contingencias tecnologicas

CICLO DE CONFERENCIAS DE CICLO DE CONFERENCIAS DE NOVEDADES ENNOVEDADES EN

TECNOLOGTECNOLOGÍÍA DE LA INFORMACIA DE LA INFORMACIÓÓNN

22ªª ReuniReunióónn““RESPUESTAS A CONTINGENCIAS RESPUESTAS A CONTINGENCIAS

TECNOLTECNOLÓÓGICAS DIARIASGICAS DIARIAS””

Consejo Profesional de Ciencias EconConsejo Profesional de Ciencias Econóómicas de la Ciudad Autmicas de la Ciudad Autóónoma de Buenos Airesnoma de Buenos Aires20132013

CICLO DE CONFERENCIAS DE CICLO DE CONFERENCIAS DE NOVEDADES ENNOVEDADES EN

TECNOLOGTECNOLOGÍÍA DE LA INFORMACIA DE LA INFORMACIÓÓNN

Coordinación y Exposición:

DR. C.P. ROBERTO D. SANGUINETTI

Coordinación General:

DRA. L.A. SUSANA H. VENTURA

Exposición:

SR. VALENTÍN N. ALMIRÓNLIC. EN SISTEMAS CARLOS A. FREYRE

Cambio de ParadigmasCambio de Paradigmas�Seguridad de la Información , Seguridad Informática

�Evolución Histórica de la Seguridad de la Información

�Puesta en Agenda . Acontecimientos desencadenantes.

�Capacitación , Comunicación

Respondiendo ante Contingencias Tecnológicas

Seguridad de la nformaciSeguridad de la nformacióónnTodas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener:


Seguridad InformSeguridad InformááticaticaEl concepto comprende la seguridad en el medio informático pudiendo encontrar información en diferentes medios o formas :

•Servidores , PC , Notebooks.•Casillas de Correo / Discos Virtuales.•Personas.•Papel.•Dispositivos Virtuales.


EvoluciEvolucióón Histn Históórica de la rica de la Seguridad de la InformaciSeguridad de la Informacióónn

Datos e Información del negocio como activo estratégico

Primera Etapa de las Sociedades

Situación Actual


EvoluciEvolucióón Histn Históórica de la rica de la Seguridad de la Seguridad de la

InformaciInformacióónn•Inicialmente ligada a los entornos militares, diplomáticos y gubernamentales.

•A nivel empresarial evoluciono como: lujo, obligación ( LPI,SOX),moda , gasto necesario.

•Actualmente se considera un activo estratégico


Acontecimientos Acontecimientos --AgendaAgenda

Atentados en los EEUU:

• 26/02/1993 -World Trade Center-NY

• 19/4/1995-EdificioFederal Oklahoma

• 11/9/2001- Torres Gemelas,WTC - NY


Programa Ready / ListoPrograma Ready / Listo


Programa Listo NegociosPrograma Listo Negocios


Directrices del Plan Ready/Listo NegociosDirectrices del Plan Ready/Listo Negocios

Fuente:


ContingenciaContingencia

Según Real Academia Española•Posibilidad de que algo suceda o no suceda.•Riesgo

Utilización del término en materia de S.I.


ANEXOSANEXOSBusiness Continuity Plan

REQUERIMIENTOS POR DEPARTAMENTO


BCP BCP -- MODELOSMODELOS


BCP Modelos (cont.)BCP Modelos (cont.)• Sectores de Negocio

• Infraestructura Física

• Hardware de Sistemas

• Sistema Operativo

• Aplicaciones de Negocio

• Comunicaciones de Voz

• Comunicaciones de Datos

• Registros Vitales

• Provisiones de Oficina

• Otros Requerimientos para la operatoria diaria

• Datos necesarios al final del día

• Bases de Datos


Modelo Modelo -- AnAnáálisis de Impactolisis de Impacto


AnAnáálisis de Impacto (cont.)lisis de Impacto (cont.)


AnAnáálisis de Impacto (cont)lisis de Impacto (cont)


Respondiendo anteRespondiendo anteContingencias TecnolContingencias Tecnolóógicasgicas

Consejo Profesional de Ciencias EconConsejo Profesional de Ciencias Econóómicas de la Ciudad Autmicas de la Ciudad Autóónoma de Buenos Airesnoma de Buenos Aires20132013

Si en 15 aSi en 15 añños no paso os no paso nada, nada, ¿¿porquporquéé va a va a suceder ahora?suceder ahora?


Gerencia de Seguridad Informática

Hasta que los eventos suceden…

¿¿QuQuéé es una contingencia?es una contingencia?

El término suele referirse a algo que es probable que ocurra, aunque no se tiene una certeza al respecto.La contingencia, por lo tanto, es lo posible o aquello que puede, o no, concretarse en determinados sitios y circunstancias.

Podemos sintetizarla como Podemos sintetizarla como ““la probabilidad de que un evento sucedala probabilidad de que un evento suceda””..

Escuela de la Contingencia:Escuela de la Contingencia:

Características:La contingencia centra su foco de atención en el ambiente externo de la empresa, dando prioridad a lo que ocurre fuera de la organización antes de indagar en los elementos internos de la estructura organizacional. Dicho enfoque busca un equilibrio entre ambos contextos, donde la organización busca obtener el mayor beneficio de sus circunstancias ambientales para garantizar su éxito como empresa.

Los factores externos pueden dividirse, según (Hall, 1973), en condiciones generales e influencias específicas. Las primeras constituyen aspectos como las variables tecnológicas, económicas, legales y políticas, mientras que los segundos están compuestos por aspectos que afectan particularmente a dicha organización, tales como otras organizaciones o individuos claves. Dos de los elementos más importantes que componen las condiciones generales son la tecnología y el ambiente (Koontz y Weihrich, 2004), cuyo intercambio con los factores internos de la organización hace que esta adopte ciertas formas de estructura y comportamiento para su adaptación al medio externo.



Plan de ContingenciasPlan de ContingenciasDefiniciDefinicióón:n:

Estrategia planificada con una serie de procedimientos que nos faciliten o nos orienten a tener una solución alternativa que nos permita restituir en el menor tiempo posible los servicios de la organización ante la eventualidad de todo lo que lo pueda paralizar, ya sea de forma parcial o total.

Objetivos:Objetivos:

El objetivo principal de un plan de contingencia es definir las acciones que una empresa ha de realizar en caso de que alguna contingencia (incidente) impida su funcionamiento normal, y recuperar, en el periodo más breve de tiempo, las operaciones y servicios que se han definido como críticas para el negocio.

Razones para implantar el planRazones para implantar el plan

Actualmente entre las PYMES, no existe una conciencia clara en relación a la adopción de planes de continuidad de negocio y por ende, de contingencia. Las razones para implantar un plan de contingencia pueden ser muy numerosas en función de los controles a aplicar. A continuación se listan las más importantes:

•El hecho de tener pérdidas significativas de datos, en muchas empresas supone el cierre de la misma.

•Existen estudios que afirman que el 40% de las empresas que sufren un desastre de importancia y no tienen implantado un plan de contingencia, cesan su negocio.

•Contar con un plan de contingencia asociado a un plan de seguridad, aporta confianza frente a terceros.



PROCESOSPROCESOS

CRITICOSCRITICOS

Tecnología

Servicios de Terceros

Personas

Información Física

Infraestructura

Escenarios que pueden afectar los Procesos CrEscenarios que pueden afectar los Procesos Crííticosticos

Pérdida o destrucción de información físicarelevante para la ejecución de un proceso.

Pérdida o destrucción de las instalaciones donde se llevan a cabo los procesos.

Sin acceso a las instalaciones principales donde se ejecutan los procesos.

Sin acceso a los sistemas de información claves para la ejecución de los procesos.

Sin disponibilidad de plataformas tecnológicas críticas para el desarrollo de los procesos.

Sin disponibilidad de proveedores críticos parala ejecución de procesos con dependencia.

Dependencia de personal clave para eldesarrollo de los procesos.Sin disponibilidad = pSin disponibilidad = péérdida total o parcial de rdida total o parcial de

uno muno máás factores.s factores.

6



GestiGestióón de lan de laContinuidad del NegocioContinuidad del Negocio

Respuesta a las

emergencias

Recuperación de

procesos

Administración de

suministros

Manejo de crisis

Administración /

Conocimiento

Administración de la

Calidad

Salvaguarda y salud

Administración de

riesgos

Recuperación de TI

VisiVisióón integral de la Continuidad del Negocio (BCP & RM)n integral de la Continuidad del Negocio (BCP & RM)

7



Desarrollar ImplementarAnalizar

DesarrollandoDesarrollando el Planel Plan de Continuidad del Negociode Continuidad del Negocio8

Procedimientos

Adquisición e implementación

de recursos

Mantenimiento

Mejora del proceso

Evaluación de la situación actual

Evaluación de riesgos

Análisis deimpacto del

negocio

Gobernabilidad

Prueba yentrenamiento

Disponibilidad /estrategias de recuperación



Resumen de las actividades de análisis

•Evaluación de la situación actualEjecutar una revisión rápida y enfocada del negocio, de las estrategias informales existentes, relevar los niveles de continuidad de las operaciones actuales, los componentes básicos de los procesos y los servicios futuros deseados a alto nivel.

•Evaluación de riesgosIdentificar las principales amenazas que podrían causar la interrupción o falla en la operatoria de los procesos críticos relevados, realizar un análisis cualitativo determinando para cada riesgo la probabilidad de ocurrencia y nivel de impacto para el negocio, su inclusión o no en la estrategia de continuidad a desarrollar y priorización de los riesgos resultantes.

•Análisis de impacto del negocioRelevar y analizar el impacto que podría sufrir el negocio frente a la ocurrencia de una disrupción significativa, establecer los tiempos máximos de recuperación y puntos de recuperación para los procesos de negocio definidos en función del impacto financiero y operacional de potenciales interrupciones.

Resumen de las actividades de desarrollo

•Gobernabilidad

Desarrollar la política de administración de la continuidad del negocio que contemple la estrategia de recuperación deseada, desarrollar los estándares y lineamientos asociados, definir y asignar roles funcionales y operativos, mecanismos de monitoreo.

9

Resumen de las actividades de análisis, desarrollo e implementaciónGerencia de Seguridad Informática

• Disponibilidad / estrategias de recuperación

Definir las estrategias de recuperación y disponibilidad necesarias para alcanzar los niveles de continuidad establecidos durante el

• Procedimientos

Especificar las actividades, recursos y personal necesarios para recuperar el procesamiento ante una interrupción, detallar la secuencia en la que deben ser llevados a cabo los procesos de recuperación, y documentar las tareas e información de soporte que serán utilizadas por cada equipo de recuperación.

Resumen de las actividades de implementación

• Adquisición e implementación de recursos

Desarrollar el plan de implementación, organización de los equipos de trabajo intervinientes y adquisición de los recursos que fueran necesarios.

• Prueba y entrenamiento

Definir y desarrollar la estrategia de concientización al personal involucrado respecto a la política de continuidad, sus roles y responsabilidades, y verificar el nivel de efectividad y eficiencia de los planes documentados a partir de la prueba de los mismos.

• Mantenimiento

Efectuar un control de calidad de los resultados obtenidos en las pruebas y adecuar los planes en función de mejoras propuestas y cambios en la tecnología empleada y/o nuevas estrategias de negocio.

10

Resumen de las actividades de análisis, desarrollo e implementaciónGerencia de Seguridad Informática

Realizando resguardos de informaciRealizando resguardos de informacióón sensible:n sensible:

¿¿ccóómo hacerlos y asegurarnos de no perder informacimo hacerlos y asegurarnos de no perder informacióón en el intento?, n en el intento?, Mejores prMejores práácticas.cticas.

PolPolííticas de Resguardo de Informaciticas de Resguardo de Informacióónn

No es ninguna novedad el valor que tiene la información y los datos para nuestros negocios. Los que resulta increíble de esto es la falta de precauciones que solemos tener al confiar al núcleo de nuestros negocios al sistema de almacenamiento de lo que en la mayoría de los casos resulta ser una computadora pobremente armada tanto del punto de vista de hardware como de software.Las interrupciones se presentan de formas muy variadas: virus informáticos, fallos

de electricidad, errores de hardware y software, caídas de red, hackers, errores humanos, incendios, inundaciones, etc. Y aunque no se pueda prevenir cada una de estas interrupciones, la empresa sí puede prepararse para evitar las consecuencias que éstas puedan tener sobre su negocio. Del tiempo que tarde en reaccionar una empresa dependerá la gravedad de sus consecuencias.



Realizando resguardos de informaciRealizando resguardos de informacióón sensible:n sensible:

¿¿ccóómo hacerlos y asegurarnos de no perder informacimo hacerlos y asegurarnos de no perder informacióón en el intento?, n en el intento?, pruebas y mejores prpruebas y mejores práácticas.cticas.

PolPolííticas de Resguardo de Informaciticas de Resguardo de Informacióónn

No es ninguna novedad el valor que tiene la información y los datos para nuestros negocios. Los que resulta increíble de esto es la falta de precauciones que solemos tener al confiar al núcleo de nuestros negocios al sistema de almacenamiento de lo que en la mayoría de los casos resulta ser una computadora pobremente armada tanto del punto de vista de hardware como de software.Las interrupciones se presentan de formas muy variadas: virus informáticos, fallos

de electricidad, errores de hardware y software, caídas de red, hackers, errores humanos, incendios, inundaciones, etc. Y aunque no se pueda prevenir cada una de estas interrupciones, la empresa sí puede prepararse para evitar las consecuencias que éstas puedan tener sobre su negocio. Del tiempo que tarde en reaccionar una empresa dependerá la gravedad de sus consecuencias.



Buenas PrBuenas Práácticas para el resguardos de informacicticas para el resguardos de informacióónn

1) Selecciona y divide tu información: Separa cuidadosamente la información sensible.

2) Elige el medio de almacenamiento:Si sólo manejas archivos de texto, hojas de cálculo, presentaciones con diapositivas o documentos PDF, éstos requieren de muy poco espacio, por lo que puedes utilizar USB’s o CD’s; pero si manejas grandes cantidades de información utiliza dispositivos de mayor capacidad.

3) Establece tus tiempos de respaldo:Dedica un tiempo para resguardar tu información, si manejas información crítica y de constante actualización, es recomendable que respaldes tu información regular y periódicamente, diario si te es posible y piensa en la posibilidad de utilizar herramientas automáticas.

4) Control de los medios de almacenamiento:Sea cual sea el medio de almacenamiento que utilices, etiquétalo de manera adecuada y lleva un control de: etiquetas de los medios, fechas y tipo de información respaldada.Si llevas este control en un documento electrónico ten a la mano una impresión, seguramente te será muy útil a la hora de restaurar.




5) Un solo respaldo no es suficiente:No basta con tener un solo respaldo de la información, si te es posible haz un duplicado de éste, los respaldos también son susceptibles a factores externos o fallas a la hora de la restauración.

6) Tipo de resguardo: ¿un respaldo total o parcial?Si realizas respaldos totales, asegúrate que sea información que no cambie constantemente, así evitarás redundancia y un alto costo en medios de almacenamiento, se puede llevar a cabo un respaldo total cada semana, junto con respaldos diarios de la información que haya cambiado; de este modo al momento de restaurar bastará con tomar el ultimo respaldo total junto los subsecuentes respaldos parciales.

7) Alternativas virtuales de almacenamiento: Si necesitamos respaldar inmediatamente información latente y queremos que se resguarde en línea podemos utilizar Dropbox, SkyDrive, Gdrive, debemos tener en cuenta que nuestra información estará disponible desde cualquier parte del mundo pero debemos conocer los riesgos que ello conlleva.

8) Protege tu información si se encuentra respaldada en la nube: un espacio de alojamiento en internet utiliza herramientas de encriptación no expongas tu información sensible, de esta manera evitarás que caiga en manos equivocadas y hagan mal uso de ella.




9) Verifica tus respaldos cada determinada frecuencia: No almacenes los resguardos sin revisar que los medios y la información resguardada se encuentran en buenas condiciones, realizando simulacros de restauración para verificar el estado de la información cada una frecuencia periódica.

10) Maneja adecuadamente los medios de almacenamiento:Mantén alejado cualquier medio de almacenamiento de altas temperaturas, polvo, luz solar y humedad.

11) Transporte de Resguardos:Establece seguridad en el traslado de los resguardos, cifra el contenido de los resguardos ya que en caso de pérdida o robo del mismo dejarás expuesta toda tu información sensible.



Contingencias infecciones de virusContingencias infecciones de virus

- Se infectó mi PC, ¿Qué hago?

- Limpieza del equipo.

- DEMO::



Contingencias correo electrContingencias correo electróóniconico



Gerencia de Seguridad InformGerencia de Seguridad InformááticaticaConsejo Profesional De Ciencias EconConsejo Profesional De Ciencias Econóómicas de La Ciudad de Buenos Aires 2013.micas de La Ciudad de Buenos Aires 2013.

Email: [email protected]

Preguntas

Preguntas

Gracias!

Gracias!

☺☺☺☺☺☺☺☺

Seguinos en las Fan PagesSeguinos en las Fan Pages

@ConsejoCABA

ConsejoCABA

contingencias tecnologicas

Education

cadas de red

fallos de electricidad

lisis de impacto

en el intento

perder informacimo hacerlos

errores de hardware

tiene la informacin

asegurarnos de