Resolución N° 814/10
Nro de Expediente:
6003-000259-10
 
PLANIFICACION
Fecha de Aprobación:
2/3/2010

Tema:
VARIOS

Resumen:
Determinar la política de continuidad del negocio, a los efectos de establecer los requerimientos que debe cumplir el proceso de gestión de continuidad del negocio, para minimizar el impacto y garantizar la recuperación ante desastres, fallas de seguridad, pérdida de servicio, disponibilidad y pérdida de activos de información en la IMM, hasta un nivel aceptable, mediante la combinación de controles preventivos y de recuperación.-

Montevideo, 2 de Marzo de 2010.-
 
          VISTO: que la División Tecnología de la Información brinda servicios en la IMM en lo que se refiere a la creación, modificación y actualización de procesos, sistemas y aplicaciones informáticas;
          RESULTANDO: que es objetivo de la Organización garantizar la continuidad de las principales operaciones y minimizar el impacto provocado por incidentes de seguridad, así como garantizar que la información distribuida o producida por la Organización mantenga su integridad y confidencialidad de forma apropiada y que la misma se encuentre disponible siempre que sea necesaria;
          CONSIDERANDO: 1º) que la Dirección de la División Tecnología de la Información, a fin de lograr estos cometidos, se ha abocado al desarrollo, implantación, mantenimiento y mejora continua cumpliendo con procesos de continuidad de negocios;
          2º) que el Director General del Departamento de Planificación se manifiesta de conformidad a lo informado, estimando procedente el dictado de Resolución al respecto;
          LA INTENDENTA DE MONTEVIDEO
          RESUELVE:
          1º. Determinar la siguiente política de continuidad del negocio, a los efectos de establecer los requerimientos que debe cumplir el proceso de gestión de continuidad del negocio, para minimizar el impacto y garantizar la recuperación ante desastres, fallas de seguridad, pérdida de servicio, disponibilidad y pérdida de activos de información en la IMM, hasta un nivel aceptable, mediante la combinación de controles preventivos y de recuperación
          a) el alcance de la misma es aplicable a todos los procesos, sistemas y aplicaciones mediante los cuales la División Tecnología de la Información brinda servicios en la IMM.
          b) Definiciones
           Riesgo: combinación de la probabilidad de ocurrencia de un acontecimiento y de su consecuencia. [Guía ISO/IEC 73:2002].
           Evaluación de riesgos: proceso completo de análisis de riesgos y evaluación de riesgos. [Guía ISO/IEC 73:2002].
           Plan de continuidad del negocio: colección de procedimientos para mantener la operaciones esenciales del negocio mientras se recupera de un desastre significativo. [NIST SP-800-34].
           Recuperación de desastres: proceso de recuperación de la operación o infraestructura luego de un desastre. [SANS]
           Propietario de la información: individuo o entidad responsable ante la organización de controlar la producción, desarrollo, mantenimiento, uso y seguridad de la información.
          c) Política: todas las áreas de la División Tecnología de la Información adherirán a esta política para garantizar la continuidad del negocio
          i) Proceso de gestión de la continuidad del negocio.
           Se debe desarrollar y mantener un proceso de gestión para la continuidad del negocio que reúna al menos los siguientes elementos:
           Análisis y determinación de los riesgos que enfrenta la organización en términos de probabilidad de ocurrencia de las amenazas e impacto, incluyendo la identificación y la determinación de la prioridad de los procesos críticos del negocio.
           Identificación y evaluación de implantación de controles preventivos y de reducción de riesgo.
           Identificación de recursos financieros, organizacionales, técnicos y ambientales suficientes para tratar los requisitos identificados de la seguridad de la información.
           Garantizar la seguridad del personal y la protección de los servicios de procesamiento de información y de la propiedad de la organización.
           Formulación y documentación de los planes de continuidad del negocio.
           Prueba y actualización regular de los planes y procesos establecidos.
           Garantizar que la gestión de la continuidad del negocio esté incorporada en los procesos y la estructura de la organización.
          ii) Continuidad del negocio y evaluación de riesgos
           Se debe realizar un análisis de riesgos para determinar los requerimientos y prioridades de contingencia.
           En el análisis de riesgo se deben:
           Identificar los procesos críticos del negocio.
           Identificar los activos involucrados en los procesos críticos del negocio.
           Identificar los eventos o cadenas de eventos que puedan ocasionar interrupciones en los procesos de negocio.
           Analizar y evaluar la probabilidad de ocurrencia y el impacto que puedan tener las interrupciones causadas por incidentes de seguridad de la información.
           Las evaluaciones deben efectuarse con la plena participación de los dueños de los recursos y procesos de negocio.
           Las evaluaciones deben considerar todos los procesos de negocios, no limitándose a los servicios de procesamiento de la información.
           Se debe identificar, cuantificar y priorizar los riesgos frente a los criterios y los objetivos pertinentes para la organización, incluyendo:
          - recursos críticos
          - impacto de las interrupciones
          - duración permitida de corte
          - prioridades de recuperación
           A partir de los resultados de esta evaluación de riesgos, se deben desarrollar los planes de continuidad del negocio.
          iii) Desarrollo e implementación de planes de continuidad
           La Dirección de la División Tecnología de la Información debe aprobar los planes de continuidad del negocio previo a su implementación, así como crear y respaldar un plan para la implementación de los mismos.
           En el proceso de planificación de la continuidad del negocio se deben:
           Identificar todos los recursos y servicios relacionados al proceso de restauración, incluyendo personal, respaldos, acuerdos con terceras partes, y recursos no relacionados con el procesamiento de la información.
           Identificar prioridades y tiempos de recuperación para cada activo y/o procesos.
           Identificar, acordar y documentar todos los roles y responsabilidades, tanto internos como de empresas u organizaciones externas, para la ejecución del Plan.
           Identificar la pérdida aceptable de información y servicios.
           Establecer, documentar e implementar los procedimientos operativos a seguir, para permitir la recuperación y restauración las operaciones del negocio y la disponibilidad de la información en las escalas de tiempo requeridas.
           Capacitar, de manera apropiada al personal, en los procedimientos y procesos acordados, incluyendo el manejo de crisis.
           Realizar revisiones, pruebas y actualización de los planes. Los resultados de las revisiones deben ser documentados.
           Las copias de los planes de continuidad del negocio y el material necesario para la ejecución de los mismos, deben ser almacenados en un lugar seguro a salvo de desastres del local principal y protegidas con el mismo nivel de seguridad que el local principal.
           Las copias de los planes de continuidad del negocio deben estar actualizadas.
          iv) Estructura de los planes de continuidad del negocio
           Se debe mantener una sola estructura de los planes de continuidad del negocio para asegurar que todos son consistentes.
           Cada plan debe tener un responsable/dueño especifico, responsable de su mantenimiento, revisión, prueba, selección de criterios para la ejecución y requerimientos para la activación.
           Los planes deben incluir los siguientes aspectos:
           Las condiciones que se deben dar para la activación de cada plan.
           Los procedimientos de emergencia que describen las acciones a realizar tras un incidente que ponga en peligro las operaciones del negocio.
           Los procedimientos de respaldo que describen las acciones a realizar para desplazar las actividades esenciales del negocio, o servicios de soporte a lugares temporales alternos y para devolver la operatividad de los procesos de negocio en los tiempos requeridos.
           Los procedimientos operativos temporales a seguir mientras se termina la recuperación y restauración.
           Los procedimientos de restauración que describen las acciones a realizar para que las operaciones del negocio vuelvan a la normalidad.
           Un cronograma de mantenimiento que especifique cuándo y cómo se realizaran pruebas del plan y el proceso para el mantenimiento del mismo.
           Concientizazión, educación y formación del personal para comprender los procesos de continuidad del negocio y garantizar que los mismos sean eficaces.
           Deben quedar establecidas las responsabilidades de las personas, en particular deberá quedar determinado quién es responsable de la ejecución de cada componente del plan, así como sus suplentes si fuera necesario y el plan de escalada.
           Los activos y recursos críticos necesarios para ejecutar los procedimientos de emergencia, respaldo y restauración.
          v)Pruebas, mantenimiento y revisión de los planes de continuidad del negocio
           Los planes de continuidad del negocio se debe someter a pruebas, semestrales para los procesos de máxima criticidad y riesgo y anuales para el resto, y actualizar periódicamente.
           Las pruebas deben asegurar que todos los miembros del equipo de recuperación y otro personal pertinente son conscientes de los planes y sus responsabilidades así como su actividad y rol a la hora de ejecutar el plan.
           La programación de las pruebas para los planes de continuidad del negocio debe indicar cómo y cuándo se va a probar cada elemento del plan.
           Las pruebas deben incluir las siguientes técnicas para garantizar que los planes funcionaran en condiciones reales:
           Prueba sobre papel de varios escenarios (utilizando distintos ejemplos de interrupciones).
           Simulaciones (efectivas para la formación de personal).
           Pruebas de recuperación técnica (garantizando que los sistemas de información se puedan restaurar eficazmente).
           Pruebas de recuperación en lugar alterno.
           Pruebas de recursos y servicios de los proveedores externos (asegurando que los servicios y productos proporcionados externamente cumplirán el compromiso contraído).
           Ensayos completos, en los que se verificará que la organización, el personal, el equipo, las instalaciones y los procesos pueden hacer frente a las interrupciones.
           Se debe asignar responsabilidades para las revisiones regulares de cada plan de continuidad.
           El proceso formal de control de cambios deberá garantizar la distribución y el refuerzo de los planes actualizados. Se debe tener especial atención con los cambios en:
          - El equipamiento, incluyendo adquisición de equipos nuevos.
          - Los sistemas.
          - El personal.
          - Las direcciones o números telefónicos.
          - La estrategia del negocio.
          - Los lugares, dispositivos o recursos.
          - La legislación.
          - Los proveedores y clientes principales.
          - Los procesos existentes, nuevos o retirados.
          - Los riesgos.
          d) Roles y responsabilidades
           La implementación de esta política es responsabilidad de la División Tecnología de la Información en su conjunto.
           El área de Análisis Funcional en conjunto con el área de Seguridad Informática serán responsables de la realización análisis de riesgos y la planificación, elaboración y seguimiento de los planes de continuidad del negocio.
           Las áreas operativas (Operaciones, Mesa de Ayuda, Administración de Servidores, Microinformática, Telecomunicaciones y Administración de Bases de Datos) serán responsables de la ejecución, documentación, mantenimiento y prueba de los planes.
           La Administración Municipal es responsable de colaborar, evaluar e informar de cambios que afecten a los planes de continuidad oportunamente definidos.
           El área de Seguridad Informática será responsable de garantizar el cumplimiento de esta política.
          2. Establecer que la Política de Continuidad de Negocio, deberá ser revisada anualmente a efectos de evaluar su implantación y modificada cuando así se requiera, a efectos del eficaz cumplimiento de sus objetivos.-
          3. Conformar un equipo de trabajo encargado de desarrollar y mantener el proceso de gestión de continuidad del negocio, integrado por personal del área de Seguridad Informática, de Análisis Funcional, de Desarrollo Informático, de Administración de Sistemas y por los Propietarios de la Información.-
          4º. Encomendar a la Asesoría Jurídica, la realización de los procedimientos pertinentes a los efectos de su incorporación al Digesto Municipal.-
          5º. Comuníquese a Secretaría General; a Asesoría Jurídica; a todos los Departamentos y pase a la División Tecnología de la Información.-
ESC. HYARA RODRIGUEZ, Intendenta de Montevideo.-
DR. JORGE BASSO, Secretario General.-