06/IN01/DSIC/GSIPR 00 11/NOV/09 1/7 PRESIDENCIA DE LA REPÚBLICA Gabinete de Seguridad Institucional Departamento de Seguridad de la Información y Comunicaciones GESTIÓN DE CONTINUIDAD DE NEGOCIOS EN SEGURIDAD DE LA INFORMACION Y COMUNICACIONES ORIGEN Departamento de Seguridad de la Información y Comunicaciones REFERENCIA NORMATIVA Art. 6º de la Ley nº 10.683, de 28 de mayo de 2003. Art. 8º del Adjunto I del Decreto nº 6.931, de 11 de agosto de 2009. Decreto nº 3.505, de 13 de junio de 2000. Instrucción Normativa nº 01 del Gabinete de Seguridad Institucional, de 13 de junio de 2008. NBR 15999-1: 2007 Gestión de Continuidad de Negocios. NBR ISO/IEC 27002 (17799:2005) Cobit 4.1 DS4 Ensure Continuous Service ÁREA DE APLICACIÓN Esta Norma Complementaria se aplica al área de la Administración Pública Federal, en las formas directa e indirecta. SUMARIO 1. Objetivo 2. Consideraciones Iniciales 3. Fundamento Legal de la Norma Complementaria 4. Conceptos y Definiciones 5. Procedimientos 6. Responsabilidades 7. Vigencia INFORMACIONES ADICIONALES No existen APROBACIÓN RAPHAEL MANDARINO JUNIOR Director del Departamento de Seguridad de la Información y Comunicaciones
06/IN01/DSIC/GSIPR 00 11/NOV/09 2/7 1 OBJETIVO Establecer directrices para Gestión de la Continuidad de Negocios, en los aspectos relativos a la Seguridad de la Información y Comunicaciones, en los órganos y entidades de la Administración Pública Federal, en sus formas directa e indirecta APF. 2 CONSIDERACIONES INICIALES La implantación del proceso de Gestión de la Continuidad de Negocios tiene por objetivo disminuir lo máximo posible aquellos impactos que resultan de fallas, desastres o indisponibilidades significativas sobre las actividades del órgano u entidad, además de recuperar pérdidas de activos de información en un nivel aceptable, por medio de acciones de prevención, respuesta y recuperación. La Gestión de la Continuidad de Negocios puede involucrar acciones más abarcadoras que las definidas en el área de la Gestión de Seguridad de la Información y Comunicaciones, principalmente por causa de las exigencias estratégicas de continuidad relativas a los individuos, a la infraestructura, a los procesos y a las actividades de funcionamiento. La Gestión de la Continuidad de Negocios, de que trata esta Norma Complementaria, está limitada al alcance de las acciones de Seguridad de la Información y Comunicaciones implantadas en los órganos o entidades de la APF. 3 FUNDAMENTO LEGAL DE LA NORMA COMPLEMENTARIA Conforme lo dispuesto en el inciso II del art. 3º de la Instrucción Normativa nº 01, de 13 de junio de 2008, del Gabinete de Seguridad Institucional, el Departamento de Seguridad de la Información y Comunicaciones DSIC es responsable por establecer normas definiendo las exigencias metodológicas para implementación de la Gestión de Seguridad de la Información y Comunicaciones por los órganos y entidades de la Administración Pública Federal, en sus formas directa e indirecta. 4 CONCEPTOS Y DEFINICIONES Para efectos de esta Norma Complementaria, se aplican los siguientes conceptos y definiciones: 4.1 Actividad: Proceso o conjunto de procesos ejecutados por un órgano o entidad, o en su nombre, que producen o soportan uno o más productos o servicios; 4.2 Actividades Críticas: Actividades que deben ser ejecutadas de forma que garanticen la obtención de los productos y servicios fundamentales del órgano o entidad de tal forma que permitan alcanzar sus objetivos más importantes y sensibles al mismo tiempo.
06/IN01/DSIC/GSIPR 00 11/NOV/09 3/7 4.3 Análisis de Impacto en los Negocios (AIN): Tiene por objetivo evaluar los impactos que resultan de la interrupción de servicios y de escenarios de desastres que puedan afectar el desempeño de los órganos o entidades de la APF, así como las técnicas para cuantificar y calificar esos impactos. Define también el nivel crítico de los procesos de negocio, sus prioridades de recuperación, interdependencias y los requisitos de seguridad de la información y comunicaciones para que los objetivos de recuperación sean cumplidos en los plazos establecidos. 4.4 Activos de información: Los medios de almacenaje, transmisión y procesamiento, los sistemas de información, así como los locales en que se encuentran esos medios y las personas que tienen acceso a ellos; 4.5 Continuidad de Negocios: Potencial estratégico y táctico de un órgano o entidad de planificarse y responder a incidentes e interrupciones de negocios, disminuyendo lo más posible sus impactos y recuperando pérdidas de activos de información de las actividades críticas, de modo que puedan mantener sus operaciones en un nivel aceptable, definido anticipadamente; 4.6 Desastre: Evento repentino y no planeado que causa pérdida para toda la organización o parte de ella, y genera graves impactos en su capacidad de entregar servicios esenciales o críticos por un periodo de tiempo superior al tiempo objetivo de recuperación; 4.7 Estrategia de Continuidad de Negocios: Abordaje de un órgano o entidad que garantiza la recuperación de los activos de información y la continuidad de las actividades críticas al enfrentar un desastre, una interrupción u otro incidente mayor; 4.8 Gestión de Continuidad: Proceso abarcador de gestión que identifica potenciales amenazas para una organización y los posibles impactos en las operaciones de negocios, en caso de que estas amenazas no se concreticen. Este proceso provee una estructura para que se desarrolle una resiliencia organizacional que pueda responder de forma efectiva y resguardar los intereses de las partes interesadas, la reputación y la marca de la organización, y sus actividades de valor adicional; 4.9 Incidente: Evento que haya causado algún daño, colocado en riesgo algún activo de información crítico o interrumpido la ejecución de alguna actividad crítica por un periodo de tiempo inferior al tiempo objetivo de recuperación; 4.10 Plan de Continuidad de Negocios: Registro de los procedimientos e informaciones necesarios para que los órganos o entidades de la APF mantengan sus activos de información críticos y la continuidad de sus actividades críticas en lugar alternativo en un nivel definido anteriormente, en caso de incidentes; 4.11 Plan de gestión de incidentes: Plan de acción claramente definido y registrado, para ser usado cuando ocurra un incidente que básicamente cubra los principales individuos, recursos, servicios y otras acciones que sean necesarias para implementar el proceso de administración de incidentes;
06/IN01/DSIC/GSIPR 00 11/NOV/09 4/7 4.12 Plan de Recuperación de Negocios: Registro de los procedimientos e informaciones necesarios para que el órgano o entidad de la APF dirija el regreso de las actividades críticas a la normalidad; 4.13 Programa de Gestión de la Continuidad de Negocios: Proceso continuo de gestión y gobernanza apoyado por la alta dirección y que recibe recursos apropiados para garantizar que los pasos necesarios sean tomados de modo que se identifique el impacto de pérdidas en potencial, sean mantenidos estrategias y planes de recuperación viables y se asegure la continuidad de provisión de productos y servicios por medio de análisis críticos, exámenes, adiestramientos y mantenimiento; 4.14 Tiempo Objetivo de Recuperación; Es el tiempo predefinido en el que una actividad deberá estar disponible después de una interrupción o incidente; 4.15 Resiliencia: Poder de recuperación o capacidad de una organización de resistir a los efectos de un desastre. 5 PROCEDIMIENTOS 5.1 La elaboración del Programa de Gestión de Continuidad de Negocios involucra los siguientes procedimientos: 5.1.1 Desarrollar documento con las directrices del Programa de Continuidad; 5.1.2 Definir las actividades críticas del órgano o entidad; 5.1.3 Examinar los riesgos a los que estas actividades críticas están expuestas; 5.1.4 Definir las estrategias de continuidad para las actividades críticas; 5.1.5 Desarrollar e implementar los Planes previstos en el Programa de Gestión de la Continuidad de Negocios para respuestas oportunas a interrupciones; 5.1.6 Realizar ejercicios pruebas y mantenimiento periódico de los Planes, promoviendo las revisiones necesarias; 5.1.7 Desarrollar la cultura de continuidad de negocios en el órgano o entidad; 5.2 Los procedimientos previstos en el Programa de Gestión de la Continuidad de Negocios son ejecutados en conformidad con los requisitos de seguridad de la información y comunicaciones necesarios para la protección de los activos de información críticos, tratando las actividades de forma abarcadora, lo que incluye las personas, los procesos, la infraestructura y los recursos de tecnología de la información y comunicaciones; 5.3 Se recomienda que el Programa de Gestión de la Continuidad de Negocios de un órgano o entidad de la APF sea compuesto, como mínimo, por los siguientes Planes, conforme sus
06/IN01/DSIC/GSIPR 00 11/NOV/09 5/7 necesidades específicas, de modo a garantizar la disponibilidad de los activos de información y la recuperación de las actividades críticas: 5.3.1 Plan de Gestión de Incidentes PGI; 5.3.2 Plan de Continuidad de Negocios PCN; 5.3.3 Plan de Recuperación de Negocios PRN. 5.4 Cada uno de los planes contiene, por lo menos: 5.4.1 Plan de Gestión de Incidentes: a) Objetivo y alcance; b) Papeles y responsabilidades; c) Condiciones para la activación de Planes; d) Autoridad responsable; e) Detalles de contacto; f) Lista de deberes y acciones; g) Actividades de los individuos; h) Comunicación con los medios; i) Localización para la gestión de incidentes. 5.4.2 Plan de Continuidad de Negocios: a) Objetivo y alcance; b) Papeles y responsabilidades; c) Autoridad responsable; d) Detalles de contacto; e) Lista de deberes; f) Recursos necesarios. 5.4.3 Plan de Recuperación de Negocios: a) Objetivo y alcance; b) Papeles y responsabilidades; c) Autoridad responsable; d) Detalles de contacto; e) Lista de deberes; f) Recursos necesarios. 5.5 Los Planes son ejercitados y examinados periódicamente, así como los resultados registrados de modo a asegurar su efectividad. 5.6 La revisión de los planes es realizada en las siguientes situaciones: 5.6.1 Como mínimo, una vez por año; 5.6.2 En función de los resultados de las pruebas realizadas; o 5.6.3 Después de algún cambio significativo en los activos de información, en las actividades o en alguno de sus componentes.
06/IN01/DSIC/GSIPR 00 11/NOV/09 6/7 Se sugiere que los contratos consolidados con empresas subcontratadas que soporten actividades críticas contengan cláusula que estipule que las referidas empresas tengan Planes de Continuidad de sus Negocios, así como las evidencias de las pruebas realizadas. 6 RESPONSABILIDADES 6.1 Para la Alta Administración del órgano o entidad de la APF, en el ámbito de sus atribuciones, se recomienda que sean adoptadas las responsabilidades a continuación: 6.1.1 Aprobar las directrices estratégicas que orientan la elaboración del Programa de Gestión de Continuidad de Negocios; 6.1.2 Evaluar la relación coste/beneficio de las estrategias de continuidad sugeridas y de los Planes que componen el Programa de Gestión de la Continuidad de Negocios y decidir al respecto de su implementación; 6.1.3 Asegurar los recursos necesarios para establecer, implementar, operar y mantener el Programa de Gestión de la Continuidad de Negocios. 6.2 Las atribuciones a seguir deben ser cedidas al responsable por la Gestión de la Continuidad de Negocios, o al Gestor de Seguridad de la Información y Comunicaciones, cuando el órgano o entidad no tenga Gestor de Continuidad de Negocios; 6.2.1 Proponer las directrices estratégicas del Programa de Gestión de la Continuidad de Negocios; 6.2.2 Evaluar el plan de tratamiento de riesgos; 6.2.3 Realizar, de forma periódica, el Análisis de Impacto en los Negocios (AIN); 6.2.4 Proponer mejoras en la implantación de nuevos controles en relación al Programa de Gestión de la Continuidad de Negocios; 6.2.5 Supervisar la elaboración, implementación, exámenes y actualización de los Planes; 6.2.6 Desarrollar la cultura de Gestión de Continuidad de Negocios. Las atribuciones a continuación deben ser dadas a los responsables por los sectores o procesos en que fueron identificadas actividades críticas para el órgano o entidad de la APF: 6.3.1 Elaborar los Planes previstos en el Programa de Gestión de la Continuidad de Negocios relativos a las actividades críticas; 6.3.2 Realizar los exámenes y ejercicios de los Planes;
06/IN01/DSIC/GSIPR 00 11/NOV/09 7/7 6.3.3 Evaluar y perfeccionar los Planes por medio de los resultados de los exámenes y ejercicios; 6.3.4 Administrar la contingencia cuando ocurra la interrupción de actividades, con base en los Planes desarrollados; 6.3.5 Proponer los recursos necesarios para la implantación y el desarrollo de las acciones relativas a la continuidad de las actividades, así como para la realización de las pruebas y de los ejercicios de los Planes. 7 VIGENCIA Esta Norma entra en vigor en la fecha de su publicación creando sus efectos a partir del 17 de mayo de 2010.