Back to top
La presente Base Normativa se encuentra en estado de revisión.
Los usuarios convienen en exonerar de responsabilidad a la Intendencia de Montevideo, División Asesoría Jurídica, Equipo Técnico de Actualización Normativa e Información Jurídica, por todo tipo de daño o perjuicio, directo o indirecto que eventualmente puedan sufrir especialmente los derivados de involuntarias inexactitudes, falta de información o datos imperfectos de cualquier naturaleza, contenidos en los archivos de dicha base.

Digesto Departamental
Armar Volumen
Relación Funcional
Armar Libro
De la relación funcional
Armar Parte
Reglamentaria
Armar Título
Armar Capítulo
Del Sistema de Gestión de la Seguridad de la Información
Armar Sección
De la politica de continuidad de negocio
Volumen III Relación Funcional
Libro III
De la relación funcional
Parte Reglamentaria
Título  Único
Nota:

Por Res.IM Nº 0441/23 de 19/01/2023 se aprobó un régimen de trabajo especial para el Servicio Central de Locomoción, que comienza a regir a partir del 1º de enero de 2023 y que extenderá su vigencia por el término de 1 (un) año.  Por Res.IM Nº 973/24 de 27/02/2024 se prorrogó la vigencia del citado régimen hasta el 31/12/2024.
Capítulo XVIII.3
Del Sistema de Gestión de la Seguridad de la Información
Sección IX
De la politica de continuidad de negocio
Artículo R.418.33 ._

Determinar la siguiente política de continuidad operativa de TI, a los efectos de establecer los requerimientos que debe cumplir el proceso de gestión de continuidad, para minimizar el impacto y garantizar la recuperación ante desastres, fallas de seguridad, pérdida de servicio, disponibilidad y pérdida de activos de información en la Intendencia de Montevideo, hasta un nivel aceptable, mediante la combinación de controles preventivos y de recuperación:

a) Alcance
El alcance de la misma es aplicable a todos los procesos, sistemas y aplicaciones mediante los cuales el Departamento de Desarrollo Sostenible e Inteligente brinda servicios en la Intendencia de Montevideo.

b) Definiciones:
Riesgo: combinación de la probabilidad de ocurrencia de un acontecimiento y de su consecuencia. [Guía ISO/IEC 73:2002].
Evaluación de riesgos: proceso completo de análisis de riesgos y evaluación de riesgos. [Guía ISO/IEC73:2002].
Plan de continuidad operativa de TI: colección de procedimientos para mantener las operaciones esenciales del negocio mientras se recupera de un desastre significativo. [NIST SP-800-34].
Recuperación de desastres: proceso de recuperación de la operación o infraestructura luego de un desastre.[SANS].
Propietario de la información: individuo o entidad responsable ante la Organización de controlar la producción,desarrollo, mantenimiento, uso y seguridad de la información.

c) Política: todas las áreas del Departamento de Desarrollo Sostenible e Inteligente adherirán a esta política para garantizar la continuidad operativa de TI:
i) Proceso de gestión de la continuidad operativa de TI.
Se debe desarrollar y mantener un proceso de gestión para la continuidad operativa de TI que reúna al menos los siguientes elementos:
Análisis y determinación de los riesgos que enfrenta la Organización en términos de probabilidad de ocurrencia de las amenazas e impacto. incluyendo la identificación y la determinación de la prioridad de los procesos críticos del negocio.
Identificación y evaluación de implantación de controles preventivos y de reducción de riesgo.
Identificación de recursos financieros, organizacionales, técnicos y ambientales suficientes para tratar los requisitos identificados de la seguridad de la información.
Garantizar la seguridad del personal y la protección de los servicios de procesamiento de información y de la propiedad de Organización.
Formulación y documentación de los planes de continuidad operativa de TI.
Prueba y actualización regular de los planes y procesos establecidos.
Garantizar que la gestión de la continuidad operativa de TI está incorporada en los procesos y la estructura de la Organización.

ii) Continuidad operativa de TI y evaluación de riesgos.
Se debe realizar un análisis de riesgos para determinar los requerimientos y prioridades de contingencia.
En el análisis de riesgo se deben:

  • Identificar los procesos críticos del negocio.
  • Identificar los activos involucrados en los procesos críticos del negocio.
  • Identificar los eventos o cadenas de eventos que puedan ocasionar interrupciones en los procesos de negocio.
  • Analizar y evaluar la probabilidad de ocurrencia y el impacto que puedan tener las interrupciones causadas por incidentes de seguridad de la información.

Las evaluaciones deben efectuarse con la plena participación de los dueños de los recursos y procesos de negocio.
Las evaluaciones deben considerar todos los procesos de negocios, no limitándose a los servicios de
procesamiento de la información.
Se debe identificar, cuantificar y priorizar los riesgos frente a los criterios y los objetivos pertinentes para laorganización, incluyendo:

  • Recursos críticos
  • Impacto de las interrupciones
  • Duración permitida de corte
  • Prioridades de recuperación

A partir de los resultados de esta evaluación de riesgos, se deben desarrollar los planes de continuidad operativa de TI.

iii) Desarrollo e implementación de planes de continuidad.
La Dirección del Departamento de Desarrollo Sostenible e Inteligente debe aprobar los planes de continuidad operativa de TI previo a su implementación, así como crear y respaldar un plan para la implementación de los mismos.
En el proceso de planificación de la continuidad operativa de TI se deben:

  • Identificar todos los recursos y servicios relacionados al proceso de restauración incluyendo personal, respaldos, acuerdos con terceras partes, y recursos no relacionados con el procesamiento de la información.
  • Identificar prioridades y tiempos de recuperación para cada activo y/o procesos.
  • Identificar, acordar y documentar todos los roles y responsabilidades, tanto internos como de empresas u organizaciones externas, para la ejecución del Plan.
  • Identificar la pérdida aceptable de información y servicios.
  • Establecer, documentar e implementar los procedimientos operativos a seguir, para permitir la recuperación y restauración de las operaciones del negocio y la disponibilidad de la información en las escalas de tiempo requeridas.
  • Capacitar, de manera apropiada al personal, en los procedimientos y procesos acordados, incluyendo el manejo de crisis.
  • Realizar revisiones, pruebas y actualización de los planes. Los resultados de las revisiones deben ser documentados.

Las copias de los planes de continuidad operativa de TI y el material necesario para la ejecución de los mismos, deben ser almacenados en un lugar seguro a salvo de desastres del local principal y protegidas con el mismo nivel de seguridad que el local principal.

  • Las copias de los planes de continuidad operativa de TI deben estar actualizadas.

iv) Estructura de los planes de continuidad operativa de TI
Se debe mantener una sola estructura de los planes de continuidad operativa de TI para asegurar que todos son consistentes.
Cada plan debe tener un responsable/dueño específico, responsable de su mantenimiento, revisión, prueba, selección de criterios para la ejecución y requerimientos para la activación.
Los planes deben incluir los siguientes aspectos:

  • Las condiciones que se deben dar para la activación de cada plan.
  • Los procedimientos de emergencia que describen las acciones a realizar tras un incidente que ponga en peligro las operaciones del negocio.
  • Los procedimientos de respaldo que describen las acciones a realizar para desplazar las actividades esenciales del negocio, o servicios de soporte a lugares temporales alternos y para devolver la operatividad de los procesos de negocio en los tiempos requeridos.
  • Los procedimientos operativos temporales a seguir mientras se termina la recuperación y restauración.
  • Los procedimientos de restauración que describen las acciones a realizar para que las operaciones del negocio vuelvan a la normalidad.
  • Un cronograma de mantenimiento que especifique cuándo y cómo se realizaran pruebas del plan y el proceso para el mantenimiento del mismo.
  • Concientización, educación y formación del personal para comprender los procesos de continuidad operativa de TI y garantizar que los mismos sean eficaces.
  • Deben quedar establecidas las responsabilidades de las personas, en particular deberá quedar determinado quién es responsable de la ejecución de cada componente del plan, así como sus suplentes si fuera necesario y el plan de escalada.
  • Los activos y recursos críticos necesarios para ejecutar los procedimientos de emergencia, respaldo y restauración.

v) Pruebas, mantenimiento y revisión de los planes de continuidad de TI.
Los planes de continuidad operativa de TI se deben someter a pruebas, semestrales para los procesos de máxima criticidad y riesgo y anuales para el resto, y actualizar periódicamente.
Las pruebas deben asegurar que todos los miembros del equipo de recuperación y otro personal pertinente son conscientes de los planes y sus responsabilidades así como su actividad y rol a la hora de ejecutar el plan.
La programación de las pruebas para los planes de continuidad operativo de TI debe indicar cómo y cuándo se va a probar cada elemento del plan.
Las pruebas deben incluir las siguientes técnicas para garantizar que los planes funcionaran en condiciones reales:

  • Prueba sobre papel de varios escenarios (utilizando distintos ejemplos de interrupciones).
  • Simulaciones (efectivas para la formación de personal).
  • Pruebas de recuperación técnica (garantizando que los sistemas de información se puedan restaurar eficazmente)
  • Pruebas de recuperación en lugar alterno.
  • Pruebas de recursos y servicios de los proveedores externos (asegurando que los servicios y productos proporcionados externamente cumplirán el compromiso contraído).
  • Ensayos completos, en los que se verificará que la organización, el personal. el equipo, las instalaciones y los proceso pueden hacer frente a las interrupciones.

Se debe asignar responsabilidades para las revisiones regulares de cada plan de continuidad.
El proceso formal de control de cambios deberá garantizar la distribución y el refuerzo de los planes actualizados.
Se debe tener atención con los cambios en:

  • El equipamiento, incluyendo adquisición de equipos nuevos.
  • Los sistemas.
  • El personal.
  • Las direcciones o números telefónicos.
  • La estrategia del negocio.
  • Los lugares, dispositivos o recursos.
  • La legislación.
  • Los proveedores y clientes principales.
  • Los procesos existentes, nuevos o retirados.
  • Los riesgos.

d) Roles y responsabilidades
i. La implementación de esta política es responsabilidad del Departamento de Desarrollo Sostenible e Inteligente en su conjunto.
ii. El área de Análisis de Procesos Informáticos en conjunto con el Área de Seguridad Informática serán responsables de la realización del análisis de riesgos y la planificación, elaboración y seguimiento de los planes de continuidad operativa de TI.
iii. Las áreas operativas (Operaciones, Mesa de Servicios, Administración de Sistemas, Relacionamiento interno, Telecomunicaciones, Aplicaciones y Administración de Bases de Datos) serán responsables de la ejecución, documentación, mantenimiento y prueba de los planes.
vi. La Administración es responsable de colaborar, evaluar e informar de cambios que afecten a los planes de continuidad oportunamente definidos.

FuenteObservaciones
Res.IM 4286/20 de 07.12.2020
Link al texto en la web
num. 1 y 17
Sustituye la Res.IMM Nº 814/10 de 02.03.2010
Res.IMM 814/10 de 02.03.2010
Link al texto en la web
num. 1
Artículo R.418.34 ._

Establecer que la Política de continuidad operativa de TI deberá ser revisada cuando ocurran cambios significativos (técnicos, normativo, negocio) o al menos cada tres años para evaluar su implantació n y modificada cuando así se requiera, a efectos de eficaz cumplimiento de sus objetivos.

FuenteObservaciones
Res.IM 4286/20 de 07.12.2020
Link al texto en la web
num. 1 y 18
Sustituye la Res.IMM Nº 814/10 de 04.01.2010
Res.IMM 814/10 de 02.03.2010
Link al texto en la web
num. 2