Declaratoria de la Política del Sistema de Gestión Integral
Ciudad de México, a 12 de enero de 2023.
Asunto: Política del Sistema de Gestión Integrado.
Dirigido a: Todo el personal de Teliko
Sirva el presente documento para notificarle la actualización de la Política del Sistema de Gestión Integrado conformado por las normas ISO 27001:2022, 20000-1:2018, 37001:2016, 22301:2019 y 9001:2015.
Teliko, comprometido con la prestación de servicios enfocados en la total satisfacción de sus clientes y partes interesadas, promueve entre sus colaboradores el cumplimiento de leyes, reglamentos, normativa aplicable y de su Política del Sistema de Gestión Integrado (SGI), orientada en resolver requisitos de Calidad, Seguridad de la información, Antisoborno. Continuidad del negocio y Servicios de tecnologías de la información, de acuerdo a lo establecido en AN-GPO-01 Contexto y Alcance, PO-GPO-01 Sistema Gestión Integral, y PO-GAL-01 Antisoborno, en un ambiente de mejora continua, que le permita alcanzar sus objetivos a través de sus procesos estratégicos, primarios y de soporte.
Aplicable al esquema de certificación actual, a todo el personal y partes interesadas pertinentes para la operación de los servicios.
Saludos cordiales.
Felipe Fernández Mercado
Alta Dirección
___________________________________________________________________________________________________
Alcance del Sistema Integral de Gestión
Ciudad de México, a 12 de enero de 2023.
Asunto: Alcance del Sistema Integral de Gestión.
Dirigido a: Todo el personal de Teliko
Sirva el presente documento para notificarle, la actualización del alcance del Sistema Integrado de Gestión conformado por las normas internacionales ISO, 27001:2022, 20000-1:2018, 37001:2016, 22301:2019, 9001:2015.
Sistema de Gestión de Seguridad de la Información (SGSI – ISO/IEC 27001:2022)
El Sistema de Gestión de Seguridad de la Información (SGSI) para los procesos que dan soporte a los servicios de “Anticipación de Amenazas”, “Cacería de Amenazas”, “Monitoreo de Seguridad”, “Respuesta a Incidentes”, “Gestión de Brechas/ Forense” y “Escaneo de Indicadores de Compromiso”, de Telikó Solutions, de acuerdo con la Declaración de Aplicabilidad vigente.
Sistema de Gestión de Servicios (SGSTI – ISO/IEC 20000-1:2018)
El Sistema de Gestión de Servicios de TI (SGSTI) para la prestación de los servicios de “Anticipación de Amenazas”, “Cacería de Amenazas”, “Monitoreo de Seguridad”, “Respuesta a Incidentes”, “Gestión de Brechas/ Forense” y “Escaneo de Indicadores de Compromiso”, de Telikó Solutions, de acuerdo con el Catálogo de Servicios vigente.
Sistema de Gestión Antisoborno (SGA – ISO 37001:2016)
El Sistema de Gestión Antisoborno (SGA) para cumplir con las leyes antisoborno y los compromisos aplicables a las actividades dentro de los servicios de “Anticipación de Amenazas”, “Cacería de Amenazas”,“Monitoreo de Seguridad”, “Respuesta a Incidentes”, “Gestión de Brechas/ Forense” y “Escaneo de Indicadores de Compromiso”, de Telikó Solutions de acuerdo con el documento Mecanismo Antisoborno vigente.
Sistema de Calidad (SGC – ISO 9001:2015)
El Sistema de Gestión de Calidad (SGC) para la prestación de los servicios de “Anticipación de Amenazas”, “Cacería de Amenazas”, “Monitoreo de Seguridad”, “Respuesta a Incidentes”, “Gestión de Brechas/ Forense” y “Escaneo de Indicadores de Compromiso”, y sus procesos de soporte de acuerdo con el Catálogo de Servicios vigente.
Sistema de Gestión de Continuidad del negocio (SGCN ISO 22301:2019)
El Sistema de Gestión de Continuidad (SGCN) para la prestación de los servicios de “Anticipación de Amenazas”, “Cacería de Amenazas”, “Monitoreo de Seguridad”, “Respuesta a Incidentes”, “Gestión de Brechas/ Forense” y “Escaneo de Indicadores de Compromiso”, de Telikó Solutions, de acuerdo con el Plan de continuidad de negocio vigente.
Aprobó: Felipe Fernández Mercado
Representante de Alta Dirección
___________________________________________________________________________________________________
Política del Sistema Integral de Gestión
OBJETIVO
Normar el establecimiento, implementación, operación, mantenimiento y mejora continua del Sistema Integral de Gestión ISO/SGSI 27001:2022, ISO/IEC SGSTI 20000-1:2018, así como ISO/SGA 37001:2016, ISO/SGC 9001:2015 e ISO/SGCN 22301:2019.
DESCRIPCIÓN DE LAS POLÍTICAS DEL SISTEMA INTEGRAL DE GESTIÓN
Se asume el compromiso de asignar los recursos necesarios conforme al presupuesto establecido, la idoneidad de todo el personal dependiendo del tipo de audiencia brindándole entrenamiento, capacitación y actualización en los temas de su competencia, así como la implementación de controles que permitan el correcto funcionamiento de los seis (6) servicios que proveemos, los cuales son:
- Anticipación de Amenazas
- Cacería de Amenazas
- Monitoreo de Seguridad
- Respuesta a Incidentes
- Gestión de Brechas/Forense
- Escaneo de Indicadores de Compromiso
Los servicios descritos deben considerar la interacción con los procesos de soporte; así como el cumplimiento con la declaración de aplicabilidad vigente.
Alcance y Contexto Organizacional
La gestión de Telikó debe ser administrada con base en un alcance progresivo y creciente que se extienda hasta la totalidad de los servicios.
El Sistema Integral de Gestión (SIG) debe ser el mecanismo con el cual los esfuerzos actuales en Calidad, seguridad, servicios, continuidad y antisoborno, sean alineados sobre una base de servicios, y con el que se identifiquen esfuerzos necesarios para cubrir las necesidades de nuestras partes interesadas.
El enfoque de los esfuerzos debe permitir que el SIG se mantenga vigente para que cumpla con su propósito de mejora continua.
Debe considerarse la misión organizacional, los sectores atendidos y los productos o servicios ofrecidos.
Partes interesadas (Stakeholders)
Las partes interesadas deben identificarse para que los requerimientos sobre cada Sistema de Gestión, sean considerados y atendidos adecuadamente.
a) Activos de Información dentro del alcance del SIG
El alcance del SIG debe de identificar de manera específica los Activos de Información involucrados, enfocándose principalmente en procesos de negocio (o su equivalente en servicios de TI), complementándolo con los roles y responsabilidades que los operan.
b) Revisión y actualización del Contexto y Alcance del SIG
El Contexto Organizacional y Alcance del SIG deben revisarse al menos una (1) vez al año y actualizarse cuando ocurra un cambio significativo en los componentes del contexto interno o externo, en los activos de información o en los requerimientos de seguridad, servicios o antisoborno de las partes interesadas.
c) Contexto y Alcance Organizacional
El alcance y el contexto de la organización deben ser definidos formalmente en el documento “AN-GPO-01 Contexto y Alcance”.
La Alta Dirección debe guiar los esfuerzos dirigidos al SIG, asegurándose de establecer objetivos de Calidad, Continuidad del negocio, Seguridad de la información, Servicios y Antisoborno alineados con las necesidades, asignando para ello los roles del personal con habilidades y conocimientos necesarios para el desempeño de actividades claramente definidas.
La función del Órgano de Gobierno la absorberá la figura de Alta Dirección y representante de alta Dirección.
Adicionalmente, la Alta Dirección debe demostrar liderazgo y compromiso con respecto al Sistema Integral de Gestión al:
- Asegurar que el Sistema Integral de Gestión (SIG), incluyendo la política y los objetivos, se establezca, implemente, mantenga y revise para verificar adecuadamente los planes y acciones previstas para la implementación de controles que mitiguen los posibles riesgos operativos y de negocio.
- Asegurar la integración de los requisitos del SIG en los procesos de la organización.
- Desplegar recursos suficientes y adecuados para el funcionamiento eficaz del SIG.
- Comunicar interna y externamente lo relacionado con las políticas ISO/SGSI 27001:2022, ISO/IEC SGSTI 20000-1:2018, e ISO/SGA 37001:2016.
- Comunicar internamente la importancia de la gestión eficaz del tema de Calidad, Continuidad del negocio, Seguridad de la información, Servicios y Antisoborno, y la conformidad con los requisitos del SIG.
- Asegurar que el SIG esté diseñado adecuadamente para lograr los objetivos.
- Dirigir y apoyar al personal de acuerdo al alcance de liderazgo para contribuir a la eficacia del Sistema Integral de Gestión.
- Promover una cultura apropiada dentro de la organización en búsqueda de promover la mejora continua.
- Apoyar a otros roles pertinentes de la dirección, para demostrar su liderazgo en la prevención y detección de Soborno en la medida en la que se aplique a sus áreas de responsabilidad.
- Fomentar el uso de los procedimientos para reportar la sospecha de Soborno y el Soborno real.
- Asegurar de que ningún miembro del personal sufrirá represalias, discriminación o medidas disciplinarias o por informes hechos de buena fe o sobre la base de una creencia razonable, incluso si tal negativa puede dar lugar a la pérdida de negocios para la organización).
Alineación de Objetivos del SIG
Los objetivos del Sistema Integral de Gestión (SIG) deben alinearse al cumplimiento de los requisitos de las partes interesadas internas y externas.
Objetivos de Servicios del SGSTI
Los objetivos de Servicios del SIG deben estar enfocados en el cumplimiento de los SLAs, de acuerdo con los servicios dentro del alcance del SIG.
Objetivos de Seguridad del SGSI
Los objetivos de Seguridad del SIG deben estar enfocados en determinar el nivel de protección sobre la Confidencialidad, Integridad y Disponibilidad de los activos de información dentro del alcance del SIG.
Objetivos de Antisoborno del SGAS
Los objetivos de Antisoborno del SIG deben estar enfocados en determinar acciones pertinentes para mitigar la posibilidad del riesgo de e l soborno.
Objetivos de Calidad del SGC
Los objetivos de Calidad del SIG deben estar enfocados en tener una percepción amplia y objetiva sobre el cumplimiento de los requisitos del cliente a efecto de satisfacer las necesidades y expectativas de todas las partes interesadas.
Objetivos de Continuidad del negocio
Los objetivos de Continuidad del SIG deben estar enfocados en acciones para garantizar los márgenes de disponibilidad del servicio y la garantía razonable de recuperación del servicio en los tiempos establecidos para no vulnerar los niveles de servicio acordados con el cliente.
Estándar de Documentación de Objetivos del SIG
Los elementos relacionados con los objetivos del SIG deben estar formalmente definidos en el documento “FO-GPO-21 Plan Objetivos”.
Se debe establecer un conjunto de indicadores que permita monitorear el cumplimiento de los objetivos.
Se debe determinar un plan que permita lograr los objetivos propuestos con actividades fundamentales, lo cual debe contar con:
- Fecha de realización de la actividad.
- Responsable de gestionar el cumplimiento de la actividad.
- Recursos necesarios para llevar a cabo las actividades, ya sean económicos, humanos, capacitación, infraestructura, tecnológicos, forma de cumplimiento y su revisión periódica.
Los objetivos deben ser revisados y aprobados por la Alta Dirección y el Representante de la Alta Dirección, asegurando el correcto desempeño del SIG.
En caso de no cumplir con los objetivos establecidos, deben ser analizadas las causas que lo provocaron.
La Alta Dirección debe determinar el tipo de sanciones conforme a los siguientes rubros:
a) Para quien vulnere los activos con base en lo establecido en las normas de Calidad, Continuidad, Seguridad de la información, Servicios y Antisoborno,
b) Para quien de cara al cliente haga omisión de sus obligaciones estipuladas en su perfil de puesto o rol designado, o realice un acto de negligencia en el cumplimiento de algún convenio de servicio.
c) Para quien ofrezca o reciba alguna ventaja económica o sea partícipe de toda desviación de recursos.
Estas sanciones serán implementadas preventivamente para minimizar la materialización del riesgo y asegurar el cumplimiento de lo establecido en la normatividad del SGI.
El Consejo de Cumplimiento y la Alta Dirección debe determinar el tipo de sanciones al no cumplir con los objetivos determinados en cada ciclo del Sistema Integral de Gestión.
Compromiso con el cumplimiento de la Política y con la mejora del SIG
La Alta Dirección y el personal deben comprometer a cumplir con las actividades correspondientes definidas en la presente Política, a identificar y mejorar continuamente los Sistemas Integrales de Gestión.
El compromiso debe quedar manifiesto al momento de asignar roles y responsabilidades del SIG.
Comunicación de la Política del SIG
La Política del SIG debe comunicarse cada vez que sea liberada una nueva versión.
Disponibilidad de la Política del SIG
La Política del SIG debe estar disponible para todo el personal en el repositorio de administración documental vigente.
Revisión y actualización de la Política del SIG
La Política del SIG debe revisarse al menos una (1) vez al año, o cuando ocurra un cambio significativo en las condiciones de operación del SIG, o en los estándares normativos definidos en esta política.
Roles y Responsabilidades del SIG
Deben ser definidos Roles que correspondan a las funciones del Sistema Integral de Gestión.
Responsabilidades del SIG
Las responsabilidades del SIG deben asignarse a los roles del SIG.
Responsabilidades del Órgano de Gobierno
Las responsabilidades del Órgano de Gobierno deben asignarse a la Alta Dirección.
Asignación de Roles y Responsabilidades
La documentación mínima para asignar formalmente un rol del SIG al personal que corresponda, debe ser la siguiente: Evaluación de competencia con respecto a su rol asignado, conforme el “AN-GPO-03 Catálogo Competencias”.
Segregación de responsabilidades sobre el SIG
Deben generarse reglas de segregación de roles y funciones para asegurar que, durante su asignación, queden distribuidas de forma que no exista conflicto entre las partes involucradas.
Revisión y actualización de los Roles y Responsabilidades
Los Roles y Responsabilidades deben revisarse al menos una (1) vez al año, o cuando ocurra un cambio significativo.
En caso de que alguna persona con algún rol asignado en el SIG no pueda continuar desempeñando sus funciones, se debe hacer la reasignación y actualización en la documentación correspondiente.
Planificación
Plan Anual del SIG
Debe de generarse un Programa con alcance de un Ciclo donde se establezcan los periodos en que serán llevadas a cabo las siguientes actividades:
Revisión de Eficacia de Riesgos y Oportunidades
- Auditorías Interna y Externa
- Revisión por la Dirección
- Identificación de riesgos y oportunidades del SGI
- Revisión de la efectividad a los riesgos y oportunidades de la iteración en curso
Debe ser planificado en el documento “FO-GPO-26 Plan Anual SIG” en cada año”
Soporte
La Alta Dirección debe de asegurar que el SIG obtenga los recursos humanos, técnicos y tecnologícos necesarios para su implementación y operación; que los involucrados en el SIG conozcan la importancia de los Sistema de Gestión implementados y que cuenten con habilidades mínimas necesarias para el desempeño de sus funciones así como que todos los aspectos relevantes del SIG sean comunicados a las audiencias apropiadas, y que sea mantenida toda la evidencia documental correspondiente a las actividades de este.
Recursos
Recursos para el SIG
Deben proveerse los recursos necesarios para que el SIG funcione correctamente por medio de los mecanismos de autorización propios.
Competencias y capacitación
Competencias para los roles del SIG
Deben ser definidas las competencias mínimas necesarias para cada rol del SIG, así como el nivel que se debe alcanzar sobre estas competencias en función a las necesidades particulares de cada rol.
Declaración de competencias de los roles del SIG
Los requerimientos de cada competencia en función de cada nivel deben ser formalizados en el documento “AN-GPO-03 Catálogo Competencias”.
Evaluación de competencias del SIG
Debido a que una persona puede tener asignados múltiples roles simultáneamente, las evaluaciones deben ser integradas en un único documento (identificado con el nombre de la persona) agregando a él tantas cédulas de evaluación como roles del SGSI tenga asignados.
Los elementos que integran esta evaluación de competencia son: “AN-GPO-03 Catálogo Competencias”, “FO-GPO-09 Matriz Control Asignaciones”, y FO-GPO-10 Carta Asignación Rol.
Capacitación del SIG
Deben impartirse sesiones o cursos de capacitación referentes al SIG, en función a las áreas de oportunidad identificadas en la evaluación de competencias hecha por cada rol que haya sido asignado a cada persona involucrada.
La gestión de la capacitación debe realizarse de acuerdo con el documento “PR-GCH-02 Capacitación Concientización”.
Concientización del SIG
La concientización sobre el SIG debe impartirse a todas las personas con al menos un rol asignado del SIG y debe considerar al menos los siguientes temas:
- Política del SIG y normatividad asociada.
- Importancia del SIG.
- Implicaciones de no cumplir con sus actividades relacionadas al SIG.
La gestión de la concientización debe realizarse de acuerdo con el documento “PR-GCH-02 Capacitación Concientización”.
Comunicación del SIG
Debe ser gestionado según el proceso “PR-GCH-05 Comunicación interna”.
Programa de Comunicación del SIG
Debe generarse un programa de comunicación interna y externa con base en el documento “FO-GCH-07 Matriz de comunicación” para el SIG en el cual se especifique lo siguiente:
- Elementos para comunicar.
- Periodos en que los elementos del SIG se deben comunicar, tomando en cuenta las razones de modificación.
- Personal dentro del SIG que debe recibir la información correspondiente, y responsable de hacer dicha comunicación.
- Medio de comunicación
- Control de Documentos y Registros
Estructura documental y normativa
Debe ser creada una única estructura documental y normativa que regule, de forma centralizada, el Sistema Integral de Gestión (SIG).
Control de Documentos y Registros
Debe ser definido un procedimiento de administración de documentos y registros que están dentro del alcance del SIG, a través del “PR-GPO-01 Gestión Documental”, considerando al menos lo siguiente:
- Creación de documentos
- Actualización de documentos
- Tipos y jerarquía de documentos
- Nomenclatura de documentos y registros
Repositorio Único de Documentos y Registros
Debe ser implementado un repositorio único con capacidad de administrar los documentos y registros del SIG.
Administración del Repositorio Único de Documentos y Registros
El Repositorio Único de Documentos y Registros debe administrarse de forma centralizada.
Estructura del repositorio único de Documentos y Registros
Debe ser definida una estructura de carpetas para la implementación del Repositorio Único de Documentos y Registros, tal que:
- Separe documentos de registros
- Organice y agrupe
- Organice una estructura que garantice la interacción de la composición entre documentos y registros del SIG.
Integración documental y componentes de la estructura documental y normativa
Deben ser considerados siete (7) elementos para la integración de la estructura documental y normativa, los cuales son:
- Política
- Procedimiento
- Formato
- Instructivo
- Anexo
- Declaratoria
- Manual
Reglas de nomenclatura y versionamiento
Debe ser generadas reglas de nomenclatura para los documentos que integran al Sistema Integral de Gestión (SIG), así como sus registros asociados, que:
- Especifique diferencias de nomenclatura según las diferentes necesidades de los documentos y/o registros.
- Estandarice los nombres de los documentos.
- Defina un control de versiones que permita la administración de documentos y registros para prevenir la utilización de versiones obsoletas.
Listado Maestro de Documentos del SIG
Debe ser mantenido un registro de todos los documentos vigentes que conforman el SIG; su estructura debe contener, de forma enunciativa más no limitativa, los siguientes elementos:
- Datos generales (código, identificador, área, nombre del documento, clasificación y versión actual).
Interacción documental
Referencias entre documentos
Deben ser referenciados sólo por nombre los estándares y otros documentos cuando se requiera interacción entre ellos.
Se debe de tener especial cuidado al controlar las referencias, ya que el cambio en el nombre de identificadores, códigos o contenido, implica cambios en las referencias que se hayan hecho a el registro en otros estándares. Esto último aplica también para otros documentos.
El SIG debe monitorearse constantemente para determinar si sus resultados cumplen con sus objetivos planteados, y esta evaluación debe ser tanto interna, como externa y al final por la Alta Dirección, consejos de compliance o sus representantes.
Los estándares que deben dar cumplimiento a la Política de Evaluación del desempeño son los siguientes:
Métricas
Métricas del SIG
Deben definirse métricas que sirvan como indicadores para evaluar los procesos operativos el SIG, considerando:
- Nombre
- Tipo de indicador
- Forma de medición
El Administrador del SGI debe asegurar la medición periódica del SGI.
Auditoría interna
Procedimiento de Auditorías Internas al SIG
La auditoría interna debe ejecutarse en función del documento “PR-GPO-03 Auditoria Interna”.
Participantes de las auditorías internas al SIG y sus restricciones
La auditoría interna al SIG puede ser realizada de manera interna siempre que sus miembros sean empleados de Telikó, o de manera externa siempre que sea subcontratado un tercero para este propósito, existen dos requisitos fundamentales en ambos casos:
- Los auditores deben cumplir con los principios de independencia sobre los ámbitos auditados.
- Los auditores deben tener las competencias necesarias para auditar el SIG, demostrando su competencia respecto de los conocimientos con los que cuentan.
Alcance de Auditoría Interna
La auditoría interna debe ejecutarse conforme el FO-GPO-41 programa anual de auditoria considerando los resultados sobre esfuerzos internos y externos relativos al análisis de vulnerabilidades o pruebas de penetración a los sistemas informáticos del periodo inmediato anterior.
Criterios de selección del equipo auditor
Deben definirse criterios para la selección del equipo auditor considerando los siguientes aspectos:
- Los resultados de la evaluación de las competencias de las personas a quienes hayan sido asignados los roles de “Auditor Líder” y “Auditor Interno”.
- Evaluación del equipo auditor
Propósito de la evaluación del equipo auditor
Los criterios para la evaluación de los auditores deben tener como objetivo principal asegurar la imparcialidad de la auditoría, e identificar y evitar la existencia (o posible existencia) de conflicto de intereses, así como asegurar que cumplen con las competencias adecuadas.
Informe de Auditoría Interna
Debe generarse y presentarse un Informe al final de la Auditoría Interna con la siguiente estructura:
- Datos generales: objetivo, alcance y miembros del equipo auditor.
- Hallazgos encontrados (a detalle).
- Nombre del personal auditado.
- Aceptación manifiesta sobre el entendimiento y aceptación de los hallazgos.
Aceptación del Informe de Auditoría Interna
El Informe de Auditoría interna al SIG debe ser firmado por las personas con el rol de “Representante de la Alta Dirección”, “Responsable del SIG”, “Responsables de cada Sistema Integral de Gestión” y “Auditor Líder”.
Revisión por la Dirección
Procedimiento de Revisión por la Dirección
La Revisión por la Dirección debe ejecutarse en función del documento “PR-GPO-02 Revisión Dirección & Función Cumplimiento”. Este procedimiento debe especificar las actividades de preparación, presentación y seguimiento de la Revisión por la Dirección.
Retroalimentación de Partes Interesadas (Stakeholders)
Debe de obtenerse información de las Partes Interesadas sobre el nivel de cumplimiento del SIG hacia sus requerimientos de seguridad, servicios y antisoborno.
Restricciones para comenzar la Revisión por la Dirección
Para que la Revisión por la Dirección pueda llevarse a cabo es imprescindible que se tengan los resultados de las siguientes actividades:
- Análisis y Evaluación de riesgos
- Definición del Plan de Tratamiento de Riesgos
- Métricas del SIG
- Auditoría interna
- Acciones correctivas derivadas de auditorías (internas o externas) al SIG
- Retroalimentación de las Partes Interesadas.
Estructura de la Presentación de Revisión por la Dirección
Debe integrarse la presentación de Revisión por la Dirección haciendo énfasis en los siguientes datos de entrada:
- Estatus de revisiones anteriores.
- Cambios en contexto organizacional que puedan afectar el SIG.
- Comportamiento de la seguridad con respecto a la operación y evaluación del SIG considerando los resultados de: métricas del SIG, auditorías internas y acciones de mejora.
- La información sobre el desempeño del SGCN, incluyendo las tendencias relativas a; No conformidades, Seguimiento y medición, información del análisis de impacto al negocio
- Lecciones aprendidas y las acciones derivadas de incidentes y disrupciones en el servicio
- Retroalimentación de partes interesadas.
- Resumen de Análisis y Evaluación de Riesgos y avances sobre el Plan de Tratamiento.
- Encuestas de Satisfacción al Cliente.
- Planes de Capacidad.
- Desempeño de los proveedores externos
- Adecuación de recursos
- Las oportunidades de mejora
Presentación de Revisión por la Dirección
El contenido de la Presentación de Revisión por la Dirección debe definirse formalmente en el documento “FO-GPO-16 Presentación Revisión Dirección Función Cumplimiento”.
Presentación de la Función de Cumplimiento
La función de Cumplimiento Antisoborno debe presentar a la Alta Dirección el resultado de lo siguiente:
- Ajustes y estado de implementación del SGA.
- Resultados de las investigaciones relacionadas con antisoborno.
- Resultados de auditorías relacionadas con antisoborno (ej. Financieras) Mejora Continua.
MEJORA CONTINUA
Debe administrarse la mejora del SIG fomentando el manejo preventivo de oportunidad frente al manejo de acciones correctivas derivadas de incumplimientos. La mejora debe ser capaz de administrar ambos enfoques.
Los estándares que dan cumplimiento a la Política de Mejora son los siguientes:
Procedimiento de Acciones de Mejora
La mejora del SIG debe ejecutarse en función del documento “PR-GPO-05 Acción correctiva y de mejora”
Responsabilidad de Acciones de Mejora
Cada área debe hacerse responsable de la implementación de las acciones de Mejora o correctivas que sean registradas en su tramo de control.
Registro de Acciones de Mejora del SIG
Las acciones de correctivas / mejora deben registrarse siempre que existan “no cumplimientos” durante el desarrollo de auditoría interna y externa al SIG (No conformidad, Observación o Acción de mejora).
Las acciones de mejora pueden ser iniciativas o propuesta que deben ser motivadas a través de la participación y consulta del personal.
Contenido de las Acciones de mejora
Las acciones de mejora deben documentarse bajo la siguiente estructura:
- Tipo de mejora y su objetivo
- Fecha y descripción de la Acción de Mejora
- Causa Raíz / Meta
- Plan de Acciones de Mejora
Seguimiento a las Acciones de Mejora del SIG
Debe realizarse el seguimiento de todas las Acciones de Mejora al SIG, para asegurar que estas fueron atendidas y cerradas adecuadamente, e identificar si una vez implementadas las soluciones a las mismas vuelven a presentarse no cumplimientos en función de causas históricas.
Las acciones deben ser tratadas y en su caso solventadas en un máximo de un (1) mes, dependiendo de la gravedad del hallazgo y el tipo, así como el Plan de Acciones de Mejora.
Cada responsable del hallazgo deberá dar seguimiento a la acción de mejora o no conformidad y el responsable del Sistema Integral de Gestión se asegurará que los planes de acción se sigan conforme lo acordado.
Los estándares que dan cumplimiento a la Política de Seguridad son los siguientes:
PLANIFICACIÓN Y CONTROL OPERACIONAL
Metodología de Administración de Riesgos del SIG
Debe definirse una metodología de administración de riesgos que defina:
- Criterios de Evaluación de Riesgos
- Criterios de Aceptación de Riesgos
- Criterios de Evaluación y Selección de Controles
Base de la Metodología de Administración de Riesgos
Para el Análisis y Evaluación de Riesgos debe considerarse como base la Metodología de Análisis de Riesgos y adaptarse al entorno de operación.
Tipo de Metodología
La metodología de Administración de Riesgos debe ser cualitativa.
Estructura de riesgos
Los riesgos identificados deben constituirse con base a la identificación de activos que son necesarios para la operación y la provisión de los servicios dentro del alcance del Sistema Integral de Gestión, por lo que éstos deben ser claramente identificados y estarán conformados por procesos, puestos, roles, actividades, infraestructura, entre otros.
Cálculo general del valor de riesgo
Los riesgos deben ser el producto de la “Probabilidad de ocurrencia” y sus “Impactos asociados”. La Probabilidad debe ser calculada con base en el cálculo de la frecuencia en que el riesgo puede ocurrir, y los impactos son calculados de acuerdo con criterios definidos, con base en la afectación del negocio y de la operación
Enfoque de los criterios de impacto
El impacto que puedan tener los riesgos sobre los activos de información debe enfocarse hacia la pérdida de su confidencialidad, integridad y disponibilidad, y la afectación para el negocio en los aspectos financieros, imagen o reputación, regulatorio o legal, y operación o de servicio.
Documentación de la Metodología de Administración de Riesgos del SIG
Todos los elementos relacionados con la Metodología de Administración de Riesgos deben definirse formalmente en los documentos “PR-GPO-08 Gestión de Riesgos y Oportunidades”, IN-GPO-07 Gestión Riesgos y Oportunidades para Líder”, y “IN-GPO-08 Gestión Riesgos y Oportunidades para Responsable”.
Análisis de causas
El análisis de causas debe enfocarse en la búsqueda de debilidades o ausencias de controles administrativos, operativos y técnicos, lo cual debe plasmarse en la matriz de riesgos y controles mediante el documento “FO-GPO-24 Matriz gestión de riesgos y oportunidades”; así como la detección de causas mediante la herramienta “FO-GPO-20 Plantilla formato – Diagramas Ishikawa”.
Las causas se encuentran definidas en un catálogo por tipo de riesgo, el cual puede ser financiero, legal o reglamentario, operativo, de seguridad, privacidad o tecnológico.
Base de construcción de la Matriz de riesgos y controles.
La estructura de la “FO-GPO-24 Matriz gestión de riesgos y oportunidades” debe basarse en los controles definidos en los estándares de las normas ISO 9001:2015, ISO 22301:2019, ISO/IEC 27001:2022, ISO/IEC 20000-1:2018, y para el caso de Antisoborno, del estándar ISO/IEC 37001:2016.
Análisis y Evaluación de Riesgos del SIG
Debe realizarse un análisis y una evaluación de riesgos con base en el alcance del SIG, con el propósito de identificar y priorizar los riesgos a fin de identificar los controles que han sido implementados, los que están en desarrollo y los que requieren un posterior tratamiento.
Documentación del Análisis y Evaluación de Riesgos del SIG
Los resultados del Análisis y la Evaluación de Riesgos deben definirse formalmente en el Informe de Análisis y Evaluación de Riesgos en la matriz de riesgos y controles, así como en los reportes que se obtienen de dicho análisis, y que son:
- Reporte de Riesgos – El responsable de riesgos debe generar el Reporte de Riesgos, dentro del formato de matriz de riesgos, con base en la Tabla de Reportes.
- Reporte Ejecutivo – Concentra los Niveles de Riesgos obtenidos por Proceso, Área o Unidad de Negocio y, las calificaciones en cada uno de los aspectos de Negocio o Seguridad de la Información.
- Reporte por Nivel – Muestra los Niveles de Riesgos de Negocio obtenidos por cada Área.
- Reporte por Causa – Muestra las principales causas generadoras de Riesgos de Negocio y promedio obtenido.
- Reporte por Impacto – Muestra los principales impactos o beneficios y la calificación obtenida.
Periodicidad del Análisis y la Evaluación de Riesgos
El Análisis y la Evaluación de riesgos son actividades que deben llevarse a cabo una (1) vez cada año, o cuando sea requerido.
Actualización del Análisis y Evaluación de Riesgos
El Análisis y Evaluación de Riesgos deben llevarse a cabo de manera extraordinaria a su periodicidad definida, siempre que exista un cambio significativo, de acuerdo con lo siguiente:
- Migración o cambios importantes de la infraestructura.
- Cambio de Roles del SIG.
- Cambios en la normatividad del SIG.
- Iniciativa aceptada de alguna de las personas que tenga algún rol sobre el SIG.
La actualización del análisis y evaluación de riesgos debe hacerse sólo sobre los activos que apliquen al cambio (ya sea sobre activos actuales o aquellos activos que sean agregados por primera vez al alcance del SIG).
Criterios de éxito de la evaluación de riesgos
Deben definirse criterios para reducir la subjetividad asociada al proceso de evaluación de riesgos y, lograr con ello, un consenso razonable de los resultados, tomando en cuenta los siguientes puntos:
- Existencia de datos objetivos considerando niveles de afectación y causas existentes al momento del análisis y evaluación de riesgos.
- Consenso y acuerdo sobre la probabilidad de los riesgos identificados en función de la experiencia y frecuencia sobre los riesgos evaluados. Impactos en función de la importancia que la organización conceda a los activos de información dentro del alcance del SIG.
Deben ser formalizados como parte de las definiciones de la metodología de análisis de riesgos.
Restricción sobre el Tratamiento de Riesgos
El Tratamiento de Riesgos debe llevarse a cabo únicamente tras haber realizado de manera previa un Análisis y Evaluación de Riesgos, y con base en sus resultados.
Opciones de Tratamiento de Riesgos
Derivado del Análisis y la Evaluación de riesgos, el tratamiento de riesgos debe llevarse a cabo considerando únicamente las siguientes opciones:
Reducir |
Diseñar o adquirir el mecanismo que reduzca la probabilidad del riesgo. |
Evitar |
Seleccionar qué actividades deberán suprimirse temporalmente para no exponer a la organización. |
Transferir |
Seleccionar y documentar la Carta para Aceptar o Transferir riesgos a quien le será trasladada la responsabilidad. |
Aceptar |
Documentar Carta para aceptar o transferir Riesgos. |
Las opciones de tratamiento no son mutuamente excluyentes entre sí. Eso quiere decir que es posible seleccionar más de una de manera simultánea. Ejemplo: implementar controles (mitigar) y al mismo tiempo contratar un seguro (transferir).
Criterios de evaluación de controles
Deben definirse criterios y categorías para evaluar aquellos controles que sean necesarios en la mitigación de riesgos, y con ello dar certeza razonable de cuáles de ellos son las mejores opciones para elegir.
Criterios de selección de controles
Tomando como parámetro base el resultado de su evaluación, deben definirse criterios para seleccionar aquellos controles que sean viables para la mitigación de los riesgos identificados. La aplicación de estos criterios debe ser considerada como la razón de selección de los controles.
Criterios de aceptación de riesgos
Deben definirse criterios para estandarizar las consideraciones realizadas al momento de aceptar riesgos.
Estructura de la Declaración de Aplicabilidad (SoA)
Debe realizarse una Declaración de Aplicabilidad (SoA) cuya estructura considere los siguientes elementos:
- Indique cuales controles son aplicables, ya sea porque ya existan o por las “razones de selección de nuevos controles” de acuerdo con lo dispuesto por el estándar “Criterios de selección de controles”.
- Liste de forma detallada los controles existentes asociándolos con el control del estándar ISO/IEC 27001:2022 y del Anexo A, con el que esté relacionado.
- La relación de los controles seleccionados con el estándar referido debe ser uno a uno.
- Indique cuales controles no son aplicables, documentando sus razones de “no aplicabilidad”.
Debe asociarse la efectividad de los controles seleccionados con la reducción de riesgo que esta represente, y estimar el nivel de Riesgo Residual a priori de la implementación de ellos. Este valor debe llamarse “Riesgo Residual Esperado.
POLITICA DE CALIDAD Y GESTION DE SERVICIOS
Los estándares que dan cumplimiento a la Política de Servicios son los siguientes:
Debe ser generado un Portafolio de Servicios que permita gestionar el ciclo de vida de todos los servicios, el cual contemple lo siguiente:
- Servicios planeados
- Servicios vivos
- Servicios desechados o muertos
El Portafolio de Servicios debe definirse formalmente en el documento “IN-ESS-01 Portafolio Servicios”.
Debe ser generado un Catálogo de Servicios el cual permita gestionar servicios que la empresa actualmente esté brindando (servicios vivos).
Criticidad de los Servicios
Debe ser definida la criticidad de los servicios teniendo en cuenta las siguientes necesidades:
- De la organización
- De los clientes
- De los usuarios
- De las partes interesadas
Dependencia entre Servicios
Deben ser identificadas y documentadas las dependencias y duplicidades entre los servicios.
Servicios proporcionados por proveedores externos
Deben ser identificados y documentados los servicios, componentes, procesos o partes de procesos de los servicios que sean operados por proveedores externos.
Evaluación de los proveedores externos
Debe ser medido y evaluado el desempeño y efectividad de los servicios o componentes de los servicios que sean proporcionados por los proveedores externos considerando relevancia en aquellos que sean determinados como críticos.
La responsabilidad de asegurar la evaluación y seguimiento al plan de acción de los proveedores críticos debe ser soportada por el Gerente de Operaciones.
Deben ser identificados los activos y CI’s (Configuration Ítems) que forman parte de los servicios que se proveen.
Los activos de información involucrados en los servicios deben ser administrados de acuerdo con el proceso “PR-ESS-03 Gestión Configuraciones Activos”.
Inventario de Activos (Ítems de Configuración) (CI)
Los activos de información que se encuentren en la herramienta correspondiente deben tener las siguientes características:
- Identificador único
- Tipo de CI
- Descripción del CI
- Relación con otros CI
- Estatus
Revisiones de la CDMB
Se debe revisar periódicamente la información existente en la CMDB para asegurar que la información contenida está completa y vigente.
Respaldo de la CMDB
Se deben generar respaldos cada dos (2) meses de la CMDB.
Relaciones con el Negocio
La Gestión de Relaciones con el Negocio debe ser administrado de acuerdo con el”PR-ESS-04 Gestión Relaciones Negocio”.
Revisión de desempeño
Se deben realizar encuestas de Satisfacción al Cliente que permitan medir el desempeño de los servicios y detectar mejoras.
Deben ser ejecutadas las encuestas de Satisfacción al Cliente con una periodicidad de seis (6) meses después de la firma de contrato con cliente.
Cuando las salidas no son conformes con los requisitos, se deben identificar controlar para prevenir su uso o entrega no intencionada.
Las salidas no conformes deben ser tratadas conforme:
a) Corrección, a través del procedimiento de Acción correctiva y mejora.
Si fuese necesario se actualizan los riesgos y oportunidades
b) Separación, contención, devolución o suspensión de provisión de productos y servicios.
c) Información al cliente.
d) Obtención de autorización para su aceptación bajo concesión
Acuerdos de Niveles de Servicio (SLA)
Deben ser definidos Acuerdos de Niveles de Servicios de clientes y proveedores, los cuales deben contemplar lo siguiente:
- Objetivos de Niveles de Servicio (SLT)
- Límites de carga de trabajo
- Excepciones
Se debe realizar la gestión de los SLA’s por medio del proceso “PR-ESS-05 Gestión Niveles Servicios”.
Monitoreo de Acuerdos de Niveles de Servicio con clientes
Debe ser planificado el monitoreo, evaluación y reporte del cumplimiento de los SLAs contra los y, las cargas de trabajo asociadas.
En caso de que no se cumplan los SLA’s se deben identificar las acciones correctivas u oportunidades de mejora para su implementación.
Alineación de Acuerdos de Niveles de Servicio
Se deben alinear los SLA’s de los proveedores para dar cumplimiento a los SLA’s de los clientes.
En caso de que los SLA´s de los proveedores no permitan dar cumplimiento de los SLA´s de los clientes, se tendrá que identificar el riesgo y darle el tratamiento correspondiente.
Monitoreo de Acuerdos de Niveles de Servicio con proveedores
Deben ser planificado el monitoreo, evaluación y reporte del cumplimiento de los SLA´s contra los establecidos en los contratos.
En caso de que no se cumplan los SLA´s, se deben identificar acciones correctivas u oportunidades de mejora para su implementación.
Mapeo de Servicios
Se debe realizar un mapeo de servicios, el cual permita la trazabilidad de los requerimientos de los servicios, así como la definición o adecuación de los SLA’s en caso de ser necesario.
Proveedores
Se debe realizar la gestión de los SLA’s con los proveedores por medio de “PR-ADQ-01 Gestión Proveedores”.
Debe ser creado un contrato por proveedor / orden de compra que permita el panorama completo de los servicios que a suministrar a la organización.
Se deben establecer SLA´s con el proveedor con el fin de asegurar la alineación a los SLA’s de los servicios, y así, cumplir en tiempo y forma con la entrega de los servicios.
Deben ser implementados mecanismos de monitoreo al proveedor interno y externo que permitan determinar el desempeño de este.
La información del proceso de Compras debe considerar el producto a comprar y cuando es necesario:
a) Requisitos para la aprobación del producto, procedimientos, procesos y Equipos.
b) Requisitos para la calificación del personal.
c) Requisitos del Sistema de Gestión Integral.
Presupuesto de los servicios
Debe ser asignado anualmente presupuesto para la operación y mantenimiento de los servicios, considerando la demanda y capacidad.
La generación del presupuesto debe ser guiada a través del “PR-PLF-03 Presupuesto Anual”.
Debe ser revisado el presupuesto de los servicios para garantizar su correcta ejecución, así como determinar de forma correcta si es necesario ampliar el presupuesto designado, a fin de no afectar la operación.
Demanda de los servicios
Debe ser monitoreado y reportado mensualmente la demanda del uso de los servicios para poder realizar una proyección, la cual nos ayude a planificar la asignación de recursos.
Debe ser gestionada la demanda de los servicios con el “PR-ESS-17 Gestión Peticiones Servicio”.
Capacidad de los servicios
Debe ser monitoreada y reportada la capacidad de la infraestructura que soporta los servicios, para poder realizar una proyección, la cual nos ayude a determinar que se pueden brindar los servicios sin contratiempos evitando llegar al máximo de capacidad.
La administración de la capacidad debe ser guiada mediante el documento “PR-ESS-06 Gestión Capacidad”.
Diseño, Construcción y Transición de Servicios
Gestión de cambios
La gestión de cambios de emergencia y normales de los servicios deben ser atendidos de acuerdo con el “PR-ESS-07 Gestión Cambios”.
Se debe asignar un rol de Gestor de Cambios para verificar la atención y seguimiento a las solicitudes de cambios.
Deben ser registrados, priorizados, clasificados y asignados los cambios, así como darle seguimiento.
Comité CAB
- Debe ser creado un Comité de Cambios para atender el cambio pre- autorizado y normal. El personal que lo integre debe cumplir con las siguientes responsabilidades:
- Acudir a las reuniones de Comité para la evaluación de los cambios.
- Revisar todas las Solicitudes de Cambio RFCs.
- Determinar y proporcionar detalles del impacto en la implementación del cambio.
- Evaluar cada cambio.
- Identificar riesgos en los cambios.
- Autorizar o rechazar los cambios.
- Participar en la programación del calendario de cambios.
Comité ECAB
Debe ser creado un Comité de Cambios de Emergencia, para aquellos cambios con urgencia e impacto crítico.
El Comité de Cambios de Emergencia debe estar presidido por el Gestor de Cambios.
El personal que integra el Comité de Cambios de Emergencia debe cumplir con las siguientes responsabilidades:
- Tener disponibilidad para consulta de cambios de emergencia; pudiendo ser vía telefónica.
- Determinar la factibilidad del cambio de manera inmediata.
- Determinar y proporcionar detalles del impacto en la implementación del cambio.
- Evaluar cada cambio emergente.
- Identificar riesgos en los cambios de manera inmediata.
- Autorizar o rechazar los cambios.
- Generar liberación emergente.
Diseño y Construcción de Servicios
Para el diseño, construcción y transición de servicios se debe seguir el “PR-ESS-08 Diseño Construcción Servicios”.
Debe ser considerado el diseño de servicios según el comportamiento o solicitudes de:
- Petición de Cliente.
- Demanda actual del mercado.
- Propuesta de la empresa Telikó.
El diseño de un servicio nuevo debe estar basado en un estudio de mercado, estudio técnico y estudio financiero para determinar la viabilidad del servicio o, de lo contrario, desechar la propuesta.
Se deben considerar los riesgos que implica el desarrollar o modificar un servicio.
Se debe probar el servicio en un ambiente de pruebas antes de ser liberado, para no provocar incidentes.
Entrega y despliegue de los Servicios
Se debe seguir el “PR-ESS-09 Entregas Despliegues Servicios” para la correcta liberación del servicio.
Debe ser desplegado el servicio en ambiente productivo hasta obtener resultados aprobatorios en el ambiente de pruebas.
Se debe determinar e informar lo que se le entregará al cliente según el tipo de servicio, ya sean documentos, activos, entrenamientos.
La provisión del servicio bajo condiciones controladas se realiza con base en lo establecido en el proceso Entregar Soluciones y Servicios.
Las condiciones controladas incluyen, cuando sea aplicable:
a) La disponibilidad de información documentada que defina las características de los productos y servicios a prestar, las actividades a desempeñar y los resultados a alcanzar.
b) La disponibilidad y el uso de los recursos de seguimiento y medición adecuados.
c) La implementación de actividades de seguimiento y medición en las etapas apropiadas para verificar que se cumplen los criterios para el control de los procesos o sus salidas, y los criterios de aceptación para los productos y servicios.
d) El uso de la infraestructura y el entorno adecuados para la operación de los procesos.
e) La designación de personas competentes incluyendo cualquier calificación requerida.
f) La validación y revalidación periódica de la capacidad para alcanzar los resultados planificados de los procesos de prestación del servicio, cuando las salidas resultantes no puedan verificarse mediante actividades de seguimiento o medición posteriores.
g) La implementación de acciones para prevenir los errores humanos.
h) La implementación de actividades de liberación, entrega y posteriores a la entrega.
IDENTIFICACIÓN Y TRAZABILIDAD
Se debe administrar los medios apropiados para identificar las salidas cuando sea necesario para asegurar la conformidad de los productos y servicios.
PROPIEDAD PERTENECIENTE A LOS CLIENTES O PROVEEDORES EXTERNOS
Se debe cuidar la propiedad perteneciente a los clientes o proveedores externos mientras esté bajo nuestro control, por lo que se identifica, verifica, protege y salvaguarda la propiedad de los clientes o de los proveedores externos suministrada para su utilización o incorporación dentro de los productos y servicios identificando los componentes propiedad de clientes o proveedores externos a través de Base de datos de la gestión de la configuración CMDB.
PRESERVACIÓN
La preservación de las salidas durante la prestación del servicio se realiza en la medida necesaria para asegurarnos de la conformidad con los requisitos con base en lo establecido en los procedimientos de entrega del servicio y en el manual de políticas de seguridad de la información.
Incidentes en los servicios
Se define como incidente a aquella afectación de alto impacto a los servicios críticos de cara al cliente final, para ello todos los incidentes deben ser atendidos bajo el “PR-ESS-10 Gestión Incidentes”.
Los incidentes deben ser registrados y gestionados a través de la herramienta de gestión en uso para tal fin, para usuarios internos, y para usuarios externos respectivamente.
El registro de un incidente debe contener como mínimo:
- Identificación
- Clasificación
- Priorización
- Asignación
La atención de los incidentes debe estar alineada en tiempos a los SLA’s para no caer en incumplimientos.
Equipo de Respuesta a incidentes
Debe ser creado un equipo de respuesta a incidentes integrado por personal que adopte roles para la administración de CIs con el fin de dar una respuesta efectiva de los incidentes.
El equipo de respuesta a incidentes debe informar, que necesita escalar del incidente, en caso de que sea necesario.
Peticiones de Servicios
Todas las peticiones de servicios deben ser atendidas bajo el “PR-ESS-17 Gestión Peticiones Servicio”.
Se debe definir y asignar el rol de Gestor de Peticiones de Servicios con el fin de la oportuna atención a cada petición.
Se deben gestionar las solicitudes mediante la herramienta de gestión designada, para los usuarios internos, y para los usuarios externos según corresponda.
Deben ser revisadas y atendidas las métricas de peticiones de servicios cada seis (6) meses, con base en el método de auditoria interna / revisiones periódicas, considerando los resultados generados, así como la identificación de mejoras.
Gestión de Problemas en los Servicios
Entiéndase como problema, al incidente o conjunto de incidentes sin solución o, que han sido recurrentes y requieren de mayor análisis.
Todos los incidentes de servicios que se por su naturaleza se clasifiquen como un problema deben ser atendidos bajo el “PR-ESS-12 Gestión Problemas”.
Se debe definir y asignar el rol de Gestor de Problemas para que se dé el correcto seguimiento y atención a cada problema del servicio.
Deben ser revisadas y atendidas las métricas de problemas de servicios cada seis (6) meses, con base en el método de auditoria interna / revisiones periódicas, considerando los resultados generados, así como la identificación de mejoras.
Disponibilidad de los servicios
La gestión de la Disponibilidad de los servicios debe ser gestionada con el “PR-ESS-13 Gestión Disponibilidad”.
Riesgos de Disponibilidad de los Servicios
Se deben identificar los riesgos que afecten la disponibilidad de los servicios a través del “PR-GPO-08 Gestión de Riesgos y Oportunidades”, “IN-GPO-07 Gestión Riesgos y Oportunidades para Líder” y “IN-GPO-08 Gestión Riesgos y Oportunidades para Responsable”.
Requerimientos de Disponibilidad de los Servicios
La disponibilidad de los servicios debe contemplar los siguientes puntos:
- Requerimientos del negocio
- Requerimientos del servicio
- SLA
- Riesgos asociados
Objetivos de Disponibilidad
Se deben generar objetivos de disponibilidad que aseguren la entrega del servicio de acuerdo con los SLA’s.
Deben ser entregados al cliente los objetivos del servicio en términos de disponibilidad y negociar si quiere algún cambio.
Los objetivos de disponibilidad establecidos son:
- Cumplir los lineamientos de operación de los servicios de Ciberseguridad que son soportados por los servicios de TI, que aseguren la ejecución de estos ante un evento que impida la correcta provisión de los servicios.
- Establecer, mantener y optimizar la disponibilidad de los servicios permitiendo la reducción de los costos operativos y componentes de infraestructura que aseguren los requerimientos acordados con el cliente existente y futuro.
- Optimizar la disponibilidad de la infraestructura de TI para entregar mejoras a un costo eficiente que generen beneficios tangibles al negocio y al usuario.
- Dar a nuestros clientes una respuesta eficaz ante reportes de disponibilidad del servicio.
Monitoreo de la Disponibilidad de los Servicios
Se debe monitorear la disponibilidad de los servicios de manera planificada y tomar acciones en caso de que no se logren los objetivos asociados.
Continuidad de los Servicios
Se debe declarar estado de “emergencia” cuando se presente un incidente mayor o un incidente disruptivo que no permita condiciones normales de trabajo, para lo cual se debe dar tratamiento a través del “PR-ESS-14 Gestión Continuidad Servicios”.
Deben ser generados planes de continuidad para los servicios, teniendo en cuenta lo siguiente:
- Criterios y responsabilidades al activar los planes.
- Procedimientos para recuperar los servicios.
- Objetivos de disponibilidad.
- Requerimientos de recuperación.
- Procedimientos de retorno a operación normal.
Deben ser revisados y probados los planes de continuidad del servicio al menos una (1) ves al año.
Se deben determinar lecciones aprendidas después de la ejecución de cada plan de continuidad de servicios, ya sea en la revisión de este o, al ponerlo en acción por condiciones de catástrofe.
Seguridad de los Servicios
Deben ser considerados los riesgos de Seguridad de la información en los servicios a través de “PR-GPO-08 Gestión de Riesgos y Oportunidades”, y sus respectivos instructivos “IN-GPO-07 Gestión Riesgos y Oportunidades para Líder” y “IN-GPO-08 Gestión Riesgos y Oportunidades para Responsable”.
La gestión de riesgos debe considerar los siguientes aspectos:
- Riesgos para cada proceso de ISO 20000-1 implementados a la operación de los servicios.
- Controles óptimos para mitigar, transferir o eliminar el riesgo.
Los informes de servicios deben administrarse por medio de “PR-ESS-14 Informes Servicios”.
Se deben generar Informes de Servicio para comunicar al cliente el cumplimiento con los SLA´s cada 6 mes, o según se soliciten.
El informe del servicio debe contener como mínimo:
- Comportamiento de los SLA’s acordados.
- Cantidad de requerimientos, estatus y tiempo de solución.
- Cantidad de incidentes y problemas reportados, estatus y prioridad.
- Cantidad de solicitudes de cambio, estatus y prioridad.
Comunicación con el cliente
Debe incluir información relativa a los productos y servicios, contratos o pedidos, incluyendo los cambios a través del Plan de Comunicaciones, existiendo proyectos que por su naturaleza la comunicación sea establecida conforme los términos contractuales.
DETERMINACIÓN DE LOS REQUISITOS PARA LOS PRODUCTOS Y SERVICIOS
Los requisitos para los productos y servicios a ofrecer a los clientes se determinan conforme a lo establecido en el proceso de gestionar oportunidades
REVISIÓN DE LOS REQUISITOS PARA LOS PRODUCTOS Y SERVICIOS
La revisión de los requisitos para los productos y servicios a ofrecer a los clientes se realiza con base en lo establecido en el proceso Gestionar Propuestas.
CAMBIOS EN LOS REQUISITOS PARA LOS PRODUCTOS Y SERVICIOS
La revisión de los requisitos para los productos y servicios a ofrecer a los clientes incluyendo cualquier necesidad de cambio se debe ejecutar conforme el proceso Gestionar Propuestas / mecanismo formal de gestión de cambio que la organización adopte.
ANTISOBORNO
DEBIDA DILIGENCIA
La evaluación del riesgo de soborno debe llevarse a cabo a través del “PR-GPO-08 Gestión de Riesgos y Oportunidades”, “IN-GPO-07 Gestión Riesgos y Oportunidades para Líder”, “IN-GPO-08 Gestión Riesgos y Oportunidades para Responsables”, y “FO-GPO-24 Matriz gestión de riesgos y oportunidades”, considerando:
a) Determinadas categorías de transacciones, proyectos o actividades.
b) Las relaciones existentes o planificadas con determinadas categorías de socios de negocios.
c) Categorías específicas del personal en determinadas posiciones.
Se debe evaluar la naturaleza y el alcance del riesgo de soborno en relación a transacciones, proyectos, actividades, socios de negocios y el personal, pertenecientes a estas categorías específicas, mediante el “MA-GAL-03 Debida Diligencia”.
Esta evaluación debe incluir cualquier debida diligencia necesaria para obtener información suficiente para evaluar el riesgo de soborno.
La debida diligencia debe actualizarse con la frecuencia que se den los cambios y la nueva información puedan tenerse en cuenta debidamente.
CONTROLES FINANCIEROS
La organización debe implementar controles financieros que gestionen el riesgo de soborno en los siguientes procesos:
a) Compras de productos y servicios.
b) Contabilidad (Cuentas por pagar, Cuentas por cobrar, Gastos de empleados).
c) Finanzas (Tesorería, Presupuestación de servicios).
CONTROLES NO FINANCIEROS
Se debe implementar controles no financieros para gestionar el riesgo de soborno en las áreas en donde se identifique un riesgo más bajo de soborno, conforme el siguiente listado enunciativo más no limitativo:
a) Código de ética y conducta
b) Política antisoborno
c) Cuestionario de conflicto de interés
d) Procedimiento de sanciones administrativas
e) Política de administración de proveedores
IMPLEMENTACIÓN DE LOS CONTROLES ANTISOBORNO POR ORGANIZACIONES CONTROLADAS Y POR SOCIOS DE NEGOCIO
Se debe fomentar la creación de mecanismos que permitan que las entidades, organizaciones, terceros, proveedores o socios de negocio con quienes se interactúa en las transacciones de la cadena de valor o sobre los que se tienen influencia considere:
a) Se apeguen a los lineamientos establecidos por el sistema de gestión antisoborno de la organización.
b) Implementen sus propios controles antisoborno.
SOCIOS DE NEGOCIO NO CONTROLADOS POR LA ORGANIZACIÓN
La organización debe implementar mecanismos para:
a) Determinar si el socio de negocios tiene implementados controles antisoborno que gestionan el riesgo relevante de soborno.
b) Cuando un socio de negocios no tiene en marcha controles antisoborno, o no es posible verificar si los tiene implementados:
1) Donde sea posible, exigir al socio de negocios la implementación de controles antisoborno en relación con la transacción, proyecto o actividad correspondiente.
2) Donde no es posible exigir al socio de negocios implementar controles antisoborno, esto debe ser un factor que se tome en cuenta al evaluar el riesgo de soborno de la relación con este socio de negocios y la forma en que la organización gestiona dichos riesgos.
Lo anterior considerando a los socios de negocio no controlados por la organización, en los que la evaluación del riesgo de soborno o la debida diligencia han identificado más que un riesgo bajo de soborno, y donde los controles antisoborno implementados por los socios de negocios controlados ayudarían a mitigar el riesgo de soborno relevante.
COMPROMISOS ANTISOBORNO
Para socios de negocios que representan más que un riesgo bajo de soborno se deben implementar mecanismo que exijan, en la medida de lo posible, que:
a) Los socios de negocios se comprometan a prevenir el soborno por, o en nombre de, o en beneficio del socio de negocios en relación con la transacción, proyecto, actividad o relación correspondiente.
b) La organización sea capaz de poner fin a la relación con el socio de negocios en el caso de soborno por parte de, o en nombre de, o en beneficio del socio de negocios en relación con la transacción, proyecto, actividad o relación correspondiente.
Cuando no sea posible cumplir los requisitos anteriores a) o b), este debe ser un factor a tener en cuenta para evaluar el riesgo de soborno de la relación con este socio de negocios y la forma en que la organización gestiona dichos riesgos.
REGALOS, HOSPITALIDAD, DONACIONES Y BENEFICIOS SIMILARES
Se debe implementar un control para prevenir la oferta, el suministro o la aceptación de regalos, hospitalidad, donaciones y beneficios similares, en los que la oferta, el suministro, o la aceptación, son o razonablemente podrían percibirse como soborno
GESTIÓN DE LOS CONTROLES ANTISOBORNO INADECUADOS
Cuando la debida diligencia realizada en una transacción, proyecto, actividad o relación específica, con un socio de negocios, establece que los riesgos de soborno no pueden ser gestionados por los controles antisoborno existentes, y la organización no puede o no desea implementar controles antisoborno, mejores, adicionales o tomar otras medidas adecuadas (tales como cambiar la naturaleza de la transacción, proyecto, actividad o relación) para permitir a la organización gestionar los riesgos de soborno pertinentes, la organización debe:
a) Adoptar las medidas adecuadas a los riesgos de soborno y la naturaleza de la transacción, proyecto, actividad o relación para terminar, interrumpir, suspender o retirarse de esto tan pronto como sea posible.
b) Posponer o negarse a continuar en caso de una nueva propuesta de transacción, proyecto, actividad o relación.
PLANTEAMIENTO DE INQUIETUDES
Se debe implementar un mecanismo de gestión, que permita:
a) Fomentar y facilitar que las personas reporten, de buena fe o sobre la base de una creencia razonable, el intento de soborno, supuesto o real, o cualquier violación o debilidad en el sistema de gestión antisoborno, a la función de cumplimiento antisoborno o al personal apropiado (ya sea directamente o a través de una tercera parte apropiada).
b) En caso de la realización o curso de una investigación, se debe solicitar que se traten los informes de forma confidencial con el fin de proteger la identidad del informante y otras personas que participen o a las que se haga referencia en el informe.
c) Fomentar mecanismos de gestión que permitan efectuar la denuncia anónima.
d) Asegurar mediante la generación de mecanismos de gestión, que el personal reciba el asesoramiento apropiado sobre qué hacer si se enfrentan a un problema o situación que podría involucrar el soborno.
e) Asegurarse que todo el personal esté al tanto de la documentación del SGAS, así como fomentar una cultura de utilización y toma de conciencia de sus derechos y protecciones.
INVESTIGAR Y ABORADAR EL SOBORNO
El AN-GAL-10 Mecanismo para prevenir y atender actos de soborno debe considerar lo siguiente:
a) Generar una evaluación y cuando sea apropiado, la investigación de cualquier soborno, o el incumplimiento de la política de antisoborno o el sistema de gestión antisoborno, que haya sido informado, detectado o bajo razonable sospecha.
b) Tener las medidas apropiadas en caso de que la investigación revele algún soborno, o el incumplimiento de la política antisoborno o del sistema de gestión antisoborno.
c) Tener protocolos para la interacción y facilidades previstas para la facilidad de sus funciones de los investigadores.
d) Solicitar la cooperación en la investigación del personal pertinente.
e) Requerir que el estado y los resultados de la investigación sean reportados a la función de cumplimiento antisoborno.
f) Solicitar que la investigación se lleve a cabo de forma confidencial y que los resultados sean confidenciales.
La investigación debe ser llevada a cabo en forma confidencial y reportada por el personal que no forma parte del rol o función que está siendo investigado.
La organización puede nombrar a un socio de negocios para llevar a cabo la investigación e informar de los resultados a los miembros del personal que no formen parte del rol, o función que están siendo investigados.
CONTINUIDAD DEL NEGOCIO
Análisis de impacto al negocio y análisis de riesgos
Se debe implementar y mantiene procesos sistemáticos para analizar el impacto comercial y evaluar los riesgos de interrupción y revisa el análisis de impacto empresarial y la evaluación de riesgos a intervalos planificados y cuando haya cambios significativos en la organización o contexto de operación.
Documentar un proceso de evaluación formal que busca:
a) Definir los tipos de impacto y los criterios relevantes para el contexto de la organización
b) Identificar las actividades que son el soporte a la provisión del servicio
c) Utilizar los tipos y criterios de impactos para evaluar a lo largo del tiempo los impactos que resultan de las interrupciones.
d) Identificar el marco de tiempo dentro del cual los impactos de no reanudar las actividades serian inaceptables para la organización.
e) Establecer marcos de tiempo priorizados dentro del tiempo identificado
f) Utilizar este análisis para identificar actividades priorizadas;
g) Determinar qué recursos son necesarios para apoyar actividades priorizadas;
h) Determinar las dependencias, incluidos los socios y proveedores, y las interdependencias de las actividades priorizadas.
i) Determinar las prioridades, objetivos y metas de continuidad y recuperación.
Estrategias y soluciones de continuidad empresarial
El responsable de continuidad debe determinar y documentar las estrategias de continuidad del negocio a través de lo establecido en Plan de Continuidad del Negocio.
Las estrategias y soluciones definidas deben cumplir con los requisitos para continuar y recuperar las actividades priorizadas dentro de los plazos identificados y la capacidad acordada, proteger las actividades priorizadas de la organización, reducir la probabilidad de interrupción, acortar el período de interrupción, limitar el espacio de interrupción en los productos y servicios de la organización, prever la disponibilidad de recursos adecuados.
Implementar y mantener procedimientos de contingencia para manejar un incidente perturbador y continuar sus actividades sobre la base de los objetivos de recuperación identificados en el Plan de continuidad del Negocio.
Estructura de respuesta
Para dar respuesta a los incidentes debe actuar conforme el Procedimiento de incidentes y solicitudes de servicio, para atender lo relacionado a infraestructura tecnológica y el Plan de respuesta a emergencias para casos de desastres, lo cual debe permitir responder a un incidente perturbador utilizando personal con la responsabilidad necesaria, autoridad y competencia para gestionar un incidente.
Advertencia y comunicación
Para realizar la detección de un incidente debe establecerse el mecanismo para ello, a su vez para la comunicación interna dentro de la organización conforme el procedimiento de Comunicación Interna Institucional.
Adicional y dado que un incidente puede afectarla continuidad del negocio, la comunicación externa debe hacerse través de Mercadotecnia, que estipula el control de los comunicados de la organización hacia sus partes interesadas y finalmente complementado a través mecanismo de Manejo de crisis.
Planes de continuidad del negocio
Se debe preservar en un nivel razonable su operación aún bajo contingencias o posterior al efecto de un incidente perturbador, a través del Plan de continuidad del negocio y Plan de recuperación ante desastres de igual forma, con la intención de tener una respuesta efectiva y ordenada a situaciones de desastres, incluyendo el Plan de respuesta a emergencias.
Recuperación
Se debe actuar conforme el Plan de continuidad del negocio y Plan de recuperación ante desastres para restaurar y volver actividades de negocio de las medidas temporales adoptadas para soportar los requerimientos normales de trabajo después de un incidente.
Programa de ejercicio
Se debe implementar y mantener un programa de ejercicio y pruebas para validar con el tiempo la efectividad de sus estrategias y soluciones de continuidad comercial a través del Plan de Continuidad del Negocio y Plan de pruebas de continuidad.
Evaluación de la documentación y las capacidades
Se debe evaluar la documentación a través de Procedimiento de auditoría interna la adecuación y efectividad de análisis del impacto comercial, evaluación de riesgos, estrategias, soluciones, planes y procedimientos.
A través de los ejercicios y pruebas a intervalos planificados se deben evaluar los informes posteriores al incidente y evaluaciones de desempeño, identificando las capacidades de continuidad del negocio de socios y proveedores relevantes.
______________________________________________________________________