Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

política de seguridad en la continuidad de las operaciones - e

Anuncio 
POLÍTICA DE SEGURIDAD
EN LA CONTINUIDAD DE LAS
OPERACIONES
P-17
2011
NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN
Este documento es de propiedad exclusiva de MINSAL y su uso debe estar ceñido a lo dispuesto
en la clasificación del mismo, quedando prohibida la divulgación y/o reproducción total o
parcial del contenido de éste sin la debida autorización por parte del Comité de Seguridad de
la Información. Su uso y distribución solo está autorizado al interior de MINSAL y por parte del
personal debidamente habilitado.
2
3
DECLARACIÓN CORPORATIVA
Se debe velar por el cumplimiento de las políticas de seguridad de la información establecidas para
todos los procesos normales y de excepción en la ejecución de las Operaciones Computacionales,
permitiendo así su continuidad de servicio.
ÁMBITO
• Seguridad en las Operaciones computacionales
• Continuidad del Negocio
• Respuesta ante Incidentes
ROLES Y RESPONSABILIDADES
• Representante del Comité de Seguridad de la Información
o Identificar las contingencias que podrían entorpecer las operaciones.
o Identificar los recursos de la organización que se necesitan para cada tipo predefinido de
contingencia.
o Identificar y clasificar la importancia de funciones esenciales para el servicio continuo.
o Definir límites de tiempo para la recuperación de cada elemento crítico de operaciones.
o Definir, documentar y probar medidas de prevención con cada elemento crítico.
o Definir, documentar y probar medidas de recuperación de catástrofes para cada elemento
crítico.
o Mantener planes de continuidad operacional actualizados de acuerdo a los cambios que
se produzcan en el tiempo.
REGLAS DE LA POLÍTICA
1. Monitoreo y Detección de Anormalidades
1.1.Todos los sistemas de producción críticos deben ser equipados con sistemas de detección de
anormalidades que avisen al operador de turno cuando ocurra este tipo de eventos.
1.2.Se debe establecer un conjunto formal de parámetros de sistema a monitorear para cada
tipo de plataforma, a fin de detectar situaciones anómalas.
4
2. Revisión de registros de auditoria (LOGs)
2.1.Todos los sistemas críticos deben configurarse para registrar los eventos de auditoria (logs) de
las operaciones de administración y mantención; así como de las condiciones de excepción.
2.2.Los logs generados deben ser acumulados en forma segura en un sistema independiente y
por un tiempo definido.
2.3.Se deben programar revisiones periódicas de los logs en busca de condiciones anómalas y
como verificación de los procedimientos establecidos de operaciones.
3. Personal de Respaldo
3.1.Para los sistemas críticos debe existir la definición de personal de respaldo, para el caso que
el encargado no esté disponible. En caso de algún impedimento para cumplir esta regla, es
requisito contar con todos los procedimientos al detalle para la operación de dichos sistemas.
4. Definición de Procedimientos Operacionales
4.1.Se deben establecer buenas prácticas de seguridad para las actividades más comunes que
involucren sistemas menos críticos.
4.2.Todas las actividades de operación y mantención de los sistemas críticos deben estar
expresamente definidas por procedimientos.
4.3.Los procedimientos debieran incluir, como mínimo:
• Procesamiento y manejo de la información.
• Programación de requerimientos previos o controles de secuencia de programas.
• Instrucciones para el manejo de condiciones de excepción.
• Contactos de soporte adicional.
• Instrucciones para el manejo de resultados especiales.
• Instrucciones de reinicio y recuperación en caso de falla del sistema.
5. Protección de Procedimientos Operacionales
5.1.Para los procedimientos y formularios de control de operaciones de los sistemas críticos, se
debe velar por su mantención actualizada en el tiempo y se deben proteger del acceso de
usuarios no autorizados.
5.2.Identificar y clasificar la importancia de funciones esenciales para el servicio continuo.
5
5.3.Definir límites de tiempo para la recuperación de cada elemento crítico de operaciones.
5.4.Definir, documentar y probar medidas de prevención con cada elemento crítico.
5.5.Definir, documentar y probar medidas de recuperación de catástrofes para cada elemento
crítico.
5.6.Mantener planes de continuidad operacional actualizados de acuerdo a los cambios que se
produzcan en el tiempo.
6. Centralización de la información de contactos
6.1.Debe crearse una base de datos de contactos
6.2.Debe existir un rol de custodio de dicha información, quien será responsable de su mantención,
garantizando su integridad, accesibilidad y actualización.
7. Definición de un Plan Continuidad Operacional
7.1.Se debe establecer cuáles son los procesos críticos, cuáles son los riesgos de tener esos
procesos no-operativos y cuáles son los mecanismos de prevención y los procedimientos de
recuperación.
7.2.Dentro de lo anterior, se deben definir los recursos necesarios, esto es: personal interno y
externo, comunicaciones, hardware, software, infraestructura física y documentación.
7.3.Dentro de la infraestructura física es importante determinar si se requerirá un site de respaldo
y qué tipo de equipamiento debe tener.
7.4.Para los procedimientos de recuperación, se debe establecer un plan de pruebas periódicas,
de modo de entrenar al personal involucrado y para evaluar al procedimiento mismo.
7.5.Debe existir un equipo de Planificación de Continuidad Operacional que realice la tarea de
análisis y programación.
8. Conformación del Equipo Plan de Continuidad Operacional
8.1.El equipo debe incluir representantes de variados sectores de la organización que permitan
un manejo consensuado y ejecutivo del problema.
6
8.2.Quien lidere este grupo, debe reportar directamente al Comité de Seguridad de la Información.
9. Respuesta a Incidentes
9.1.Se debe considerar una política de Respuesta ante Incidentes, así como procedimientos
específicos para eventos críticos.
9.2.Se deben definir los tipos de incidentes esperables y equipos de trabajo para respuesta a
incidentes categorizados según dichos tipos.
9.3.Todo incidente debe ser debidamente notificado, documentado y revisado luego de su
superación.
10. Separación de Áreas y Funciones
10.1.Las instalaciones, funciones y personal del Departamento de Tecnologías de Información
deben mantenerse en forma independiente y en áreas separadas.
10.2.La responsabilidad de ejecución y control de procesos críticos no debiera recaer en una sola
persona, atendiendo al principio de segregación de funciones.
7
CONTROL DE VERSIONES
VERSIÓN
1.0
FECHA PUBLICACIÓN
Octubre 2011
AUTOR
Encargado de Seguridad – SRA/SSP
MINSAL
REVISOR
Comité de Seguridad
MINSAL
CLASIFICACIÓN
Uso Interno
Documentos relacionados
Observación incidentes críticos
Observación incidentes críticos
Datasheet Continuidad de Servicio
Datasheet Continuidad de Servicio
el arte y la ciencia del combate competitivo
el arte y la ciencia del combate competitivo
Factores críticos de desarrollo de comunidades locales y regionales
Factores críticos de desarrollo de comunidades locales y regionales
Descargar
Anuncio
Anuncio