Política de preparación, respuesta, recuperación y resiliencia ante desastres (DPR3)

La Ciudad y el Condado de San Francisco (Ciudad) se comprometen a prepararse para desastres naturales (por ejemplo, terremotos, inundaciones) y provocados por el hombre (por ejemplo, ciberataques, ataques activos) y cualquier variedad de incidentes que puedan afectar negativamente las operaciones comerciales de la Ciudad. Un elemento fundamental de nuestra preparación es la resiliencia de nuestros sistemas de TI, mediante la prevención y protección adecuadas de estos sistemas y sus entornos, y la capacidad de recuperarlos rápidamente cuando fallan las aplicaciones, los sistemas o los entornos de infraestructura. La Política de preparación, respuesta, recuperación y resiliencia ante desastres (DPR3) centrada en TI proporciona estándares claros, consistentes y alcanzables para la resiliencia de TI de la Ciudad, que se aplican a todos los departamentos de la Ciudad, antes, durante y después de un desastre. Estos estándares tienen como objetivo garantizar la prestación continua de servicios públicos críticos que dependen de TI en respuesta a cualquier incidente.

La política DPR3 exige que todos los departamentos de la ciudad desarrollen, prueben y mantengan un plan de continuidad de operaciones (IT COOP) centrado en TI, también llamado plan de contingencia de TI, para todos los sistemas/aplicaciones de TI críticos que gestionan y respaldan los departamentos de la ciudad para satisfacer las necesidades de las operaciones de sistemas críticos en caso de una interrupción; perturbación.

Los objetivos del programa de prácticas de TI incluyen:

1. Salvaguardar y restaurar datos
2. Protección de hardware, software e instalaciones.
3. Reanudación de procesos empresariales críticos mediante una estrategia de recuperación por fallos de alta disponibilidad y automatizada/manual.

La política DPR3 exige que todos los departamentos:

1. Designar un líder de COOP/DR de TI y/o un enlace del coordinador de preparación para desastres (DPC) para coordinar la planificación y la implementación de los requisitos de la política DPR3.
2. Identificar y evaluar la resistencia de los sistemas críticos.
3. Adoptar e implementar un marco de trabajo de cooperación en TI del Instituto Nacional de Estándares y Tecnología (NIST).
4. Revisar y actualizar anualmente el Plan de Recuperación ante Desastres (DRP) de TI del departamento y los Planes de Recuperación ante Desastres (DRP) para cada sistema crítico dos veces al año.
5. Ponga a prueba el Plan de Recuperación ante Desastres (PRD) de TI al menos una vez al año y realice una prueba activa de Recuperación ante Desastres (RD) de cada sistema crítico dos veces al año.
6. Los jefes de Departamentos son responsables de garantizar el cumplimento conformida de esta política. 

1. Todos los departamentos municipales deben completar un programa de cooperación/recuperación ante desastres de TI y actualizarlo anualmente.
2. Cada Departamentos debe probar su plan de recuperación ante desastres (DRP)/plan de continuidad operativa de TI al menos una vez al año. El tipo, la frecuencia y el alcance específicos de las pruebas de recuperación ante desastres dependerán de:
   1. Criticidad del sistema
   2. Complejidad de las aplicaciones, la infraestructura, la red y los entornos de los sistemas de información.
   3. Resultados de pruebas anteriores
3. Cada Departamentos debe capacitar a sus empleados pertinentes para ejecutar su Plan de Recuperación ante Desastres/Continuidad del Servicio de TI. La capacitación consistirá en:
   1. Conocimiento del COOP y su componente de COOP/DRP de TI.
   2. DPR3 y las políticas y procedimientos del departamento
   3. Ejecución del plan de recuperación ante desastres/continuidad de TI en respuesta a un incidente.
   4. Funciones y responsabilidades de los empleado
4. Los departamentos que dependen de las redes y sistemas de toda la ciudad operados o administrados por el Departamentos de Tecnología (DT) deben establecer memorandos de entendimiento (MOU) y/o acuerdos de nivel de servicio (SLA) con el DT para la recuperación ante desastres (DR), que incluyan tiempos de recuperación objetivo basados ​​en la criticidad del sistema.
5. Los departamentos que dependen de proveedores externos para servicios de TI deben establecer acuerdos de entendimiento (MOU) y/o acuerdos de nivel de servicio (SLA) con estos proveedores para la recuperación ante desastres (DR), incluyendo tiempos de recuperación objetivo, en función de la criticidad de los servicios de los proveedores.
6. Todos los nuevos contratos, políticas y procedimientos de TI de la ciudad deben abordar la resiliencia y la recuperación ante desastres. Los contratos existentes deben modificarse al renovarse para abordar la resistencia y la recuperación ante desastres.
7. Si un Departamentos recibe servicios de TI de otro Departamentos o de un tercero, los acuerdos de nivel de servicio (SLA) deben establecerse para abordar la resistencia y la recuperación ante desastres.

COIT

• Proporcionar orientación política a los departamentos.
• Brindar el apoyo necesario a los departamentos para que puedan desarrollar y completar sus programas de cooperación en TI (COOP/DRP).

Jefe de Departamentos

• Designar al líder de COOP/DR de TI y al personal de enlace del coordinador de preparación para desastres (DPC) para coordinar la planificación e implementación de DPR3, los ejercicios requeridos y las actualizaciones de la COOP de TI.
• Garantizar el cumplimento conformida de DPR3
• Responsable de establecer memorandos de entendimiento con DT, otros Departamentos de la ciudad y proveedores para sus servicios dependientes, tales como redes, sistemas y otros servicios de soporte relacionados con el SLA y la estrategia de recuperación ante desastres.

Responsable de COOP/DR del Departamentos de TI y enlace con DPC

• Responsable del desarrollo de los planes de recuperación ante desastres (DRP) y de las pruebas y el vigilancia; seguimiento; observación; supervisión; monitoreo (por aparatos) continuos de la recuperación ante desastres para cumplimento conformida de DPR3.
• Responsable de las operaciones comerciales del departamento para brindar apoyo durante y después de desastres naturales o provocados por el hombre, así como del cumplimento conformida y la especificación de los objetivos de tiempo y punto de recuperación.
• Colabora estrechamente con los responsables de TI para el cumplimento conformida de DRP3.

Departamentos de Tecnología

• Responsable de brindar soporte e implementar planes de recuperación ante desastres (DRP) y de continuidad operativa de TI para el soporte de la infraestructura de TI de toda la ciudad, incluyendo, entre otros, la red empresarial administrada por el Departamento de Transporte, la conectividad a Internet, las telecomunicaciones, el correo electrónico, las comunicaciones de radio de emergencia y el mantenimiento de conjuntos de datos de emergencia a través de coordinadores de datos Departamentos , así como ayudar a los departamentos que no cuentan con personal interno de TI con el desarrollo de sus propios planes de recuperación ante desastres y de continuidad operativa de TI.

Auditorías de CSA

• CSA Audits auditará periódicamente los planes de continuidad operativa/recuperación ante desastres (COOP/DRP) de TI departamentales y los resultados de las pruebas para cumplimento conformida de la política y los estándares de DPR3.

La SECCIÓN 22A.3. (c) del Código Administrativo de la Ciudad establece: “COIT Revisar y aprobará las recomendaciones del CIO de la Ciudad en materia de estándares, políticas y procedimientos de TIC para permitir el desarrollo, la operación, el mantenimiento y el soporte exitosos de las TIC de la Ciudad”.

La planificación de contingencia de los sistemas de información abarca un amplio abanico de actividades diseñadas para mantener y recuperar los servicios críticos del sistema tras una emergencia. En última instancia, una organización utilizaría un conjunto de planes para preparar adecuadamente las actividades de respuesta, recuperación y continuidad ante interrupciones que afecten a sus sistemas de información, procesos de misión/negocio, personal e instalaciones. Dada la relación intrínseca entre un sistema de información y el proceso de misión/negocio al que da soporte, es fundamental la coordinación entre cada plan durante su desarrollo y actualización para garantizar que las estrategias de recuperación y los recursos de apoyo no se contradigan ni dupliquen esfuerzos.

A continuación se describe brevemente el tipo de planes que cada Departamentos debe llevar a cabo en caso de desastre:

• La planificación de contingencias de los sistemas de información se enmarca dentro de un esfuerzo mucho más amplio de seguridad y gestión de emergencias que incluye la continuidad de los procesos organizativos y empresariales, la planificación de la recuperación ante desastres y la gestión de incidentes.
• La planificación de continuidad y la planificación de contingencia son componentes críticos de la gestión de emergencias y la resistencia organizacional, pero a menudo se confunden en su uso. La planificación de continuidad normalmente se aplica a la misión/negocio en sí; se refiere a la capacidad de continuar con las funciones y procesos críticos durante y después de un evento de emergencia.
• La planificación de contingencias se aplica normalmente a los sistemas de información y proporciona los pasos necesarios para recuperar el funcionamiento de la totalidad o parte de los sistemas de información designados en una ubicación existente o nueva en caso de emergencia.
• La planificación de respuesta a incidentes cibernéticos es un tipo de plan que normalmente se centra en la detección, respuesta y recuperación ante un incidente o evento de seguridad informática.

Plan de continuidad del negocio (BCP)**

• Propósito: Proporcionar procedimientos para mantener las operaciones de la misión/negocio mientras se recupera de una interrupción; perturbación significativa.
• Alcance: Aborda los procesos de misión/negocio a un nivel inferior o ampliado de las Funciones Esenciales de la Misión (MEF) de COOP.
• Plan de relación: Plan centrado en la misión/proceso empresarial que puede activarse en coordinación con un plan de continuidad de operaciones (COOP) para mantener las operaciones no relacionadas con la misión.

Plan de Continuidad de Operaciones (COOP)**

• Propósito: Proporcionar procedimientos y orientación; asesoramiento para mantener los MEF de una organización en un sitio alternativo por un período máximo de 30 días; según lo estipulan las directivas federal .
• Alcance: Aborda las funciones esenciales de la misión en una instalación; los sistemas de información se abordan únicamente en función de su apoyo a las funciones esenciales de la misión.
• Relación del plan: Plan centrado en MEF que también puede activar varios BCP, ISCP o DRP a nivel de unidad de negocio, según corresponda.

Plan de comunicación de crisis

• Propósito: Proporcionar procedimientos para la difusión de comunicaciones internas y externas; medios para proporcionar información crítica sobre el estado y controlar los rumores.
• Alcance: Aborda las comunicaciones con el personal y el público; no se centra en los sistemas de información.
• Relación con el plan: El plan basado en incidentes a menudo se activa junto con un COOP o BCP, pero puede usarse solo durante un evento de exposición (a enfermedades) pública.

Plan de Protección de Infraestructuras Críticas (CIP)

• Finalidad: Proporcionar políticas y procedimientos para la protección de los componentes de la infraestructura crítica nacional, tal como se definen en el Plan Nacional de Protección de Infraestructuras.
• Alcance: Aborda los componentes de infraestructura crítica que son respaldados u operados por una Agencias u organización.
• Relación del plan: Plan de gestión de riesgos que respalda los planes de continuidad de operaciones (COOP) para organizaciones con infraestructura crítica y activos de recursos clave.

Plan de respuesta a incidentes cibernéticos (CIRP)

• Finalidad: Proporcionar procedimientos para mitigar y corregir un ciberataque, como un virus, un gusano o un troyano.
• Alcance: Aborda la mitigación y el aislamiento de los sistemas afectados, la limpieza y la minimización de la pérdida de información.
• Relación del plan: Plan centrado en el sistema de información que puede activar un ISCP o un DRP, dependiendo del alcance del ataque.

Plan de Recuperación ante Desastres (DRP)**

• Objetivo: Proporcionar procedimientos para reubicar las operaciones de los sistemas de información en una ubicación alternativa.
• Ámbito de aplicación: Se activa tras importantes perturbaciones del sistema con efectos a largo plazo.
• Relación del plan: Plan centrado en el sistema de información que activa uno o más ISCP para la recuperación de sistemas individuales.

Plan de Contingencia del Sistema de Información (PCSI)**

• Objetivo: Proporcionar procedimientos y capacidades para la recuperación de un sistema de información.
• Alcance: Aborda la recuperación de un único sistema de información en la ubicación actual o, si procede, en una ubicación alternativa.
• Relación con el plan: Plan centrado en el sistema de información que puede activarse independientemente de otros planes o como parte de un esfuerzo de recuperación más amplio coordinado con un DRP, COOP y/o BCP.

Plan de Emergencia para Ocupantes (PEO)

• Objetivo: Proporcionar procedimientos coordinados para minimizar la pérdida de vidas o lesiones y proteger la propiedad contra daños en respuesta a una amenaza física.
• Alcance: Se centra en el personal y los bienes propios de la instalación específica; no se basa en la misión, los procesos comerciales ni los sistemas de información.
• Relación con el plan: Plan basado en incidentes que se inicia inmediatamente después de un evento, antes de la activación de un COOP o DRP.

** Los Departamentos tienen diferentes nombres para estos planes de contingencia, como Resiliencia y Recuperación de TI, Respuesta y Recuperación ante Emergencias, Libro Rojo de DR, Manual de Operaciones de DR, etc.

La política DPR3 exige que todos los departamentos municipales adopten un marco de continuidad/contingencia de operaciones/recuperación ante desastres para elaborar planes de contingencia.

La planificación para minimizar eficazmente los efectos de un desastre que afecte a los servicios públicos y recuperarse de ellos debe coordinarse en toda la ciudad, ya que el éxito dependerá de la asistencia, los recursos y la experiencia de múltiples agencias municipales. Una recuperación eficaz depende de que cada Agencias municipal siga los procedimientos y prácticas acordados para lograr los objetivos generales de respuesta y recuperación oportunas.

El plan de continuidad operativa de TI (COOP) se centra en restablecer las funciones esenciales de la misión de una organización en una ubicación alternativa y realizar dichas funciones durante un máximo de 30 días antes de retomar las operaciones normales. Las amenazas o interrupciones menores que no requieren la reubicación en una ubicación alternativa generalmente no se contemplan en un plan COOP.

DESCRIPCIÓN GENERAL

Una planificación de contingencia eficaz comienza con el desarrollo de una política de planificación de contingencia para la organización y la realización de un análisis de impacto; efecto empresarial (BIA) a cada sistema de información. Esto facilita la priorización de los sistemas y procesos según su nivel de impacto; efecto y permite desarrollar estrategias de recuperación prioritarias para minimizar las pérdidas.

Las directrices para determinar el impacto; efecto de la información y los sistemas de información en las operaciones y los activos de las organizaciones, las personas, otras organizaciones y la nación se establecen mediante una fórmula que examina tres objetivos de seguridad: confidencialidad, integridad y disponibilidad.

• La confidencialidad preserva las restricciones autorizadas sobre el acceso y la divulgación de la información, incluidos los medios para proteger la privacidad personal y la información confidencial.
• La integridad protege contra la modificación o destrucción indebida de la información e incluye garantizar la no repudiación y la autenticidad de la misma.
• La disponibilidad garantiza el acceso y uso oportunos y fiables de la información. El impacto; efecto de cada objetivo de seguridad se clasifica como alto, moderado o bajo. El nivel de impacto; efecto más alto de cada objetivo de seguridad individual se utiliza para determinar el nivel de impacto; efecto general de la seguridad del sistema de información. Las consideraciones y estrategias de planificación de contingencia abordan el nivel de impacto; efecto del objetivo de seguridad de disponibilidad de los sistemas de información. Las estrategias para sistemas de información de alto impacto deben considerar opciones de alta disponibilidad y redundancia en su diseño. Estas opciones pueden incluir sistemas totalmente redundantes con balanceo de carga en sitios alternativos, replicación de datos y replicación de bases de datos fuera del sitio. Las opciones de alta disponibilidad suelen ser costosas de configurar, operar y mantener, y solo deben considerarse para aquellos sistemas de información de alto impacto clasificados con un objetivo de seguridad de alta disponibilidad. Los sistemas de información de menor impacto pueden utilizar opciones de contingencia menos costosas y tolerar tiempos de inactividad más prolongados para la recuperación o restauración de datos.

ESTRUCTURA DE LA COOPERATIVA DE TI

Los elementos estándar de un plan COOP incluyen:

• Gobernanza para el mantenimiento de cada Plan COOP
• Procedimientos para la activación de cada Plan COOP
• ¿Quién lidera cada respuesta de la COOP y quiénes son sus representantes?
• Catalogación y priorización de los procesos de TI esenciales y de alta importancia para la misión.
• Catalogación de los procesos de TI que pueden suspenderse hasta que el entorno se estabilice.
• Informática y otros activos necesarios para la ejecución del COOP (por ejemplo, servicios de proveedores, datos de respaldo, costos de activos, etc.).
• Ubicaciones alternativas para realizar tareas de recuperación y tareas normales (ubicaciones primaria y secundaria)
• Requisitos de personal para las primeras 120 horas de respuesta ante emergencias.
• Dependencias de información y servicios dentro y entre Departamentos .
• Información de contacto del proveedor
• Lista de verificación para responder a un incidente grave
• Planes/manuales de recuperación ante desastres que incluyan procedimientos paso a paso para recuperar sistemas críticos.
• Procedimientos y lista de verificación para regresar a un lugar de trabajo renovado o nuevo.
• Lista de contactos del personal

PASOS PARA DESARROLLAR UNA COOPERATIVA DE TI

A continuación se describe el proceso para desarrollar y mantener un plan eficaz de recuperación ante desastres para sistemas de información. Este proceso es común a todos los sistemas de información.

Los cinco pasos del proceso son:

1. Realizar el análisis de impacto; efecto empresarial (BIA).
2. Identificar controles preventivos
3. Crear/Implementar estrategias de contingencia/recuperación
4. Asegúrese de que el plan de recuperación ante desastres cuente con capacitación y pruebas.
5. Asegurar el mantenimiento del plan

1. Análisis de Impacto; efecto Empresarial (BIA)

El Análisis de Impacto en el Negocio (BIA) es un paso clave en el proceso de planificación de contingencias. El BIA permite al Coordinador de Planificación de Contingencias caracterizar completamente los requisitos, procesos e interdependencias del sistema y utilizar esta información para determinar los requisitos y prioridades de contingencia. Los departamentos deben realizar un BIA. El BIA es un proceso para determinar y evaluar los posibles efectos de una interrupción en las operaciones comerciales críticas como resultado de un desastre, accidente o emergencia. Los resultados del BIA deben incorporarse adecuadamente en los esfuerzos de análisis y desarrollo de estrategias para el Plan de Continuidad de Operaciones (COOP) de la organización.

El BIA es un componente fundamental del plan de continuidad de operaciones y recuperación ante desastres de un departamento y ayuda a los departamentos a:

• Identificar los recursos y dependencias críticos de TI.
• Identificar los impactos de las interrupción; perturbación y los tiempos de inactividad permitidos; priorizar los requisitos de tiempo de actividad, los objetivos de tiempo de recuperación (RTO) y los objetivos de punto de recuperación (RPO).
• Establecer estrategias de recuperación, prioridades y requisitos de recursos y tiempo.

2. Identificar controles preventivos

Los impactos identificados en el BIA pueden mitigarse o eliminarse mediante medidas preventivas que disuadan, detecten o reduzcan los impactos en el sistema. Siempre que sea factible y rentable, los métodos preventivos son preferibles a las acciones necesarias para recuperar el sistema tras una interrupción; perturbación. Los controles preventivos deben documentarse en el Plan de Continuidad de Operaciones de TI (COOP), y el personal asociado al sistema debe recibir capacitación sobre cómo y cuándo utilizarlos. Existe una amplia variedad de controles preventivos disponibles, según el tipo y la configuración del sistema. Estos controles deben mantenerse en buen estado para garantizar su eficacia en caso de emergencia.

3. Desarrollar estrategias de recuperación

Las estrategias de recuperación permiten restablecer las operaciones de TI de forma rápida y eficaz tras una interrupción; perturbación del servicio. Estas estrategias deben abordar el impacto de la interrupción; perturbación y los tiempos de inactividad permitidos, tal como se definen en el análisis de impacto empresarial (BIA). Al desarrollar la estrategia, se deben considerar diversas alternativas, como el costo, el tiempo de inactividad permitido, la seguridad y la integración con planes de contingencia más amplios a nivel organizacional.

4. Planificar las pruebas, el entrenamiento y los ejercicios.

Las pruebas de planes son un elemento fundamental para una capacidad de contingencia eficaz. Permiten identificar y corregir las deficiencias del plan, así como evaluar la capacidad del personal de recuperación para implementarlo de forma rápida y efectiva. Cada elemento del plan de contingencia de TI debe someterse a pruebas para confirmar la precisión de los procedimientos de recuperación individuales y la eficacia general del plan.

En una prueba de contingencia se deben abordar las siguientes áreas:

• Validar y actualizar los planes/manuales de recuperación ante desastres para recuperar sistemas críticos.
• Recuperación del sistema en una plataforma alternativa a partir de medios de comunicación de copia de seguridad.
• Coordinación entre los equipos de recuperación
• Conectividad interna y externa
• Rendimiento del sistema utilizando equipos alternativos
• Restablecimiento de las operaciones normales
• Procedimientos de notificación

5. Planificar el mantenimiento

Para ser efectivo, el plan de continuidad operativa de TI (COOP) debe mantenerse actualizado y reflejar con precisión los requisitos del sistema, los procedimientos, la estructura organizativa y las políticas. Los sistemas de TI experimentan cambios frecuentes debido a las necesidades cambiantes del negocio, las actualizaciones tecnológicas o las nuevas políticas internas o externas. Por lo tanto, es fundamental que el plan de contingencia se revise y actualice periódicamente, como parte del proceso de gestión del Cambiar de la organización, para garantizar que la nueva información se documente y que las medidas de contingencia se revisen si es necesario. En general, el plan debe revisarse para verificar su exactitud e integridad al menos anualmente o siempre que se produzcan cambios significativos en cualquiera de sus elementos. Algunos elementos requerirán revisiones más frecuentes, como las listas de contactos. Según el tipo de sistema y su criticidad, puede ser conveniente evaluar el contenido y los procedimientos del plan con mayor frecuencia.