POLÍTICA DE SEGURIDAD EN LA CONTINUIDAD DE LAS OPERACIONES P-17 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN

Transcripción

1 POLÍTICA DE SEGURIDAD EN LA CONTINUIDAD DE LAS OPERACIONES P NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva de MINSAL y su uso debe estar ceñido a lo dispuesto en la clasificación del mismo, quedando prohibida la divulgación y/o reproducción total o parcial del contenido de éste sin la debida autorización por parte del Comité de Seguridad de la Información. Su uso y distribución solo está autorizado al interior de MINSAL y por parte del personal debidamente habilitado.

2 2

3 3 DECLARACIÓN CORPORATIVA Se debe velar por el cumplimiento de las políticas de seguridad de la información establecidas para todos los procesos normales y de excepción en la ejecución de las Operaciones Computacionales, permitiendo así su continuidad de servicio. ÁMBITO Seguridad en las Operaciones computacionales Continuidad del Negocio Respuesta ante Incidentes ROLES Y RESPONSABILIDADES Representante del Comité de Seguridad de la Información o Identificar las contingencias que podrían entorpecer las operaciones. o Identificar los recursos de la organización que se necesitan para cada tipo predefinido de contingencia. o Identificar y clasificar la importancia de funciones esenciales para el servicio continuo. o Definir límites de tiempo para la recuperación de cada elemento crítico de operaciones. o Definir, documentar y probar medidas de prevención con cada elemento crítico. o Definir, documentar y probar medidas de recuperación de catástrofes para cada elemento crítico. o Mantener planes de continuidad operacional actualizados de acuerdo a los cambios que se produzcan en el tiempo. REGLAS DE LA POLÍTICA 1. Monitoreo y Detección de Anormalidades 1.1. Todos los sistemas de producción críticos deben ser equipados con sistemas de detección de anormalidades que avisen al operador de turno cuando ocurra este tipo de eventos Se debe establecer un conjunto formal de parámetros de sistema a monitorear para cada tipo de plataforma, a fin de detectar situaciones anómalas.

4 4 2. Revisión de registros de auditoria (LOGs) 2.1. Todos los sistemas críticos deben configurarse para registrar los eventos de auditoria (logs) de las operaciones de administración y mantención; así como de las condiciones de excepción Los logs generados deben ser acumulados en forma segura en un sistema independiente y por un tiempo definido Se deben programar revisiones periódicas de los logs en busca de condiciones anómalas y como verificación de los procedimientos establecidos de operaciones. 3. Personal de Respaldo 3.1. Para los sistemas críticos debe existir la definición de personal de respaldo, para el caso que el encargado no esté disponible. En caso de algún impedimento para cumplir esta regla, es requisito contar con todos los procedimientos al detalle para la operación de dichos sistemas. 4. Definición de Procedimientos Operacionales 4.1. Se deben establecer buenas prácticas de seguridad para las actividades más comunes que involucren sistemas menos críticos Todas las actividades de operación y mantención de los sistemas críticos deben estar expresamente definidas por procedimientos Los procedimientos debieran incluir, como mínimo: Procesamiento y manejo de la información. Programación de requerimientos previos o controles de secuencia de programas. Instrucciones para el manejo de condiciones de excepción. Contactos de soporte adicional. Instrucciones para el manejo de resultados especiales. Instrucciones de reinicio y recuperación en caso de falla del sistema. 5. Protección de Procedimientos Operacionales 5.1. Para los procedimientos y formularios de control de operaciones de los sistemas críticos, se debe velar por su mantención actualizada en el tiempo y se deben proteger del acceso de usuarios no autorizados Identificar y clasificar la importancia de funciones esenciales para el servicio continuo.

5 Definir límites de tiempo para la recuperación de cada elemento crítico de operaciones Definir, documentar y probar medidas de prevención con cada elemento crítico Definir, documentar y probar medidas de recuperación de catástrofes para cada elemento crítico Mantener planes de continuidad operacional actualizados de acuerdo a los cambios que se produzcan en el tiempo. 6. Centralización de la información de contactos 6.1. Debe crearse una base de datos de contactos 6.2. Debe existir un rol de custodio de dicha información, quien será responsable de su mantención, garantizando su integridad, accesibilidad y actualización. 7. Definición de un Plan Continuidad Operacional 7.1. Se debe establecer cuáles son los procesos críticos, cuáles son los riesgos de tener esos procesos no-operativos y cuáles son los mecanismos de prevención y los procedimientos de recuperación Dentro de lo anterior, se deben definir los recursos necesarios, esto es: personal interno y externo, comunicaciones, hardware, software, infraestructura física y documentación Dentro de la infraestructura física es importante determinar si se requerirá un site de respaldo y qué tipo de equipamiento debe tener Para los procedimientos de recuperación, se debe establecer un plan de pruebas periódicas, de modo de entrenar al personal involucrado y para evaluar al procedimiento mismo Debe existir un equipo de Planificación de Continuidad Operacional que realice la tarea de análisis y programación. 8. Conformación del Equipo Plan de Continuidad Operacional 8.1. El equipo debe incluir representantes de variados sectores de la organización que permitan un manejo consensuado y ejecutivo del problema.

6 Quien lidere este grupo, debe reportar directamente al Comité de Seguridad de la Información. 9. Respuesta a Incidentes 9.1. Se debe considerar una política de Respuesta ante Incidentes, así como procedimientos específicos para eventos críticos Se deben definir los tipos de incidentes esperables y equipos de trabajo para respuesta a incidentes categorizados según dichos tipos Todo incidente debe ser debidamente notificado, documentado y revisado luego de su superación. 10. Separación de Áreas y Funciones Las instalaciones, funciones y personal del Departamento de Tecnologías de Información deben mantenerse en forma independiente y en áreas separadas La responsabilidad de ejecución y control de procesos críticos no debiera recaer en una sola persona, atendiendo al principio de segregación de funciones.

7 7 CONTROL DE VERSIONES VERSIÓN 1.0 FECHA PUBLICACIÓN Octubre 2011 AUTOR Encargado de Seguridad SRA/SSP MINSAL REVISOR Comité de Seguridad MINSAL CLASIFICACIÓN Uso Interno

8