plan de continuidad para el negocio...administración de la operación de cómputo y 28%...

Plan de Continuidad para el Negocio

Ing Rodrigo Ferrer V.rodrigo.ferrer@sisteseg.comCISSP, CISA, ABCP, CSSA, CST, COBIT f.c

Copyright: Rodrigo Ferrer

ITGI, Board Briefing on IT Governance, 2nd Edition, USA.

Copyright: Rodrigo Ferrer

AGENDAAGENDAAGENDAAGENDA

1. Introducción

2. Continuidad y recuperación del plan

3. Descripción metodología utilizada

4. Gestión del riesgo

5. Roles y responsabilidades

6. Mantenimiento del Plan

7. Conclusiones

IntroducciIntroducciIntroducciIntroduccióóóónnnn

Copyright: Rodrigo Ferrer

QuQuQuQuéééé es Continuidad del servicioes Continuidad del servicioes Continuidad del servicioes Continuidad del servicio????

La continuidad del servicio involucra capacidades tácticas y estratégicas preaprobadas por la dirección

de una entidad para responder a incidentes e

interrupciones del servicio con el fin de poder continuar con sus operaciones a un nivel aceptable

previamente definido.

Business continuity strategic and tactical capability, pre-approved by management, of an organization to plan for and respond to incidents and business interruptions in order to continue business operations at an acceptable pre-defined level (BSI, BS-25999,p.6.)

Copyright: Rodrigo Ferrer

GestiGestiGestiGestióóóón de la continuidad del n de la continuidad del n de la continuidad del n de la continuidad del servicioservicioservicioservicio

Copyright: Rodrigo Ferrer

Productos que lo componenProductos que lo componenProductos que lo componenProductos que lo componen

� Business Impact Analysis (Impacto de Análisis del Negocio).

� Risk Assesment (Evaluación o Valoración de Riesgos).

� Estrategias de Continuidad.

� Estructura Organizacional para la Continuidad (Roles, responsabilidades y procedimientos).

� Procesos de Continuidad.

� Plan de Pruebas del Plan de Continuidad.

Continuidad y RecuperaciContinuidad y RecuperaciContinuidad y RecuperaciContinuidad y Recuperacióóóón ante n ante n ante n ante desastresdesastresdesastresdesastres

Copyright: Rodrigo Ferrer

Continuidad y recuperaciContinuidad y recuperaciContinuidad y recuperaciContinuidad y recuperacióóóón ante n ante n ante n ante desastres.desastres.desastres.desastres.

Fuente: Syngress

Copyright: Rodrigo Ferrer

IntegraciIntegraciIntegraciIntegracióóóónnnn

BCP DRP

SGSI

Mejores Prácticas: ITIL V3, COBIT, ISO 27001

Copyright: Rodrigo Ferrer

Razones para un BCPRazones para un BCPRazones para un BCPRazones para un BCP

� Es mejor tener un plan para evitar la confusión durante el evento

– “Proactivo” Vs “Reactivo”

– Tomar las acciones correctivas cuando sea necesario

– Se deben establecer controles que mitiguen el riesgo

– Continuidad del servicio

– Respuesta ordenada ante un desastre

DescripciDescripciDescripciDescripcióóóón de la Metodologn de la Metodologn de la Metodologn de la Metodologíííía a a a UtilizadaUtilizadaUtilizadaUtilizada

Copyright: Rodrigo Ferrer

DRIDRIDRIDRI

Copyright: Rodrigo Ferrer

MetodologMetodologMetodologMetodologííííaaaa

Inicio del Proyecto

Análisis de Impacto al Servicio

Evaluación de Riesgos

Desarrollo de Estrategias de

Mitigación

Desarrollo del Plan de Continuidad del

Servicio

Entrenamiento, Pruebas, Auditoría

Mantenimiento del Plan de Continuidad

del Servicio

Copyright: Rodrigo Ferrer

BIABIABIABIA

Copyright: Rodrigo Ferrer

BIABIABIABIA

TIEMPO

CO

STO

O

PERDIDAS

INTERRUPCION

COSTO ESTRATEGIA

GestiGestiGestiGestióóóón del riesgon del riesgon del riesgon del riesgo

Copyright: Rodrigo Ferrer

El Riesgo

La falta de una gestión del riesgo en cualquier entidad puede tener como consecuencia:

– Perdida de tiempo.

– Perdida de productividad

– Perdida de información confidencial.

– Pérdida de clientes.

– Pérdida de imagen.

– Pérdida de ingresos por beneficios.

– Pérdida de ingresos por ventas y cobros.

– Pérdida de ingresos por producción.

– Pérdida de competitividad en el mercado.

– Pérdida de credibilidad en el sector.

Copyright: Rodrigo Ferrer

Atributos del riesgoAtributos del riesgoAtributos del riesgoAtributos del riesgo

Fuente: Webber

Copyright: Rodrigo Ferrer

GestiGestiGestiGestióóóón del riesgon del riesgon del riesgon del riesgo

21

Copyright: Rodrigo Ferrer

Las amenazasLas amenazasLas amenazasLas amenazas

Naturales &Ambientales

Amenazas

Accidentales IntencionalesFuego

Inundación

TormentaEléctrica

Sequía

Terremoto

Tornado

Huracán, Tifón, Ciclón

Volcán

Tsunami

Pandémica

Humanas

Omisión

Error

Omisión

Error

Fuego

Robo

Sabotaje

Vandalismo

Huelga

Terrorismo

Amenaza químicao biológica

Guerra

Ciber-amenaza

De Infraestructura

Daño estructural

Comunicaciones

Sistemas deSeguridad

Potencia eléctrica

Calefacción / Aire

Paro de transporte

Pérdida deutilidades

Contaminación decomida o agua

Cambio legal oregulatorio

Copyright: Rodrigo Ferrer

Tipo de controles en el manejo Tipo de controles en el manejo Tipo de controles en el manejo Tipo de controles en el manejo del riesgodel riesgodel riesgodel riesgo

FFíísicossicos

TTéécnicos o cnicos o

tecnoltecnolóógicosgicos

AdministrativosAdministrativos

Objetivos del Manejo del riesgo

Estrategias deContinuidad

MITIGAR EL RIESGO(mitigar el impacto o reducir la probabilidad)

ACEPTAR o ASUMIR EL RIESGO

TRANSFERIR EL RIESGO

ATOMIZAR EL RIESGO

EVITAR EL RIESGO

GestiGestiGestiGestióóóón del Riesgon del Riesgon del Riesgon del Riesgo

Estrategías demitigación

No tecnológicas

Tecnológicas

Centros de Procesamiento

Servidores

Comunicaciones

Suministro Eléctrico

Equipos y Roles

Procesos de Continuidad

Recurso Humano

Capacitación

Suministros

Datos, Backups & Recuperación

GestiGestiGestiGestióóóón del Riesgon del Riesgon del Riesgon del Riesgo

Copyright: Rodrigo Ferrer

GestiGestiGestiGestióóóón del riesgon del riesgon del riesgon del riesgo

Copyright: Rodrigo Ferrer

Mejores PrMejores PrMejores PrMejores Práááácticascticascticascticas

Best Practices and Standards Help Enable Effective Governance Best Practices and Standards Help Enable Effective Governance Best Practices and Standards Help Enable Effective Governance Best Practices and Standards Help Enable Effective Governance

of IT Activities Increasingly, the use of standards and best of IT Activities Increasingly, the use of standards and best of IT Activities Increasingly, the use of standards and best of IT Activities Increasingly, the use of standards and best

practices, such as ITIL, practices, such as ITIL, practices, such as ITIL, practices, such as ITIL, CobiCobiCobiCobi T and ISO/IEC 27002, is being driven T and ISO/IEC 27002, is being driven T and ISO/IEC 27002, is being driven T and ISO/IEC 27002, is being driven

by business requirements for improved performance, value by business requirements for improved performance, value by business requirements for improved performance, value by business requirements for improved performance, value

transparency and increased control over IT activities.transparency and increased control over IT activities.transparency and increased control over IT activities.transparency and increased control over IT activities.

IT Governance Institute

Copyright: Rodrigo Ferrer

Seguridad de la InformaciSeguridad de la InformaciSeguridad de la InformaciSeguridad de la Informacióóóónnnn

Copyright: Rodrigo Ferrer

AnAnAnAnáááálisis de Brecha ISO 27001lisis de Brecha ISO 27001lisis de Brecha ISO 27001lisis de Brecha ISO 27001

20%Cumplimiento de Leyes

31.6%31.6%31.6%31.6%Promedio Promedio Promedio Promedio

30%Continuidad del Negocio

45%Desarrollo y mantenimiento de Sistemas

40%Control de Acceso

28%Administración de la operación de cómputo y comunicaciones.

60%Seguridad Física

40%Aspectos de Seguridad relacionados con el recurso humano.

33%Control y Clasificación de Activos.

20%Seguridad en la Organización.

0%Política de Seguridad

CumplimientoCumplimientoCumplimientoCumplimientoDominioDominioDominioDominio

Copyright: Rodrigo Ferrer

Vulnerabilidades en la redVulnerabilidades en la redVulnerabilidades en la redVulnerabilidades en la red

Ejemplo informe

Copyright: Rodrigo Ferrer

ITIL V3ITIL V3ITIL V3ITIL V3

Proveedores

Procesos Productos

Personas

Copyright: Rodrigo Ferrer

ITIL V3ITIL V3ITIL V3ITIL V3

Copyright: Rodrigo Ferrer

EvoluciEvoluciEvoluciEvolucióóóón del Servicion del Servicion del Servicion del Servicio

Roles y ResponsabilidadesRoles y ResponsabilidadesRoles y ResponsabilidadesRoles y Responsabilidades

Copyright: Rodrigo Ferrer

Estrategias de MitigaciEstrategias de MitigaciEstrategias de MitigaciEstrategias de Mitigacióóóónnnn

Mantenimiento del PlanMantenimiento del PlanMantenimiento del PlanMantenimiento del Plan

Copyright: Rodrigo Ferrer

Pruebas, CapacitaciPruebas, CapacitaciPruebas, CapacitaciPruebas, Capacitacióóóón, n, n, n, AuditorAuditorAuditorAuditorííííaaaay Mantenimiento.y Mantenimiento.y Mantenimiento.y Mantenimiento.

Copyright: Rodrigo Ferrer

EntrenamientoEntrenamientoEntrenamientoEntrenamiento

� Seminarios

� Cursos

� Procesos de certificación

� Slogans

� DVD

� Emails

� Campañas

� Afiches

ConclusionesConclusionesConclusionesConclusiones

Copyright: Rodrigo Ferrer

ConclusionesConclusionesConclusionesConclusiones

� Metodología probada internacionalmente (DRII)

� Estrategias de mitigación concertadas

– Antes

– Durante

– Después

� Gestión de riesgos

– Herramienta automatizada

– Plan de acción

FIN FIN FIN FIN