Professional Documents
Culture Documents
ALCALDÍA.
2018
INTRODUCCIÓN
POLITICAS DE SEGURIDAD
Se deberían identificar los eventos que pueden ocasionar interrupciones en los procesos del
negocio junto con la probabilidad y el impacto de dichas interrupciones, así como sus
consecuencias para la seguridad de la información. Guía de implementación Los aspectos
de seguridad de la información en la continuidad del negocio se deberían basar en la
identificación de los eventos (o secuencia de eventos) que pueden causar interrupciones en
los procesos del negocio de la organización, por ejemplo fallas de los equipos, errores
humanos, robo, desastres naturales y actos terroristas. Se debería continuar con una
evaluación de riesgos para determinar la probabilidad y el impacto de tales interrupciones,
en términos de tiempo, escala de daño y periodo de recuperación.
Participación de los dueños de los recursos y los procesos del negocio. Estas evaluaciones
deberían considerar todos los procesos del negocio sin limitarse a los servicios de
procesamiento de información, sino incluir los resultados específicos para la seguridad de
la información. Es importante vincular en conjunto todos los aspectos del riesgo para
obtener un panorama completo de los requisitos de continuidad del negocio de la
organización. La evaluación debería identificar, cuantificar y priorizar los riesgos frente a
los criterios y los objetivos pertinentes para la organización, incluyendo los recursos
críticos, impactos de las interrupciones, duración permitida de corte y prioridades de
recuperación. Dependiendo de los resultados de la evaluación de riesgos, se debería
desarrollar una estrategia de continuidad del negocio para determinar el enfoque global para
la continuidad del negocio. Una vez se ha creado esta estrategia, la dirección debería
aprobarla y se debería crear y respaldar un plan para la implementación de esta estrategia
Marco para la planeación de la continuidad del negocio
Se debería mantener una sola estructura de los planes de continuidad del negocio, para
asegurar que todos los planes son consistentes, y considerar los requisitos de la seguridad
dela información de forma consistente, así como identificar las prioridades para pruebas y
mantenimiento.
Guía de implementación
Cada plan de continuidad del negocio debería describir el enfoque para la continuidad, por
ejemplo el enfoque para garantizar la disponibilidad y seguridad de la información o del
sistema de información. Igualmente, cada plan debería especificar el plan de escalada y las
condiciones para su activación, así como las personas responsables de ejecutar cada
componente del plan.
Cuando se identifican nuevos requisitos, todos los procedimientos de emergencia
existentes, por ejemplo planes de evacuación o disposiciones de respaldo, se deberían
modificar apropiadamente. Los procedimientos se deberían incluir en el programa de
gestión de cambios de la organización para garantizar el tratamiento adecuado de los
aspectos de la continuidad el negocio.
Cada plan debería tener un dueño específico. Los procedimientos de emergencia, los planes
de recursos de emergencia manuales y de reanudación deberían ser responsabilidad de los
dueños de los recursos o procesos apropiados del negocio involucrados. Las disposiciones
de respaldo para los servicios técnicos alternos, como servicios de procesamiento de
información y comunicaciones, usualmente deberían ser responsabilidad de los proveedores
del servicio.
Una estructura para la planificación de la continuidad del negocio debería abordar los
requisitos de seguridad de la información identificados y considera los siguientes aspectos:
a) Las condiciones para la activación de los planes que describen el proceso a seguir (por
ejemplo, la forma de evaluar la situación y quién se va a involucrar) antes de activar cada
plan.
b) Los procedimientos de emergencia que describen las acciones por realizar tras un
incidente que ponga en peligro las operaciones del negocio;
c) Los procedimientos de respaldo que describen las acciones por realizar para desplazar las
actividades esenciales del negocio o los servicios de soporte a lugares temporales alternos y
para devolver la operatividad de los procesos del negocio en los plazos requeridos.
d) Los procedimientos operativos temporales por seguir mientras se terminan la
recuperación y la restauración;
e) los procedimientos de reanudación que describen las acciones por realizar para que las
operaciones del negocio vuelvan a la normalidad;
f) una programación de mantenimiento que especifique cómo y cuándo se realizarán
pruebas al plan y el proceso para el mantenimiento del plan.
g) actividades de concientización, educación y formación diseñadas para comprender los
procesos de continuidad del negocio y garantizar que los procesos siguen siendo eficaces.
h) las responsabilidades de las personas, que describan quién es responsable de la ejecución
de cada componente del plan. Si se requiere, se deberían nombrar suplentes;
i) los activos y recursos críticos necesarios para ejecutar los procedimientos de emergencia,
respaldo y reanudación.