Poltica de gestin de la continuidad del

negocio
PL-SGSI-A.14

Fecha emisin:
10/11/2011
Revisin: 1
Fecha
revisin:
10/11/2011

1.- OBJETIVO Y ALCANCE

Establecer mediante este documento, la manera como la Agencia de Cooperacin
Internacional de Chile (AGCI) contrarresta las interrupciones de las actividades en
torno a los procesos del negocio ante la probabilidad de fallas o desastres importantes
o desastres en los sistemas de informacin y asegurar su reanudacin oportuna. El
alcance est dado por el mapa de proceso de la Poltica General de Seguridad de la
Informacin.
2.- DOCUMENTOS DE REFERENCIA

Norma ISO 27001:2005

Requisitos Tcnicos y Medios de Verificacin de DIPRES 2011
Poltica General de Seguridad de la Informacin de AGCI.
Objetivo de Auditora Gubernamental N03, ao 2011 (Gua Tcnica N53),
Proceso Gestin de Riesgo.

3.- DEFINICIONES
No tiene

Autorizado por

Revisado y Aprobado por

Juan Flores Ferrando

Encargado de Seguridad de la Informacin

Jorge Daccarett Bahna

Director Ejecutivo

Pgina 1 de 11

Poltica de gestin de la continuidad del

negocio
PL-SGSI-A.14

Fecha emisin:
10/11/2011
Revisin: 1
Fecha
revisin:
10/11/2011

4.- DESCRIPCION DE ACTIVIDADES

4.1 Inclusin de la seguridad de la informacin en el proceso de gestin de

continuidad del negocio
Resumen
N
1

NOMBRE DE LA
ACTIVIDAD
Anlisis de los
procesos del
Negocio

RESPONSABLE

DESCRIPCIN DE LA ACTIVIDAD

Encargado de
Seguridad

Anlisis de los procesos ms relevantes

(entre ellos el del Negocio) incluidos
dentro del alcance del Sistema de Gestin
de Seguridad de la Informacin

Responsable de
Matriz de Riesgo
institucional

Identificacin de
Riesgos en la
Seguridad de la
Informacin

Jefe de Poltica y
Planificacin
Encargado de
Seguridad

Identificacin de riesgos asociados a la

Seguridad de la Informacin

Responsable de
Matriz de Riesgo
institucional
Jefe de Poltica y
Planificacin

Pgina 2 de 11

REGISTROS
ASOCIADOS
Matriz de Riesgo
simplificada
de
AGCI ao 2011

Matriz de Riesgo
de Seguridad de la
Informacin

Poltica de gestin de la continuidad del

negocio
PL-SGSI-A.14

Fecha emisin:
10/11/2011
Revisin: 1
Fecha
revisin:
10/11/2011

Para desarrollar un Plan de Continuidad del Negocio eficaz y eficiente, se debe

primeramente conocer y entender cules son los procesos que son esenciales dentro
de AGCI, con el fin de asegurar la continuidad de las actividades en caso de
contingencia o incidente de seguridad consideradas graves tales como incendios,
terremotos, cortes de servicios bsicos, atentados terroristas, por mencionar. Su
orientacin es al proceso de bien y/o servicio incluido dentro del alcance del Sistema
de Gestin de Seguridad de la Informacin, relacionado con la Gestin de la
Cooperacin que Chile otorga, especficamente el Proceso Global Cooperacin
Triangular y el Proceso de Becas de Cooperacin Horizontal.
Para ello, AGCI, a travs de su Encargado de Seguridad de la Informacin y el
responsable de llevar la Matriz de Riesgo Institucional (alojada en el Departamento de
Poltica y Planificacin) analizan dicho proceso, de acuerdo a su importancia, las
consecuencias de las interrupciones de dichos servicios, la capacidad operativa de
AGCI a medida que pasa el tiempo de interrupcin, y cul es el plazo mximo para
volver a la normalidad sin llegar a incurrir en graves prdidas.
Para la identificacin mencionada anteriormente, AGCI posee una matriz denominada
Plan de Tratamiento de Riesgos Crticos (anexo 01), la cual proviene del proceso de
Gestin de Riesgos como parte del Objetivo Gubernamental N03 para los aos 2011 y
2014 del Consejo de Auditora General de Gobierno (CAIGG). Su pretendido es
obtener los procesos priorizados en base al nivel de exposicin al riesgo ponderado en
la matriz de riesgo simplificada del servicio.
En el caso de AGCI, solo ser considerado el proceso de bien y/o servicio
mencionado, dado que el plan de tratamiento sealado tambin considera procesos de
soporte no incluidos dentro del alcance del Sistema de Gestin de Seguridad de la
Informacin (SGSI) para el ao 2011 (anexo 02 Extracto Matriz de Riesgo
Simplificada-Proceso de Gestin de Riesgos AGCI 2011).
4.1.1 Activos de informacin asociados al proceso del negocio
El proceso de Gestin de la Cooperacin que Chile otorga, posee activos de
informacin que han sido identificados y clasificados de acuerdo a su criticidad, segn
lo establece el documento del SGSI Poltica de Gestin de Activos. Esta identificacin
y clasificacin da origen a un inventario, y sus bienes de informacin han sido
agrupados de acuerdo a los procesos que intervienen en el Sistema de Gestin de
Seguridad de la Informacin. Es decir, en el inventario de Activos de Informacin del
SGSI, el cual se encuentra en poder del Encargado de Seguridad, se encuentran todos
los Activos de Informacin asociados al proces de Gestin de la Cooperacin que
Chile otorga.

Pgina 3 de 11

Poltica de gestin de la continuidad del

negocio
PL-SGSI-A.14

Fecha emisin:
10/11/2011
Revisin: 1
Fecha
revisin:
10/11/2011

Cabe sealar, que frente a la ocurrencia de desastres catastrficos propios de la

naturaleza, como terremotos, tsunamis, incendios huracanes, inundaciones, por
mencionar; aquellos provocados por la intervencin humana como incendios,
atentados terroristas, etc; o por error de manipulacin como apagones de energa
elctrica (blackout); son considerados como factores de riesgos mayores y que
dificultaran el proceso del negocio de AGCI concentrado en los activos mencionados
en el punto anterior. Para ello se ha realizado una identificacin del riesgo
considerando los factores de desastres sealados (anexo 03).
Respecto a planes mitigantes o de controles preventivos, la Poltica de Control de
Acceso es fundamental para los actos terroristas que pudieran afectar a la AGCI, para
ellos su control es vital para minimizar este riesgo. Ahora bien, en relacin a los
apagones o cortes de energa elctrica, la Unidad de Informtica y la Direccin de
Informtica del Ministerio de Relaciones Exteriores cuenta con UPSs que permite
mantener el suministro energtico en caso de este incidente.
La Agencia de Cooperacin Internacional de Chile, no posee presencia regional, y solo
se limita a su direccin comercial en el edificio del Ministerio de Relaciones Exteriores,
en consecuencia, la administracin y control de ste activo fijo es responsabilidad de
la Subsecretara de Relaciones Exteriores, por ende, todos los organismos
dependientes y relacionados del MINREL alojados en el Edificio Carrera, se deben
guiar por las directrices que emanen de esta cartera.
4.1.2 Seguridad del personal
Ante la ocurrencia de desastres catastrficos durante la jornada laboral, el personal de
AGCI debe guiarse por el protocolo establecido por el Departamento de Prevencin de
Riesgos y Seguridad del MINREL, al igual que lo que seale la Brigada de Emergencia
de AGCI. Esto permitir evacuar el edificio y de alguna manera garantizar la integridad
del personal que labora en este edificio.
4.1.3 Formulacin, documentacin y planes de prueba de continuidad del
negocio.
Tal como se seala en el cuadro del numeral 4.1.1 de este documento, la
Subsecretara de Relaciones Exteriores del MINREL es la responsable del Edificio
Carrera donde AGCI ha establecido su direccin comercial, por ende, no es posible
establecer un Plan de Continuidad del Negocio sin conocer directrices y/o
instrucciones ante desastres catastrficos. La Subsecretara de Relaciones Exteriores,
ha comprometido su Plan de Continuidad del Negocio para el ao 2013.

Pgina 4 de 11

Poltica de gestin de la continuidad del

negocio
PL-SGSI-A.14

Fecha emisin:
10/11/2011
Revisin: 1
Fecha
revisin:
10/11/2011

4.2 Continuidad del negocio y evaluacin del riesgo

Resumen
N
1

NOMBRE DE LA
ACTIVIDAD
Anlisis de riesgo
incorporando la
seguridad de la
informacin

RESPONSABLE

DESCRIPCIN DE LA ACTIVIDAD

Encargado de
Seguridad

Modelamiento de riesgos asociados al

proceso de Gestin de la Cooperacin que
Chile torga.

REGISTROS
ASOCIADOS
Matriz de Riesgo
de Seguridad de la
Informacin

Encargado de
Riesgo
institucional
Jefe de Poltica y
Planificacin

Para la aplicacin de la evaluacin del riesgo en torno a la seguridad de la

informacin, el Encargado de Seguridad en conjunto con el Encargado de la Matriz de
Riesgo de AGCI, realizan el moldeamiento de stos sobre el proceso de la Gestin de
la Cooperacin que Chile otorga. Para ello puede asociar las amenazas y
vulnerabilidades establecidas (anexo 04) lo que permitir categorizar en torno a la
Seguridad de la Informacin para posteriormente establecer un Plan de Continuidad
eficaz y eficiente.

Pgina 5 de 11

Poltica de gestin de la continuidad del

negocio
PL-SGSI-A.14

Fecha emisin:
10/11/2011
Revisin: 1
Fecha
revisin:
10/11/2011

El resultado de este moldeamiento da origen a la Matriz de Riesgo de Seguridad de la

Informacin (anexo 05), la que debe ser socializada ante el Comit de Seguridad y la
Direccin Ejecutiva trimestralmente por el Encargado de Seguridad.

4.3 Desarrollo e implementacin del Plan de Continuidad del Negocio

Resumen
N
1

NOMBRE DE LA
ACTIVIDAD
Conformacin del
comit de Crisis

RESPONSABLE

DESCRIPCIN DE LA ACTIVIDAD

Direccin
Ejecutiva

Conformacin del comit de Crisis,

quines deben dirigir las acciones durante
la contingencia y recuperacin de la
informacin

Encargado de
Seguridad

Conformacin de
equipo de
recuperacin

Comit de
Seguridad
Encargado de
Seguridad
Comit de
Seguridad

Asignacin de
personal de apoyo

Convocatoria del
Comit de Crisis

Anlisis de la crisis
y recuperacin

Direccin
Ejecutiva
Jefe de
Administracin y
Finanzas
Encargado de
Seguridad

Comit de Crisis
Encargado de
Seguridad
Equipo de
Recuperacin

Fase de vuelta la
normalidad

Director
Ejecutivo
Encargado de
Seguridad

REGISTROS
ASOCIADOS
No tiene

Conformacin del Equipo de recuperacin,

cuyo propsito es establecer todos los
sistemas necesarios para restablecer el
quehacer institucional, Asimismo, deben
realizar las pruebas necesarias para
completar el restablecimiento operacional.

No tiene

Designacin, de ser necesario, de personal

que pueda efectuar las tareas en conjunto
con el Equipo de Recuperacin

Correo electrnico
al Jefe de DAF con
solicitud de
personal de apoyo
para la
recuperacin
Correo electrnico
convocando al
Comit de Crisis

El Encargado de Seguridad, convoca al

Comit de Crisis, con el propsito de
analizar y tomar las medidas en torno a
las actividades para el Equipo de
Recuperacin
Anlisis entre el Comit de Crisis,
Encargado de Seguridad y el Equipo de
Recuperacin. Este ltimo elabora un
informe con los antecedentes de la
recuperacin, el que debe ser socializado
con el Comit de Crisis y el Encargado de
Seguridad, quin a su vez lo remite a la
Direccin Ejecutiva
Elaboracin por parte del Encargado de
Seguridad, de un informe de Anlisis de
Impacto , el que debe ser socializado ante
el Comit de Seguridad y el Director
Ejecutivo.

Pgina 6 de 11

Informe de
Recuperacin de la
informacin

Informe de Anlisis
de Impacto

Poltica de gestin de la continuidad del

negocio
PL-SGSI-A.14

N
7

NOMBRE DE LA
ACTIVIDAD
Socializacin de
Continuidad del
Negocio

RESPONSABLE

DESCRIPCIN DE LA ACTIVIDAD

Encargado de
Seguridad

Socializacin de la Poltica de Continuidad

del Negocio y de los documentos del SGSI

Fecha emisin:
10/11/2011
Revisin: 1
Fecha
revisin:
10/11/2011
REGISTROS
ASOCIADOS
Pantallazo de
Intranet

4.3.1 Responsabilidades sobre la continuidad del negocio

Dada la realidad de AGCI en torno a la elaboracin de un Plan de Continuidad del
Negocio, es importante establecer algunos tpicos importantes necesarios para
enfrentar la continuidad comercial, lo que permitir una vez conocidas y establecidas
las directrices de la Subsecretara del MINREL aplicarlas y/o ajustarlas para definir de
manera ms adecuada en plan de AGCI.
a) Comit de Crisis
Este comit esta conformado por el Director Ejecutivo de AGCI, el Encargado de
Seguridad y dos integrantes del Comit de Seguridad de la Informacin. En el
caso del Director Ejecutivo, inclusive su subrogante, podr designar a un
representante, preferentemente un Jefe de Departamento.
Este Comit de Crisis es el encargado de dirigir las acciones durante la
contingencia y recuperacin de la informacin.
b) Equipo de Recuperacin y Unidades de Negocio
Este equipo esta conformado preferentemente por el Encargado de la Unidad
de Informtica, y un representante por cada departamento de lnea de AGCI o
donde se vea afectada la continuidad comercial. Para ello, ele Encargado de
Seguridad emitir un correo a los Jefes de Departamento para su designacin.
Este comit debe establecer todos los sistemas necesarios para restablecer el
quehacer institucional, Asimismo, deben realizar las pruebas necesarias para
completar el restablecimiento operacional.
El Director Ejecutivo podr designar, a travs de su Encargado de Seguridad y el Jefe
del Departamento de Administracin y Finanzas, el personal necesario en la medida
que el Comit de Crisis informe de los avances, con el propsito de minimizar los
tiempos para el restablecimiento del negocio.

4.3.2 Etapas del desarrollo de la Continuidad del Negocio

Pgina 7 de 11

Poltica de gestin de la continuidad del

negocio
PL-SGSI-A.14

Fecha emisin:
10/11/2011
Revisin: 1
Fecha
revisin:
10/11/2011

a) Fase a alerta y transicin

En esta etapa se describe la actuacin ante las primeras etapas de un suceso
que implique la prdida parcial o total de uno o varios servicios crticos, de
acuerdo al numeral 4.1.1 de este documento. Para ello el Encargado de
Seguridad convoca al Comit de Crisis, mediante correo electrnico de ser
posible, analizando las directicas que emanen de la Subsecretara de
Relaciones Exteriores de acuerdo a su Plan de Continuidad del Negocio.
b) Fase de Recuperacin
Anlisis en conjunto con el Comit de Crisis del impacto que generar en la
Continuidad del Negocio y dar as el comienzo para que el Equipo de
Recuperacin comienza su accionar. El Equipo de Recuperacin terminada la
fase, elabora un informe de Recuperacin detallando la informacin recuperada,
y aquella que definitivamente ha sido perdida. Este debe ser enviado al Comit
de Crisis y al Encargado de Seguridad, quin a su vez lo socializar con el
Director Ejecutivo.
c) Fase de vuelta a la normalidad
Una vez recibida las directrices o instrucciones de la Subsecretara de
Relaciones Exteriores, en el caso de terremotos, inundaciones, atentados
terroristas y/o explosiones, El Director Ejecutivo, o quin el Encargado de
Seguridad, darn la orden para que el personal comience la etapa de poblar las
dependencias de AGCI y comenzar el trabajo cotidiano.
Paralelamente, el Encargado de Seguridad debe entregar a la Direccin
Ejecutiva un Anlisis de Impacto del desastre.
4.3.3 Socializacin
El Encargado de Seguridad es el responsable de generar los espacios para la
socializacin de este documento y lo que respecta la continuidad del negocio, como
sus modificaciones y/o actualizaciones. Asimismo, procurar la disponibilidad de los
documentos del Sistema de Gestin de Seguridad de la Informacin en la intranet de
AGCI, con el propsito de asegurar mediante este medio de comunicacin su oportuna
socializacin.

Pgina 8 de 11

Poltica de gestin de la continuidad del

negocio
PL-SGSI-A.14

Pgina 9 de 11

Fecha emisin:
10/11/2011
Revisin: 1
Fecha
revisin:
10/11/2011

Poltica de gestin de la continuidad del

negocio

Fecha
revisin:
10/11/2011

PL-SGSI-A.14

5.- CONTROL DE REGISTROS

Identificacin
Almacenamiento
del registro
Matriz de Riesgo Archivador
en
simplificada
de poder
del
AGCI ao 2011
Encargado
de
Riesgo
Matriz de Riesgo de Archivador
en
Seguridad de la
poder
del
Informacin
Encargado
de
Riesgo
Correo electrnico Archivador Jefe de
al Jefe de DAF con DAF
solicitud
de
personal de apoyo
para
la
recuperacin
Correo electrnico PC de Encargado
convocando
al de Seguridad
Comit de Crisis
Informe
de Archivador
Recuperacin de la Encargado
informacin
Seguridad
Informe de Anlisis Archivador
de Impacto
Encargado
Seguridad

Fecha emisin:
10/11/2011
Revisin: 1

Proteccin

Responsable

Gaveta bajo
llave en oficina
de Poltica y
Planificacin
Gaveta bajo
llave en oficina
de Poltica y
Planificacin
Gaveta bajo
llave en oficina
de Jefe de
DAF

Encargado de
Riesgo

Tiempo
retencin y
disposicin
en AGCI
5 aos

Encargado de
Riesgo

5 aos

Jefe del
Departamento
de
Administracin
y Finanzas

5 aos

Pc PC en
Encargado de
oficina bajo
Seguridad
llave
Encargado de
Seguridad
Gaveta bajo Encargado de
de llave en oficina Seguridad
de Encargado
de Seguridad
Gaveta bajo Encargado de
de llave en oficina Seguridad
de Encargado
de Seguridad

5 aos

5 aos

5 aos

6.- CONTROL DE CAMBIOS

Revisin N Pg.
Modificada

Motivo del cambio

Pgina 10 de 11

Fecha Aprobacin

Poltica de gestin de la continuidad del

negocio
PL-SGSI-A.14

Revisin N Pg.
Modificada

Motivo del cambio

Fecha emisin:
10/11/2011
Revisin: 1
Fecha
revisin:
10/11/2011

Fecha Aprobacin

7.- ANEXOS
1 Plan de Tratamiento de Riesgos Crticos
2 - Extracto Matriz de Riesgo Simplificada-Proceso de Gestin de Riesgos AGCI 2011

Pgina 11 de 11