INFORME

Estándar de resiliencia tecnológica para toda la ciudad

Propósito y alcance

El Estándar de resiliencia tecnológica para toda la ciudad es necesario para el cumplimiento de la Política de preparación, respuesta, recuperación y resiliencia ante desastres (DPR3) de la ciudad. La Política DPR3 para toda la ciudad requiere que el Director de información de la ciudad (CCIO) y el Director de seguridad de la información de la ciudad (CCISO) desarrollen estándares de resiliencia tecnológica alcanzables que aseguren la prestación de servicios públicos durante y después de un desastre.

Los requisitos identificados en este documento se aplican a todas las plataformas y servicios tecnológicos operados por o para la ciudad. Todos los departamentos, comisiones, funcionarios electos, empleados, contratistas, socios, licitadores y proveedores que trabajan en nombre de la ciudad deben cumplir con esta política.

El liderazgo de TI del departamento, los equipos operativos y tecnológicos, los profesionales de gestión de emergencias y desastres y los enlaces son responsables de implementar los siguientes requisitos.

Requisitos estándar

Los departamentos de la ciudad deben adoptar los siguientes requisitos mínimos de resiliencia. Los departamentos deben desarrollar requisitos de resiliencia tecnológica equivalentes o superiores a estos requisitos de toda la ciudad.

Sistemas urbanos que requieren planificación de resiliencia

La norma de resiliencia se aplica a los siguientes tipos de tecnología:

  • Infraestructura de TI local: sistemas de software, bases de datos e infraestructura de hardware implementados y alojados dentro de una instalación de la ciudad. El personal del departamento administra y mantiene las plataformas y la infraestructura de TI del departamento. Solo el personal autorizado dentro del departamento puede acceder al software y a los datos cuyo acceso al sistema es local en la red de área local del departamento.
  • Infraestructura de TI en nube híbrida: la nube híbrida se refiere a un entorno mixto de computación, almacenamiento y servicio de software que comprende una infraestructura local, un servicio de nube privada o una nube pública. Una nube híbrida es una combinación de nubes públicas y privadas, que generalmente organizan una única solución de TI entre ambas.
  • Infraestructura de TI en la nube (es decir, Infraestructura como servicio (IaaS), Plataforma como servicio (PaaS) y Software como servicio (SaaS): la computación en la nube ofrece infraestructura de TI y servicios de aplicaciones comerciales a través de Internet. Estos recursos incluyen almacenamiento de datos, servidores, bases de datos, redes y software.
  • Infraestructura tecnológica: los componentes de la infraestructura tecnológica están formados por elementos interdependientes, como componentes de red, servidores, sistemas operativos y dispositivos.
  • Tecnología operativa (OT): hardware o software que detecta o provoca un cambio a través del control y monitoreo directo de equipos, activos, procesos y eventos industriales. La OT es común en los sistemas de control industrial (ICS), como un sistema de control de supervisión y adquisición de datos (SCADA) o un sistema de administración de edificios.

Análisis y priorización del sistema

Todos los sistemas tecnológicos de una empresa deben estar inventariados, con información que describa el propósito de la empresa, la base de usuarios, los datos almacenados o procesados y cualquier requisito reglamentario documentado.

Los departamentos realizarán un análisis de impacto empresarial (BIA) para cada sistema de TI inventariado para comprender el impacto de un desastre o interrupción en las operaciones comerciales, las dependencias para la recuperación y los objetivos de recuperación. Los BIA completados son un componente del plan de continuidad de operaciones de TI (COOP) o los planes de recuperación ante desastres (DRP) de un departamento.

  • La BIA establecerá el Objetivo de Tiempo de Recuperación (RTO) y el Objetivo de Punto de Recuperación (RPO) de cada sistema.
    • El RTO es el tiempo de inactividad máximo tolerable para que un sistema se recupere y vuelva a funcionar normalmente después de un incidente. Por ejemplo, si una aplicación de seguridad pública crítica debe recuperarse y estar disponible dentro de los 30 minutos antes de que se produzca un impacto significativo en la seguridad pública, el Departamento establece un RTO de 30 minutos para ese sistema empresarial tecnológico en la BIA.
    • El RPO es la cantidad máxima tolerable de pérdida de datos antes de que se produzca un impacto inaceptable. Por ejemplo, si no se toleran más de 15 minutos de pérdida de datos transaccionales para una aplicación crítica de salud pública, el Departamento establece un RPO de 15 minutos para ese sistema empresarial tecnológico en la BIA.
  • La BIA categorizará cada sistema desde el Nivel 1 hasta el Nivel 4.
    • Nivel 1: el departamento no puede funcionar sin este servicio o tecnología, ni siquiera por un corto período de tiempo. El impacto en las operaciones y la posible pérdida de datos es significativamente alto, por ejemplo, interrupción de los sistemas de seguridad pública, líneas vitales administradas por la ciudad, infraestructura de radio, redes de la ciudad y del departamento, y tecnología y aplicaciones empresariales. Los sistemas de nivel 1 requieren un RTO de 0 a 4 horas y un RPO de menos de 15 minutos.
    • Nivel 2: el departamento puede funcionar sin este servicio o tecnología durante un breve período de tiempo. El impacto en el negocio y la posible pérdida de datos son altos. Los sistemas de nivel 2 requieren un RTO de entre 4 y 24 horas y un RPO de menos de 1 hora.
    • Nivel 3: el departamento puede evitar la pérdida de este servicio o tecnología durante un período más prolongado. Finalmente, es necesario restablecer el servicio o la tecnología para que vuelvan a funcionar con normalidad a fin de evitar un impacto financiero, operativo, legal o regulatorio para los clientes. Los sistemas de nivel 3 requieren un RTO y un RPO inferiores a 14 días.
    • Nivel 4: el departamento puede funcionar sin este servicio o producto durante un período prolongado, durante el cual el servicio o la tecnología se respaldarán mediante métodos alternativos o de respaldo. Los sistemas de nivel 4 requieren un RTO y un RPO inferiores a 30 días.
  • El jefe del departamento y el director de CIO/TI aprobarán el BIA.

Roles y responsabilidades

La Política DPR3 de toda la ciudad establece los roles y responsabilidades de los equipos operativos y tecnológicos y de los profesionales de gestión de emergencias y desastres.

  • Los equipos operativos y tecnológicos del Departamento deberán: 
    • Construir e implementar la Resiliencia siguiendo los requisitos definidos en esta norma
    • Coordinar con los profesionales de gestión de emergencias/desastres del departamento para garantizar que los COOP/DRP de TI estén actualizados y completen las pruebas de resiliencia en un cronograma regular específico. 
  • Los profesionales del Departamento de Gestión de Emergencias y Desastres deberán: 
    • Apoyar la implementación y el cumplimiento de los requisitos de resiliencia de toda la ciudad por parte de un departamento trabajando con equipos de tecnología y liderazgo.
    • Coordinar con el liderazgo del departamento y los equipos operativos o tecnológicos necesarios para actualizar y mantener los COOP/DRP de TI.
    • Facilitar las pruebas de resiliencia tecnológica mediante la coordinación con los equipos tecnológicos y operativos según un cronograma regular. 
  • Departamento de Tecnología, Oficina de Ciberseguridad: El equipo de Riesgo Tecnológico y Resiliencia deberá: 
    • Proporcionar la orientación y los recursos necesarios para la implementación, por ejemplo, plantillas de BIA, IT COOP y DR Test Plan, a todos los departamentos de la ciudad.
    • Crear y mantener un sistema central en línea de resiliencia y riesgo tecnológico para realizar un seguimiento del progreso de la implementación del estándar de resiliencia del departamento y respaldar la revisión y las actualizaciones anuales del COOP de TI.
    • Informe al COIT sobre incumplimiento
  • Los especialistas de la Oficina del Comprador de la Ciudad y de las Adquisiciones del Departamento deberán: 
    • Apoyar la inclusión de requisitos de resiliencia durante el proceso de adquisiciones

Requisitos de implementación

  • El departamento debe inventariar sus sistemas dentro de los tres meses y realizar un BIA dentro de los seis meses posteriores a la fecha de publicación de esta norma y anualmente después de eso.
  • El departamento debe desarrollar un plan de implementación de resiliencia para los sistemas de nivel 1 y nivel 2 dentro de los 12 meses posteriores a la fecha de publicación de esta norma.
  • El departamento debe implementar y probar la resiliencia para los sistemas de nivel 1 dentro de los 12 meses y los sistemas de nivel 2 dentro de los 15 meses posteriores a la fecha de publicación de estas normas y anualmente después de eso.
  • Los departamentos deben considerar implementar Resiliencia para sistemas de Nivel 3 dentro de los 24 meses posteriores a la fecha de publicación de esta norma y dos veces al año después de eso.

Excepciones

Las excepciones a las normas serán aprobadas caso por caso por la Junta de Revisión de Políticas del COIT. 

Los requisitos de resiliencia tecnológica de toda la ciudad no reemplazarán los requisitos estatales o federales que puedan aplicarse a departamentos específicos de la ciudad.