POLÍTICA DEL SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIOS

Transcripción

1 POLÍTICA DEL SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIOS 1. ANTECEDENTES El presente documento tiene por objetivo establecer los conceptos, principios y directrices generales del Sistema de Gestión de Continuidad de Negocios (SGCN) aplicables al DCV. A partir de lo anterior, el DCV fortalece su gobierno y estructura de gestión de riesgo; asimismo, ofrece mayor seguridad a sus accionistas y clientes nacionales e internacionales al estar convenientemente preparado con acciones organizadas y planificadas para preservar el negocio ante interrupciones mayores en sus operaciones normales, causadas por desastres naturales o por el hombre. Para asegurar el cabal cumplimiento de esta política, se establecen roles y responsabilidades específicos, los cuales requieren del compromiso de todo el personal del DCV y de quienes se relacionan con la compañía, a objeto de crear y mantener un ambiente propicio para el efectivo desarrollo y aplicación de las prácticas de continuidad de negocios. De acuerdo a la misión, visión, pilares estratégicos y los valores definidos por la compañía, se identifican objetivos estratégicos a lograr para cada una de las dimensiones del Mapa Estratégico. Sobre la base de esa definición, ésta Política identifica y se vincula con la dimensión Procesos e Innovación. Donde los objetivos estratégicos asociados son: Mejorar la oportunidad y confiabilidad de la entrega de los servicios, para clientes externos e internos. Adherir a mejores prácticas internacionales en las áreas críticas para el desarrollo de mediano plazo. 2. PROPÓSITOS a. Estructurar un marco formal de trabajo con el fin de garantizar la disponibilidad de los procesos críticos y el cumplimiento de las regulaciones gubernamentales y contractuales que norman los servicios otorgados por el DCV, junto con los requisitos mencionados en la norma ISO b. Entregar lineamientos respecto de la organización necesaria para la gestión de continuidad de negocios en el DCV, sus principales roles y responsabilidades.

2 c. Mantener los niveles de calidad definidos y minimizar el impacto negativo en la operación del negocio. d. Entregar los lineamientos necesarios para la aplicación del programa y la gestión de continuidad de negocios, en función de asegurar la recuperación de los servicios críticos del DCV, resguardando la protección y seguridad de las personas, activos y procesos críticos. e. Establecer lineamientos que garanticen que el personal de las áreas clave esté consciente respecto de los planes de continuidad e informado respecto de las responsabilidades que le corresponde en el marco de esta política. f. Prevenir la ocurrencia de interrupciones de operaciones de la compañía y en caso que éstas se produzcan, contar con una respuesta oportuna a través de los equipos designados que permita restablecer las operaciones a un nivel adecuado de prestación de los servicios críticos, lo antes posible, hasta alcanzar gradualmente la normalidad de las operaciones habituales propias del negocio. 3. ÁMBITO Las actividades incluidas en el SGCN son las que le permiten al DCV cumplir su misión, metas y obligaciones tanto internas como externas, incluyendo aquellas relacionadas con las partes interesadas de la organización, así también dar cumplimiento a sus responsabilidades legales y regulatorias. Las actividades no consideradas, son aquellas que según los antecedentes proporcionados por el Análisis de Impacto en el Negocio generan un menor impacto en términos de continuidad de negocios, así como tampoco afectan las operaciones que permiten cumplir los requerimientos legales regulatorios y las exigencias establecidas del SGCN. 4. CONTROL Y SANCIONES El incumplimiento de lo definido en esta política será considerado falta y podrá ser sancionado de acuerdo a la gravedad de ésta, por previa evaluación de la intencionalidad, impacto y daño que cause al DCV. Ante una eventual sanción, será la Gerencia de Personas responsable de realizar esta evaluación. 5. DOCUMENTOS RELACIONADOS Alcance del SGCN Roles y Responsabilidades del SGCN Análisis de Impacto en el Negocio

3 Estrategia de Continuidad Reglamento Interno de Orden, Higiene y Seguridad Mapa Estratégico DEFINIICIONES RTO: Recovery Time Objetive. Es el tiempo de recuperación objetivo, que la empresa define para recuperar a un nivel determinado los servicios/procesos críticos del negocio. RPO: Recovery Point Objetive. Es la cantidad de datos que la organización está dispuesta a perder ante un incidente disruptivo, en unidad de tiempo (por ejemplo: 1 minuto de pérdida de transacciones). MTPD: Maximum Tolerable Period of Disruption. Es el período máximo de tiempo que la organización puede tolerar ante un incidente disruptivo, el cual, de no cumplirse, pone en peligro la existencia o viabilidad de la empresa. SGCN: Sistema de Gestión de Continuidad de Negocios. BIA: Business Impact Analysis. Es la evaluación y análisis de impactos en los servicios, procesos y recursos del negocio, ante incidentes disruptivos. Contingencia: Situación en la que se ve afectada la disponibilidad de los servicios o procesos críticos, para la cual, se requiera activar respuestas de continuidad. 7. POLÍTICA La política contempla las siguientes declaraciones: 7.1. Se resguardará la seguridad e integridad de todas las personas que se encuentren en las dependencias del DCV, así como de aquellos colaboradores internos que, estando fuera de las dependencias de la empresa, se encuentren prestándole servicios Se generarán las condiciones para establecer, implementar, mantener y mejorar un SGCN estructurando los procesos necesarios y sus interacciones, de acuerdo con los requerimientos establecidos en el estándar ISO Se realizará una evaluación de riesgos de continuidad de negocios, relacionada con las amenazas que puedan interrumpir los procesos del DCV Se realizará un análisis de impacto al negocio que permita identificar y evaluar los riesgos de los procesos, en aspectos tales como: seguridad, financiero, normativo y de imagen, determinando los tiempos y prioridades de recuperación y las necesidades de recursos, basadas en una evaluación de costo-beneficio.

4 7.5. Se contará con un Plan de Gestión de Incidentes, el cual debe contener información de las tareas necesarias para atender y resolver una interrupción en los servicios críticos, información del personal clave y terceras partes relacionadas, junto con la respectiva estrategia de comunicación para informar el evento Cada servicio crítico identificado en el BIA contará con un Plan de Continuidad de Negocios, el cual considerará: procesos críticos de la unidad, activos críticos de cada proceso, datos de contacto del personal clave, roles y responsabilidades, infraestructura tecnológica y física, instrucciones para la recuperación de los procesos, frecuencia de pruebas y de actualización Se asegurará que los objetivos de continuidad de negocios sean establecidos, comunicados y su cumplimiento evaluado La Gestión de Continuidad de Negocios será divulgada e incorporada dentro de la cultura del DCV, con el objetivo de mantener al personal informado, sensibilizado y capacitado respecto de los distintos roles y responsabilidades relacionadas a las materias de continuidad de negocios Se contará con un Plan de Pruebas de Continuidad anual, el cual permitirá verificar el funcionamiento de las respuestas y medidas implementadas para asegurar la continuidad del negocio. Las pruebas se realizarán de acuerdo al calendario o cada vez que existan cambios significativos en los servicios, procesos, tecnología o infraestructura física del DCV Se establecerán acuerdos con aquellas entidades externas que proveen servicios críticos al DCV, en virtud de los cuales se garantice el cumplimiento de la presente política Se considerará que la capacidad de comunicarse en situaciones inesperadas es esencial para el éxito del proceso de continuidad de negocios. La comunicación externa debe adoptar protocolos que permitan una comunicación clara y objetiva, con vistas a la preservación de la imagen de la empresa y de la confianza del mercado y del público Se dispondrá de una plataforma para mantener y resguardar en forma segura, los Planes de Continuidad de Negocios, los cuales deben estar disponibles oportunamente cuando sean requeridos por personal clave del DCV. Esta plataforma deberá considerar una estrategia que permita el acceso a los planes desde dentro como fuera de la red interna de DCV, y, para protegerlos de eventuales daños a los que pueden estar expuestos.

5 7.13. Se contará con una Planificación de Continuidad de Negocios, que establece actividades de revisión, actualización y aprobación de la documentación relevante del SGCN para los servicios críticos. Esto deberá realizarse al menos una vez al año, o cada vez que ocurran cambios significativos en los servicios, procesos, tecnología o infraestructura física del DCV Se introducirán mejoras continuas al SGCN, con el objetivo de robustecer los servicios/procesos de negocio a través de su disponibilidad según los RTO, RPO y MTPD definidos en el BIA. 8. ROLES Y RESPONSABILIDADES: Debido a la importancia que tiene para el éxito de nuestras operaciones, la continuidad de negocio es responsabilidad de todos y debe formar parte integral de la cultura de la organización. Para obtener mayor detalle sobre sus actores principales ver el documento: Roles y Responsabilidades del SGCN.

6 9. BITACORA Propietario: Continuidad de Negocios Revisor(s): Jefe de Continuidad y Seguridad de la Información Aprobador(s): Comité de Seguridad Versión Fecha de Motivo Descripción del Cambio Realizado por Actualización Producto de lo extenso de la bitácora, no se despliega la historia anterior al André Medel Proceso de actualización Revisión Revisión Se acoge sugerencia de BSI y de consultor Mario Ureña de eliminar de la Política el Alcance del SGCN e incluirlo en un documento anexo. Se acoge sugerencia de auditoria interna de registrar los documentos relacionados a la política. Precisiones menores a la narrativa. Aclaración para precisar qué unidades o servicios deben contar con un BCP. Comentarios y presiones. Respecto al alcance, responsabilidades, procesos y servicios críticos. André Medel Jaime Fernandez Gabriela Finkelstein Revisión Precisiones en la narrativa Fernando Yáñez Actualización Producto de una No Conformidad de auditoria levantada el , se incorpora en la Política la vinculación con André Medel la dimensión y los objetivos estratégicos de la compañía Revisión Se presentan los cambios al Comité de Riesgo para su aprobación. André Medel Revisión y aprobación Se aprueban los cambios. Comité de Riesgo Cambios de estructura al documento. Se Revisión y agrega subtítulo de objetivo y audiencia. actualización Se realizan cambios en los puntos 8, 12, anual 13 y 14 del punto 8 de este documento. Hans Ewert Revisión Ok con las modificaciones André Medel Envío a Comité de Seguridad para Samantha revisión. Sánchez Aprobación Aprobación de Política. Entrada en Vigencia Versión 09. Comité de Seguridad