Documentos de Académico
Documentos de Profesional
Documentos de Cultura
REVISIÓN DOCUMENTAL
OBJETIVO
METODOLOGIA
TIEMPO
HOJA DE TRABAJO
INTEGRANTES:
1 GENERALIDADES
La Organización FactElectronics Services Inc., define que aplica el SGCN para sus actividades
que incluye: Proveedor de servicios de tecnologías de la información específicamente para
transacciones electrónicas de facturación, gestión de la documentación física de facturas. Estos
servicios son prestados en las ciudades de Bogotá y Medellín.
ALCANCE DE LA DOCUMENTACIÓN
Esta documentación aplica a las actividades detalladas en el alcance del sistema de gestión para
las actividades operativas y necesarias como son:
DEFINICIONES:
Contingencia: Suceso no deseado que afecta la continuidad normal de las operaciones.
Plan de contingencia: plan de medidas preventivas a adoptar con el fin de atenuar o anular las
contingencias.
Gestión de la continuidad del negocio: plan de medidas a adoptar para los procesos críticos
cuando la contingencia supera las medidas adoptadas.
Procesos críticos: actividades claves e impredecibles para el negocio de la organización.
Requisitos de documentación
El SGCN descrito en este manual intenta proporcionar directrices básicas que deben seguirse para
alcanzar de forma efectiva el cumplimiento de los requisitos contenidos en la norma ISO22301,
para cumplir con la política y objetivos del SGCN.
Control de documentos. Todos los documentos de este manual se controlan y su control se realiza
mediante el listado maestro de control de documentos, se incluye en este listado todos los
documentos internos del SGCN.
Descripción e interacción de procesos que incluye el cumplimiento del PHVA o PDCA, se detalla en
la definición de procesos que aplica el SGCN de acuerdo con el alcance y se ha documentado
según SGCN-MP1 V01.
RESPONSABILIDAD DE LA DIRECCIÓN
Se ha definido las responsabilidades según organigrama Ver SGCN-ORG-00 V1.
Plan de respuesta a incidentes: Describe qué se debe hacer inmediatamente después que se
presenta un desastre. Se deben disminuir los efectos del incidente, comunicar a los servicios de
emergencia, evaluación del edificio, reunión en los puntos de encuentro, organización del
transporte a las ubicaciones alternativas, modificación de los parámetros de comunicaciones WAN,
LAN, VLAN, telefónico, etc.
Planes de recuperación después del desastre: se detalla cómo configurar cada sistema que se
ejecuta dentro del objetivo de tiempo de recuperación de cada actividad crítica determinada. Se
redacta un detallado plan de recuperación para cada sistema que se debe recuperar. Por regla
general, estos planes deben tener un nivel de detalle que permita que otros empleados o personal
externo pueda ejecutarlo si la gente que trabaja con esa actividad crítica no está disponible. Por lo
tanto, hay que usar sentido común cuando se redactan los planes, deben ser comprensibles para
todo el mundo, no sólo para usted.
BIA
Categoría 1: Procesos Misionales y/o Críticos (0 a 12 horas)
Funciones que pueden realizarse sólo si las capacidades se reemplazan por otras idénticas. No
pueden reemplazarse por métodos manuales. Muy baja tolerancia a interrupciones.
Categoría 2: Vitales (13 a 24 horas)
Pueden realizarse manualmente por un periodo breve. Costo de interrupción un poco más bajos,
sólo si son restaurados dentro de un tiempo determinado (5 ó menos días, por ejemplo).
Categoría 3: Importantes (1 a 3 días). Funciones que pueden realizarse manualmente por un
periodo prolongado a un costo tolerable. El proceso manual puede ser complicado y requeriría de
personal adicional.
Categoría 4: Menores (Más de 3 días)
Funciones que pueden interrumpirse por tiempos prolongados a un costo pequeño o nulo.
El RTO (Recovery Time Objective) tiempo objetivo de recuperación, cuanto puede permanecer la
organización sin ejecutar una actividad, el uso de una aplicación (hardware y/o software) o
información relevante. Frecuentemente es asociado con el tiempo máximo de inactividad. El RTO
se utiliza para decidir cada cuanto se deben realizar respaldos de información o backups; también
es útil para decidir que infraestructura es requerida para reiniciar operaciones.
El RPO es ligeramente diferente. Que cantidad de información puede la organización perder. En
otras palabras, si su organización realiza respaldos nocturnos de información todos los días a las
7:00 PM y el sistema colapsa al día siguiente a las 4:00 PM, toda actualización que se realice
desde su último respaldo se perderá. El RPO para este contexto será el respaldo de información
que haya realizado en el día anterior. Ahora, si estamos hablando de un banco que hace
transacciones en Internet, el RPO debe ser prácticamente igual a cero, incluyendo la última
transacción y el último bit de información que se haya manejado. Así las cosas, el RPO nos dice
que clase de protección se requiere para la información que se maneja en su organización.
Maximum Tolerable Downtime (MTD) o Maximum Tolerable Outage (MTO) tal como suena, es el
tiempo máximo de inactividad que la organización puede tolerar la ausencia o no disponibilidad de
una función o proceso. Diferentes procesos o tareas dentro de la organización pueden tener
diferentes MTD. Si una función de la Organización esta categorizada dentro de la Categoría 1,
obviamente tiene el MTD mas corto. Hay una correlación entre la criticidad de las funciones o
procesos de la organización y su tiempo máximo de inactividad. A mayor criticidad, menor tiempo
de espera a que se reinicie la operación en ese proceso o función. El tiempo de caída o de
inoperancia se constituye por dos elementos: el tiempo de recuperación del sistema y el tiempo de
trabajo en recuperación o WRT. Así las cosas, MTD = RTO + WRT.
Work Recovery Time (WRT) Tiempo de trabajo en Recuperación. Comprende máximo tiempo de
inactividad posible o MTD. Si su MTD es de 3 días, probablemente el día 1 sea el RTO y los días 2
y 3 pueden ser los WRT. Como es de esperar, toma tiempo hacer que las funciones criticas de la
organización estén nuevamente operando (hardware, software, configuraciones necesarias, etc.), y
este es un tema que usualmente se ignora en las etapas de planeación, especialmente por
Sistemas o IT.
Estrategia de Seguridad
Se utiliza una política de protección en los distintos niveles como: Física, Lógica, Humana y la
interacción que existe entre estos factores. En cada caso considerado, el plan de seguridad debe
incluir una estrategia Proactiva y otra Reactiva (1).
La Estrategia Proactiva (proteger y proceder) o de previsión de ataques es un conjunto de pasos
que ayuda a reducir al mínimo la cantidad de puntos vulnerables existentes en las directivas de
seguridad y a desarrollar planes de contingencia.
La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque ayuda al personal de
seguridad a evaluar el daño que ha causado el ataque, a repararlo o a implementar el plan de
contingencia desarrollado en la estrategia proactiva, a documentar y aprender de la experiencia, y
a conseguir que las funciones comerciales se normalicen lo antes posible.
Controles implementados
Gestión de activos
Inventario de activos
Propiedad de activos
Uso aceptable de los activos
Directrices de clasificación
Seguridad física y del entorno
Gestión de comunicaciones y Operaciones
Control de acceso
Conformidad
6.1 Se ha definido realizar la revisión a intervalos planificados de cada (3) meses para asegurar la
conveniencia y efectividad del sistema. Se deja registro en las actas de revisión al SGCN. Se ha
definido las responsabilidades.
6.4 Auditorias internas, se ha definido un procedimiento documentado en el programa de auditoria
se ha definido el intervalo de las auditorias internas y el tipo de auditoria; para generar el programa
se tiene en consideración los siguientes aspectos: BIA, Riesgos y resultados previos de auditoria.
Los resultados de las auditorias son registrados. Se tienen auditores internos calificados.
.
7.0 MEJORA SGCN
Alcance: Este documento aplica para los planes de continuidad del negocio de cada proceso del
negocio de FactElectronics Services Inc.
Revisión: Este plan general puede cambiar si existen cambios en el contenido global de los planes
y es requerido estandarizar para todos los planes.
Alcance: Esta política la debe cumplir todo el personal que labore FactElectronics Services Inc
bien sea directa o indirectamente, es decir, empleados directos, indirectos, contratistas, con el fin
de poder garantizar la continuidad del negocio, en caso de un evento que afecte la operación
normal.
Objetivo: Evitar interrupciones a los procesos críticos del negocio como consecuencia de cualquier
inconveniente, fallas o desastres.
Roles y responsabilidades: Esta política debe ser aprobada, mantenida y comunicada por la alta
dirección de FactElectronics Services Inc.
Revisión: Está política debe ser modificada si existieran cambios en los procesos de negocio de o
cambios en los planes de continuidad del negocio.
Violaciones a la política
La alta dirección será responsabilidad del compromiso de aprobar y hacer mantener los diferentes
planes para evitar incumplir con requisitos legales, judiciales y contractuales, cualquier
incumplimiento puede generar un riesgo de las operaciones de la organización.
El personal interno o externo debe cumplir las políticas de continuidad del negocio y cualquier
violación será tratada de acuerdo con el procedimiento disciplinario.
Riesgos
Copias de Respaldo
Control de acceso
Seguridad física
Mantenimiento de planes
Planificación de planes
Comunicación
Reporte de incidentes
Anexo
Objetivo:
Proporcionar la metodología y criterios para la efectiva identificación, análisis, evaluación,
tratamiento y monitoreo de los riesgos existentes o potenciales a la organización.
Alcance:
Aplica para todo el sistema de Continuidad del Negocio.
Definiciones:
- Causa: Son los medios, circunstancias y agentes que generan los riesgos.
- Impacto: Consecuencias que puede ocasionar a la organización la materialización del riesgo.
- Probabilidad: Medida (expresada como porcentaje o razón) para estimar la posibilidad de que
ocurra un incidente o evento, la cual puede ser medida con criterios de frecuencia, si se ha
materializado, o de factibilidad si nunca se ha materializado.
- Riesgo: Posibilidad de ocurrencia de toda aquella situación que pueda entorpecer el normal
desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.
- Riesgo residual: Es el riesgo que queda cuando las técnicas de la administración del riesgo
han sido aplicadas.
Norma aplicable:
Decreto 2145 de 1999, por el cual se dictan normas sobre el Sistema Nacional de Control Interno
de las Entidades y Organismos de la Administración Pública del Orden Nacional y territorial y se
dictan otras disposiciones. Modificado parcialmente por el Decreto 2593 del 2000.
Generalidades:
Para la identificación de los riesgos en los procesos y actividades: la entrada son actividades
como entrevistas estructuradas con expertos en el área, reuniones con directivos y con personas
de todos los niveles en la entidad, evaluaciones con cuestionarios, lluvias de ideas con los
servidores de la entidad, retroalimentación de otras partes interesadas, entrevistas y hacer
revisiones periódicas de factores económicos y tecnológicos que puedan afectar la organización,
etc. (Se identifican los activos, amenazas, vulnerabilidades y posible impacto).
Identificación del riesgo se debe clasificar los mismos teniendo en cuenta siguientes conceptos:
(Estratégicos, operativos, financieros, ambientales y tecnológicos, etc).
Análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de
sus consecuencias.
Evaluación del Riesgo se debe tener en cuenta la posición del riesgo en la Matriz SGCN-Rie-01
Ver 01, según la celda que ocupa, aplicando los siguientes criterios:
Si el riesgo se ubica en la Zona de Riesgo Aceptable, significa que su Probabilidad es baja y su
Impacto es leve, lo cual permite a la organización asumirlo, es decir, el riesgo se encuentra en un
nivel que puede aceptarlo sin necesidad de tomar otras medidas de control diferentes a las que se
poseen.
Si el riesgo se ubica en la Zona de Riesgo Inaceptable, su probabilidad es alta y su Impacto
catastrófico, por tanto es aconsejable eliminar la actividad que genera el riesgo en la medida que
sea posible, de lo contrario se deben implementar controles de prevención para evitar la
probabilidad del riesgo, de protección para disminuir el Impacto o compartir o transferir el riesgo si
es posible a través de pólizas de seguros u otras opciones que estén disponibles.
Valoración del riesgo producto de confrontar los resultados de la evaluación del riesgo con los
controles identificados
Anexo
GESTIÓN DE ATENCIÓN A EMERGENCIAS INFORMÁTICAS
SGCN-EM01 Ver 01
POLITICAS RELACIONADAS/REFERENCIAS
• Gestión de Seguridad
• Control de acceso a la Información
• Operación de la Información TI
OBJETIVO
Regular las actividades informáticas ante situaciones de emergencia.
ALCANCE
Cubre todas las situaciones de emergencia que se puedan producir en tecnológica.
RESPONSABLES
• Responsable mantenimiento: Grupo Informática.
• Responsable cumplimiento: Empleados de TI, soporte, incidentes y cambios.
• Responsable de su control: Auditoria interna.
DESCRIPCIÓN
• Situación de emergencia informática: aquella incidencia que impide continuar con el proceso de
información y no se le puede dar solución en el plazo requerido.
• No toda incidencia será tratada como una situación excepcional, es de responsabilidad de quien
autoriza la justificación con posterioridad la calificación de la emergencia o incidente.
El grupo comité técnico analizará y diseñará un conjunto de perfiles de excepción y emergencia
que permitan accesos excepcionales a los componentes de la plataforma tecnológica. Con estos
perfiles se podrán realizar actividades normalmente restringidas a los usuarios informáticos, pero
necesarias en un momento particular para garantizar la continuidad del negocio:
Comité deberá solicitar se asigne una contraseña a cada perfil de excepción. Estas se
almacenarán en un documento que deberá ser entregado al responsable del centro de cómputo y
al responsable de Seguridad Interna (sobre sellado).
Comité determinarán el listado de las personas autorizadas para atender las situaciones de
emergencia en el entorno informático.
Comité en la definición de la lista de perfiles de excepción, se tendrá en cuenta análisis de riesgo.
La lista de perfiles de excepción estará firmada por el Jefe de comité de CN.
El responsable del centro de cómputo tendrá en custodia una copia de la relación de perfiles de
excepción y debe mantener actualizada la citada relación.
• En horarios no hábiles, el responsable del centro de cómputo, o en su defecto, el jefe de
seguridad de turno, podrá proporcionar las contraseñas a las personas autorizadas.
Siempre quedará constancia formal del uso de las contraseñas de excepción con su respectiva
justificación. Asimismo, el Grupo Seguridad Informática investigará a la mayor brevedad las
acciones realizadas por el usuario en el sistema y procederá a solicitar el cambio de la contraseña.
La frecuencia del uso de perfiles de excepción por un determinado usuario a fin de realizar tareas
particulares en el sistema, deberá ser reportada al Grupo de Seguridad Informática.
• El monitoreo estará a cargo de auditorias internas técnicas.
• Las instrucciones de operación de las áreas de procesamiento y/o almacenamiento de
información deben estar disponibles para los responsables respectivos.
Anexo
Procedimiento Acción correctiva: SGCN-PROC-01 Ver 03
Edición: 0
FactElectronics Services Inc Fecha: 10-04-
2008
Código:
PROCEDIMIENTO DE ACCIÓN CORRECTIVA P - AC - 03
OBJETO Eliminar la causa de las no conformidades con el objeto de prevenir su recurrencia,
las acciones correctivas deben ser apropiadas a las causas y problemas encontrados.