Pgina 1 de 17 ESTNDAR ESPECFICO PARA EL CLIENTE METLIFE

PROCESO DE ADMINISTRACIN DE LA CONTINUIDAD DE D.A. 1.0

ASOCIACIN ESTNDAR: ADMINISTRACIN DE LA CONTINUIDAD DUEO: SERVICE MANAGEMENT ITIL

INTRODUCCIN
La Administracin de la Continuidad de servicios de TI, se centra en describir las habilidades necesarias de una organizacin para continuar proveyendo de un pre-determinado nivel de servicios de TI a continuacin de una interrupcin del negocio, incluyendo desde la falla de una aplicacin o sistema, hasta la prdida total del negocio. El propsito principal del proceso de Administracin de la Continuidad de servicios de TI es Asegurar el cumplimiento de los servicios. EDS ha definido una serie de opciones de continuidad para el SAT para lograr soportar los procesos de negocio de la mejor manera posible. Un Plan de Continuidad, es aquella parte del Plan de Continuidad del Negocio, que se refiere nicamente a los componentes de tecnologas de la informacin, como sistemas, redes, comunicaciones, procesos y, por supuesto, los datos. El objetivo de un Plan de Continuidad, es continuar proporcionando un servicio de TI basado en unos niveles mnimos preestablecidos, que permitan soportar los requerimientos de negocio, en caso de una contingencia. Por ello, los objetivos del Plan de Continuidad, deben estar alineados con los del Plan de Continuidad del Negocio. Una opcin de continuidad es as mismo un subconjunto de un Plan de Continuidad, que contempla como reaccionar ante un incidente de continuidad que pueda afectar a la disponibilidad o al nivel del servicio de TI. Una opcin de continuidad puede resolver un incidente de corrupcin de datos, un incidente de rendimiento, un incidente de suministro elctrico, un incidente en un componente software o hardware, errores humanos e intrusiones. Estas opciones de continuidad se concentrarn ms en los aspectos correctivos que en los preventivos. Un Plan de Recuperacin de Desastres (DRP), es aquella parte del Plan de Continuidad, que aborda contingencias que, por su gravedad, no permiten continuar prestando el servicio desde el centro local de datos y debe continuarse el servicio desde un nuevo centro de datos. El Plan de Recuperacin de Desastres (DRP) debe contemplar la activacin o incluso reconstruccin de un nuevo centro con toda o parte de la infraestructura tecnolgica, incluyendo hardware, software y comunicaciones, restauracin de los datos y reestablecimiento del servicio. Este tipo de planes con frecuencia se denomina tambin recuperacin remota o Disaster Recovery (DR). Este plan debe contemplar tambin la vuelta atrs cuando, tras arreglar las consecuencias del desastre, el servicio pueda ser reanudado en el centro local. Todos los aspectos de estos planes deben ser evaluados detalladamente, definiendo adecuadamente los objetivos, haciendo un completo anlisis de riesgos y un anlisis costo-beneficio de las alternativas, considerando como ya hemos dicho medidas tanto preventivas como correctivas, tratando de garantizar no solamente la continuidad del servicio sino tambin la integridad de los datos.

Versin 1.0

KENOS - SCANDA Internal

p. 1

Pgina 2 de 17
Tambin debemos considerar el riesgo de fallos en las medidas propuestas y establecer planes alternativos. La presente documentacin no tiene contemplado el alcance de un Plan de Recuperacin de Desastres (DRP), el proceso de Administracin de la Continuidad contempla: Un anlisis de impacto al negocio (BIA), identificacin de componentes de infraestructura, anlisis de riesgo, definicin de contramedidas con base en las vulnerabilidades y riesgos detectados de los componentes de infraestructura incluyendo el entorno y ambiente fsico donde operan los CIs. El Plan de Continuidad necesita de la identificacin de requerimientos del proceso, siendo necesarios algunos procedimientos y tareas como: identificacin del catlogo de servicios, la identificacin de los procesos crticos del negocio y por consiguiente los procesos crticos de TI soportados. Al trmino de la obtencin de requerimientos del proceso, se realizar un Anlisis de Impacto al Negocio el cual tiene la finalidad de definir los criterios para determinacin del nivel de criticidad de los procesos y sistemas, adems de estimar el impacto de una interrupcin en el servicio. Del mismo modo ayuda a identificar los recursos necesarios y/o adicionales para cubrir nuevos requerimientos del servicio que soporta al negocio y a la definicin del tiempo de recuperacin (RTO). Al trmino del anlisis de impacto al negocio, se proceder a realizar el Anlisis de Riesgos y Vulnerabilidades, el cual tiene la finalidad de identificar el potencial de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos ocasionando prdida o dao de los mismos. El impacto o relativa severidad del riesgo es proporcional al valor para el negocio de la prdida / dao y a la frecuencia estimada de la amenaza. Por consiguiente se necesita inicialmente de la identificacin de los activos a proteger y que forman parte de los servicios crticos de TI que soportan los procesos del negocio, a estos se les llama componentes de infraestructura (CIs Configuration tems). Al finalizar se identifican los riesgos asociados a la confidencialidad, disponibilidad o integridad de la informacin sensitiva y crtica (BS7799/ISO17799:2005). Se procede a valorar los niveles de amenazas y vulnerabilidades y por ltimo se realiza una escala de valoracin del riesgo y probabilidad de impacto (CVSS). En el presente documento se utilizar la metodologa CVSS (Common Vulnerability Scoring System) y el estndar de seguridad BS7799/ISO17799:2005 por medio de la administracin de la seguridad de la informacin (ISMS). La identificacin de la Estrategia de Continuidad se basa en las siguientes alternativas: NO HACER NADA. DIFERIR ACCIONES. PROCEDIMIENTOS MANUALES. ACUERDOS RECPROCOS. REDUNDANCIA. SITIOS ALTERNOS. SERVICIO COMERCIALES. PROCESAMIENTO DISTRIBUIDO. COMUNICACIONES ALTERNAS.

El presente documento se basa en las estrategias de Procedimientos Manuales. Los pprocedimientos manuales se refiere a las tareas escalonadas a seguir instrucciones y/o guas para continuar brindando el servicio, dichas actividades se encuentran plasmadas en guas operativas y/o listas de verificacin las cuales forman parte de una Recuperacin Interna. La Redundancia se basa solamente en algunas arquitecturas de la infraestructura actual, establecidas en las soluciones implementadas de los servicios proporcionados por KENOS - SCANDA para METLIFE. La determinacin de los servicios que poseen redundancia ser expresada en cada uno de los planes de continuidad de los servicios de Directorio Activo (KENOS SCANDA). Una vez identificada la estrategia se realiza la construccin de medidas de reduccin de riesgo Contramedidas (CM) y en la determinacin de las opciones de continuidad del servicio, con base en la asignacin de Roles y Responsabilidades del grupo encargado de la continuidad del servicio de TI, usando una Matriz de Escalamiento para establecer el flujo y difusin de la informacin necesaria. Por ultimo se procede a la implementacin, monitoreo y un plan de mejora para el proceso de administracin de la continuidad del servicio ITSCM.

Versin 1.0

KENOS - SCANDA Internal

p. 2

Pgina 3 de 17

DESCRIPCIN

OBJETIVO

DEL

DOCUMENTO

Este documento plasma el proceso para realizar el plan de continuidad de los servicios ofrecidos a METLIFE, el detalle sobre los subprocesos, anlisis de los componentes de infraestructura, anlisis de riesgo, anlisis de impacto al negocio y actividades para contrarrestar el riesgo. El objetivo del documento es dar a conocer y establecer el proceso para llevar a cabo los planes de continuidad para los servicios ofrecidos a METLIFE.

OBJETIVO

DEL PROCESO

ADMINISTRACIN

DE LA CONTINUIDAD

El objetivo del proceso Administracin de la Continuidad, es asegurar la continuidad de las operaciones restaurando el servicio en forma rpida y eficiente para mantener el cumplimiento de los niveles de servicio.

ALCANCE

DEL PROCESO

ADMINISTRACIN

DE LA DE CONTINUIDAD

El proceso Administracin de la Continuidad aplica para los servicios tecnolgicos de Directorio Activo que provee KENOS - SCANDA para METLIFE, con actividades especficas establecidas en las opciones de continuidad, por lo que no constituye las actividades para un DRP.

REGISTROS DE CALIDAD REGISTROS

Anlisis de impacto al negocio Componentes de infraestructura Anlisis de riesgo Contramedidas Reporte de monitoreo Plan de mejora

RETENCIN
6 meses 6 meses 6 meses 6 meses 6 meses 6 meses ITSCMDB ITSCMDB ITSCMDB ITSCMDB ITSCMDB ITSCMDB

UBICACIN

Versin 1.0

KENOS - SCANDA Internal

p. 3

Pgina 4 de 17 MTRICAS
Con base en el servicio entregado al SAT, no se determinan: DRP Disaster Recovery Planning (Plan de recuperacin de desastres): Procedimientos que habilitan al SAT para responder a un evento o desastre de tal manera que los servicios de TI continen operando. RTO Recovery Time Objective (Objetivo de tiempo de recuperacin).- Tiempo mximo que puede un servicio de TI estar interrumpido y por lo consiguiente se requiere su reanudacin. RPO Recovery Point Objective (Objetivo de punto de recuperacin).- Cantidad mxima de prdida de informacin que el servicio de TI puede tolerar con el fin de facilitar su recuperacin.

Las mtricas que se deben de tomar como base para indicar el nivel de efectividad del Plan de Continuidad son: Tiempo totalizado de incidentes de continuidad restaurados vs. SLAs establecidos: La presente mtrica es utilizada para obtener el RTO. Cumplimiento de las revisiones peridicas del los planes de continuidad de TI, se hacen o se emprenden, por lo menos una vez al ao. Porcentaje de reduccin del riesgo y del impacto al negocio ante una posible falla en los servicios de TI.

Versin 1.0

KENOS - SCANDA Internal

p. 4

Pgina 5 de 17 ACTIVIDADES DEL PROCESO

A continuacin se muestra el flujo de las actividades para llevar a cabo el plan de continuidad para los servicios de tecnologa que ofrece KENOS - SCANDA .

El diagrama de flujo de datos puede ser consultado en el archivo DF-KENOS-SI-01 ITSCM MET Mgt.vsd

Versin 1.0

KENOS - SCANDA Internal

p. 5

Pgina 6 de 17

DESCRIPCIN

DE LAS

ACTIVIDADES

DEL

PROCESO.

En la descripcin detallada del esquema operativo se encuentran indicadas con verde aquellas actividades que representan la llamada a un procedimiento dentro del proceso de Administracin de la Continuidad.

Responsable
Administrador proceso de la continuidad KENOS - SCANDA

Descripcin
INICIA PROCEDIMIENTO 1.Recepcin de Datos de Administracin de la continuidad Se realiza el procedimiento de Recepcin de datos de ITSCM para obtener la informacin solicitada: Macroprocesos Crticos CIs SLAs 2.- Anlisis de Impacto al Negocio (BIA) Se lleva a cabo las actividades del procedimiento del impacto al negocio (BIA). 3.- Aprobar BIA Administracin de continuidad de SAT valida si el BIA puede ser aprobado o requiere alguna modificacin. BIA Aprobado? Toma la decisin de la validacin realizada al documento BIA. NO: Ir al paso 2. SI: Ir al paso 4. 4 .- Emitir y/o actualizar BIA Difunde y/o actualiza en BIA en la base de datos correspondiente.

Documentos empleados
- Macroprocesos Crticos - Formato CIs - SLAs

Entregable (Salida)
- Reporte Recepcin de datos

Administrador proceso de la continuidad KENOS - SCANDA

- Macroprocesos Crticos - Formato CIs - SLAs

- BIA

Administrador de la continuidad METLIFE

- BIA

- BIA revisado

Administrador de la continuidad METLIFE

Administrador proceso de la continuidad KENOS - SCANDA

- BIA aprobado

Especialista Administracin de la continuidad KENOS - SCANDA

5.- Clasificacin de componentes de infraestructura CIs Se realiza la identificacin de los componentes de infraestructura (CIs) del servicio a evaluar y se documentan en el formato FO-EDS-SI-01 ITSCM CI's y se actualiza en la base de datos

-BIA -Formato de CIs

- BIA actualizado en la Base de Datos Continuidad ITSCMDB - Base de Datos Continuidad ITSCMDB - CIs - Base de Datos Continuidad ITSCMDB

Versin 1.0

KENOS - SCANDA Internal

p. 6

Pgina 7 de 17

Responsable

Descripcin
de ITSCMDB. La solicitud de informacin a Administracin de Activos se realiza desde el inicio del procedimiento de Recepcin de datos. 6.- Apoyar en el Anlisis y Evaluacin de Riesgo de CIs Brindar apoyo para llevar a cabo el anlisis y evaluacin del riesgo de los componentes de infraestructura. El equipo de Disponibilidad debe de trabajar en conjunto con el equipo de Continuidad para que entre ambos puedan analizar los riesgos detectados ya que en caso de presentarse un incidente de Continuidad la Disponibilidad se ve afectada. El apoyo por parte de Disponibilidad puede abarcar: entrega de informacin estadstica, validacin de riesgos detectados, proporcionar informacin de requerimientos de disponibilidad (Horarios crticos y aplicaciones crticas). 7.- Anlisis de Riesgos Proceden a ejecutar las actividades del procedimiento del anlisis de riesgo con base en la identificacin de componentes de infraestructura (CIs). 8.- Apoyar en Definir y Disear Medidas de Reduccin de Riesgo (Contramedidas CM) Brindar apoyo para llevar a cabo el diseo de las contramedidas (CM). El equipo de Disponibilidad debe de trabajar en conjunto con el equipo de Continuidad para que entre ambos puedan definir las medidas de mitigacin de riesgos ya que en caso de presentarse un incidente de Continuidad la Disponibilidad se ve afectada. 9.- Contramedidas CM Desarrollar las contramedidas necesarias para mitigar los riesgos asociados a las vulnerabilidades.

Documentos empleados

Entregable (Salida)

Especialista Administracin de la disponibilidad KENOS - SCANDA

Especialista Administracin de la continuidad KENOS - SCANDA Especialistas Administracin de la disponibilidad KENOS - SCANDA

-CIs

- Anlisis de Riesgos actualizado en la Base de Datos Continuidad ITSCMDB

Especialista Administracin de la continuidad KENOS - SCANDA

- Anlisis de Riesgos - BIA - CIs

- Estrategia de Contramedidas CM actualizado en la Base de Datos Continuidad ITSCMDB

Versin 1.0

KENOS - SCANDA Internal

p. 7

Pgina 8 de 17

Responsable
Especialista Torres de Servicio KENOS - SCANDA

Descripcin
10.- Revisar Medidas de Reduccin de Riesgo (Contramedidas CM) Verifica que la informacin sea la adecuada con respecto al alcance del servicio entregado. 11.Desarrollo de Plan de Continuidad

Documentos empleados
- Estrategia CM

Entregable (Salida)
- Estrategia CM revisado

Administrador proceso de la continuidad KENOS - SCANDA

Administrador de la continuidad METLIFE Administrador de la continuidad METLIFE

-SLAs - BIA - CIs Se realiza el procedimiento para - Anlisis de desarrollar y comunicar el plan de Riesgo continuidad. - Contramedidas - Matriz escalamiento - Polticas de Backup 12.- Aprobar plan de Continuidad - Plan de continuidad Revisa los documentos para proceder a realizar su aprobacin, en caso contrario entrega retroalimentacin. Plan Continuidad Aprobado? Toma la decisin de la validacin realizada al plan de continuidad. NO: Ir al paso 11. SI: Ir al proceso de Administracin de cambios Administracin Cambios Por medio del procedimiento de Administracin de Cambio se realiza la validacin del plan de continuidad para proceder a liberarlo. Aprobado? Toma la decisin de autorizar o rechazar la documentacin entregada. NO: Ir al paso 11. SI: Ir al paso 13. 13.- Actualizar la Base de datos Continuidad y Difundir el Plan de continuidad Lleva a cabo las actividades necesarias para actualizar la Base de Datos de ITSCMDB con base en los cambios presentados, y difunde el plan de continuidad, el cual ya fue aprobado

- Plan de Continuidad

- Plan de continuidad revisado

Administrador de Cambios KENOS SCANDA

-RFC

- Resultado RFC

Administrador de Cambios KENOS SCANDA

Administrador proceso de la continuidad KENOS - SCANDA

- Plan de continuidad

- Plan de continuidad actualizado en la Base de Datos Continuidad ITSCMDB

Versin 1.0

KENOS - SCANDA Internal

p. 8

Pgina 9 de 17

Responsable
Especialista Administracin de la continuidad KENOS - SCANDA

Descripcin
y liberado . 14.Coordinar Implementacin, Pruebas y Monitoreo del Plan de Continuidad Realizar la coordinacin de las actividades de implantacin, pruebas y monitoreo del plan de continuidad con las Torres de Servicio. La presente actividad representa la planeacin que se debe realizar para poder llevar a cabo la ejecucin de la implementacin del plan de continuidad. El Administrador de la continuidad entregar el plan de continuidad y las actividades de planeacin establecidas para ejecutar las instrucciones del plan. 15.- Recibir Plan de Continuidad Los administradores de las Torres de Servicio de EDS reciben el documento del plan de continuidad. 16.- Implantar, probar y monitorear plan de continuidad Los administradores de las Torres de Servicio de EDS realizan las actividades de implantacin, pruebas y monitoreo del plan de continuidad correspondientes a su torre de servicio y emite sus resultados.

Documentos empleados
- Plan de continuidad

Entregable (Salida)
- Base de Datos Continuidad ITSCMDB

Especialista Torres de Servicio KENOS - SCANDA Analista Torres de Servicio KENOS SCANDA

- Plan de Continuidad

- Plan de Continuidad

- Formato Monitoreo

Analista Administracin de la continuidad KENOS - SCANDA

Analista Administracin de la continuidad KENOS - SCANDA

En la presente actividad se deben de ejecutar las actividades planeadas y establecidas en el plan de continuidad que previamente fue entregado por el Administrador de continuidad. 17.- Monitoreo Administracin de la - Plan de Continuidad continuidad - Formato Realizar la coordinacin de las monitoreo actividades necesarias para monitorear el proceso del plan de continuidad del servicio. 18 Entregar reporte de monitoreo - Reporte del proceso del plan de continuidad Monitoreo (Anlisis) Procede a entregar el reporte de

- Reporte Monitoreo y Resultados

- Resultados continuidad

Versin 1.0

KENOS - SCANDA Internal

p. 9

Pgina 10 de 17

Responsable

Descripcin
monitoreo del plan de continuidad al SAT para su revisin. 19.- Revisar reporte de monitoreo del plan de continuidad Revisa los resultados obtenidos del desempeo del plan de continuidad, con el objetivo de verificar el cumplimiento de los SLAs. Cumple con SLAs? Toma la decisin de que si con los planes de continuidad generados se cumplan con los acuerdos de niveles de servicios acordados con el SAT. NO: Ir al paso 9. SI: Ir a la siguiente decisin.

Documentos empleados
- Reporte monitoreo y resultados

Entregable (Salida)
- Reporte monitoreo y resultados (Revisado)

Administrador de la continuidad METLIFE

Analista Administracin de la continuidad KENOS - SCANDA

Analista Administracin de la continuidad KENOS - SCANDA

Requiere mejora? Toma la decisin de que si se requiere realizar una mejora. NO: Ir al paso 17. SI: Ir al paso 20. 20 Plan de Mejora Administracin de la Continuidad Realizar el procedimiento de Plan de Mejora Administracin de la Continuidad para elaborar un plan de mejora continua. 21 Aprobar plan de mejora continua Aprobar el documento desarrollado de plan de mejora. Plan aprobado? Toma la decisin de que si se debe aprobar el plan de mejora. NO: Ir al paso 20. SI: Ir al proceso de Administracin de cambios. Administracin Cambios - Plan de Mejora - RFC Administracin de cambios realiza las actividades correspondientes para autorizar las actividades de mejora.

Especialista Administracin de la continuidad KENOS - SCANDA

- Reporte monitoreo y resultados

- Plan de Mejora - RFC

Administrador de la continuidad METLIFE Administrador de la continuidad METLIFE

- Plan de mejora

- Plan de mejora (Revisado)

Administrador de Cambios KENOS SCANDA

- Resultado RFC

Versin 1.0

KENOS - SCANDA Internal

p. 10

Pgina 11 de 17

Responsable
Administrador de Cambios KENOS SCANDA

Descripcin
Aprobado? Toma la decisin de aprobacin del cambio solicitado. NO: Ir al paso 20. SI: Ir al paso 22. 22 Implantar plan de mejora continua Procede a implantar el plan de mejora autorizado. Ir al paso 14. FINALIZA PROCEDIMIENTO

Documentos empleados

Entregable (Salida)

Especialista Administracin de la continuidad KENOS - SCANDA

- Plan de Mejora

Versin 1.0

KENOS - SCANDA Internal

p. 11

Pgina 12 de 17

POLTICAS

PARA EL PROCESO DE CONTINUIDAD

1. El presente documento presenta los lineamientos generales para ejecutar la Administracin de la Continuidad sobre los servicios que ofrece KENOS SCANDA a METLIFE. Sin embargo, dicha informacin ser revisada y ajustada con los proveedores, por tanto, este procedimiento en ningn momento se deber considerar como DEFINITIVO O LIMITATIVO sino hasta su discusin y aprobacin por parte de las partes involucradas en el proyecto. 2. La Administracin de la Continuidad, basada en las mejores prcticas de ITIL, ser un lineamiento requerido para la provisin de servicios de tecnologa. Por tanto, todos los involucrados debern realizar este proceso, mediante el cumplimiento, por lo menos, de cada una de las actividades sealadas en los procedimientos de este documento. 3. Es responsabilidad del Administrador de Continuidad de METLIFE proporcionar la informacin requerida por el Administrador de Continuidad de KENOS - SCANDA para el Anlisis de Impacto al Negocio. 4. El Administrador de Continuidad de KENOS - SCANDA tiene la responsabilidad de desarrollar el Plan de Continuidad, el cual describir los procedimientos, alcances y objetivos correspondientes. 5. El Administrador de Continuidad de KENOS - SCANDA validar el Plan de Continuidad definido, con el Administrador responsable de la Continuidad por parte de METLIFE, para determinar si cumple con los requerimientos mnimos de continuidad. 6. La Administracin de Activos apoyar con la identificacin de los CIs registrados en la BD de Activos, para su anlisis en los planes de Continuidad. 7. La ejecucin de los Anlisis de Riesgo, usando el BS 7799 por medio de la administracin de la seguridad de la informacin (ISMS) y el CVSS (Common Vulnerability Scoring System) es actividad del Administrador de Continuidad de KENOS - SCANDA. 8. El mantenimiento y actualizacin operacional de los planes de Continuidad son responsabilidad de la Administracin de la Continuidad de KENOS - SCANDA. 9. Las contramedidas como estrategia de reduccin de riesgos en probables fallas de Continuidad, sern definidas por el rea de Administracin de la Continuidad de KENOS - SCANDA en coordinacin con las administraciones de Disponibilidad y Capacidad de METLIFE. 10. Las mejoras a la continuidad sern propuestas por KENOS - SCANDA en funcin de los distintos anlisis que se realicen. Dichas mejoras sern aprobadas por METLIFE, para ser promovidas como una solicitud de cambio (RFC) o bien como ajustes menores que el proveedor deber realizar. POLTICAS KENOS - SCANDA

OPERATIVAS DE

1. Realizar un anlisis de riesgo peridico (por lo menos dos veces al ao) a los componentes de infraestructura en trminos de su ocurrencia e impacto a las operaciones, de los riesgos asociados a la confidencialidad, disponibilidad o integridad de la informacin sensitiva y crtica, con el fin de determinar los requerimientos del plan y minimizar el impacto de incidentes.

Versin 1.0

KENOS - SCANDA Internal

p. 12

Pgina 13 de 17
2. El Administrador de Continuidad es responsable de determinar si se realiza una actualizacin en el anlisis de riesgo y en el plan de continuidad, en caso de presentarse un cambio en cualquiera de los componentes de la infraestructura soportada para los servicios proporcionados por KENOS - SCANDA. 3. El "Plan de Continuidad " deber ser probado peridicamente (por lo menos una vez al ao), con la finalidad de garantizar su adecuada ejecucin, de tal forma que el personal este familiarizado con su contenido y seguimiento. 4. El Administrador de Continuidad es responsable de realizar la capacitacin adecuada al personal en los procesos y procedimientos del Plan de Continuidad. 5. El Administrador de Continuidad del servicio, ser responsable de activar los procedimientos para la continuidad del servicio, para lo cual deber concienciar a los roles involucrados de sus responsabilidades y funciones dentro del proceso de Administracin de la Continuidad. 6. El Administrador de Continuidad del servicio, es responsable de mantener actualizada la documentacin de los procesos, procedimientos y planes de continuidad. 7. El alcance del Plan de Continuidad se realiza solamente para los servicios de TI proporcionados por KENOS - SCANDA, con base en la infraestructura implementada. 8. Cualquier impresin o reproduccin total o parcial de estos documentos esta sujeta a la autorizacin del Administrador de Continuidad de KENOS - SCANDA.

MATRIZ

DE ESCALACIN

Los niveles de escalacin que se deben aplicar en caso de la presencia de un incidente que implique la ejecucin del proceso de continuidad sern con base en la matriz de escalacin establecida en Mesa de Servicio, la cual puede ser consultada en el archivo: DB-KENOS-SI-22 ITSCM MET Matriz Escalaciones.xls. Las notificaciones y escalaciones correspondientes ser realizarn a travs del Help Desk.

Versin 1.0

KENOS - SCANDA Internal

p. 13

Pgina 14 de 17

ROLES Y RESPONSABILIDADES ADMINISTRADOR

PROCESO DE LA CONTINUIDAD:

Comunicar, difundir y concientizar acerca de los procesos, procedimientos, polticas y planes de continuidad. Asegurar que no existan omisiones en la ejecucin del proceso de Administracin de la Continuidad. Proveer los mecanismos necesarios para el ptimo seguimiento al plan de continuidad. Obtener la informacin necesaria para realizar el proceso de Administracin de la Continuidad. Coordinar los recursos necesarios para realizar el anlisis de impacto al negocio. Coordinar los recursos necesarios para elaborar el Plan de Continuidad. Solicitar oportuna y adecuadamente las aprobaciones necesarias de los documentos generados del proceso de Administracin de la Continuidad.
PROCESO DE LA CONTINUIDAD:

ESPECIALISTA

Coordinar y ejecutar las actividades para el desarrollo del Plan de Continuidad. Revisar y aprobar los documentos generados del proceso del Plan de Continuidad. Monitorear que se realice el plan de mejora con base en los procesos, procedimientos y polticas establecidas.
PROCESO DE LA CONTINUIDAD:

ANALISTA

Evaluar la informacin que le sea entregada de la ejecucin del proceso del Plan de Continuidad. Realizar reportes con base en el anlisis desarrollado de la informacin. Realizar las pruebas correspondientes al plan de continuidad. Informar de los resultados obtenidos.

ADMINISTRADOR PROCESO DE LA CONTINUIDAD

METLIFE:

Emitir de manera adecuada y oportuna las aprobaciones y revisiones que le sean solicitadas por parte de EDS para el proceso de Administracin de la Continuidad. Proporcionar la informacin necesaria a EDS para realizar los anlisis de impacto al negocio y anlisis de riego.

Versin 1.0

KENOS - SCANDA Internal

p. 14

Pgina 15 de 17 GLOSARIO DE TRMINOS Y ACRNIMOS

BIA Business Impact Anlisis (Anlisis de Impacto al Negocio): Identifica el dao potencial (financiero, operacional, regulatorio) que puede ser causado al SAT como resultado de una interrupcin de los procesos crticos de negocio. Catlogo de Servicios: Es la relacin de todos los servicios de TI que ofrece el SAT a sus clientes/usuarios. CIs Configuration Items (componentes de configuracin ): Cada uno de los componentes o infraestructura que soportan los servicios de TI. Continuidad: Se encarga de administrar los riesgos para garantizar que una organizacin pueda continuar operando a un nivel mnimo predeterminado. Confidencialidad: Proteger la informacin/hardware, principalmente de accesos no autorizados y por consiguiente perdida de informacin o informacin comprometida. Disponibilidad: Garantizar que la informacin y los servicios de TI vitales y que se encuentren disponibles cuando sea necesario. Habilidad de un servicio o componente de TI para desarrollar su funcin especfica en el momento indicado o durante el perodo indicado. DRP Disaster Recovery Planning (Plan de recuperacin de desastres ): Procedimientos que habilitan al SAT para responder a un evento o desastre de tal manera que los servicios de TI continen operando. Integridad: La informacin debe ser adecuada y completa en el momento de ser procesada, presentada, guardada o transmitida. la capacidad de garantizar que una informacin o mensaje no han sido manipulados. Salvaguardar la exactitud e integridad de la informacin y del software. ITIL: Es una serie de libros que muestra un amplio conjunto de las mejores prcticas para la administracin de los servicios de TI. ITSCM (Administracin de la Continuidad del Servicio de TI): La administracin de la continuidad del servicio de TI se centra en la continuidad de servicios de TI para el negocio. ITSCMDB (Base de datos de la Administracin de la Continuidad): Una base de datos que tiene el registro del servicio de Administracin de la Continuidad. OLA Operation Level Agreement (Acuerdo de nivel de operacin):- Acuerdo escrito entre el cliente/proveedor en el que se formaliza la prestacin-aceptacin de un servicio. Plan de continuidad: Son los procedimientos que habilitan al SAT para responder a una contingencia en lo servicios de TI proporcionados por EDS, de tal manera que los procesos crticos de negocio continen operando. RTO Recovery Time Objective (Objetivo de tiempo de recuperacin).- Tiempo mximo que puede un servicio de TI estar interrumpido y por lo consiguiente se requiere su reanudacin. RPO Recovery Point Objective (Objetivo de punto de recuperacin).- Cantidad mxima de prdida de informacin que el servicio de TI puede tolerar con el fin de facilitar su recuperacin. SLR Service Level Requirement (Requerimiento de nivel de servicio): Acuerdo escrito en el que se indican las necesidades del cliente/usuario. SLA Service Level Agreement (Acuerdo de nivel de servicio ): Acuerdo escrito entre el cliente/usuario y SLM en el que se formaliza la prestacin-aceptacin de un servicio.

Versin 1.0

KENOS - SCANDA Internal

p. 15

Pgina 16 de 17

DOCUMENTACIN RELACIONADA
PROCEDIMIENTO DE PLAN DE CONTINUIDAD PR-KENOS-SI-15 METLIFE PLAN DA PROCEDIMIENTO DE MONITOREO PR-KENOS-SI-17 MET MONITOREO PROCEDIMIENTO DE PLAN DE MEJORA PR-KENOS-SI-16 MET PLAN MEJORA DIAGRAMA DE FLUJO DE DATOS DEL PROCESO DE ADMINISTRACIN DE LA CONTINUIDAD DF-KENOS-SI-01 ITSCM MET PROCESO MATRIZ DE ESCALACIONES DB-KENOS-SI-11 MET MATRIZ INTRODUCCIN ITIL RF-KENOS-SI-00 ITIL LIBRO ROJO DE ITIL, SERVICE DELIVERY. DISASTER RECOVERY INSTITUTE INTERNATIONAL. - DRII www.drii.org. DOCUMENTOS DE SOLUCIONES GLOBALES TCNICAS ENTREGADAS AL SAT. DOCUMENTO DE ANEXO 1, TRMINOS DE REFERENCIA. BS 7799 / ISO IEC 17799:2005 (ISMS) ADMINISTRACIN DE LA SEGURIDAD DE LA INFORMACIN. BS 7799 / ISO IEC 17799:2005-100802-BSI PROCEDIMIENTO ANLISIS DE RIESGOS RF-EDS-SI-03 CRAMM. - COMPONENT RISK ANALYSIS MANAGEMENT METHOD. RF-EDS-SI-02 CVSS. - COMMON VULNERABILITY SCORING SYSTEM. RF-EDS-SI-04 PMI. - PMBOK PROJECT MANAGEMENT BODY OF KNOWLEDGE. PGINA DE INTERNET DE TRIARA www.triara.com RF-EDS-SI-05 PGINA DE INTERNET DE MICROSOFT www.microsoft.com\technet\ITsolutions\cits\mo\smf\default.msmpx RF-EDS-SI-01 Minuta de Reunin Planeacin Arranque CAT SAT-HP/IBM/EDS 03/02/2006

INFORMACIN ADICIONAL
Para obtener ms informacin sobre delitos informticos, consulte: http://www.gocsi.com/press/20020407.html. Para ob) en: http://csrc.nist.gov/publications/nistir/threats/index.html. Para obtener informacin sobre las prcticas ms recomendadas sobre seguridad de la informacin, consulte: http://www.iso-17799.com/. Para obtener informacin sobre intrusiones, consulte: http://www.hackingexposed.com/. Para obtener informacin sobre amenazas de seguridad para Microsoft TechNet, consulte: http://www.microsoft.com/technet/security/bestprac/bpent/sec1/secthret.mspx. Para obtener informacin sobre la valoracin de activos del Instituto Nacional de Estndares y Tecnologa, consulte: http://csrc.nist.gov/asset/.tener ms informacin sobre evaluacin de amenazas, consulte: "Threat Assessment of Malicious Code and Human Threats" por Lawrence E. Bassham & W. Timothy Polk: Divisin de Seguridad Informtica del Instituto Nacional de Estndares y Tecnologa (National Institute of Standards and Technology Computer Security Division

Versin 1.0

KENOS - SCANDA Internal

p. 16

Pgina 17 de 17

HISTORIA
VERSIN FECHA REVISADO
POR

DE

REVISIN
CAMBIOS REALIZADOS

APROBADO
POR

KENOS SCANDA Internal

METLIFE is a registered mark and the METLIFE logo is a trademark of Electronic Data Systems Corporation.

Versin 1.0

KENOS - SCANDA Internal

p. 17