Plan de Contingencia Activación Servicios Principales Centro Alterno y recuperación del catálogo de servicios.

1. VMwareCentroAlterno. 2. VMwareCentroPrincipal. 3. Servidores Físicos. 4. AdminCentral SharePoint. 5. Mapa Bases de Datos. 6. Restauración de una base de datos SQL. 7. Restaurar BD Exchange desde Symantec Backup Exec. 8. Restaurar Máquina Virtual desde Symantec Backup Exec. 9. Restaurar Máquina Virtual en VMware.docx. 10. Restaurar sitio SharePoint.

- Carpeta: Plan de continuidad del Negocio y Análisis de Impacto del Negocio

o Análisis de Impacto del Negocio. o Plan de Continuidad del Negocio.

- Carpeta: Plan de Continuidad Internet y Diagramas

o DRP Activación Servicios Principales Centro Alterno – Internet. o DIAGRAMACONEXION. o Información Infraestructura. o PROCEDIMIENTO RESTAURACION DE BACKUP o REVISION SWITCH CORE. o Plan de Contingencia Activación Servicios Principales Centro Alterno y recuperación

del catálogo de servicios. o TOPOLOGIA PRESIDENCIA DE LA REPÚBLICA.

- Carpeta: PlandeRecuperaciónDeDesastres

o DRP Activación Servicios Principales Centro Alterno - Internet DEF. o Plan de Recuperación Desastres - Exchange. o Plan de Recuperación Desastres - Active Directory. o Plan de Recuperación Desastres - IIS. o Plan de Recuperación Desastres - Oracle. o Plan de Recuperación Desastres – SharePoint 2013. o Plan de Recuperación Desastres - Skype 2015.

Page 13: PLAN DE TECNOLOGÍAS DE INFORMACIÓN Y ......Plan de Continuidad del negocio: es el plan general que agrupa toda aquella información que permite la gestión hacia la continuidad,

Documento público clasificado

PLAN DE TECNOLOGÍAS DE

INFORMACIÓN Y COMUNICACIONES

PARA LA CONTINUIDAD DEL NEGOCIO

Proceso

asociado

Código

Versión

Tecnología de Información

y Comunicaciones

D-TI-26

02

12

14. BIBLIOGRAFÍA

- Guía para la preparación de las TIC para la continuidad del negocio – Seguridad y privacidad de la Información – MINTIC

https://www.mintic.gov.co/gestionti/615/articles-5482_G10_Continuidad_Negocio.pdf.

15. RESPONSABLE DEL DOCUMENTO

Jefe Área de Tecnologías y Sistemas de Información.