Peña Castro, Luz Andrea PDF
Preview Peña Castro, Luz Andrea
Documento de Tesis para la Elaboración de la Guía Metodológica para Elaborar un BCP en Entidades del Estado Luz Andrea Peña Castro Escuela Colombiana de Ingeniería Julio Garavito Nota del autor Luz Andrea Peña Castro, Facultad de Ingeniería de Sistemas, Escuela Colombiana de Ingeniería Julio Garavito La información concerniente a este documento deberá ser enviada a Facultad de Ingeniería de Sistemas, Escuela Colombiana de Ingeniería Julio Garavito, Avenida carrera 45 205-59 Autopista Norte. E-mail: [email protected] iii Guía para Elaborar un BCP en Entidades del Estado Nota de Aceptación _________________________________ _________________________________ _________________________________ _________________________________ _________________________________ _________________________________ Firma del Presidente del Jurado ________________________________ Firma del Jurado ________________________________ Firma del Jurado iv Guía para Elaborar un BCP en Entidades del Estado Dedicatoria Este trabajo está dedicado a Dios por darme la fuerza y el valor para cumplir mis sueños y a mi jefe Álvaro Márquez, por ver en mí competencias y aptitudes que con su apoyo he venido desarrollando y mejorando cada vez más, lo que me ha permitido mejorar como profesional y de esta forma aportar a la sociedad. v Guía para Elaborar un BCP en Entidades del Estado Agradecimientos Al fondo de Talento Digital del Mintic por el apoyo financiero para realizar mi Maestría en Gestión de Información. Al Ingeniero Jorge Bejarano, Director de Estándares y Arquitectura del Mintic por su apoyo en la asignación del proyecto y a todo su equipo de la Subdirección de Seguridad y Privacidad de TI, por sus aportes, lineamientos, comentarios y tiempo dedicado a la lectura de las diferentes versiones del proyecto. A la ingeniera Victoria Eugenia Ospina, Directora de la Maestría en Gestión de Información, por su apoyo y colaboración en el desarrollo de este proyecto. A mi esposo Félix Uriza y a mis dos hijas Sarah e Isabella, por su apoyo incondicional y su comprensión. ____________________ Luz Andrea Peña Castro vi Guía para Elaborar un BCP en Entidades del Estado Abstract The purpose of this document is to describe a methodology to create the business continuity plan for the information technologies in the state entities; updating and complementing the "Guía para la preparación de las TIC para la continuidad de Negocio", which is part of Security Model and the Information Privacy emitted by the Information Technology and Communications Ministry (MINTIC), in the version 3.0 of march 2015; taking as base of reference the framework for Security of MINTIC, Cobit 5.0 and it process DSS04 Continuity Management, and ISO 22301 and ISO 27001: 2013. vii Guía para Elaborar un BCP en Entidades del Estado TABLA DE CONTENIDO Pág INTRODUCCION .......................................................................................................................... 1 1. PLANTEAMIENTO DEL PROBLEMA ............................................................................ 5 1.1. ANTECEDENTES............................................................................................................... 5 2. OBJETIVO GENERAL ....................................................................................................... 9 2.1. OBJETIVOS ESPECÍFICOS............................................................................................... 9 3. JUSTIFICACION .............................................................................................................. 10 4. MARCO TEORICO........................................................................................................... 18 4.1. PLAN DE CONTINUIDAD DE NEGOCIO (BCP) ......................................................... 18 4.1.1. Beneficios y Cómo Se Relaciona Con La Competitividad En Las Organizaciones ...... 21 4.1.2. Reglamentación Orientada a La Implementación de BCP En El Mundo ..................... 22 4.2. PLANES DE LA GESTION DE LA CONTINUIDAD .................................................... 32 4.2.1. Continuidad de Negocio ................................................................................................. 32 4.2.2. Gestión de la Continuidad de Negocio........................................................................... 32 4.2.3. Sistema de Gestión de Continuidad de Negocio (BCMS) ............................................. 33 4.2.4. Plan de Continuidad de Negocio .................................................................................... 33 4.2.5. Programa de Continuidad de Negocio ........................................................................... 35 4.2.6. Plan de Recuperación de Desastres – DRP (Disaster Recovery Planning)................... 35 4.2.7. COOP Plan de Continuidad de Operaciones.................................................................. 36 4.2.8. BRP Plan de Recuperación de Negocio ......................................................................... 37 4.2.9. Plan de Soporte de Continuidad ..................................................................................... 37 4.3. GESTION PÚBLICA COLOMBIANA ............................................................................ 37 4.3.1. Estructura y Organización de la Administración Pública ............................................. 37 4.3.2. Políticas de Desarrollo Administrativo ........................................................................ 38 4.3.3. Organización de la Administración Municipal .............................................................. 40 4.3.4. Nomenclatura, Clasificación y Requisitos para el Ejercicio de Empleos Municipales . 41 4.4. MARCO LEGAL ............................................................................................................... 42 4.4.1. LEY 872 DE 2003 (Sistema de Gestión de Calidad) .................................................... 42 4.4.2. LEY 87 DE 1993 (Control Interno en las Entidades) .................................................... 43 4.4.3. Ley 594 de 2000 (gestión documental) .......................................................................... 45 4.4.4. LEY 489 DE 1998 (Responsabilidad y Autoridad) ....................................................... 46 4.4.5. DECRETO 2170 DE 2002 (Adquisición de Bienes) ..................................................... 47 4.4.6. Circular 041 de 2007 SARO (Administración del Riesgo Operativo)........................... 49 4.4.7. Circular 042 de 2012 (Requerimientos de Seguridad y Calidad)................................... 50 4.4.8. Decreto 1151 de 2008 (Estrategia de Gobierno en Línea) ............................................ 51 viii Guía para Elaborar un BCP en Entidades del Estado 4.4.9. Decreto 2482 de 2012 (Integración de la Planeación y la Gestión) .............................. 51 4.4.10. Ley 1523 (Gestión del Riesgo de Desastres ) ............................................................. 52 4.5. METODOLOGIAS Y ESTÁNDARES PARA ELABORAR UN BCP ........................... 54 4.5.1. BS 25999 ........................................................................................................................ 54 4.5.2. Modelo de Seguridad de la Información GEL 2.0 ......................................................... 62 4.5.3. Continuidad de las Operaciones, Gobierno y Desarrollo ............................................... 63 4.5.4. NISP SP-800-34 ............................................................................................................. 64 4.5.5. ISO / IEC 27031:2011.................................................................................................... 65 4.5.6. COBIT 5.0 ...................................................................................................................... 66 4.5.7. ISO 22301 ...................................................................................................................... 66 4.5.8. ISO 10000:2009 ............................................................................................................. 69 4.5.9. Estándar ISO/IEC 15504 ................................................................................................ 73 4.5.10. ISO/IEC 27035:2012 Gestión de Incidentes de Seguridad de la Información .......... 78 5. DISEÑO METODOLOGICO............................................................................................ 79 5.1. TIPO DE INVESTIGACION ............................................................................................ 79 5.2. METODOS Y TECNICAS DE INVESTIGACION ......................................................... 79 5.2.1. Fase Lógica .................................................................................................................... 79 5.2.2. Fase Metodológica ......................................................................................................... 80 5.2.3. Fase Técnica ................................................................................................................... 80 5.2.4. Fase de Contrastación..................................................................................................... 80 5.3. METODOLOGIA PARA LA ELABORACIÓN DE UN BCP......................................... 81 5.3.1. Diagnóstico GAP............................................................................................................ 83 5.3.2. Planificación del Plan de Continuidad de Negocio ........................................................ 89 5.3.3. Implementación del Plan de Continuidad de Negocio ................................................... 91 5.3.4. Gestión de las TIC para la Continuidad de Negocio ...................................................... 94 5.3.5. Mejora Continua............................................................................................................. 97 6. DESARROLLO DE LA GUIA DE PLANEACION E IMPLEMENTACIÓN ................ 99 6.1. ANALISIS DE IMPACTO DE NEGOCIO BIA ............................................................... 99 6.2. DESARROLLO DE ESTRATEGIAS DE CONTINUIDAD DE NEGOCIO ................ 109 7. CONCLUSIONES Y RECOMENDACIONES .............................................................. 126 7.1. CONCLUSIONES ........................................................................................................... 126 7.2. RECOMENDACIONES .................................................................................................. 129 8. LISTA DE REFERENCIAS ............................................................................................ 130 9. ANEXOS ......................................................................................................................... 135 ix Guía para Elaborar un BCP en Entidades del Estado LISTA DE FIGURAS Ilustración 1.Estructura de Alto Nivel ISO 22301 ........................................................................ 69 Ilustración 3 Marco de Seguridad y Privacidad de la Información .............................................. 83 Ilustración 4 Proceso de Análisis de Impacto BIA ..................................................................... 100 Ilustración 5 Tiempos de Continuidad ........................................................................................ 104 Ilustración 6 Entradas y salidas del Análisis de Impacto de Negocio BIA ................................ 106 Ilustración 7 Proceso para la definición de estrategias ............................................................... 109 Ilustración 8 Relación Riesgos, Impacto y Efectos .................................................................... 110 Ilustración 9 Estrategias de mitigación de riesgos ...................................................................... 111 x Guía para Elaborar un BCP en Entidades del Estado LISTA DE TABLAS Tabla 1 Servicios en línea según tipo de actividad ....................................................................... 12 Tabla 2 Clasificación de los procesos........................................................................................... 70 Tabla 3 Niveles de madurez.......................................................................................................... 74 Tabla 4 Niveles de capacidad y atributos del proceso ................................................................. 75 Tabla 5 Rangos de evaluación de capacidad................................................................................. 84 Tabla 6 Niveles de capacidad........................................................................................................ 85 Tabla 7 Niveles de Madurez ......................................................................................................... 86 Tabla 8 Estrategias de continuidad ............................................................................................. 114 Tabla 9 Estrategias de Continuidad con Proveedores ................................................................ 124
Description:The list of books you might like
