POLÍTICA DE CONTINUIDAD OPERACIONAL MINISTERIO DE OBRAS PÚBLICAS

Transcripción

1 POLÍTICA DE CONTINUIDAD OPERACIONAL MINISTERIO DE OBRAS PÚBLICAS Fecha de Aprobación: 26 de septiembre 2013, en sesión de Comité de Seguridad de la Información Política de Continuidad de Operacional Página 1 de 8

2 Control de Versiones Fecha de Creación Autor 01/04/2013 Subdivisión de Informática y Telecomunicacio nes 01/04/2013 Subdivisión de Informática y Telecomunicacio nes 01/04/2013 Subdivisión de Informática y Telecomunicacio nes Fecha de Revisado por Revisión Carlos Guzman Gino Curotto M.P.Hermosilla G.Curotto. M-Mancilla M.P.Hermosilla G.Curotto. Riola Polanco. Patricia Contreras Ximena Riquelme Fecha de Aprobado por Comentarios Aprobación Primera versión incluye observaciones enviadas por escrito al Comité de incluye Seguridad de observaciones la levantadas en Información Reunión de MOP Comité de Seguridad Política de Continuidad de Operacional Página 2 de 8

3 Índice 1. Introducción Objetivo Alcance Responsabilidades Oficial de Seguridad de la Información Jefe de la Subdivisión de Informática y Telecomunicaciones Encargados de Seguridad y Jefaturas de la Direcciones Dependientes Unidad de Seguridad de la Información Funcionarios(as) Política Consideraciones generales Difusión... 7 Glosarios de Términos... 8 Política de Continuidad de Operacional Página 3 de 8

4 1. Introducción El presente documento, se enmarca dentro de la Política General de Seguridad de la Información para el MOP, conforme al ORD N 3082 del 12 de diciembre del 2011, y de las recomendaciones de seguridad dadas en el Decreto Supremo MINSEGPRES N 83 del 23 de junio del En particular, este documento define objetivo y alcance de la Política de Continuidad Operacional del, respecto de los procesos operacionales, sistemas, aplicaciones y servicios de la organización. 2. Objetivo Que las Direcciones dependientes del, cuenten con planes de continuidad operacional para sus procesos de negocio críticos, a efecto de contrarrestar o mitigar el impacto de eventos que pueden provocar interrupciones en dichos procesos. 3. Alcance Esta política aplica a los procesos de negocio identificados por cada Dirección como procesos relevantes o críticos, así como a los activos de información relacionados con estos, sean documentos en formato físico (papel), electrónicos, sistemas de información o personas que estén involucrados en los procesos. Todas las Direcciones dependientes del MOP, deben implementar sus propios Planes de Continuidad Operacional. 4. Responsabilidades 4.1. Oficial de Seguridad de la Información Revisar y verificar que los planes de continuidad operacional cubren en forma razonable los eventos que tienen una alta probabilidad de ocurrencia y que impacten negativamente la continuidad operacional de la Dirección Comité de Seguridad de la Información MOP EI Comité de Seguridad de la Información del MOP, tiene dentro de sus responsabilidades y funciones velar por la implantación del Sistema de Gestión de la Seguridad de la Información e impulsar, promover y revisar periódicamente la implementación de las políticas de seguridad de la información del MOP. Política de Continuidad de Operacional Página 4 de 8

5 4.3. Jefe de la Subdivisión de Informática y Telecomunicaciones Diseñar, implementar y mantener actualizado un Plan de Continuidad Operacional para asegurar la entrega y provisión de servicios de Tecnologías de la Información (Servicios TI) administrados por Subdivisión de Informática y Telecomunicaciones Encargados de Seguridad y Jefaturas de la Direcciones Dependientes a) Identificar los procesos considerados críticos para la Dirección, identificar los eventos, amenazas y riesgos que pueden afectar la continuidad operacional de estos procesos, y definir las medidas para contrarrestar o mitigar estas amenazas o riesgos. b) Elaborar y mantener actualizado su Plan de Continuidad Operacional que aborde las acciones de mitigación a las amenazas identificadas Unidad de Seguridad de la Información a) Apoyar en la Identificación de riesgos, amenazas que puedan afectar negativamente la continuidad operacional de los servicios y sistemas de apoyo a los procesos de negocio de las Direcciones dependiente del MOP. b) Apoyar la implementación del Plan de Continuidad Operacional para los activos de tipo tecnologías de la información (TI) correspondientes a la Plataforma Informática y de Telecomunicaciones del. c) Establecer junto a las Unidades de: Operaciones, Desarrollo, Telecomunicaciones y Soporte a Usuarios, los tiempos de recuperación y restablecimiento de Servicios Funcionarios(as) a) Conocer, respetar y acatar permanentemente las políticas de seguridad de la información del MOP. Política de Continuidad de Operacional Página 5 de 8

6 5. Política 5.1 Todas las Direcciones deben tener un Plan de Continuidad Operacional que considere al menos los procesos críticos de la Dirección. 5.2 Todas las Direcciones deben tener implementado su Plan de Continuidad Operacional que considere al menos los procesos de negocio críticos para la Dirección. 5.3 El Plan de Continuidad Operacional de cada Dirección debe tener establecido la estructura organizacional del mismo, con roles y funciones definidas. 5.4 El Plan de Continuidad Operacional de cada Dirección debe tener establecido el protocolo de activación y desactivación. 5.5 El Plan de Continuidad Operacional de cada Dirección debe ser probado al menos una vez al año para validar su eficacia. 5.6 Los resultados de las pruebas al Plan de Continuidad Operacional deben ser registrados. 5.7 El Plan de Continuidad Operacional debe incluir la identificación de los principales eventos que pueden afectar la continuidad del o los procesos considerados críticos, teniendo factores tales como: a) Impacto en los procesos, tales como costos financieros, cumplimientos normativos, tiempos de interrupción, entre otros. b) Impacto colaterales, tales como daño a la imagen o credibilidad del Ministerio de Obras Públicas 5.8 Si el Plan de Continuidad Operacional de una Dirección en particular, depende de la participación de otras Direcciones o áreas, éstas deben establecerse con en términos del ámbito, alcance, roles, funciones y responsabilidades. 5.9 Sí el Plan de Continuidad Operacional de una Dirección en particular, depende de la participación de la Subdivisión de Informática y Telecomunicaciones (SDIT), éstas deben establecerse con en términos del ámbito, alcance, roles, funciones y responsabilidades El ámbito, alcance, roles, funciones y responsabilidades que debe cumplir la SDIT en los Planes de Continuidad Operacional de las Direcciones MOP debe quedar establecido mediante un acuerdo escrito y firmado con el Jefe de esta Subdivisión A su vez, la Subdivisión de Informática y Telecomunicaciones (SDIT) debe tener implementado uno o más Planes de Continuidad Operacional acordes con esta política, Política de Continuidad de Operacional Página 6 de 8

7 para dar continuidad a sus procesos y a los procesos de las Direcciones MOP que emplean sistemas o servicio provisto por la plataforma TI administrada por ésta subdivisión. 6. Consideraciones generales 6.1 Frente a eventos mayores y que afecten transversalmente a todas las Direcciones dependientes, el Oficial de Seguridad, el Jefe de la SDIT y los encargados de seguridad se deben coordinar planes y acciones de mitigación con el Comité de Emergencia Ministerial o el que corresponda al evento en cuestión. 6.2 El diseño e implementación de los Planes de Continuidad Operacional deben contar con la participación de los Jefe de las Unidades, Áreas o Departamentos responsables o involucrados en los procesos de negocio considerado en estos planes. 6.3 Respecto de las pruebas para validar los Planes de Continuidad Operacional, estas deben ser coordinadas con la Subdivisión de Informática y Telecomunicaciones, cuando estos requieran contar con activos de información tales como sistemas, aplicaciones, respaldos de datos, u otros. 6.4 El Plan de Continuidad Operacional debe contar con un Protocolo de Comunicación para comunicar y coordinar las actividades tanto de activación, ejecución y desactivación del mismo. 7. Difusión La Subsecretaria de Obras Públicas, será responsable de difundir esta Política de Cumplimiento a todos los funcionarios del MOP y Direcciones dependientes y el Director Nacionales al interior de su dirección. Política de Continuidad de Operacional Página 7 de 8

8 Glosarios de Términos Activo de Información: Personas, sistemas de información, aplicaciones o herramientas de tipo software, bases de datos, equipos computacionales, dispositivos móviles, archivos físicos, documentos electrónicos o cualquier otro activo que por su naturaleza registre, procese, almacene o transmita información considerada relevante para los procesos de negocio del o sus Servicios dependientes. Administración de Riesgos: Se entiende por administración de riesgos al proceso de identificación, control y minimización o eliminación, a un costo aceptable, de los riesgos de seguridad que podrían afectar a los activos información. Dueño o responsable de la Información: Es la persona que ha sido asignada como responsable de la integridad, confidencialidad y disponibilidad del activo de información. Evaluación de Riesgos: Se entiende por evaluación de riesgos a la evaluación de las amenazas y vulnerabilidades relativas a la información y a las instalaciones de procesamiento de la misma, la probabilidad de que ocurran y su potencial impacto en la operatoria del Organismo. Incidente de Seguridad: Un incidente de seguridad es uno o varios eventos de seguridad de la información, no deseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones de negocio y de afectar la disponibilidad, integridad o confidencialidad de los activos de información. Interoperabilidad: Capacidad de que la información provista por un sistema de software pueda ser utilizada por otro, independientemente de la plataforma en que funcione. En Chile se usa el estándar XML. Seguridad de los Activos de Información: Es proteger, resguardar y asegurar la disponibilidad, privacidad, confidencialidad e integridad de los activos de información y tecnologías para su procesamiento a efecto de garantizar la continuidad operacional de la institución. Política de Continuidad de Operacional Página 8 de 8