polÍtica de seguridad de la informaciÓn integral sicn.pdfprivada – información de uso privado...

PRIVADA – Información de uso privado propiedad de BCB. Prohibida su alteración y/o divulgación.

Política Integral de Seguridad de Información y Continuidad de Negocio de

Bancaribe Curacao Bank, N.V.

Fecha de elaboración: Abril, 2012.

Última actualización: Junio 15, 2016.

Versión: 2.5

Política de Seguridad de Información y Continuidad de Negocio de Bancaribe Curacao Bank, N. V.

Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

2/29

Contenido

1. Introducción ........................................................................... 6

1.1 Ámbito ........................................................................................ 7

1.2 Cumplimiento .............................................................................. 7

1.3 Actualización de “La Política” ..................................................... 8

1.4 Ubicación, documentos asociados ............................................... 8

2. Declaraciones y principios de la “Política” .............................. 9

2.1 Declaraciones de “La Política” .................................................... 9

2.2 Principios de Seguridad de la Información y Continuidad del

Negocio ............................................................................................11

2.2.1 Responsabilidad Individual ............................................................ 11 2.2.2 Responsabilidad de la Unidad Comercial ...................................... 11

3. Marco de gobierno interno sobre seguridad de la información

................................................................................................. 13

3.1 Objetivos ...................................................................................13

3.2 Componentes Clave ....................................................................13

3.3 Responsabilidades .....................................................................15

4. Responsabilidades individuales ............................................ 16

4.1 Responsabilidades asociadas a los activos .................................16

4.2 Seguridad de la gestión de capital humano ................................17

4.3 Seguridad física y del entorno ....................................................17

4.4 Dispositivos Móviles y Teletrabajo .............................................17

4.5 Seguridad en las operaciones.....................................................18

4.6 Seguridad en las comunicaciones ...............................................20


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

3/29

4.7 Control de accesos .....................................................................20

4.8 Adquisición, desarrollo y mantenimiento de sistemas ................22

4.9 Relaciones con Proveedores .......................................................23

4.10 Gestión de incidencias .............................................................23

4.11 Continuidad del negocio ...........................................................23

4.12 Cumplimiento legal ..................................................................23

Apéndice A: Glosario................................................................. 24


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

4/29

Historia de Cambios

Fecha Versión Descripción Autor

Abril, 2012 1.0 Elaboración de la política de seguridad de información y continuidad de negocio.

Gilberto Decán Tecnología y

Proyectos

Mayo, 2013 2.0 Integración de la política de seguridad de información y continuidad de negocio.

Alberto Rosell AUDISEC

Junio 06, 2013 2.1 - Ajuste formato del documento.

- Inclusión del procedimiento.

Crisley Leal Proyectos y CN

Septiembre, 17, 2013

2.2 Ajuste formato del documento. Crisley Leal

Proyectos y CN

Mayo 30, 2014 2.3 Ajuste de ubicación del documento. Crisley Leal

Proyectos y CN

Julio 01, 2015 2.4 Incorporación de ajustes en función de la normativa ISO 27001:2013.

Alberto Rosell AUDISEC

Junio 15, 2016 2.5

Incorporación de definición de “Seguridad de Información” y cambio en el ámbito de usuarios de correos electrónicos.

Adrián Bavaresco Seguridad de Información


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

5/29

Aprobación del documento

DOCUMENTO APROBADO POR EL COMITÉ INTEGRAL DE SEGURIDAD DE INFORMACIÓN Y CONTINUIDAD DE NEGOCIO DE BCB.


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

6/29

1. Introducción

La Política de Seguridad de la Información y Continuidad del Negocio (“La Política”) define el compromiso de Bancaribe Curacao Bank (“El Banco”) de administrar efectiva y eficazmente, los aspectos relativos a la seguridad de la información en base a los requisitos dispuestos en el estándar ISO 27001:2013, de una manera coordinada, global y conforme a las regulaciones legales, a la sana práctica y a las normas de Gobierno Corporativo vigentes en “El Banco”, así como de identificar las amenazas potenciales para la organización y el impacto en las operaciones del negocio que dichas amenazas, si llegaran a materializarse, podrían causar; y que proporciona un marco para aumentar la capacidad de reacción de la organización para dar una respuesta eficaz que salvaguarde los intereses de sus principales grupos de interés (accionistas, clientes, empleados y sociedad), la reputación, la marca y las actividades de creación de valor fundamentales. La información, ya sea la que produce directamente la organización o la que nos confían los clientes, proveedores u otros terceros con los cuales “El Banco” realiza negocios, constituye un activo valioso que debe protegerse en forma adecuada. La seguridad de la información conlleva la protección de la misma, lo cual incluye el soporte a los recursos de los sistemas de información, para resguardarlos de una amplia variedad de amenazas, cuya naturaleza está continuamente cambiando. Estas amenazas comprenden o están representadas por errores, omisiones, fraudes, accidentes y daños deliberados, cuyo origen puede estar dentro de la propia organización o puede ser producto de ataques externos. La seguridad de la información es fundamental para “El Banco” con el objeto de asegurar el éxito en todos los ámbitos en que se desenvuelve su actividad y mantener su reputación. Las políticas, normas, procedimientos, controles de sistemas y capacitación relacionados con la seguridad de la información forman parte esencial del marco general de controles internos de “El Banco”, establecidos con el fin de asegurar que la información, bajo su custodia, no sea mal utilizada, manipulada y/o divulgada de manera impropia sin detectarlo. Controles apropiados de seguridad de la información protegen la reputación de “El Banco” y sustentan la política de “El Banco” con respecto a hacer las cosas apropiadas, hacerlas bien y tratar con las personas idóneas. “El Banco” es propietario o tiene el derecho de utilización de toda la información que se procesa o se conserva en sus sistemas, la cual es creada, adquirida, retenida y operada por los empleados de “El Banco” durante el desarrollo o ejecución de los negocios. Conforme a su obligación de supervisar y administrar las actividades de “El Banco”, la Alta Dirección de Bancaribe Curacao Bank tiene el derecho de acceder o autorizar el ingreso, examen, control e investigación de todo tipo de información, sistemas de aplicaciones de apoyo e infraestructura tecnológica.

El objetivo de contar con un Sistema de Gestión de Continuidad del Negocio para “El Banco” es permitir la administración, planificación, seguimiento, control y mejoramiento continuo de la estrategia de continuidad del negocio de la compañía que le permite garantizar la continuidad de la operación crítica en caso de una contingencia.


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

7/29

1.1 Ámbito

Esta Política Integral de Seguridad de la Información y Continuidad del Negocio de Bancaribe Curacao Bank, está sujeta y se adecuará a las normas legales, reglamentarias, prudenciales vigentes, así como a la normativa interna de “El Banco”. “La Política” define los requisitos de protección manuales y electrónicos de la información registrada, procesada, recopilada, compartida, transmitida o archivada en un formato electrónico, así como los sistemas de aplicaciones de apoyo y la infraestructura tecnológica. En este contexto, la información incluye los archivos de datos estructurados o no estructurados, archivos de audio o video, correo electrónico, correo de voz, fax u otros tipos de mensajes, impresos, copias de respaldo o copias archivadas de los originales por cualquier medio, entre otras. La información debe protegerse durante todo su ciclo de procesamiento, lo que comprende su producción, recopilación, archivo, transmisión, utilización y destrucción final. La información recopilada inicialmente con el cliente debe protegerse, desde su punto de adquisición por “El Banco” hasta el punto de entrega de la misma al cliente. Si una unidad autoriza un acuerdo que estipula que una tercera parte pueda generar, recopilar, archivar o utilizar, transmitir o disponer de la información en su representación, entonces dicha unidad es responsable de estar al tanto de los procedimientos y prácticas de seguridad de la tercera parte y de asegurarse de que cumpla con los requisitos de “La Política”.

1.2 Cumplimiento

El cumplimiento de “La Política” es obligatorio para todas las personas o procesos que tienen acceso a los recursos de los sistemas de información de “El Banco”. Basados en las declaraciones de certificación o recertificación anual efectuadas conforme a las Normas para la Conducta en los Negocios de Bancaribe Curacao Bank, todos los empleados a todos los niveles tienen la responsabilidad de mantener la precisión, confidencialidad y seguridad de las comunicaciones, de las operaciones y de la información. Las tentativas deliberadas o constantes de infringir o las infracciones a “La Política” implican la aplicación de medidas disciplinarias de Capital Humano de Bancaribe Curacao Bank.


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

8/29

1.3 Actualización de “La Política”

Los responsables de los Sistemas de Gestión de Seguridad de la Información y Continuidad del Negocio son los custodios de “La Política” y, por tanto, son responsables de garantizar que la misma se mantenga actualizada y sea apropiada. “La Política” se revisa, actualiza y aprueba cada un (1) año a través de la ejecución de la actividad de revisión por dirección de los Sistemas de Gestión. Dentro de dicha actividad, los responsables de Seguridad de la Información y Continuidad del Negocio revisan y recomiendan los cambios que deban realizarse a “La Política”, según sea necesario. El Comité Integral de Seguridad de la Información y continuidad del Negocio revisa y otorga su visto bueno a “La Política”.

1.4 Ubicación, documentos asociados

- Ubicación:

Este documento, se encuentra publicado en el portal de procesos (//BCBNAS01/Public/Biblioteca) a disposición de los empleados de BCB.

- Documentos asociados:

Roles y Responsabilidades de Seguridad de la Información y Continuidad de Negocio (L-SOSIN001).


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

9/29

2. Declaraciones y principios de la “Política”

2.1 Declaraciones de “La Política”

“El Banco” empleará los medios proporcionales para asegurar la confidencialidad de la información bajo su custodia, garantizar su integridad y asegurar la disponibilidad y continuidad de los sistemas de aplicaciones de apoyo y la infraestructura tecnológica. Además, “El Banco” se compromete a desarrollar, implementar, proporcionar los recursos necesarios, mantener y mejorar la estrategia de continuidad del negocio que le permita garantizar la operación de las actividades de misión crítica en caso de una contingencia. Los objetivos específicos de “La Política” relacionados con la Seguridad de Información son:

- Implementar, operar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO 27001.

- Asegurar la confidencialidad, integridad y disponibilidad de la información. - Cumplir todos los requisitos legales aplicables. - Analizar los riesgos de todos los activos de “El Banco” e identificación de

amenazas potenciales a las que están expuestos y valoración del nivel de riesgo de cada una de ellas.

- Establecer un nivel de riesgo aceptable, el cual servirá para establecer el umbral por el cual las amenazas identificadas serán o no gestionadas por “El Banco” de manera inmediata.

- Elaborar un plan de continuidad que permite recuperarse de un desastre en el menor tiempo posible.

- Formar y concientizar a todos los empleados en materia de seguridad de la información.

- Gestionar adecuadamente todas las incidencias ocurridas. - Divulgar a todos los empleados sus funciones y obligaciones de seguridad. - Mejorar continuamente el SGSI y, por ende, la seguridad de la información de la

organización. Los objetivos específicos de “La Política” relacionados con la Continuidad del Negocio son:

- Clasificar todos los servicios, procesos de negocio y recursos según su nivel de criticidad.

- Mantener y actualizar el Análisis de Impacto al Negocio (BIA) con el fin de identificar las actividades de misión crítica de la compañía así como los impactos tangibles e intangibles producto de su interrupción. Las actualizaciones deben realizarse cuando existan cambios organizacionales significativos o en su defecto con una periodicidad mínima anual.

- Elaborar el Análisis de Riesgo de las actividades de misión crítica que permita identificar sus amenazas y vulnerabilidades con el fin de tomar las precauciones necesarias para prevenir y mitigar los riesgos derivados de una interrupción del


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

10/29

servicio. Las actualizaciones deben realizarse cuando existan cambios organizacionales significativos o en su defecto con una periodicidad mínima anual.

- Diseñar, mantener y mejorar continuamente la estrategia global de continuidad del negocio dentro de los objetivos de recuperación establecidos para los procesos críticos de acuerdo con el nivel de riesgo aceptado por la compañía.

- Contar con un Plan de Continuidad de Negocio para la Compañía, en el cual se desarrollen todas las actividades requeridas antes, durante y después de un incidente a través de la estructura de recuperación en cascada definida para “El Banco”; estableciendo así mismo los recursos y mecanismos necesarios para mantenerlo vigente en el tiempo reduciendo el impacto provocado por una paralización total o parcial de la capacidad operativa de la empresa.

- Contar con un programa anual de pruebas que permita evaluar, medir, mejorar, y actualizar los planes y estrategia global de continuidad del negocio acorde al dinamismo de la compañía.

- Contar con un programa anual de divulgación, sensibilización y capacitación que cubra las diferentes audiencias objetivo y que permita que todas las personas que participan activamente dentro del sistema, conozcan e interioricen su rol y responsabilidades de acuerdo a lo establecido en el plan de continuidad del negocio.

- Mejorar continuamente el sistema mediante la implementación de acciones preventivas y correctivas, revisiones periódicas por la dirección y auditorías internas.

- Amparar contractualmente las relaciones con las entidades colaboradoras que proporcionen servicios y/o productos que habiliten los procesos de negocio clasificados como críticos.

- Velar por el cumplimiento de la legislación vigente en materia de continuidad del negocio a nivel internacional.

- Desarrollar el sistema alineado con los estándares de calidad y los lineamientos del Sistema de Gestión Integral (SGI) de la compañía.

- Brindar tranquilidad y seguridad a clientes, asociados y empleados mediante la implementación de un sistema de gestión que asegure la continuidad de la operación crítica del negocio y la protección de sus intereses en caso de una contingencia.

Estos objetivos (tanto de Seguridad de la Información como de Continuidad del Negocio) deben alcanzarse a un costo acorde con los riesgos de los negocios y en forma congruente, tanto con la necesidad de información fiable como con la necesidad de proporcionar un nivel de servicio apropiado a través de diversos canales de servicio, que continuamente cumplan o sobrepasen las expectativas comerciales y de los clientes, y conformes con los requisitos legales, reglamentarios o contractuales.


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

11/29

2.2 Principios de Seguridad de la Información y Continuidad del Negocio Se deben poner en aplicación y respetar los principios sobre seguridad de la información y continuidad del negocio, que se describen a continuación.

2.2.1 Responsabilidad Individual Todos los empleados, gerentes y directores tienen la responsabilidad de proteger la información, ya sea que se trate de información de uso exclusivo o confiada a “El Banco” por clientes, vendedores u otras partes con quienes “El Banco” realiza negocios, por medio del cumplimiento de “La Política” y cualquier política, norma o procedimiento pertinente con sus funciones, así como, el cuidado, la diligencia y la habilidad que se esperaría de una persona razonablemente prudente en circunstancias similares e informar al superior jerárquico correspondiente, sobre cualquier inquietud relacionada con acontecimientos sospechosos relativos a la seguridad por medio de la cadena de comunicación. (Véase la Sección 4.0 para más detalles sobre las responsabilidades). Es responsabilidad además de los empleados, conocer las estrategias de continuidad del negocio que ha implementado el Banco, para asegurar la continuidad de los procesos críticos, así como de conocer y seguir lo establecido en los planes de continuidad del negocio.

2.2.2 Responsabilidad de la Unidad Comercial Las unidades de negocio y áreas de apoyo a tecnologías de la información de “El Banco” tienen la responsabilidad de administrar los riesgos en materia de seguridad de la información, vinculados con sus procesos comerciales, sistemas de aplicaciones e infraestructura tecnológica a través de la aplicación de los principios siguientes:

- Responsabilidad: Toda información y todo sistema de aplicaciones de apoyo, incluso aquellos operados por terceras partes, debe tener un “propietario de la información/sistema” designado, quien se considera el dueño designado de la información durante la totalidad de su ciclo de procesamiento, desde el momento en que se origina o recopila la información hasta su disposición final apropiada.

- Clasificación de la información: La información debe clasificarse según su grado de

sensibilidad y de acuerdo con las normas de control de “El Banco” a fin de asegurar que se establezca un nivel apropiado de protección de la misma y que se corresponda con el riesgo inherente.

- Proporcionalidad: La información debe protegerse contra un riesgo acorde con lo

delicado de la misma, la complejidad y ámbito del negocio, necesidades en relación con el servicio al cliente e intereses de “El Banco” y de sus accionistas.

- Derecho de accesibilidad: Se debe acceder, cambiar y utilizar la información, los

sistemas de aplicaciones de apoyo y la infraestructura tecnológica solamente para fines autorizados. El acceso, incluso el iniciado por el cliente, se debe autentificar y


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

12/29

basarse en el principio del derecho mínimo de accesibilidad, o “necesidad de conocer”.

- Acuerdos respecto a la contratación externa: Se debe solicitar a los proveedores

externos, por medio de un contrato, implementar y hacer respetar los procedimientos y prácticas sobre seguridad que cumplan con los requisitos de “La Política”. En caso necesario, se debe controlar periódicamente a los proveedores de servicio, a fin de confirmar que cumplen con sus obligaciones, estipuladas en el contrato.

- Cumplimiento legal: Se debe cumplir con todos los requisitos legales y

reglamentarios aplicables en materia de seguridad de la información en Curacao. Las unidades de negocio deben poder demostrar el cumplimiento de las leyes y reglamentos aplicables mediante la adopción de las normas de seguridad y los códigos de conducta pertinentes.

- Protección de datos: La protección de datos y la confidencialidad de la información

personal debe corresponder en forma apropiada a lo delicado de la información y debe estar conforme a las leyes y reglamentos pertinentes.

- Sensibilización: Se debe comunicar continua y regularmente la necesidad de

mantener la seguridad de la información a todos los empleados, oficiales, socios, consultores y vendedores/proveedores de servicio.

- Control: Se deben controlar y revisar regularmente los procedimientos y

mecanismos de control sobre seguridad de la información, para confirmar que siempre operan en forma fiable; que se cumple continuamente con las políticas, normas y estándares sobre seguridad; y que los procedimientos y mecanismos son adecuados para identificar y responder a las actividades inusuales o inaceptables, incluso con respecto a las operaciones iniciadas por el cliente.

- Evaluación y mejoramiento: Se debe evaluar y mejorar regularmente la idoneidad

de los procedimientos y mecanismos de control sobre la seguridad de la información, según sea necesario, a fin de que los mismos correspondan a las cambiantes amenazas, los riesgos y las opciones de control, de manera que satisfagan continuamente las obligaciones comerciales, las expectativas de servicio al cliente y los requisitos reglamentarios.

- Informes sobre incidentes: Los incidentes relacionados con la seguridad son

importantes y la respuesta a los mismos debe ser fiable. Se debe enviar un informe sobre los incidentes relacionados con la seguridad al Responsable de Seguridad de la Información, tan pronto como sean identificados; y, adicionalmente se debe dar inicio a una investigación, la cual será coordinada por el equipo de respuesta a los incidentes de seguridad de la información.


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

13/29

3. Marco de gobierno interno sobre seguridad de la información

3.1 Objetivos A fin de implementar las declaraciones y principios sobre “La Política”, como parte de sus políticas de gobierno interno de la empresa, “El Banco” estableció un marco de gobierno interno sobre seguridad de la información con el objeto de:

- Permitir que la Gerencia de las unidades de negocio analice y evalúe los riesgos en materia de seguridad de la información, tome las decisiones sobre seguridad y las medidas necesarias para administrar la seguridad de la información relativa a su ámbito de responsabilidad.

- Proporcionar la dirección y orientación necesarias a las personas con respecto a

salvaguardar la información y establecer las expectativas relacionadas con la utilización aceptable de los sistemas de información.

- Garantizar que las estrategias, políticas, procesos, normas, soluciones y recursos

para administrar los riesgos en materia de seguridad de la información, estén acordes con los objetivos del negocio y sean congruentes con las leyes y reglamentos aplicables.

- Asignar roles y responsabilidades para asegurar que las tareas requeridas para implementar y mantener el programa de gestión de continuidad del negocio son dadas a individuos competentes cuyo desempeño puede ser monitoreado.

3.2 Componentes Clave El marco sobre seguridad de la información abarca entidades, procesos y tecnología, que a su vez comprenden:

- Políticas: Incluye “La Política”, así como las políticas relacionadas (políticas organizacionales y políticas funcionales) que presentan los objetivos e instrucciones establecidas por la Junta de Directores Supervisores.

- Una estructura organizacional eficaz que incluye:

o La Junta de Directores Supervisores, que tiene la responsabilidad de

revisar, aprobar y asegurar la implementación de “La Política” de “El Banco”.

o El Responsable de Seguridad de la Información, quien tiene la

responsabilidad de elaborar, implementar, actualizar y someter a la aprobación de la Junta Directiva, las políticas y programas sobre seguridad de la información de “El Banco”, a fin de supervisar la administración


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

14/29

efectiva y eficaz de los riesgos en materia de seguridad de la información; todo ello, coordinado en forma global.

o Las personas que han sido designadas como “propietarios de los activos” y

que son responsables de las decisiones sobre administración de riesgos en materia de seguridad de la información, establecen prioridades y toman las medidas apropiadas con respecto al manejo de la información en los sistemas de información y/o procesos comerciales.

o El Comité Integral de Seguridad y Continuidad, un equipo administrativo

que trabaja con las distintas divisiones de El Banco, que le corresponde emitir sus observaciones con respecto a la elaboración de normas, analizar los problemas relacionados con la seguridad de la información, identificar las nuevas amenazas en contra de “El Banco”, evalúa los riesgos en materia de seguridad de la información y coordina las medidas de reducción de riesgos por medio de diferentes procesos de prevención, identificación y respuesta.

o Las personas en cada división/unidad, a quienes le han sido designadas

para coordinar las actividades de seguridad de la información de dichas entidades con el responsable de Seguridad de la Información.

o La definición de funciones y responsabilidades.

o La división de obligaciones entre las funciones incompatibles.

- Un marco firme de administración de riesgos, que ha sido diseñado, tomando en cuenta que el programa sobre seguridad de la información del Banco concuerde con los objetivos comerciales, la tolerancia de riesgos y los recursos, en cuyo contenido se incluye lo siguiente:

o Una clasificación estándar de la información y procesos de evaluación de

riesgos y metodología para evaluar los riesgos inherentes a la seguridad de la información y para reevaluar regularmente los mismos, considerando las amenazas y riesgos nuevos.

o Un conjunto de normas sobre seguridad de la información que recomiendan

los controles, configuraciones de seguridad aceptables y requisitos de implementación mínimos para ayudar a las unidades comerciales y a sus áreas de apoyo técnico en relación al proceso de toma de decisiones.

o Concordancia con las normas internacionales pertinentes reconocidas para

proveer las mejores técnicas específicas a la administración de seguridad de la información.

o Gobierno interno sobre los aspectos de seguridad de la información de

servicios ofrecidos por terceras partes.


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

15/29

o Coordinación con el programa de aseguramiento del cumplimiento continuo de leyes, reglamentos y otros compromisos contractuales aplicables que tienen efecto sobre la seguridad de la información.

o Control y supervisión de las actividades correspondientes a todos los

aspectos relativos a la seguridad de la información en “El Banco”, incluido el informe de los cambios importantes de los riesgos a los niveles apropiados de la Gerencia.

o Una estrategia coordinada respecto a la gestión de incidentes para

responder y restablecer operaciones en caso de incidentes relacionados con la seguridad de la información.

o Una función de auditoría independiente, responsable de revisar la eficacia

de los procesos de reducción de riesgos y de proveer la garantía de que los mecanismos de control interno operan en la forma prevista.

3.3 Responsabilidades Las responsabilidades concretas para el Sistema Integrado de Gestión de Seguridad de la Información y Continuidad de Negocio (SIGSICN) de los diferentes roles que intervienen en este sistema se encuentran detalladas en el documento “Roles y Responsabilidades” (L-SOSIN001). Cabe destacar la creación de un Comité Integral de Seguridad de la Información y Continuidad de Negocio, cuya responsabilidad principal es dirigir y coordinar el SIGSICN de BCB. Las responsabilidades concretas de este Comité se encuentran en el documento “Comité Integral de Seguridad y Continuidad” (I-SOPCO001).


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

16/29

4. Responsabilidades individuales

Todos los directores, gerentes y empleados que tienen acceso a la información o tienen la custodia de la misma o manejan recursos de sistemas de información deberán seguir las siguientes directrices:

4.1 Responsabilidades asociadas a los activos

Equipos informáticos y de comunicaciones y sus programas de software Los usuarios de los sistemas informáticos de BCB deben esforzarse en hacer y promover un uso eficiente de los mismos a fin de evitar tráfico innecesario en la red e interferencias con su trabajo o el de otros usuarios o con otras redes asociadas o con los servicios que éstas ofrecen. El uso de los sistemas de BCB quedará reservado para las actividades propias a desempeñar en su puesto de trabajo. Se promoverá el uso responsable de la red interna de la organización. Será responsabilidad de los propios usuarios la correcta custodia de los activos que tengan en posesión para el desempeño de sus labores contractuales. Protección del conocimiento No podrán divulgar ni utilizar directamente ni a través de terceras personas o empresas, los datos, documentos, metodologías, claves, análisis, programas y demás información a la que tengan acceso durante su relación laboral con BCB, tanto en soporte material como electrónico. Todos los compromisos anteriores deben mantenerse, incluso después de extinguida la relación laboral con la organización. Propietarios de la información El propietario de la información está definido en el inventario de activos, siendo éste los responsables de cada una de las áreas de BCB o un delegado que haya sido nombrado para tal efecto. Sin embargo, será responsabilidad de los usuarios el correcto tratamiento, almacenamiento y no divulgación de la información a la que tengan acceso como consecuencia del desempeño de sus actividades laborales.


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

17/29

4.2 Seguridad de la gestión de capital humano Se asegurará que todos los empleados, contratistas y los terceros entienden sus responsabilidades y son adecuados para llevar a cabo las funciones que les corresponden, así como para reducir el riesgo de robo, fraude o de uso indebido de los recursos puestos a su disposición. Se asegurará que todos los empleados, contratistas y los terceros son conscientes de las amenazas y problemas que afectan a la seguridad de la información y de sus responsabilidades y obligaciones, y de que están preparados para cumplir la política de seguridad de la organización en el desarrollo habitual de su trabajo, y para reducir el riesgo de error humano. Se asegurará que todos los empleados, contratistas y los terceros abandonan la organización o cambian de puesto de trabajo de forma ordenada y sin comprometer la seguridad de la misma.

4.3 Seguridad física y del entorno Se prevendrá todo tipo de acceso físico no autorizado, daños o intromisiones en las instalaciones y en la información de BCB. Se tomarán las medidas de seguridad necesarias para evitar pérdidas, daños, robos o circunstancias que pongan en peligro los activos o que puedan provocar la interrupción de las actividades de BCB. No se dejarán puestas llaves en puertas, armarios o cajones ni se dejarán puertas o ventanas abiertas cuando no haya nadie en la oficina. Los laptop serán llevados en todo momento con la persona asignada al uso del mismo, no dejándolos bajo ningún concepto en la oficina cuando dicha persona se ausente de la misma y esta quede vacía.

4.4 Dispositivos Móviles y Teletrabajo Se consideran dispositivos móviles aquellos aparatos de pequeño tamaño que tienen capacidad de acceso, almacenamiento y/o procesamiento de información, disponiendo además de conexión permanente o intermitente a una red de comunicaciones. Por tanto, los Smartphones, Tablets o Relojes inteligentes son considerados dispositivos móviles. Cada empleado es responsable del adecuado uso y conservación de los dispositivos móviles que utiliza y que tienen acceso a información de BCB. Deberá prevenir el robo o sustracción cuando se encuentre fuera de las instalaciones de la organización y comunicar al Responsable de Seguridad de la Información su pérdida en caso de que se produzca.


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

18/29

Los dispositivos móviles con acceso a información de BCB deben tener las siguientes medidas de seguridad configuradas:

- Bloqueo automático del dispositivo en caso de inactividad. - Configuración de una contraseña o patrón de bloqueo para desbloquear el

dispositivo. - Instalación de un antivirus.

La configuración de las dos primeras medidas de seguridad será realizada por cada empleado en su dispositivo. No obstante, en caso de surgir dudas para la configuración, podrá solicitar apoyo al departamento de tecnología. Es responsabilidad del empleado, la instalación del antivirus en el dispositivo móvil. El empleado no debe en ningún caso alterar las medidas de seguridad anteriores. En caso de realizar teletrabajo, el empleado se asegurará de disponer de un entorno de trabajo adecuado y proteger los sistemas de los que es responsable. En el caso de las laptops asignadas al personal autorizado, las medidas de seguridad deben ser gestionadas por el área de Tecnología, aplicando las mismas medidas que a un equipo informático, ya que se pueden utilizar como tal.

4.5 Seguridad en las operaciones Está permitido utilizar la información a la que tenga acceso en BCB únicamente en la forma exigida por el desempeño de sus funciones en la organización y no puede disponer de ella de ninguna otra forma o para otra finalidad diferente. La salida de soportes informáticos fuera de la organización precisa de autorización. Dicha autorización deberá ser obtenida siguiendo el procedimiento establecido mediante petición a través de correo electrónico a [email protected] que será autorizada por el mismo medio. Se prohíben expresamente las siguientes actividades:

- Instalar aplicaciones informáticas en el sistema de información de BCB. Todas aquellas aplicaciones necesarias para el desempeño de su trabajo serán instaladas únicamente por personal debidamente autorizado de la organización o la empresa prestataria de los servicios informáticos.

- Intentar distorsionar o falsear los registros LOG del sistema. - Utilizar el sistema para intentar acceder a áreas restringidas de los sistemas

informáticos. - Intentar aumentar el nivel de privilegios de un usuario en el sistema. - Destruir, alterar, inutilizar o de cualquier otra forma dañar los datos, programas o

documentos electrónicos de BCB o de terceros. - Introducir voluntariamente programas, virus, macros, applets, controles ActiveX o

cualquier otro dispositivo lógico o secuencia de caracteres que causen o sean susceptibles de causar cualquier tipo de alteración en los sistemas informáticos de

mailto:[email protected]


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

19/29

la entidad o de terceros. El usuario tendrá la obligación de utilizar los programas antivirus y sus actualizaciones para prevenir la entrada en el sistema de cualquier elemento destinado a destruir o corromper los datos informáticos.

- Introducir, descargar de Internet, reproducir, utilizar o distribuir programas informáticos no autorizados expresamente por BCB, o cualquier otro tipo de obra o material cuyos derechos de propiedad intelectual o industrial pertenezcan a terceros, cuando no se disponga de autorización para ello.

- Instalar copias ilegales de cualquier programa, incluidos los corporativos. - Borrar cualquiera de los programas instalados legalmente sin autorización de BCB. - Utilizar los recursos del sistema de información a los que tenga acceso para uso

privado o para cualquier otra finalidad diferente de las estrictamente laborales. - Facilitar a persona alguna ajena a BCB soportes con datos, a los que haya tenido

acceso en el desempeño de sus funciones, sin la debida autorización. - Utilizar información que hubiese podido obtener por su condición de empleado de

BCB y que no sea necesario para el desempeño de sus funciones. - Divulgar o utilizar directamente o a través de terceras personas o empresas, los

datos, documentos, metodologías, claves, análisis, programas y demás información a la que tengan acceso durante su relación laboral con BCB, tanto en soporte material como electrónico. Todos los compromisos anteriores deben mantenerse, incluso después de extinguida la relación laboral con BCB.

- En el caso de que, por motivos directamente relacionados con el puesto de trabajo, el empleado entre en posesión de información confidencial bajo cualquier tipo de soporte, deberá entenderse que dicha posesión es estrictamente temporal, con obligación de secreto y sin que ello le proporcione derecho alguno de posesión, o titularidad o copia sobre la referida información. Asimismo, el trabajador deberá devolver dichos materiales a BCB inmediatamente después de la finalización de las tareas que han originado el uso temporal de los mismos y, en cualquier caso, a la finalización de la relación laboral.

- Introducir contenidos obscenos, inmorales u ofensivos y, en general, carentes de utilidad para las finalidades propias de la empresa, en la red corporativa del mismo.

- Crear o modificar Documentación implicada en el alcance o de nuevos ficheros por parte de los usuarios no autorizados.

La documentación en soporte papel deberá ser guardada y custodiada en sus archivos correspondientes. Cuando concluya la jornada laboral, el usuario deberá evitar dejar documentación encima de las mesas o fuera de sus lugares de archivo, que deberán permanecer cerrados con llave. Respecto a la documentación que se imprima, el usuario será responsable de su recogida, que deberá efectuarse con carácter inmediato, evitando el acceso a la documentación por usuarios no autorizados. La documentación que no sea de utilidad para el usuario, deberá ser destruida utilizando para ello las destructoras de papel existentes.


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

20/29

4.6 Seguridad en las comunicaciones Los usuarios de Internet deben esforzarse en hacer y promover un uso eficiente de las redes a fin de evitar tráfico innecesario en la red e interferencias con el trabajo de otros usuarios o con otras redes asociadas ni con los servicios que éstas ofrecen. El uso del sistema informático de BCB para acceder a redes privadas o públicas, se limitará a los temas directamente relacionados con la actividad y los cometidos del puesto de trabajo del usuario. Se hará un uso responsable del correo electrónico así como de la información transmitida a través de este medio, preservando su confidencialidad e integridad. Todos los mails enviados a los empleados y clientes del banco, será realizado bajo la modalidad de copia oculta. Cualquier fichero introducido en la red o en el terminal del usuario a través de mensajes de correo electrónico que provengan de redes externas deberá cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual e industrial y a control de virus o cualquier tipo de código malicioso. Se prohíben expresamente las siguientes actividades:

- Intentar leer, borrar, copiar o modificar los mensajes de correo electrónico o archivos de otros usuarios.

- Obstaculizar voluntariamente el acceso de otros usuarios a la red mediante el consumo masivo de los recursos informáticos y telemáticos de la empresa, así como realizar acciones que dañen, interrumpan o generen errores en dichos sistemas.

- Enviar mensajes de correo electrónico de forma masiva o con fines comerciales o publicitarios sin el consentimiento de BCB.

- Utilizar los recursos telemáticos de BCB, incluido el acceso a la red Internet, para actividades que no se hallen directamente relacionadas con el puesto de trabajo del usuario.

- Enviar o reenviar mensajes en cadena o de tipo piramidal. BCB se reserva el derecho de revisar, con previo aviso, los mensajes de correo electrónico de los usuarios de la red y los archivos LOG del servidor, con el fin de comprobar el cumplimiento de estas normas y prevenir actividades que puedan afectar a la organización como responsable civil subsidiario.

4.7 Control de accesos Se controlará el acceso a los sistemas de información de BCB para que solo sea realizado por personal autorizado y en las condiciones de seguridad que la organización ha decido operar. Se asegurará el acceso de un usuario autorizado y se prevendrá el acceso de usuarios no autorizados a los sistemas de información de BCB.


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

21/29

Identificación y autentificación de los usuarios Se prevendrá el acceso no autorizado a los servicios de red para los usuarios que no hayan sido legitimados. Se usarán métodos seguros de autenticación para conexiones externas por parte de usuario autorizados. Los grupos de servicios de información, usuarios y sistemas de información deberán estar segregados en la red. La información transmitida a través de redes de telecomunicaciones se hará de forma segura. Con relación a las contraseñas se habrán de observar las siguientes normas:

- La contraseña de acceso al sistema caducará a los 60 días. - El usuario será el encargado de modificarla en el momento de realizar el primer

acceso al sistema, ya que se le solicitara automáticamente; caso contrario, será el usuario el encargado de realizar dicho cambio.

- Se evitarán nombres comunes, números de matriculas de vehículos, teléfonos, nombres de familiares, amigos, etc. y derivados del nombre de usuario como permutaciones o cambio de orden de las letras, transposiciones, repeticiones de un único carácter, etc.

- Las contraseñas usadas en cualquier sistema o servicio serán como mínimo de 8 caracteres, combinando letras, número y símbolos como ¡”·$%&/()=?¿.

- No se accederá al sistema utilizando el identificador y la contraseña de otro usuario. Las responsabilidades de cualquier acceso realizado utilizando un identificador determinado, recaerán sobre el usuario al que hubiera sido asignado.

- Se debe bloquear el equipo cuando no vaya a ser usado. - Se seguirá una política de puesto de trabajo despejado y mesas limpias, no

dejando información confidencial o privada a la vista. - Si se sospecha que la contraseña es conocida por otros usuarios, se procederá a

informar al área de tecnología para su revocación y sustitución por una nueva.

Se prohíben expresamente las siguientes actividades:

- Compartir o facilitar el identificador de usuario y la contraseña para acceder a los sistemas de información a otra persona física, incluido el personal de BCB. En caso de incumplimiento de esta prohibición, el usuario será el único responsable de los actos realizados por la persona física que utilice de forma no autorizada el identificador del usuario.

- Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad.


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

22/29

Acceso a Internet

- El uso del sistema informático de BCB para acceder a redes públicas como Internet, se limitará a los temas directamente relacionados con la actividad de BCB y los cometidos del puesto de trabajo del usuario.

- El acceso a debates en tiempo real (Chat / IRC) es especialmente peligroso, ya que facilita la instalación de utilidades que permiten accesos no autorizados al sistema, por lo que su uso queda estrictamente prohibido. Únicamente está permitido la utilización del chat que proporciona la plataforma de correo electrónico para su uso laboral.

- El acceso a páginas web (WWW), grupos de noticias (Newsgroups) y otras utilidades como FTP, telnet, etc. se limita a aquellos que contengan información relacionada con la actividad de BCB o con los cometidos del puesto de trabajo del usuario.

- BCB se reserva el derecho de comprobar, de forma aleatoria y con previo aviso, cualquier sesión de acceso a Internet iniciada por un usuario de la red corporativa con el fin de prevenir un uso fraudulento, ilegal, abusivo o no autorizado de Internet. Dicha comprobación incluye la revisión de registros que muestran los ficheros cargados, los que se han accedido, las páginas web visitadas y los usuarios que han ejecutado tales acciones así como el momento en el que se han producido.

- Cualquier persona que acceda a Internet a través de la red de BCB acepta esta comprobación así como las normas aquí establecidas, asumiendo la imposición de acciones disciplinarias por incumplimiento de las citadas normas.

- Cualquier fichero introducido en la red corporativa o en el terminal del usuario desde Internet, deberá cumplir los requisitos establecidos en estas normas y, en especial, las referidas a propiedad intelectual e industrial y a control de virus.

- Se prohíbe la descarga a través de Internet de software de origen desconocido o de propiedad del usuario en los sistemas de BCB, salvo que exista una autorización previa.

4.8 Adquisición, desarrollo y mantenimiento de sistemas La política de seguridad relativa a la adquisición, desarrollo y mantenimiento de sistemas consta de las siguientes partes:

- Contemplar requisitos de seguridad en las fases de análisis y diseño de sistemas de información.

- Reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas. - Separar los entornos de prueba y producción. - Avisar al administrador de sistemas cuando haya cambios importantes en los

sistemas para el correcto desempeño de las copias de seguridad. - La utilización de datos reales para la realización de pruebas en el entorno de test

debe ser previamente autorizada por el Líder Funcional del área dónde se realizan las pruebas.


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

23/29

Protección de los sistemas operativos y otras utilidades Se prevendrá el acceso no autorizado a los sistemas operativos, así como su actualización para corregir vulnerabilidades detectadas y se proveerán de las medidas técnicas de seguridad oportunas. Estará restringido y controlado el uso de aplicaciones no autorizadas que puedan invalidar las medidas de seguridad implantadas.

4.9 Relaciones con Proveedores El área que contrate un nuevo proveedor con acceso a la información debe considerar los posibles riesgos de seguridad derivados del servicio prestado. Para ello se pondrá en contacto con el Responsable de Seguridad de la Información para analizar e implantar las medidas oportunas.

4.10 Gestión de incidencias Toda incidencia en materia de seguridad deberá comunicarse siguiendo el procedimiento establecido. Dicha notificación será realizada a través de correo electrónico a [email protected]. Una vez recibida el Responsable de Seguridad será el encargado de darle seguimiento, completar las notificaciones establecidas en el procedimiento correspondiente, establecer las acciones para su corrección y comunicar al usuario la resolución o estado de la misma.

4.11 Continuidad del negocio Todos los empleados colaborarán en la oportuna reanudación de todos los procesos críticos para BCB en caso de una contingencia grave, ayudando de estar forma a que se restablezcan la mayoría de los servicios en el mínimo tiempo posible.

4.12 Cumplimiento legal Se evitará cualquier tipo de incumplimiento de las leyes u obligaciones legales, reglamentarias o contractuales y de los requisitos de seguridad que afecten a los sistemas de información de BCB. Queda estrictamente prohibido el uso de programas informáticos sin la correspondiente licencia, así como el uso, reproducción, cesión, transformación o comunicación pública de cualquier tipo de obra o invención protegida por la propiedad intelectual o industrial.

mailto:[email protected]


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

24/29

Apéndice A: Glosario Seguridad de la información Es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. Sistema de aplicaciones El sistema de aplicaciones hace referencia a los sistemas automatizados de usuario y procedimientos que procesan información. El término incluye software, documentación, sistema de controles internos, instrucciones de ejecución y parámetros. Disponibilidad La disponibilidad consiste en asegurarse de que los usuarios autorizados tengan acceso a la información y a los sistemas de apoyo, cuando se requiera. Se trata de la propiedad de que una entidad autorizada, bajo solicitud, pueda tener acceso y utilizar la información. Continuidad La continuidad es el proceso de establecer, por adelantado, las capacidades necesarias para evitar o reducir el impacto de un acontecimiento que provoca la interrupción de las operaciones en una o más unidades comerciales. Confidencialidad La confidencialidad consiste en asegurarse que solamente aquellos que tienen autorización puedan acceder a la información. [ISO/IEC 17799:2000(E)]. La información confidencial no estará disponible ni será divulgada a personas, entidades o procesos sin autorización. Información La información hace referencia a la representación de hechos, que son recopilados para efectuar operaciones comerciales. Utilizada de manera intercambiable con datos, el término incluye, archivos de datos estructurados y no estructurados, archivos de audio o vídeo, mensajes electrónicos o de correo de voz, fax u otro tipo de mensajes, impresos, copias de respaldo o archivadas del original por cualquier medio, etc. Propietario de la información / Sistema El propietario de la información/sistema es la persona que se designa para custodiar la información. El “propietario de la información/sistema” ejerce los derechos de propiedad y/o responsabilidades de custodia de “El Grupo” a fin de salvaguardar y administrar la información. En el caso de aplicaciones compartidas que se ofrecen como “servicios”, el propietario del servicio que es responsable de la prestación del mismo será el “propietario de la información/sistema” designado. Recursos del sistema de información El término incluye información, sistemas de aplicaciones, personas e infraestructura tecnológica para apoyar los objetivos comerciales de “El Banco”. El término incluye todos


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

25/29

los aparatos y equipos adquiridos (comprados, alquilados o prestados), creados y/o contratados. Integridad La integridad hace referencia a garantizar la precisión y totalidad de los métodos de información y de procesamiento. [ISO/IEC 17799:2000(E)]. Usuario operativo La Gerencia asigna al usuario operativo como responsable de la utilización del sistema de aplicaciones que actualiza la información, para ofrecer el servicio a los clientes y/o la administración interna de la información. Infraestructura tecnológica La infraestructura tecnológica es un término que cubre varios componentes de tecnología de la información compartida, documentación vinculada, acuerdos contractuales y factores que facilitan los sistemas de aplicaciones de apoyo y los procesos comerciales. La infraestructura de tecnologías de la información, entre otras cosas, comprende lo siguiente:

- Arquitectura y normas para mejorar la interoperabilidad, implementación, actualización y operación.

- Los componentes tecnológicos como el hardware de las computadoras, software de sistemas de operación, sistemas de administración de bases de datos, programas intermedios, etc.

- Infraestructura de comunicaciones como red de datos o de voz (incluso el acceso a distancia), utilitarios relacionados, protocolos y tecnologías.

- Aplicaciones compartidas y estándar como correo electrónico, correo de voz, provistas como servicio operativo.

- Procesos y servicios operativos, como integración, prestación de servicios, administración de aplicaciones y datos, etc.

- Recursos intangibles como el capital intelectual que diferencia los productos y servicios de “El Banco” y constituye una fuente de ventaja competitiva.

Activación Acto mediante el cual arranca formalmente la ejecución de los planes documentados del proceso de Administración de la Continuidad del Negocio o la Administración de la crisis. Este término es también utilizado para referir al acto de utilizar un servicio como la recuperación de un área de trabajo ofrecida por un proveedor o un tercero. Actividades de Misión Crítica Mission Critical Activities - MCA, Son las actividades operacionales o de soporte (provistas internamente o por terceros) sin las cuales la organización no podría alcanzar sus objetivos (productos y servicios). Activo Bienes de propiedad de una empresa o componente de una actividad o proceso de ésta, que ha sido adquirido por la organización. Hay tres tipos de activos: Físicos (por ejemplo edificios y equipos), financieros (como dinero en efectivo, depósitos en bancos, acciones) y activos intangibles (como el goodwill, la reputación).


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

26/29

Administración de Incidentes Proceso por medio del cual la organización responde a un incidente y lo controla utilizando los procedimientos de respuesta a la emergencia. Administración de la Crisis Crisis Management, Proceso mediante el cual una organización administra el impacto causado por un evento o incidente a la continuidad de las operaciones de la organización, hasta que esté bajo control y deje de afectar la organización. El Plan de Manejo de Crisis se activa como parte del proceso de administración de la crisis. Árbol de llamadas Proceso (sistema) en cascada que capacita a un grupo de personas, roles y/u organizaciones para que sean contactados como parte del procedimiento de activación del plan ante una contingencia. Crisis Ocurrencia de un evento que amenaza las operaciones, el personal, el valor para los accionistas, las partes interesadas, la marca, la reputación, la confianza y la estrategia y objetivos de la organización. Escalamiento Proceso mediante el cual se comunica un evento o incidente hacia el Equipo de Manejo de Incidentes para su administración, control y monitoreo. Incidente de Continuidad del Negocio Cualquier evento que pueda llevar a la interrupción o crisis de un negocio. BCI Business Continuity Institute. Instituto británico que establece lineamientos internacionales acerca de las mejores prácticas de continuidad del negocio y certifica personas en dicha materia. BCM Business Continuity Management. Proceso de administración de la continuidad del negocio a través del sistema de gestión diseñado para tal fin. BCP Business Continuity Plan. Conjunto de procesos y procedimiento que indican las actividades que deben seguir antes, durante y después de una contingencia, los funcionarios de negocio que operan las actividades de misión crítica. BIA Business Impact Analysis. Proceso administrativo por medio del cual la organización analiza todos los impactos cuantitativos (financieros) y cualitativos (no financieros), sus efectos y pérdidas que pueda sufrir la organización provocados por un incidente o evento imprevisto que afecte la continuidad del negocio. Los hallazgos del BIA se utilizan para apoyar la toma de decisiones concernientes a la solución y la estrategia del Programa de Continuidad del Negocio de acuerdo con el análisis costo / beneficio.


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

27/29

BSI British Standards Institution. Institución británica que desarrolla, informa y certifica estándares nacionales e internacionales. DCA Data Center Alterno. Centro de cómputo desde el cual se realiza la recuperación de la operación tecnológica en caso de indisponibilidad del Centro de Cómputo Principal. COC Centro de Operación en Contingencia. Lugar alterno en el cual pueden ser desarrolladas las actividades de misión crítica de la compañía en caso de no tener acceso o disponibilidad de las instalaciones primarias de operación. DRI Disaster Recovery Institute. Instituto Americano que establece lineamientos internacionales acerca de las mejores prácticas de continuidad del negocio y certifica personas en dicha materia. DRP Desaster Recovery Plan. Conjunto de procesos y procedimientos que indican las actividades que deben seguir antes, durante y después de una contingencia, los funcionarios que realizan la recuperación tecnológica en un Centro Alterno de Cómputo. EGC Equipo de Gerencia de Crisis. Equipo encargado de la administración y gestión adecuada de la crisis en caso de una contingencia. Este equipo está conformado por el Equipo de manejo del incidente - EMI (que se encarga de coordinar la operación desde que el incidente se presenta hasta que la organización retorna a su operación normal del día a día) y los equipos de apoyo (los cuales son convocados por EMI de acuerdo con las necesidades logísticas, de soporte y de toma de decisiones requeridas por el incidente). EMI Equipo de Manejo del Incidente. Equipo líder de la gestión de continuidad del negocio en caso de una contingencia. En este equipo se encontrarán las personas que conocen el funcionamiento de la operación en contingencia, que están en capacidad de tomar decisiones soportados en los equipos de apoyo requeridos y que guiarán la operación de toda la estructura de recuperación en cascada en caso de una contingencia. Equipos Funcionales Los equipos funcionales son aquellos encargados de la recuperación operativa de las actividades de misión crítica de la compañía en contingencia. Dentro de la estructura de recuperación en cascada existirán Equipos Funcionales tanto de negocio como de tecnología. Equipos Gerenciales Los equipos gerenciales tienen a su cargo los equipos funcionales y serán los encargados de soportar gerencialmente las operaciones críticas de la compañía a través de la toma de decisiones técnicas de la operación y la coordinación entre sus equipos funcionales y los lineamientos estipulados por el Equipo de Gerencia de Crisis.


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

28/29

Estructura de Recuperación en Cascada Estructura organizacional diseñada específicamente para actuar en caso de contingencia, compuesta por el Equipo de Gerencia de Crisis, los Equipos Gerenciales y los Equipos Funcionales (y coordinada con la operación del Equipo de Respuesta a la emergencia). A través de esta estructura se realiza el escalamiento de las notificaciones del incidente, se difunden las decisiones tomadas para la contingencia y en términos generales se logra la recuperación de la operación crítica de la compañía. MARC Minimum Acceptable Recovery Configuration. Configuración mínima requerida en el Centro de Operación en Contingencia por parte de los equipos funcionales y gerenciales. Como parte de esta configuración se establece el detalle de software, hardware, útiles, conexiones especiales, registros vitales y demás requerimientos mínimos necesarios para la recuperación de las actividades de misión crítica. OL Nivel Mínimo de Operación. Descripción del nivel mínimo de desarrollo del proceso durante una contingencia (porcentaje mínimo de operación de acuerdo con las funcionalidades básicas que deberán estar disponibles en el proceso). PFL Planes fuera de línea. Procesos y procedimientos que indican las actividades manuales a realizar para atender una contingencia sin soporte tecnológico. RA Risk Assesment. Proceso sistemático que identifica la naturaleza y las causas de los riesgos a los que la organización se encuentra expuesta. El análisis de riesgo es el proceso total de identificación, análisis y evaluación de riesgos que afectan la continuidad del negocio. RPO Punto Objetivo de Recuperación. Máxima cantidad de información que es asumible “perder” en caso de contingencia (expresada en medida de tiempo). RTO Tiempo Objetivo de Recuperación. Tiempo que transcurre entre el momento del evento que compromete la disponibilidad del proceso y/o servicio y el momento en que arranca a funcionar en “estado degradado” o “de contingencia”. SGCN Sistema de Gestión de Continuidad del Negocio. Sistema holístico que identifica las amenazas potenciales para la organización y el impacto en las operaciones del negocio que dichas amenazas, si llegaran a materializarse, podrían causar; y que proporciona un marco para aumentar la capacidad de reacción de la organización para dar una respuesta eficaz que salvaguarde los intereses de sus principales grupos de interés (accionistas, clientes, empleados y sociedad ), la reputación, la marca y las actividades de creación de valor fundamentales.


Código: L-SOPCO001

Fecha: 15/06/2016

Versión: 2.5

29/29

NOTA: La gestión de la continuidad del negocio involucra gestionar la recuperación o continuación de las actividades del negocio en el caso de producirse un acontecimiento de interrupción del negocio; y la gestión del programa en general a través de formación, pruebas y revisiones, para procurar que el plan (o los planes) de continuidad del negocio se mantengan vigentes. SLA Service Level Agreement, Son acuerdos de niveles de servicio formales entre el proveedor de un servicio (bien sea interno o externo) y su cliente (bien sea interno o externo) que cubre la naturaleza, calidad, disponibilidad, alcance y respuesta del proveedor del servicio. Los Acuerdos de Niveles de Servicio (SLA) deben cubrir las situaciones del día a día y las situaciones de desastre así como la variación del servicio que se puede presentar durante un desastre.

polÍtica de seguridad de la informaciÓn integral sicn.pdfprivada – información de uso privado...

Documents