Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Plan de Continuidad de Negocio
Sistema de Gestión de Seguridad de la Información Documento propiedad de insttantt Documento vigente en RED. Cualquier versión impresa es una copia no controlada.
Versión: Fecha Revisión: Revisado Por: Aprobado Por:
1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez de 1 12
Documento de Uso Restringido
insttantt
Sistema de Gestión de Seguridad de la Información
Plan de Continuidad de Negocio
insttantt
Versión: Fecha Revisión: Revisado Por: Aprobado Por:
1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez Documento de Uso Restringido
Plan de Continuidad de Negocio
Sistema de Gestión de Seguridad de la Información Documento propiedad de insttantt Documento vigente en RED. Cualquier versión impresa es una copia no controlada.
Versión: Fecha Revisión: Revisado Por: Aprobado Por:
1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez de 2 12
Documento de Uso Restringido
insttantt
Contenido
Introducción 3 .................................................................................
Objetivo 3 ..........................................................................................
Objetivo General 3 .......................................................................................................
Objetivos Específicos 3 .............................................................................................
Alcance 4 ...........................................................................................
Marco Legal 4 ..................................................................................
Estructura del PCN 5 ...................................................................
Identificación y Clasificación del Riesgo 5 .................................................
Roles y Responsabilidades 7 ................................................................................
Actividades del PCN 9 ................................................................
Escenarios y Tiempos de Restauración 11.......................
Plan de Continuidad de Negocio
Sistema de Gestión de Seguridad de la Información Documento propiedad de insttantt Documento vigente en RED. Cualquier versión impresa es una copia no controlada.
Versión: Fecha Revisión: Revisado Por: Aprobado Por:
1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez de 2 12
Documento de Uso Restringido
insttantt
Plan de Continuidad de Negocio
Sistema de Gestión de Seguridad de la Información Documento propiedad de insttantt Documento vigente en RED. Cualquier versión impresa es una copia no controlada.
Versión: Fecha Revisión: Revisado Por: Aprobado Por:
1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez de 3 12
Documento de Uso Restringido
insttantt
Introducción
Con el fin de establecer mecanismos para mitigar los riesgos identificados por el área de operaciones que amenazan la normal prestación del servicio para las soluciones ofrecidas por insttantt, la Dirección de Operaciones de insttantt, ha definido las acciones que se deben seguir en el momento de presentarse una contingencia que afecte los servicios para mantener o restablecer el servicio en el menor tiempo posible, acciones que se encuentran definidas teniendo en cuenta la disponibilidad de recursos físicos y humanos actuales, y relacionadas en el presente documento. A continuación, se p re s e n t a e l d o c u m e n to Plan de Continuidad de Negocio (PCN) el cual hace parte del Sistema de Gestión de Seguridad de la Información de insttantt.
Objetivo
Objetivo General
Recuperar la prestación del servicio de las soluciones ofrecidas por insttantt, ante la presencia de eventos que puedan alterar el normal funcionamiento de los sistemas de información considerados como críticos para la operación en insttantt, restableciendo el servicio en el menor
tiempo posible, a través de la puesta en marcha de procedimientos, actividades y recursos requeridos para afrontar la contingencia.
Objetivos Específicos
• Restablecer la operatividad de las soluciones en el menor tiempo posible dependiendo del evento presentado.
• Mantener operativos los sistemas de información críticos, cuando son interrumpidos o degradados por contingencias que afectan parcial o totalmente los servicios de datos.
• Identificar, evaluar y mitigar los riesgos a los que se encuentra expuesta la tecnología provista para la prestación del servicio.
• Reducir las consecuencias de la posible pérdida de información relacionada con el evento inesperado en un nivel aceptable, al ejecutar procedimientos de respaldo y recuperación apropiados.
• Minimizar la posible afectación de reputación y operativa que se genere por la presencia de una falla técnica o humana en la plataforma tecnológica.
Plan de Continuidad de Negocio
Sistema de Gestión de Seguridad de la Información Documento propiedad de insttantt Documento vigente en RED. Cualquier versión impresa es una copia no controlada.
Versión: Fecha Revisión: Revisado Por: Aprobado Por:
1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez de 4 12
Documento de Uso Restringido
insttantt
Alcance
El Plan de Continuidad de Negocio, cubre a la infraestructura de cloud, software y canales de comunicación que soportan las soluciones críticas de insttantt como son:
• Hub
• PrivacyHub
• BusinessHub
• Insttantt.com
• Cosmos
Los procedimientos, las actividades y los recursos del PCN, están relacionadas con las funciones que competen a cada uno de los participantes asignados para la ejecución del PCN. Los participantes asignados tendrán disposición completa d e t o d o s l o s r e c u r s o s t é c n i c o s , financieros, y humanos necesarios para llevar a cabo el PCN.
Marco Legal
El PCN contempla regulación local para apoyar a las entidades que estén regidas por un marco normativo relacionado a planes de continuidad de negocios. A continuación se presenta el marco legal que contempla el PCN.
Circular Externa 042/2012 expedida por la Superintendencia Financiera de Colombia
Esta circular regula los requerimientos mínimos de seguridad y calidad para la realización de operaciones. En el Artículo 3.2.3. se exige que las entidades vigiladas que contraten bajo la modal idad outsourcing con terceros para la atención parcial o total de los distintos canales, deben cumplir como mínimo, el exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. En este sentido, insttantt ha desarrollado el PCN en cumplimento de esta norma.
Circular Externa 007/2018 expedida por la Superintendencia Financiera de Colombia
Esta circular imparte instrucciones a entidades vigiladas relacionadas con los requerimientos mínimos para la gestión del riesgo de ciberseguridad. Al respecto, el artículo 4.1.6 menciona que se debe C o n s i d e r a r d e n t r o d e l p l a n d e continuidad del negocio la respuesta, re c u p e ra c i ó n , rea n u d a c i ó n d e l a operación en contingencia y restauración ante la materialización de ataques cibernéticos. Por otro lado, el 4.1.7. menciona que se deben Realizar pruebas del plan de continuidad del negocio que simulen la materialización de ataques cibernéticos.
Plan de Continuidad de Negocio
Sistema de Gestión de Seguridad de la Información Documento propiedad de insttantt Documento vigente en RED. Cualquier versión impresa es una copia no controlada.
Versión: Fecha Revisión: Revisado Por: Aprobado Por:
1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez de 5 12
Documento de Uso Restringido
insttantt
Se aclara que los requerimientos de esta circular en materia de política de continuidad no aplican particularmente a insttantt por no ser una entidad Vigilada por la Superintendencia Financiera de Colombia, sin embargo, insttantt dispone l o s r e c u r s o s n e c e s a r i o s p a r a e l cumplimiento de esta normatividad.
Circular Externa 005/2019 expedida por la Superintendencia Financiera de Colombia
Esta circular fija las reglas relativas al uso de servicios de computación en la nube. El artículo 4.1. menciona que los acuerdos o contratos que suscriban las entidades para la prestación de servicios de c o m p u t a c i ó n e n l a n u b e d e b e n comprender una política de continuidad. En este sentido insttantt valida que sus proveedores de infraestructura cloud cuenten con planes y certificaciones de continuidad, así como la implementación de su propio PCN.
Estructura del PCN
Se ha definido una estructura para el PCN que parte de la identificación y clasificación del riesgo, continúa con el i nve n t a r i o d e a c t i vo s y re c u r s o s t e c n o l ó g i c o s q u e i m p a c t a n l a continuidad, define las actividades del
PCN, y finalmente determina y asigna Roles y Responsabilidades para cada una de las actividades necesarias.
Identificación y Clasificación del Riesgo
Identificación del Riesgo de Continuidad
Clasificación del Riesgo
E l s i g u i e n te c u a d r o p r e s e n t a l a clasificación del riesgo según el nivel de impacto y su probabilidad. El número relacionado en el cuadro, está asociado al Risk ID de la tabla previa de identificación del Riesgo de Continuidad.
Risk ID Risk
SEC-001 Business Disruption / Incident
SEC-002 Cibersecurity Breach
SEC-003 Malware Attack
SEC-004 Development Bugs
SEC-005 Failure of Physical facilities
SEC-006 Human Factor Failure
SEC-007 Information Leakage
SEC-008 Lack of Compliance
SEC-009 Unaware Risks
SEC-010 Technical Failures
SEC-011 Unauthorized Access to Networks, Instances and/or Data
Plan de Continuidad de Negocio
Sistema de Gestión de Seguridad de la Información Documento propiedad de insttantt Documento vigente en RED. Cualquier versión impresa es una copia no controlada.
Versión: Fecha Revisión: Revisado Por: Aprobado Por:
1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez de 6 12
Documento de Uso Restringido
insttantt
• Impactos: 1 = Insignificante, 2 = Menor, 3 = Moderado, 4 = Mayor, 5 = Catastrófico
• Bajo: Zona de riesgo baja: Asumir el riesgo.
• Medio : Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo.
• Alto: Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir.
• Extremo: Zona de riesgos extrema: Reducir el riesgo, evitar, compartir o transferir.
Inventario de Software, Hardware, y Sistemas de Información
A continuación presentamos los tipos de activos definidos para el inventario de Software, Hardware, y Sistemas de Información.
• Código Fuente • Documentación • Continues Delivery Pipeline • Servicios SaaS • Application Insights • Service Bus Namespace • Email Service Account • Shared Dashboard • SQL DataBase • SQL Server • Virtual Network • Virtual Machine • Public IP address • Network Security Group • Network Interface • Disk • Storage Account • App Service • App Service Plan • CDN Profile • Endpoint • Event Hubs Namespace • App Service (Slot) • Key Vault • Azure DevOps Organization • Connection • Local Network Gateway • Virtual Network Gateway • Resource Group • Subscription • Office 365 Account
La base de datos del inventario se encuentra disponible con acceso restringido en la Red, y los accesos están definidos en el Sistema de Seguridad de la información.
Impacto
5 4 3 2 1
Muy probable
(5)
Probable (4) 005
Moderado (3)
002 003
004 009 006
Poco probable
(2)001
010 011 008
Rara vez (1) 007
Plan de Continuidad de Negocio
Sistema de Gestión de Seguridad de la Información Documento propiedad de insttantt Documento vigente en RED. Cualquier versión impresa es una copia no controlada.
Versión: Fecha Revisión: Revisado Por: Aprobado Por:
1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez de 7 12
Documento de Uso Restringido
insttantt
Roles y Responsabilidades
A continuación se presentan los comités, roles y responsabilidades establecidos para el PCN de insttantt.
Comité de PCN
Es el encargado de revisar y actualizar, el PCN, así como facilitar su ejecución en el momento requerido. Los siguientes son los integrantes del Comité PCN:
• CEO (Para eventos de impacto 4 y 5)
• Rol de Líder de Cuenta asignados en el área de operaciones.
• Rol de Servicio en el área de operaciones
• Rol de Seguridad en el área de operaciones
• Rol de Cumplimiento en el área de operaciones
Coordinador del PCN
El Coordinador del PCN es el canal de comunicación entre el Equipo Ejecutor del PCN y el Comité del PCN a través del cual se transmitirán las decisiones tomadas en torno a las acciones del PCN, los niveles de ejecución del PCN y el estado de los recursos que cubre el PCN.
Es el que autoriza la puesta en marcha del PCN cuando lo considere necesario, de acuerdo con el reporte dado por el grupo de desarrollo del Plan.
El Coordinador del PCN es el rol de implementaciones o quien haga sus veces y en su ausencia la persona que delegue, integrante de esa área y perteneciente al equipo de Operaciones, dado el tipo de labores especificas a desarrollar dentro del plan, labores que son compatibles con las tareas cotidianas a cargo del equipo.
Responsabilidades:
• Proponer políticas y acciones al PCN
• Mantener actualizado el PCN.
• Autorizar la ejecución del PCN
• Elaborar los informes referidos al PCN.
• Proponer reuniones para revisión del PCN.
• Encargado de monitorear y asegurar el estricto cumplimiento del PCN y del mantenimiento de los canales de comunicación entre los diferentes grupos de trabajo.
• Establecer el equipo ejecutor del PCN
Plan de Continuidad de Negocio
Sistema de Gestión de Seguridad de la Información Documento propiedad de insttantt Documento vigente en RED. Cualquier versión impresa es una copia no controlada.
Versión: Fecha Revisión: Revisado Por: Aprobado Por:
1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez de 8 12
Documento de Uso Restringido
insttantt
Equipo Ejecutor del PCN.
Está conformado por colaboradores responsables de la ejecución de las tareas definidas dentro del PCN:
• Administradores de Activos de información críticos, infraestructura y DBA.
• El equipo de Servicio.
• Arquitecto de Soluciones.
• Dos usuarios de los sistemas de información críticos o personal del área de SQA que apoyen las pruebas de funcionamiento para avalar la puesta en marcha del sistema.
Las funciones del equipo ejecutor son:
• Ejecutar en tiempo y forma, cada una de las actividades planeadas.
• Documentar y formalizar el PCN.
• O rd e n a r l a d o c u m e n t a c i ó n inherente y los papeles de trabajo de la contingencia.
• Diseñar planes de entrenamiento para los funcionarios de Insttantt, para que se involucren en las tareas del Plan.
• Realizar las pruebas necesarias al Plan de Continuidad de Negocios de TI, antes y después de una contingencia.
Plan de Continuidad de Negocio
Sistema de Gestión de Seguridad de la Información Documento propiedad de insttantt Documento vigente en RED. Cualquier versión impresa es una copia no controlada.
Versión: Fecha Revisión: Revisado Por: Aprobado Por:
1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez de 9 12
Documento de Uso Restringido
insttantt
Actividades del PCN
A continuación se presentan las actividades a realizar en casos de afectación de la continuidad del servicio:
Actividades de la Contingencia
Recibe Actividad Canal / Herramienta Actividades Líder Actividad
1
• Mesa de Servicio
• Funcionario Interno
• Sistema de Monitoreo Automático
• Zendesk [email protected] y creación del Ticket de soporte
• 3CX - Extensión de Servicio al Cliente
• Contacto Directo al funcionario por cualquier canal
• Alertas de Servicio
• Mesa de servicio: Recibe notificación y procede dentro de los 10 minutos siguientes a: i) notificar al cliente que estamos trabajando en la resolución; ii) replicar indisponibilidad del servicio parcial o total; y iii) Reporte a soporte Nivel II.
• Funcionario interno: Crea un Ticket de soporte y procede a comunicarse directamente con el área de servicio para validar que recibieron el Ticket y realice actividad de validación.
• Sistema de monitoreo: Crea un Ticket de soporte de forma automática en la herramienta Zendesk.
Clemencia Sierra Líder de Servicio
+573147438828 clemencia.sierra@instta
ntt.com
2 Soporte nivel II
• 3CX - Extensión Soporte Nivel II
• Microsoft Azure DevOps
• Visual Studio
• Zendesk
• Replicar indisponibilidad del servicio.
• Diagnosticar situación.
• Validar y ejecutar acción que solucione el fallo.
• Notificar restablecimiento del servicio a la mesa de servicio.
Javier Ramirez Coordinador de PCN
+573105666408 javier.ramirez@insttantt.
com
Plan de Continuidad de Negocio
Sistema de Gestión de Seguridad de la Información Documento propiedad de insttantt Documento vigente en RED. Cualquier versión impresa es una copia no controlada.
Versión: Fecha Revisión: Revisado Por: Aprobado Por:
1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez de 10
Documento de Uso Restringido
insttantt
3 Soporte nivel II
• 3CX - Extensión Dirección de Operaciones
• Llamada directa al coordinador de operaciones.
• Correo a [email protected]
• En caso de que el servicio no haya sido restablecido en 10 min se debe comunicar a la Dirección de Operaciones.
Javier Ramirez Coordinador de PCN
+573105666408 javier.ramirez@insttantt.
com
4Coordinador de Operaciones
• Microsoft Teams - Develop Channel
• Visual Studio.
• Azure, Google Cloud, AWS, SQL, MongoDB
• Revisión de Logs en MongoDB, SQL, Application Insigth y Web Apps. Contactar al comité del plan de contingencias.
• En caso que el servicio no se haya restablecido en 60 minutos se debe aprobar la activación y ejecución del Plan de Continuidad de Negocio.
Javier Ramirez Coordinador de PCN
+573105666408 javier.ramirez@insttantt.
com
Itamar Aguirre Líder Infraestructura
+573176492606 Itamar.aguirre@insttantt
.com
5Coordinador de PCN
• Microsoft Teams - Develop Channel
• Visual Studio.
• Azure, Google Cloud, AWS, SQL, MongoDB
• Correo electrónico.
• Establecer Equipo Ejecutor del PCN
• Informar la activación del PCN a: i) Comité del PCN; ii) Equipo Ejecutor del PCN; iii) Proveedores en caso de que corresponda a un proveedor de insttantt; y iv) clientes afectados.
• Revisión de ANS establecidos con clientes afectados para monitoreo de los tiempos.
Javier Ramirez Coordinador de PCN
+573105666408 javier.ramirez@insttantt.
com
6Equipo Ejecutor del PCN
• Microsoft Azure o Google Cloud Platform (GCP). Telemetría de Azure, Desarrollo Front (Browser), Postman, SOAP UI.
• Desplegar infraestructura de contingencia, activación de servicios alternos, roll-back de publicaciones, y confirmar tiempo de solución.
• Informar al Coordinador del PCN una vez este el servicio restablecido.
Javier Ramirez Coordinador de PCN
+573105666408 javier.ramirez@insttantt.
com
Itamar Aguirre Líder Infraestructura
+573176492606 Itamar.aguirre@insttantt
.com
Actividades de la Contingencia
Recibe Actividad Canal / Herramienta Actividades Líder Actividad
Plan de Continuidad de Negocio
Sistema de Gestión de Seguridad de la Información Documento propiedad de insttantt Documento vigente en RED. Cualquier versión impresa es una copia no controlada.
Versión: Fecha Revisión: Revisado Por: Aprobado Por:
1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez de 11 12
Documento de Uso Restringido
insttantt
Escenarios y Tiempos de Restauración
A continuación se presentan los escenarios y los tiempos de restauración definidos para el PCN, así como el Recovery Time Objective - RTO (Objetivo del tiempo de recuperación) y el Recovery Point Objective - RPO (Objetivo del Punto de Recuperación):
7Coordinador de PCN
• Microsoft Teams - Develop Channel
• Correo electrónico
• 3CX - Mesa de Servicio
• Verificar disponibilidad y normalidad de los servicios y notificar a: i) Comité del PCN; ii) Equipo Ejecutor del PCN; iii) Proveedores en caso de que corresponda a un proveedor de insttantt; y iv) clientes afectados.
Javier Ramirez Coordinador de PCN
+573105666408 javier.ramirez@insttantt.
com
8Coordinador de PCN
Comité plan de contingencia.
Evaluar la ejecución del Plan de Continuidad de Negocio y generar informe de cierre e incidencias.
Javier Ramirez Coordinador de PCN
+573105666408 javier.ramirez@insttantt.
com
Actividades de la Contingencia
Recibe Actividad Canal / Herramienta Actividades Líder Actividad
RTO1 hora
Desde el momento de declaración de la contingencia
RPO 24 horas Desde el ultimo corte de backup
Plan de Continuidad de Negocio
Sistema de Gestión de Seguridad de la Información Documento propiedad de insttantt Documento vigente en RED. Cualquier versión impresa es una copia no controlada.
Versión: Fecha Revisión: Revisado Por: Aprobado Por:
1.1 24-Jul-2021 Andrés Ramírez Andrés Ramírez de 12 12
Documento de Uso Restringido
insttantt
Escenarios y Tiempos de Restauración
Tipo Incidencia Incidencia ActividadesTiempo Máximo
(Minutos)
1Afectación en la instancia o máquina Denegación de servicios Reinicio del servicio
10 minutos Para restaurar servidor
2Afectación en la instancia o máquina
Por daños o afectaciones de la infraestructura en la nube
Reparación de la infrastructura en la nube
30 minutos Para restaurar infraestructura
3Afectación en la instancia o máquina
Desbordamiento de memoria del servidor Reinicio del servicio
10 minutos Para restaurar servidor
4Commit No Verificado
Código erróneo en el commit
Corrección del código erróneo o rollback a la versión anterior del código y publicar de nuevo
45 minutos Para identificar error de código y su corrección
5Afectación de Conexión con Tercero
Falla de comunicación con el servidor del tercero
Comunicar al tercero para que levante el servicio
60 minutos o según los niveles de
servicio establecido para el proveedor
6Afectación de Conexión con Tercero
Vencimiento de certificados para conexión
Enviar el nuevo certificado al provedor para que sea cambiado
60 minutos o según los niveles de
servicio establecido para el proveedor
7Afectación de Conexión con Tercero
Vencimiento de credenciales de conexión
Solicitar al provedor para que renueve las credenciales
60 minutos o según los niveles de
servicio establecido para el proveedor
8Afectación Base de Datos
Se llena la capacidad de la base de datos
Ampliar la capacidad de la base de datos
15 minutos Para aprovisionar la
infraestructura
9Afectación Base de Datos Por daños en los datos
Restauración del último Backup de base de datos
20 minutos Para restauración del
Backup
10Afectación Base de Datos
Se cae el servidor de base de datos
Reiniciar el servidor de base de datos
10 minutos Para restaurar servidor
11Afectación Base de Datos
Por daños o afectaciones de la infraestructura en la nube
Reparación de la infrastructura en la nube
30 minutos Para restaurar infraestructura