Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Continuidad de Negocio de
Fácil GT - FGT
PRIVADA – Información de uso privado propiedad de Fácil GT - FGT. Prohibida su alteración y/o divulgación.
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
Contenido
1. Objetivo......................................................................................4
2. Alcance......................................................................................4
3. Normas Generales........................................................................4
4. Responsabilidades individuales......................................................6
2/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
Apéndice A: Glosario.......................................................................14
3/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
Historia de Cambios
4/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
1. Objetivo
Establecer y difundir las normas y lineamientos de seguridad de la información que
cuenta Fácil GT - FGT en cumplimiento a los estándares establecidos con la
finalidad de proporcionar un marco de control acorde a las necesidades de las
operaciones.
2. Alcance
El área de Seguridad Informática es el custodio de esta política y responsable de
garantizar que esta se encuentra actualizada y sea apropiada a los requerimientos
del negocio, desarrollándose un proceso de revisión anual.
3. Normas Generales
Seguridad de la Información, define el compromiso de Fácil GT - FGT para
administrar efectiva y eficazmente la seguridad de la información, conforme a los
reglamentos aplicables en cualquier lugar donde la empresa mantiene
operaciones.
5/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
6/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
fecha de instalación de todo el software y los sistemas operativos para enriquecer los
datos del inventario.
7/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
8/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
4. Responsabilidades individuales
Todos los directores, gerentes y empleados que tienen acceso a la información o tienen la
custodia de la misma o manejan recursos de sistemas de información deberán seguir las
siguientes directrices:
El uso de los sistemas de BCB quedará reservado para las actividades propias a
desempeñar en su puesto de trabajo.
Será responsabilidad de los propios usuarios la correcta custodia de los activos que
tengan en posesión para el desempeño de sus labores contractuales.
Propietarios de la información
El propietario de la información está definido en el inventario de activos, siendo éste los
responsables de cada una de las áreas de BCB o un delegado que haya sido nombrado
para tal efecto. Sin embargo, será responsabilidad de los usuarios el correcto tratamiento,
almacenamiento y no divulgación de la información a la que tengan acceso como
consecuencia del desempeño de sus actividades laborales.
9/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
Se asegurará que todos los empleados, contratistas y los terceros entienden sus
responsabilidades y son adecuados para llevar a cabo las funciones que les
corresponden, así como para reducir el riesgo de robo, fraude o de uso indebido de los
recursos puestos a su disposición.
Se asegurará que todos los empleados, contratistas y los terceros son conscientes de las
amenazas y problemas que afectan a la seguridad de la información y de sus
responsabilidades y obligaciones, y de que están preparados para cumplir la política de
seguridad de la organización en el desarrollo habitual de su trabajo, y para reducir el
riesgo de error humano.
Se tomarán las medidas de seguridad necesarias para evitar pérdidas, daños, robos o
circunstancias que pongan en peligro los activos o que puedan provocar la interrupción de
las actividades de BCB.
Los laptop serán llevados en todo momento con la persona asignada al uso del mismo, no
dejándolos bajo ningún concepto en la oficina cuando dicha persona se ausente de la
misma y esta quede vacía.
10/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
Los dispositivos móviles con acceso a información de BCB deben tener las siguientes
medidas de seguridad configuradas:
- Bloqueo automático del dispositivo en caso de inactividad.
- Configuración de una contraseña o patrón de bloqueo para desbloquear el
dispositivo.
- Instalación de un antivirus.
La configuración de las dos primeras medidas de seguridad será realizada por cada
empleado en su dispositivo. No obstante, en caso de surgir dudas para la configuración,
podrá solicitar apoyo al departamento de tecnología.
11/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
Cuando concluya la jornada laboral, el usuario deberá evitar dejar documentación encima
de las mesas o fuera de sus lugares de archivo, que deberán permanecer cerrados con
llave.
La documentación que no sea de utilidad para el usuario, deberá ser destruida utilizando
para ello las destructoras de papel existentes.
12/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
El uso del sistema informático de BCB para acceder a redes privadas o públicas, se
limitará a los temas directamente relacionados con la actividad y los cometidos del puesto
de trabajo del usuario.
Se hará un uso responsable del correo electrónico así como de la información transmitida
a través de este medio, preservando su confidencialidad e integridad. Todos los mails
enviados a los empleados y clientes del banco, será realizado bajo la modalidad de copia
oculta.
BCB se reserva el derecho de revisar, con previo aviso, los mensajes de correo
electrónico de los usuarios de la red y los archivos LOG del servidor, con el fin de
comprobar el cumplimiento de estas normas y prevenir actividades que puedan afectar a
la organización como responsable civil subsidiario.
13/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
14/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
Acceso a Internet
- El uso del sistema informático de BCB para acceder a redes públicas como
Internet, se limitará a los temas directamente relacionados con la actividad de BCB
y los cometidos del puesto de trabajo del usuario.
- El acceso a debates en tiempo real (Chat / IRC) es especialmente peligroso, ya
que facilita la instalación de utilidades que permiten accesos no autorizados al
sistema, por lo que su uso queda estrictamente prohibido. Únicamente está
permitido la utilización del chat que proporciona la plataforma de correo electrónico
para su uso laboral.
- El acceso a páginas web (WWW), grupos de noticias (Newsgroups) y otras
utilidades como FTP, telnet, etc. se limita a aquellos que contengan información
relacionada con la actividad de BCB o con los cometidos del puesto de trabajo del
usuario.
- BCB se reserva el derecho de comprobar, de forma aleatoria y con previo aviso,
cualquier sesión de acceso a Internet iniciada por un usuario de la red corporativa
con el fin de prevenir un uso fraudulento, ilegal, abusivo o no autorizado de
Internet. Dicha comprobación incluye la revisión de registros que muestran los
ficheros cargados, los que se han accedido, las páginas web visitadas y los
usuarios que han ejecutado tales acciones así como el momento en el que se han
producido.
- Cualquier persona que acceda a Internet a través de la red de BCB acepta esta
comprobación así como las normas aquí establecidas, asumiendo la imposición de
acciones disciplinarias por incumplimiento de las citadas normas.
- Cualquier fichero introducido en la red corporativa o en el terminal del usuario
desde Internet, deberá cumplir los requisitos establecidos en estas normas y, en
especial, las referidas a propiedad intelectual e industrial y a control de virus.
- Se prohíbe la descarga a través de Internet de software de origen desconocido o
de propiedad del usuario en los sistemas de BCB, salvo que exista una
autorización previa.
15/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
16/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
Apéndice A: Glosario
Seguridad de la información
Es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas
tecnológicos que permiten resguardar y proteger la información buscando mantener la
confidencialidad, la disponibilidad e integridad de la misma.
Sistema de aplicaciones
El sistema de aplicaciones hace referencia a los sistemas automatizados de usuario y
procedimientos que procesan información. El término incluye software, documentación,
sistema de controles internos, instrucciones de ejecución y parámetros.
Disponibilidad
La disponibilidad consiste en asegurarse de que los usuarios autorizados tengan acceso a
la información y a los sistemas de apoyo, cuando se requiera. Se trata de la propiedad de
que una entidad autorizada, bajo solicitud, pueda tener acceso y utilizar la información.
Continuidad
La continuidad es el proceso de establecer, por adelantado, las capacidades necesarias
para evitar o reducir el impacto de un acontecimiento que provoca la interrupción de las
operaciones en una o más unidades comerciales.
Confidencialidad
La confidencialidad consiste en asegurarse que solamente aquellos que tienen
autorización puedan acceder a la información. [ISO/IEC 17799:2000(E)]. La información
confidencial no estará disponible ni será divulgada a personas, entidades o procesos sin
autorización.
Información
La información hace referencia a la representación de hechos, que son recopilados para
efectuar operaciones comerciales. Utilizada de manera intercambiable con datos, el
término incluye, archivos de datos estructurados y no estructurados, archivos de audio o
vídeo, mensajes electrónicos o de correo de voz, fax u otro tipo de mensajes, impresos,
copias de respaldo o archivadas del original por cualquier medio, etc.
17/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
Integridad
La integridad hace referencia a garantizar la precisión y totalidad de los métodos de
información y de procesamiento. [ISO/IEC 17799:2000(E)].
Usuario operativo
La Gerencia asigna al usuario operativo como responsable de la utilización del sistema de
aplicaciones que actualiza la información, para ofrecer el servicio a los clientes y/o la
administración interna de la información.
Infraestructura tecnológica
La infraestructura tecnológica es un término que cubre varios componentes de tecnología
de la información compartida, documentación vinculada, acuerdos contractuales y
factores que facilitan los sistemas de aplicaciones de apoyo y los procesos comerciales.
La infraestructura de tecnologías de la información, entre otras cosas, comprende lo
siguiente:
Activación
Acto mediante el cual arranca formalmente la ejecución de los planes documentados del
proceso de Administración de la Continuidad del Negocio o la Administración de la crisis.
Este término es también utilizado para referir al acto de utilizar un servicio como la
recuperación de un área de trabajo ofrecida por un proveedor o un tercero.
Activo
Bienes de propiedad de una empresa o componente de una actividad o proceso de ésta,
que ha sido adquirido por la organización. Hay tres tipos de activos: Físicos (por ejemplo
edificios y equipos), financieros (como dinero en efectivo, depósitos en bancos, acciones)
y activos intangibles (como el goodwill, la reputación).
18/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
Administración de Incidentes
Proceso por medio del cual la organización responde a un incidente y lo controla
utilizando los procedimientos de respuesta a la emergencia.
Administración de la Crisis
Crisis Management, Proceso mediante el cual una organización administra el impacto
causado por un evento o incidente a la continuidad de las operaciones de la organización,
hasta que esté bajo control y deje de afectar la organización. El Plan de Manejo de Crisis
se activa como parte del proceso de administración de la crisis.
Árbol de llamadas
Proceso (sistema) en cascada que capacita a un grupo de personas, roles y/u
organizaciones para que sean contactados como parte del procedimiento de activación
del plan ante una contingencia.
Crisis
Ocurrencia de un evento que amenaza las operaciones, el personal, el valor para los
accionistas, las partes interesadas, la marca, la reputación, la confianza y la estrategia y
objetivos de la organización.
Escalamiento
Proceso mediante el cual se comunica un evento o incidente hacia el Equipo de Manejo
de Incidentes para su administración, control y monitoreo.
BCI
Business Continuity Institute. Instituto británico que establece lineamientos internacionales
acerca de las mejores prácticas de continuidad del negocio y certifica personas en dicha
materia.
BCM
Business Continuity Management. Proceso de administración de la continuidad del
negocio a través del sistema de gestión diseñado para tal fin.
BCP
Business Continuity Plan. Conjunto de procesos y procedimiento que indican las
actividades que deben seguir antes, durante y después de una contingencia, los
funcionarios de negocio que operan las actividades de misión crítica.
BIA
Business Impact Analysis. Proceso administrativo por medio del cual la organización
analiza todos los impactos cuantitativos (financieros) y cualitativos (no financieros), sus
efectos y pérdidas que pueda sufrir la organización provocados por un incidente o evento
imprevisto que afecte la continuidad del negocio. Los hallazgos del BIA se utilizan para
apoyar la toma de decisiones concernientes a la solución y la estrategia del Programa de
Continuidad del Negocio de acuerdo con el análisis costo / beneficio.
19/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
BSI
British Standards Institution. Institución británica que desarrolla, informa y certifica
estándares nacionales e internacionales.
DCA
Data Center Alterno. Centro de cómputo desde el cual se realiza la recuperación de la
operación tecnológica en caso de indisponibilidad del Centro de Cómputo Principal.
COC
Centro de Operación en Contingencia. Lugar alterno en el cual pueden ser desarrolladas
las actividades de misión crítica de la compañía en caso de no tener acceso o
disponibilidad de las instalaciones primarias de operación.
DRI
Disaster Recovery Institute. Instituto Americano que establece lineamientos
internacionales acerca de las mejores prácticas de continuidad del negocio y certifica
personas en dicha materia.
DRP
Desaster Recovery Plan. Conjunto de procesos y procedimientos que indican las
actividades que deben seguir antes, durante y después de una contingencia, los
funcionarios que realizan la recuperación tecnológica en un Centro Alterno de Cómputo.
EGC
Equipo de Gerencia de Crisis. Equipo encargado de la administración y gestión adecuada
de la crisis en caso de una contingencia. Este equipo está conformado por el Equipo de
manejo del incidente - EMI (que se encarga de coordinar la operación desde que el
incidente se presenta hasta que la organización retorna a su operación normal del día a
día) y los equipos de apoyo (los cuales son convocados por EMI de acuerdo con las
necesidades logísticas, de soporte y de toma de decisiones requeridas por el incidente).
EMI
Equipo de Manejo del Incidente. Equipo líder de la gestión de continuidad del negocio en
caso de una contingencia. En este equipo se encontrarán las personas que conocen el
funcionamiento de la operación en contingencia, que están en capacidad de tomar
decisiones soportados en los equipos de apoyo requeridos y que guiarán la operación de
toda la estructura de recuperación en cascada en caso de una contingencia.
Equipos Funcionales
Los equipos funcionales son aquellos encargados de la recuperación operativa de las
actividades de misión crítica de la compañía en contingencia. Dentro de la estructura de
recuperación en cascada existirán Equipos Funcionales tanto de negocio como de
tecnología.
Equipos Gerenciales
Los equipos gerenciales tienen a su cargo los equipos funcionales y serán los encargados
de soportar gerencialmente las operaciones críticas de la compañía a través de la toma
de decisiones técnicas de la operación y la coordinación entre sus equipos funcionales y
los lineamientos estipulados por el Equipo de Gerencia de Crisis.
20/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
MARC
Minimum Acceptable Recovery Configuration. Configuración mínima requerida en el
Centro de Operación en Contingencia por parte de los equipos funcionales y gerenciales.
Como parte de esta configuración se establece el detalle de software, hardware, útiles,
conexiones especiales, registros vitales y demás requerimientos mínimos necesarios para
la recuperación de las actividades de misión crítica.
OL
Nivel Mínimo de Operación. Descripción del nivel mínimo de desarrollo del proceso
durante una contingencia (porcentaje mínimo de operación de acuerdo con las
funcionalidades básicas que deberán estar disponibles en el proceso).
PFL
Planes fuera de línea. Procesos y procedimientos que indican las actividades manuales a
realizar para atender una contingencia sin soporte tecnológico.
RA
Risk Assesment. Proceso sistemático que identifica la naturaleza y las causas de los
riesgos a los que la organización se encuentra expuesta. El análisis de riesgo es el
proceso total de identificación, análisis y evaluación de riesgos que afectan la continuidad
del negocio.
RPO
Punto Objetivo de Recuperación. Máxima cantidad de información que es asumible
“perder” en caso de contingencia (expresada en medida de tiempo).
RTO
Tiempo Objetivo de Recuperación. Tiempo que transcurre entre el momento del evento
que compromete la disponibilidad del proceso y/o servicio y el momento en que arranca a
funcionar en “estado degradado” o “de contingencia”.
SGCN
Sistema de Gestión de Continuidad del Negocio. Sistema holístico que identifica las
amenazas potenciales para la organización y el impacto en las operaciones del negocio
que dichas amenazas, si llegaran a materializarse, podrían causar; y que proporciona un
marco para aumentar la capacidad de reacción de la organización para dar una respuesta
eficaz que salvaguarde los intereses de sus principales grupos de interés (accionistas,
clientes, empleados y sociedad ), la reputación, la marca y las actividades de creación de
valor fundamentales.
21/29
Política de Seguridad de Información y Código: PTO001
Continuidad de Negocio de
Fecha: 01/11/2019
Fácil GT - FGT
Versión: 2.0
SLA
Service Level Agreement, Son acuerdos de niveles de servicio formales entre el
proveedor de un servicio (bien sea interno o externo) y su cliente (bien sea interno o
externo) que cubre la naturaleza, calidad, disponibilidad, alcance y respuesta del
proveedor del servicio. Los Acuerdos de Niveles de Servicio (SLA) deben cubrir las
situaciones del día a día y las situaciones de desastre así como la variación del servicio
que se puede presentar durante un desastre.
22/29