POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)



Documentos relacionados
DRP y BCP: Continuidad Operativa

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD

PROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS

Gestión del Servicio de Tecnología de la información

Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

Unidad 6: Protección Sistemas de Información

Qué pasa si el entorno de seguridad falla?

ELEMENTOS GENERALES DE GESTIÓN.

Sistema de Administración del Riesgos Empresariales

Tratamiento del Riesgo

Integrando un BCMS a las prácticas de gestión de la empresa: nuevo enfoque y normativa

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Proceso: AI2 Adquirir y mantener software aplicativo

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

0. Introducción Antecedentes

Este dominio consta de 7 procesos que se describen a continuación.

PRESENTACION PARA CLIENTES PLAN DE RECUPERACIÓN ANTE DESASTRES PARA LOS SISTEMAS DE INFORMACIÓN CRÍTICOS DE TIC - DRP

determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño ambiental;

INFORME RESULTADO FINAL PRUEBA GENERAL DE CONTINUIDAD DEL NEGOCIO ENERO 17 Y 18 DE 2013 GESTIÓN DE CONTINUIDAD DEL NEGOCIO

Recomendaciones relativas a la continuidad del negocio 1

Jornadas sobre Informática y Derecho. Planes de seguridad - Planes de contingencia

Plan de Continuidad de Operaciones

PAUTAS PARA CONSTRUIR UN PLAN DE CONTINGENCIA PARA AZDIGITAL

SISTEMA ESTRATÉGICO DE TRANSPORTE PÚBLICO SANTA MARTA PLAN DE CONTINGENCIA ÁREA FINANCIERA Y CONTABLE

1 El plan de contingencia. Seguimiento

Antes de imprimir este documento piense en el medio ambiente!

Política de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.

Gestión de riesgo operacional

Sistemas de gestión en servicios de TI (UNIT ISO/IEC )

BRIGADA DE EVACUACION GRUPO EXTINGUIDORES ZARAGOZA

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

Business Continuity Plan. Barcelona, febrero de 2008

Operación 8 Claves para la ISO

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ

Anexo I. Politicas Generales de Seguridad del proyecto CAT

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

Continuidad del Negocio y Recuperación de Desastres (BCM Business Continuity Management / DRM Disaster Recovery Management)

I. INTRODUCCIÓN DEFINICIONES

Disaster Recovery Institute - España

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

Tecnología de la Información. Administración de Recursos Informáticos

Módulo 7: Los activos de Seguridad de la Información

Technology and Security Risk Services Planes de Continuidad de Negocio

Capítulo SIMULACIÓN Y SIMULACRO

Norma ISO 14001: 2004

Procedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral

LINEAMIENTOS PARA AUDITORÍAS INTERNAS Y LAS AUDITORÍAS INTERNAS DE CALIDAD

ISO 9001:2015 Cuestionario de autoevaluación

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Gestión de Seguridad Informática

OHSAS 18001: Sistema de Gestión de la Seguridad y Salud en el trabajo

Capítulo IV. Manejo de Problemas

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Curso de Certificación BCI (Certified Business Continuity Institute) basado en la norma ISO22301:2012.

DE RIESGOS DE TI. GESTIÓN 1. INTRODUCCIÓN

Políticas de Seguridad de la información

Elementos requeridos para crearlos (ejemplo: el compilador)

PLANES PARA LA CONTINUIDAD DEL NEGOCIO BUSINESS CONTINUITY MANAGEMENT (BCM)

Recuperación y Continuidad del Negocio

ANEXO TÉCNICO SERVICIO DE ANÁLISIS DE RIESGO DE PROCESOS DE NEGOCIO Y ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD CONTENIDO

Inter American Accreditation Cooperation. Grupo de prácticas de auditoría de acreditación Directriz sobre:

Norma ISO 14001: 2015

METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Buen Gobierno y Continuidad de Negocio

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Gestión de la Configuración

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

POLÍTICA DE GESTIÓN DEL SERVICIO

GUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

CUESTIONARIO AUDITORIAS ISO

MANUAL DE CALIDAD ISO 9001:2008

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

PREPARADO POR: FECHA DE EMISIÓN: FECHA DE VALIDACIÓN:

PUNTO NORMA: ASPECTOS AMBIENTALES

AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN AFINES OBJETIVOS OBJETIVOS DE CONTROL

Problemática Ambiental

CUESTIONARIO DE AUTOEVALUACIÓN

SUBDIRECCIÓN DE ADMINISTRACIÓN

MANUAL DEL SISTEMA DE GESTION AMBIENTAL ISO 14001:2004. Control de versiones

3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE

Mesa Redonda Plano de manejo de crisis y continuidad del negocio ante fenómenos naturales de alto poder destructivo

GUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN

Evaluación de la Continuidad de Negocio en los Sistemas de Pagos de Latinoamérica y el Caribe. Octubre, 2010

Requisitos de control para los proveedores externos. Gestión de la continuidad del negocio (BCM)

SERVICIOS PARA LA CONTINUIDAD Y RECUPERACION DEL NEGOCIO. (BCRS: Business Continuity and Recovery Services)

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Políticas, Procedimientos para Adquisición de Software y Hardware CAPITULO II

1.1. Sistema de Gestión de la Calidad

TALLER: ISO Ocean. Alejandro Tonatiuh López Vergara Geog. Miriam Ruiz Velasco

Boletín Asesoría Gerencial*

Transcripción:

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial.

Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para todo el personal que labore en, o, para SISTESEG, con el fin de poder garantizar la continuidad del negocio (BCP/DRP), en caso de un evento que afecte la operación normal. 1.2 Introducción El plan de Continuidad del Negocio (BCP,DRP), tiene como objetivo proteger los procesos críticos del negocio, contra desastres o fallas mayores, junto con las posibles consecuencias que se puedan tener, como pérdidas de tipo financiero, credibilidad, productividad, etc. debido a la no disponibilidad de los recursos de la organización. El Plan de Continuidad del Negocio (BCP,DRP), busca mitigar el riesgo a dichas fallas o desastres, mediante un plan que permita la pronta recuperación de la operación, en caso de presentarse algún evento que afecte el flujo normal de las actividades de SISTESEG. 1.3 Definiciones Plan de continuidad del negocio (BCP-Business Continuity Plan, DRP): Un plan documentado y probado con el fin de responder ante una emergencia de manera adecuada, logrando así el mínimo impacto a la operación del negocio de SISTESEG. Plan de Contingencia: Es un subconjunto de un plan de continuidad de negocio (BCP,DRP), que contempla como reaccionar ante una contingencia que pueda afectar la disponibilidad o los servicios ofrecidos por los sistemas informáticos. Una contingencia puede ser un problema de corrupción de datos, suministro eléctrico, un problema de software o hardware, errores humanos, intrusión etc. Plan de recuperación frente a desastres (DRP): Es aquella parte del plan de contingencia y del plan de continuidad de negocio (BCP), que aborda aquellas contingencias que, por su gravedad, no permiten continuar prestando el servicio desde el centro local y debe continuarse el servicio desde un nuevo centro. Este plan debe contemplar la vuelta atrás cuando, tras arreglar las consecuencias del desastre, el servicio pueda ser reanudado en el centro local. Business Impact Assessment (BIA): El propósito del BIA es crear un documento que ayude a entender el impacto que un desastre pueda tener sobre un negocio en particular. Contempla tres objetivos fundamentales: Priorizar procesos críticos del negocio. Calcular el Maximun Tolerable Downtime, (MTD) el cual es el tiempo máximo sin servicio que una organización puede soportar y seguir siendo una compañía que cumple con sus objetivos de negocio. Normalmente es encontrado que este tiempo es mucho menor de lo esperado.

1.4 Objetivo Evitar interrupciones a los procesos críticos del negocio como consecuencia de fallas o desastres. 1.5 Enunciado de la Política General "Debido a que cualquier interrupción en los procesos de negocio afecta la operación, es responsabilidad de las directivas de la organización aprobar un plan de continuidad de negocio (BCP, DRP), que cubra las actividades esenciales y críticas de SISTESEG. 1.6 Elementos adicionales a la política general Aspectos de la Continuidad del Negocio a ser considerados en la definición de las políticas funcionales: Respaldo de información Seguridad física Mantenimiento del plan Pruebas del plan o Simulaciones o Intentos de restauración 1.7 Políticas relacionadas Política de seguridad física 1.8 Roles y responsabilidades Esta política es responsabilidad de ser aprobada por las directivas de SISTESEG, luego de un estudio previo y detallado de sus posibles consecuencias, con el fin de garantizar la continuidad del negocio en caso de un evento que afecte la operación normal de los procesos críticos. 1.9 Violaciones a la política En este caso especial, si las directivas de la organización de SISTESEG se comprometen a desarrollar este plan, será responsabilidad de ellos, no faltar a este compromiso y tener en cuenta que al no realizar dicho plan, la compañía pudiera estar expuesta a procesos legales y contractuales, que pudieran poner en riesgo el futuro de la operación de SISTESEG. 1.10 Revisión de la política Esta política debe ser modificada si existieran cambios en los procesos de negocio de SISTESEG o en su infraestructura tecnológica, de no haber cambios, se debe realizar su revisión anualmente. 1.11 Referencias

Las diferentes recomendaciones sobre la ejecución detallada de un Plan de Continuidad de Negocio (BCP,DRP) se apoyan en el BCI (Business Continuity Institute) y el ISO 17799. http://www.thebci.org/ http://www.business-continuity-world.com/ 1.12 Aspectos específicos sobre la política de Continuidad del Negocio. 1.12.1 INICIO DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP, DRP) (BS 7799-2 Control A 11.1) Las directivas de SISTESEG son las responsables de dar inicio al plan de continuidad del negocio (BCP,DRP). El Plan de Continuidad del Negocio (BCP-Business Continuity Plan, DRP), es esencial para poder continuar las actividades críticas del negocio de SISTESEG, en el evento de una falla inesperada, que pudiera seriamente interrumpir los procesos y actividades importantes de la operación de la compañía. El proyecto del Plan de Continuidad del negocio (BCP,DRP) necesita ser iniciado y formalmente aprobado, por las directivas de SISTESEG. Es importante considerar lo siguiente: 1. Se debe establecer la necesidad del Plan de continuidad del negocio (BCP,DRP) 2. Se debe obtener el compromiso de las directivas de SISTESEG y presentarles un reporte inicial que informe como el BCP cumplirá sus objetivos. 3. Para que el plan de continuidad del negocio (BCP,DRP) sea eficaz, hemos organizado el plan en torno a un concepto de Equipo Directivo de Emergencia (EDE) que está formado por miembros altamente cualificados del equipo directivo procedentes de áreas vitales dentro de la organización. Los componentes del equipo tienen cometidos y responsabilidades concretas cuando se produce un desastre en cualquier instalación de SISTESEG y se pone en práctica el Plan de Recuperación de Desastres. El EDE está formado por personas procedentes de las áreas siguientes: Recursos Humanos, Administración y Financiera y Tecnología. Los integrantes de la Gestión del Proyecto y de la Gestión del Nivel Directivo coordinan los esfuerzos del EDE. El EDE es un grupo de gestión flexible y móvil que puede ocuparse de cualquier plan de recuperación que sea necesario en cualquier sitio donde este SISTESEG. 1.12.2 DESARROLLO Y ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BS 7799-2 Control A 11.1.1) Las directivas de la organización deben desarrollar un Plan de Continuidad del Negocio (BCP,DRP) que cubra los aspectos críticos y esenciales de la actividad de la compañía. El Plan de Continuidad del Negocio (BCP, DRP), es esencial para poder continuar con las actividades críticas del negocio de SISTESEG, en el evento de una falla inesperada. El Plan de Continuidad del negocio es un proyecto con características de detalle y complejidad, independiente del entorno tecnológico y probablemente contendrá una serie de acciones críticas enfocadas a lograr el retorno a la operación normal.

Recomendaciones adicionales al desarrollo y administración del plan de continuidad del negocio: Entender plenamente los riesgos a que está enfrentado SISTESEG, incluyendo e identificando los procesos críticos del negocio. Entender el posible impacto que una interrupción a la operación normal pueda tener. Considerar la adquisición y renovación de una póliza de seguros de protección de activos como parte del plan de continuidad de negocio (BCP,DRP) Formular y documentar una estrategia de continuidad del negocio de acuerdo a los objetivos y prioridades. Formular y documentar una estrategia consistente con los objetivos y prioridades acordadas, y a su vez, se debe documentar el plan de continuidad del negocio de acuerdo a la estrategia anteriormente definida. 1.12.3 EVALUACIÓN DE RIESGO DEL PLAN DE CONTINUIDAD DEL NEGOCIO BCP,DRP (BS 7799-2 Control A 11.1.2) Dentro del plan de continuidad de negocio (BCP, DRP) se debe realizar una evaluación formal de riesgo, o análisis de impacto sobre el negocio (BIA-Business Impact Assessment), con el fin de determinar los requerimientos del Plan de Continuidad del Negocio e identificar eventos que puedan causar interrupciones a los procesos de negocio. Es importante considerar que se deben evaluar y analizar todos los procesos de negocio y no limitarse exclusivamente a los recursos e infraestructura asociado a los sistemas de información. 1.12.3.1 Recomendaciones adicionales El Plan de Continuidad del Negocio (BCP, DRP), es esencial para poder continuar con las actividades críticas del negocio de SISTESEG, en el evento de una falla inesperada, que pudiera seriamente interrumpir los procesos y actividades importantes de la operación de la compañía. La evaluación de riesgo en el BCP, DRP analiza la naturaleza de la ocurrencia de eventos inesperados, su impacto potencial y la probabilidad de que estos eventos lleguen a ser incidentes críticos para el negocio. Aspectos de la seguridad de la información a ser considerados cuando se implementan estas políticas son: Comprender que así el proyecto formal del Plan de continuidad del Negocio se haya iniciado, si los recursos humanos o financieros son insuficientes, es muy probable que el plan no tenga éxito. Si se subestima el impacto a corto y mediano plazo de un incidente de seguridad se puede tener un nivel no adecuado de respuesta que afecte la elaboración de un Plan de Continuidad de Negocio. Los pasos involucrados en el análisis de impacto hacia el negocio (BIA) comprenden: Técnicas de obtención de información Seleccionar las personas a entrevistar Adecuación de los cuestionarios a realizar Análisis de la información Determinar los tiempos críticos de las diferentes funciones del negocio

Determinar los tiempos máximos tolerables de caída por proceso (MTD- Maximum Tolerable Downtime) Priorizar la recuperación de las funciones criticas del negocio Documentar y preparar reportes de recomendaciones 1.12.4 CARACTERISTICAS DEL PLAN DE CONTINUIDAD DE NEGOCIO (BCP,DRP) (BS 7799-2 Control A 11.1.3-4) Con el fin de garantizar su consistencia a lo largo de las diferentes unidades de negocio, el plan de continuidad de negocio debe considerar: Condiciones para la activación del plan de continuidad (BCP,DRP) Una estrategia de recuperación de desastres teniendo en cuenta aspectos como: Costos de las diferentes alternativas Costos de servicios alternos Prioridades y tiempos de recuperación Negocios, usuarios, servicios, aspectos técnicos e información. Identificación de las responsabilidades y procedimientos de emergencia. Implementación de procedimientos de emergencia para permitir la recuperación en un tiempo limitado. Procedimientos de contingencia y procedimientos de regreso a la operación normal Documentación de procedimientos y procesos acordados. Educación apropiada sobre manejo de emergencias. Cronograma de pruebas del plan de continuidad del negocio (BCP,DRP) Responsabilidades individuales de ejecución y propietarios de cada plan de continuidad (BCP,DRP). 1.12.5 ENTRENAMIENTO Y CONCIENTIZACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP,DRP). (BS 7799-2 Control A 11.1.4) Todo el personal de SISTESEG debe conocer el Plan de Continuidad del Negocio (BCP,DRP) y su respectiva función dentro de él, una vez se haya realizado su aprobación. 1.12.5.1 Recomendaciones Adicionales El Plan de Continuidad del Negocio (BCP, DRP), es esencial para poder continuar con las actividades críticas del negocio de SISTESEG, en el evento de una falla inesperada, que pudiera seriamente interrumpir los procesos y actividades importantes de la operación de la compañía. Para que el Plan de Continuidad del Negocio (BCP,DRP) pueda ser ejecutado exitosamente, todo el personal no sólo debe estar conciente de su existencia, sino conocer su contenido, junto con las actividades y responsabilidades de cada parte. Aspectos de la seguridad de la información a ser considerados cuando se implementan estas políticas son: Aun cuando el Plan de Continuidad de Negocio (BCP,DRP) haya sido probado, aun puede fallar, si el personal no está lo suficientemente familiarizado con sus contenidos. Cuando en el Plan de Continuidad del negocio (BCP,DRP), las personas involucradas olvidan su percepción de la cercanía del riesgo, se puede presentar cierta apatía, la cual disminuye su importancia, y la necesidad de una participación activa en él.

Se deberá crear un plan de concientización sobre la importancia del BCP,DRP para SISTESEG, y el compromiso de todos los empleados para garantizar su éxito. 1.12.6 PRUEBA DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BS 7799-2 Control A 11.1.5) El Plan de Continuidad del Negocio (BCP,DRP) necesita ser probado periódicamente, con el fin de garantizar que la compañía entienda claramente como debe ser ejecutado. El hecho de probar el Plan de Continuidad del negocio (BCP,DRP) en la organización, evalúa su viabilidad, y garantiza que los empleados estén familiarizados Si la prueba del Plan de Continuidad del Negocio (BCP,DRP) no reproduce las condiciones reales, el valor de tales pruebas es limitado y deficiente. Las fallas en el análisis del plan de pruebas del BCP, DRP, ocasionarán una disminución de la validez de la prueba. Los diferentes tipos de prueba incluyen: 1. Pruebas sobre la mesa de los diferentes escenarios (Por medio del uso de listas de verificación y análisis paso a paso) del BCP,DRP. 2. Simulaciones del Plan de Continuidad 3. Pruebas de recuperación técnicas del BCP,DRP. 4. Pruebas de recuperación en sitio alterno del BCP,DRP. 5. Prueba de servicios externos (Energía, comunicaciones etc.) del BCP,DRP. 6. Prueba completa, con el fin de evaluar personal, equipos, recursos físicos, para entender su capacidad de soportar interrupciones. Esta prueba implica detener las operaciones de SISTESEG y no es recomendable ya que puede originar un desastre real. 7. Una vez aprobado y desarrollado, el plan de continuidad de negocio (BCP,DRP) debe ser probado con el fin de mostrar su eficacia, y nivel de actualidad. El periodo de pruebas sobre la mesa de los diferentes escenarios, no debe ser mayor a 6 meses. 8. con el plan y sus procedimientos. A continuación controles adicionales sobre las pruebas del BCP, DRP: 1.12.7 MANTENIMIENTO Y ACTUALIZACIÓN DEL PLAN DE CONTINUIDAD DE NEGOCIO (BCP, DRP). (BS 7799-2 Control A 11.1.5.2) El Plan de Continuidad del Negocio (BCP,DRP) debe estar actualizado y revisado periódicamente. El mantenimiento y actualización del Plan de Continuidad del Negocio (BCP,DRP) es muy importante si se requiere una operación exitosa en un momento dado. Se requiere probar las implicaciones por cambios en el BCP, de lo contrario su ejecución puede resultar en una serie de fallas y debilidades. Si el Plan de Continuidad del Negocio no es actualizado periódicamente, su éxito puede ser cuestionable. Los cambios incluyen: Adquisiciones de nuevos equipos Actualizaciones en los sistemas operacionales Personal Direcciones o números telefónicos

Estrategias de negocio Ubicaciones físicas Leyes Contratistas, proveedores de servicio y clientes muy importantes Procesos nuevos o eliminados Riesgo (Operacional y financiero)

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback