007 semana 7 - diseño del servicio 02
TRANSCRIPT
CARRERA DE INGENIERÍA DE SISTEMAS
SEMESTRE ACADÉMICO 2014-1
Agosto 2010
SESIÓN 06 – Diseño del Servicio 01
CARRERA DE INGENIERÍA DE SISTEMAS
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
El objetivo de la Gestión de Continuidad de Servicios de TI es; planear, cubrir y recuperarse de una crisis de TI, y de ser requerido que las operaciones de TI se muevan a un sistema alterno realizar esta actividad de una manera transparente, sin afectar la operatividad del negocio.
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Hoy en día los ambientes de negocio son altamente competitivos, las organizaciones son juzgadas en su habilidad para continuar operando y proporcionando servicios. La administración de continuidad se preocupa por lahabilidad de una organización para continuar proporcionando un
lospredeterminado y acordado nivel de servicios de TI, para soportarrequerimientos mínimos del negocio.
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Beneficios para la Gestión de Servicios de TI
1. Mejor administración de riesgos2. Credibilidad organizacional3. Ventaja competitiva4. Recuperación de los sistemas de TI de una manera
controlada5. Interrupción mínima del negocio
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Estrategia de la Continuidad del
Negocio
Planes de Continuidad del
Negocio
Invocación
1. Iniciación
2. Requisitos y Estrategia
3.Implementación
4. Operaciones Continuas
Gestión de laContinuidad del Negocio
Ciclo de Vida Actividades Clave
Educación, Conciencia y Capacitación
Revisión y Auditoría Pruebas Gestión de Cambios
Análisis del Impacto de Negocio Evaluación de Riesgos Estrategia de la Continuidad de
los Servicios de TI
Desarrollo de Planes de Continuidad de los Servicios de TI
Desarrollar Planes de TI, Planes de Recuperación y Procedimientos
Planificación Organizacional Estrategia de las Pruebas
Establecimiento de Políticas
Alcance Inicio de un Proyecto
Actividades; Gestión de Continuidad
CARRERA DE INGENIERÍA DE SISTEMAS
Componentes
Recuperación
PERSONAS
LUGAR
DATOS
PLAN
Componentes de la Continuidad del servicio
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Dada la probabilidad de un evento, el planeamiento se
enfoca en base a escenarios de desastre:
•Pérdida o indisponibilidad del local y del equipamiento
por efectos de una amenaza (fuego, falta de energía u
otro evento externo como inundación, terremoto, etc.)
En ese sentido los escenarios típicos son:
•Desastre total del local principal (incluido el
Data Center)
• Desastre total del centro de cómputo
Planificación de Escenarios para la Continuidad de Servicios
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
IMPACTO Y CRITICIDADSobre la Continuidad de Servicios
En esta etapa el juicio experto del administrador evalúa el impacto de NO DISPONER el servicio para la Institución, como este impacta a los procesos desde los aspectos económicos, imagen y operatividad del servicio.
ALTO: El impacto en la institución es seriamente afectado en términos de disponibilidad, pérdidas económicas y daño considerable a la imagen y servicio de la organización.
MEDIO: El impacto en la institución se moderado afecta a las operaciones y servicios de la organización pero no indispone en su totalidad el servicio, puede haber pérdidas económicas importantes.
BAJO: No causa efecto considerable a la organización, en ninguno de los aspectos (imagen, económico y operatividad)
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Restauración desde Tapes
Centro alterno dedicado
Espejo o réplica de bases de datos
Sistema operativo en espera
Bóveda electrónica remota
Tiempo Objetivo de Recuperación (RTO)
DíasHorasMinutos
Costo de Implementación
US$
Estrategias de RecuperaciónDe la Continuidad de Servicios
CARRERA DE INGENIERÍA DE SISTEMAS
Etapa Inicial
Las actividades consideradas en la primera etapa dependen de la extensión a las instalaciones de contingencia que se han aplicado en la organización. La única manera de implantar una administración de continuidad efectiva, es por medio de la identificación de los procesos críticos del negocio y del análisis y coordinación de la infraestructura y servicios de TI que los soportan. La organización del proceso cubre todo el proceso y consiste de las siguientes actividades:• Definición de políticas• Definición de términos de referencia y alcance• Recursos asignados• Definición de la organización del proyecto y estructura de control• Acuerdo del proyecto y plan de calidad
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Etapa de Requerimientos y estrategia
Esta etapa proporciona la base de la administración de continuidad y es un componente crítico para determinar cuan bien sobrevivirá una organización a interrupciones del negocio o desastres y el costo en que se incurrirá. Si el análisis de requerimientos es incorrecto o se olvida información clave, podría tener graves consecuencias en la efectividad del mecanismo de la administración de continuidad.
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Estrategias de Recuperación
• Tipos de Centros de Respaldo:
• Hot Sites
• Warm Sites
• Cold Sites
• Mirroring Sites
• Sitios Móviles
• Acuerdos recíprocos con otras compañías
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Desarrollo de estrategias
Gestión de la Continuidad del Servicio
Sitio Costo Equipo HW Telecoms TiempoSetup
Local
Cold Bajo Nada Nada Largo Fijo
Warm Medio Parcial Parcial/Full Medio Fijo
Hot Medio/ Alto
Completo Completo Corto Fijo
Mobile Alto Dependiente Depend. Depend. No Fijo
Mirrored Alto Completo Completo Nada Fijo
CARRERA DE INGENIERÍA DE SISTEMAS
1)Establecer la organización y desarrollar el plan de implantación2) Implantar acuerdos de espera3) Implantar medidas de reducción de riesgos4) Desarrollar planes de recuperación de TI5) Desarrollo de procedimientos6) Realización de pruebas iniciales
Propósito y alcance
Descubrimiento
contingencia
Respuesta inicial
Identificación de recursos
Acciones sostenidas
Retorno a situación normal
Etapa de Implantación
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Etapa de Operación
Una vez culminada la implantación es necesario asegurar que el proceso sea mantenido como parte de lo usual del negocio.
Esto se alcanza gracias a la administración operacional incluyendo:
• Educación y conocimiento• Entrenamiento• Revisión• Prueba• Control de cambios• Aseguramiento de calidad
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Secuencia de actividadesde la recuperación
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Secuencia de actividadesde la recuperación
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Este tiempo esta relacionado con la tolerancia que la empresa puede tener, sobre la perdida de datos, medidos en términos del tiempo entre el ultimo respaldo (Backup) de datos y el evento del desastre
Secuencia de actividades de la recuperación
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Esta asociado con la recuperación de recursos tales como sistemas de computo, equipos de manufactura e infraestructura física. El RTOes el tiempo transcurrido entre una interrupción y la recuperación. Indica el tiempo disponible para recuperar sistemas y recursos interrumpidos.
Secuencia de actividades de la recuperación
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Procedimientos normales
Sistemas y recursos
inexistentes
Procedimientos normales y manualesProcedimiento
normal
ÚLTIMO BACKUP
EVENTO ALTERADOR
SISTEMAS Y RECURSOS RECUPERADOS
Recuperar datos perdidosDatos
perdidos
Procedimientos manuales de emergencia
RPO RTO
INICIO DE PROCESAMIENTO NORMAL
Recuperación manual de
datos
Tiempo para la recuperación de un desastre
MTD: Este tiempo representa al periodo máximo de tiempo de inactividad que puede tolerar, sin
Secuencia de actividades de la recuperación
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Tiempo
TIEMPOS, PRIORIZACION Y CRITICIDADDe la disponibilidad
El Tiempo Objetivo de Recuperación (RTO): Se refiere al tiempo disponible para recuperar los servicios críticos y sensibles de TI.
El Punto objetivo de Recuperación (RPO): se determina en base a la pérdida aceptable de datos en el caso de una interrupción de las operaciones. Esto indica el punto más anticipado en el tiempo al cual es aceptable recuperar los datos.
Interrupción
Objetivo Punto de Recuperación Objetivo Tiempo de Recuperación
Tx
Estrategias de Respaldo
T1 T2 Tn
Estrategias de Recuperación
Ty
Antes Después
To
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
TIEMPOS, PRIORIZACION Y CRITICIDADDe la disponibilidad
Ejemplos:
El Tiempo Objetivo de Recuperación (RTO): Se refiere al tiempo disponible para recuperar los servicios críticos y sensibles de TI.
Por ejemplo: Tenemos una aplicación denominada PORTAL WEB, Si el RTO definido para la Aplicación PORTAL WEB es de 1 hora, esto significa que el RTO (PORTAL WEB) = 1 hora; es decir que TI esta preparado a nivel tecnológico, recursos humanos y procedimientos técnicos para recuperar el servicio para la organización en una hora.
El Punto objetivo de Recuperación (RPO): se determina en base a la pérdida aceptable de datos en el caso de una interrupción de las operaciones. Esto indica el punto más anticipado en el tiempo al cual es aceptable recuperar los datos.
Por ejemplo: Si la organización define que se perderá datos de PORTAL WEB hasta 1 hora antes de cualquier desastre, entonces la última copia de respaldo es hasta 1 hora antes del desastre o la interrupción.
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Factores críticos de éxito, disponibilidad de servicios
Los factores importantes para lograr éxito en el procesode Administración de Continuidad de Servicios de TI son los siguientes:
•Realizar análisis de riesgos para el plan de continuidad.
•El plan de continuidad debe de estar en términos del negocio y TI.
•Realizar un análisis financiero, para llevar a cabo el plan de continuidad.
•Ejecutar pruebas del plan de continuidad.
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
KPI‘s - Gestión de la Continuidad del Servicio de TI
Gestión de la Continuidad del Servicio
KPI (Métrica de CSI) DescripciónProcesos de negocio con acuerdos de continuidad
Porcentaje de procesos de negocio cubiertos por metas específicas decontinuidad del servicio
Lagunas en preparación para desastres Cantidad de lagunas identificadas en la preparación para eventos de desastres (amenazas serias sin contramedidas definidas)
Duración de la implementación Duración desde la identificación del riesgo relacionado a desastres hasta la implementación de un mecanismo de continuidad adecuado
Cantidad de prácticas para desastres Cantidad de prácticas para desastres que realmente se llevaron a cabo
Cantidad de defectos identificados durante las prácticas para desastres
Cantidad de defectos identificados en la preparación para eventos dedesastres identificados durante las prácticas
CARRERA DE INGENIERÍA DE SISTEMAS
Roles: Gerente de la Continuidad del Servicio
•Implementa y mantiene el proceso•Planes, riesgos y actividades relacionadas•BIA•Evaluación y gestión del riesgo•Comunicación y Concientización
•Desarrollo y mantenimiento de la estrategia de continuidad•Evalúa los problemas potenciales de continuidad de negocio•Gestiona la continuidad durante su operación•Asegura la preparación de todas las áreas de TI•Gestiona los contratos relacionados con continuidad con terceras partes
•Agenda las pruebas de TI•Calidad, conformidad y revisiones
Gestión de la Continuidad del Servicio
CARRERA DE INGENIERÍA DE SISTEMAS
Gestión de la Seguridad de la Informacion
CARRERA DE INGENIERÍA DE SISTEMAS
Confidencialidad
Integridad
Disponibilidad
Gestión de la Seguridad de la Informacion
CARRERA DE INGENIERÍA DE SISTEMAS
Objetivo• Cumplir con los requisitos de Seguridad acordados en
los SLA.• Proveer un nivel de Seguridad básico, Independiente
de los requisitos externos.
“Se asegura tanto, como
el valor de la información
que se protege”
Gestión de la Seguridad de la Informacion
CARRERA DE INGENIERÍA DE SISTEMAS
Definición
Controla la provisión de información y previene el uso sin autorización de la misma.
El estándar ISO 27001 (en general la familia de estándares ISO 2700X) ofrece una guía para el desarrollo de las buenas practicas en la gestión de la seguridad
Gestión de la Seguridad de la Informacion
CARRERA DE INGENIERÍA DE SISTEMAS
Qué busca la Seguridad de la Información
Gestión de la Seguridad de la Informacion
CARRERA DE INGENIERÍA DE SISTEMAS
• ¿Qué se debe preservar?
•1. CONFIDENCIALIDAD
•Se garantiza que la información es accesible sólo a aquellas personas autorizadas.
Seguridad de la Información
Gestión de la Seguridad de la Informacion
CARRERA DE INGENIERÍA DE SISTEMAS
¿Qué se debe preservar?
• 2. INTEGRIDAD
• Se salvaguarda la exactitud y• totalidad de la información• y los métodos de procesamiento• y transmisión.
Gestión de la Seguridad de la Informacion
CARRERA DE INGENIERÍA DE SISTEMAS
¿Qué se debe preservar?
3. DISPONIBILIDAD
Se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionados toda vez que lorequieran.
Gestión de la Seguridad de la Informacion
CARRERA DE INGENIERÍA DE SISTEMAS
Actividades; Gestión de Seguridad
Comunica, Implementa y aplica el cumplimiento de todas las políticas de seguridad
Monitorea y administra los incidentes e infracciones de seguridad
Crea informes, revisa y reduce las infracciones de seguridad e incidentes mayores
Produce y mantiene una política de seguridad de la información
Evalúa y clasifica los activos de información, riesgos y vulnerabilidades
Evalúa, revisa y genera informes con regularidad de los riesgos de seguridad y las amenazas
Impone y revisa los controles de seguridad de riesgos, revisa e implementa la mitigación de riesgos
Política de seguridad de la información
Sistema de Gestión de la Seguridad (SGSI)
Informes e información
de seguridad
Controles de seguridad
Riesgos y respuestas
de seguridad
Gestión de la Seguridad de la Informacion
CARRERA DE INGENIERÍA DE SISTEMAS
Actividades
•Política y organización de la seguridad•Planear•Implementar•Evaluar•Mantenimiento•Informes
Gestión de la Seguridad de la Informacion
CARRERA DE INGENIERÍA DE SISTEMAS
ISO 27001Esta norma es una basepara desarrollar prácticas yestándares administrarla
para seguridad
de la informacion en una organizacion
Desarrollo y Mantenimientode Sistemas
Gestión de Operaciones y Comunicaciones
Gestión de la Continuidad del Negocio
Seguridad Física y del Entorno
Seguridad Ligada alPersonal
ConformidadGestión de Incidentes de
Seguridad de Información
Control de AccesosClasificación y Control de Activos
Aspectos Organizativos parala Organización
Política de Seguridad
Seguridad Organizativa
Seguridad Lógica
Seguridad Física
Seguridad Legal
Gestión de la Seguridad de la Informacion
CARRERA DE INGENIERÍA DE SISTEMAS
DOMINIO
DOMINIO
DOMINIO
DOMINIO
DOMINIO
DOMINIO
DOMINIO
DOMINIO
•Política de Seguridad
Organización de
Seguridad
Administración de
Activos• Seguridad de los
Recursos Humanos• Seguridad Física y
Ambiental
• Gestión de Comunicaciones y
Operaciones Sistema de Control
de Accesos• Adquisición, Desarrollo y
Mantenimiento de Sistemas de• información
DOMINIO Administración de Incidentes de Seguridad de la
Información DOMINIO Plan de Continuidad del Negocio
DOMINIO Cumplimiento
Norma ISO 27001
DOMINIOS DE LA NORMA
Gestión de la Seguridad de la Informacion
CARRERA DE INGENIERÍA DE SISTEMAS
KPI's - Gestión de la Seguridad
KPI (Métrica de CSI) Descripción
Cantidad de medidas preventivasimplementadas
Cantidad de medidas de seguridad preventivas implementadas como respuesta a
amenazas de seguridad identificadas
Duración de la implementación de medidas preventivas implementadas
Duración desde la identificación de una amenaza de seguridad hasta la
implementación de una contramedida adecuada
Cantidad de incidentes graves de la seguridad
Cantidad de incidentes de seguridad identificados, clasificados por categoría degravedad
Cantidad de periodos de inactividad de servicio relacionados con la seguridad
Cantidad de incidentes de seguridad que causan interrupciones de servicio odisponibilidad reducida
Cantidad de pruebas de seguridad Cantidad de pruebas y adiestramientos de seguridad llevados a cabo
Cantidad de defectos identificados durante las pruebas de seguridad
Cantidad de defectos identificados en los mecanismos de seguridad durante laspruebas
CARRERA DE INGENIERÍA DE SISTEMAS
Gestión de la Seguridad de la Informacion
CARRERA DE INGENIERÍA DE SISTEMAS
Gestión de Proveedores
CARRERA DE INGENIERÍA DE SISTEMAS
Gestión de Proveedores
CARRERA DE INGENIERÍA DE SISTEMAS
Gestión de Proveedores
CARRERA DE INGENIERÍA DE SISTEMAS
KPI's - Gestión de Proveedores Externos
Gestión de Proveedores
KPI (Métrica de CSI) Descripción
Cantidad de UC’s acordados Porcentaje de contratos apoyados por los UC's
Cantidad de revisiones decontratos
Cantidad de revisiones de contratos y suministradoresrealizadas
Cantidad de incumplimientos decontrato identificados
Cantidad de obligaciones contractuales que no cumplieron lossuministradores (identificados durante las revisiones de
contratos)
CARRERA DE INGENIERÍA DE SISTEMAS
Gestión de Proveedores