plan de continuidad para el negocio - sisteseg · pdf fileplan de continuidad para el negocio...
TRANSCRIPT
Plan de Continuidad para el Negocio
Ing Rodrigo Ferrer [email protected], CISA, ABCP, CSSA, CST, COBIT f.c
Copyright: Rodrigo Ferrer
ITGI, Board Briefing on IT Governance, 2nd Edition, USA.
Copyright: Rodrigo Ferrer
AGENDAAGENDAAGENDAAGENDA
1. Introducción
2. Continuidad y recuperación del plan
3. Descripción metodología utilizada
4. Gestión del riesgo
5. Roles y responsabilidades
6. Mantenimiento del Plan
7. Conclusiones
IntroducciIntroducciIntroducciIntroduccióóóónnnn
Copyright: Rodrigo Ferrer
QuQuQuQuéééé es Continuidad del servicioes Continuidad del servicioes Continuidad del servicioes Continuidad del servicio????
La continuidad del servicio involucra capacidades tácticas y estratégicas preaprobadas por la dirección
de una entidad para responder a incidentes e
interrupciones del servicio con el fin de poder continuar con sus operaciones a un nivel aceptable
previamente definido.
Business continuity strategic and tactical capability, pre-approved by management, of an organization to plan for and respond to incidents and business interruptions in order to continue business operations at an acceptable pre-defined level (BSI, BS-25999,p.6.)
Copyright: Rodrigo Ferrer
GestiGestiGestiGestióóóón de la continuidad del n de la continuidad del n de la continuidad del n de la continuidad del servicioservicioservicioservicio
Copyright: Rodrigo Ferrer
Productos que lo componenProductos que lo componenProductos que lo componenProductos que lo componen
� Business Impact Analysis (Impacto de Análisis del Negocio).
� Risk Assesment (Evaluación o Valoración de Riesgos).
� Estrategias de Continuidad.
� Estructura Organizacional para la Continuidad (Roles, responsabilidades y procedimientos).
� Procesos de Continuidad.
� Plan de Pruebas del Plan de Continuidad.
Continuidad y RecuperaciContinuidad y RecuperaciContinuidad y RecuperaciContinuidad y Recuperacióóóón ante n ante n ante n ante desastresdesastresdesastresdesastres
Copyright: Rodrigo Ferrer
Continuidad y recuperaciContinuidad y recuperaciContinuidad y recuperaciContinuidad y recuperacióóóón ante n ante n ante n ante desastres.desastres.desastres.desastres.
Fuente: Syngress
Copyright: Rodrigo Ferrer
IntegraciIntegraciIntegraciIntegracióóóónnnn
BCP DRP
SGSI
Mejores Prácticas: ITIL V3, COBIT, ISO 27001
Copyright: Rodrigo Ferrer
Razones para un BCPRazones para un BCPRazones para un BCPRazones para un BCP
� Es mejor tener un plan para evitar la confusión durante el evento
– “Proactivo” Vs “Reactivo”
– Tomar las acciones correctivas cuando sea necesario
– Se deben establecer controles que mitiguen el riesgo
– Continuidad del servicio
– Respuesta ordenada ante un desastre
DescripciDescripciDescripciDescripcióóóón de la Metodologn de la Metodologn de la Metodologn de la Metodologíííía a a a UtilizadaUtilizadaUtilizadaUtilizada
Copyright: Rodrigo Ferrer
DRIDRIDRIDRI
Copyright: Rodrigo Ferrer
MetodologMetodologMetodologMetodologííííaaaa
Inicio del Proyecto
Análisis de Impacto al Servicio
Evaluación de Riesgos
Desarrollo de Estrategias de
Mitigación
Desarrollo del Plan de Continuidad del
Servicio
Entrenamiento, Pruebas, Auditoría
Mantenimiento del Plan de Continuidad
del Servicio
Copyright: Rodrigo Ferrer
BIABIABIABIA
Copyright: Rodrigo Ferrer
BIABIABIABIA
TIEMPO
CO
STO
O
PERDIDAS
INTERRUPCION
COSTO ESTRATEGIA
GestiGestiGestiGestióóóón del riesgon del riesgon del riesgon del riesgo
Copyright: Rodrigo Ferrer
El Riesgo
La falta de una gestión del riesgo en cualquier entidad puede tener como consecuencia:
– Perdida de tiempo.
– Perdida de productividad
– Perdida de información confidencial.
– Pérdida de clientes.
– Pérdida de imagen.
– Pérdida de ingresos por beneficios.
– Pérdida de ingresos por ventas y cobros.
– Pérdida de ingresos por producción.
– Pérdida de competitividad en el mercado.
– Pérdida de credibilidad en el sector.
Copyright: Rodrigo Ferrer
Atributos del riesgoAtributos del riesgoAtributos del riesgoAtributos del riesgo
Fuente: Webber
Copyright: Rodrigo Ferrer
GestiGestiGestiGestióóóón del riesgon del riesgon del riesgon del riesgo
21
Copyright: Rodrigo Ferrer
Las amenazasLas amenazasLas amenazasLas amenazas
Naturales &Ambientales
Amenazas
Accidentales IntencionalesFuego
Inundación
TormentaEléctrica
Sequía
Terremoto
Tornado
Huracán, Tifón, Ciclón
Volcán
Tsunami
Pandémica
Humanas
Omisión
Error
Omisión
Error
Fuego
Robo
Sabotaje
Vandalismo
Huelga
Terrorismo
Amenaza químicao biológica
Guerra
Ciber-amenaza
De Infraestructura
Daño estructural
Comunicaciones
Sistemas deSeguridad
Potencia eléctrica
Calefacción / Aire
Paro de transporte
Pérdida deutilidades
Contaminación decomida o agua
Cambio legal oregulatorio
Copyright: Rodrigo Ferrer
Tipo de controles en el manejo Tipo de controles en el manejo Tipo de controles en el manejo Tipo de controles en el manejo del riesgodel riesgodel riesgodel riesgo
FFíísicossicos
TTéécnicos o cnicos o
tecnoltecnolóógicosgicos
AdministrativosAdministrativos
Objetivos del Manejo del riesgo
Estrategias deContinuidad
MITIGAR EL RIESGO(mitigar el impacto o reducir la probabilidad)
ACEPTAR o ASUMIR EL RIESGO
TRANSFERIR EL RIESGO
ATOMIZAR EL RIESGO
EVITAR EL RIESGO
GestiGestiGestiGestióóóón del Riesgon del Riesgon del Riesgon del Riesgo
Estrategías demitigación
No tecnológicas
Tecnológicas
Centros de Procesamiento
Servidores
Comunicaciones
Suministro Eléctrico
Equipos y Roles
Procesos de Continuidad
Recurso Humano
Capacitación
Suministros
Datos, Backups & Recuperación
GestiGestiGestiGestióóóón del Riesgon del Riesgon del Riesgon del Riesgo
Copyright: Rodrigo Ferrer
GestiGestiGestiGestióóóón del riesgon del riesgon del riesgon del riesgo
Copyright: Rodrigo Ferrer
Mejores PrMejores PrMejores PrMejores Práááácticascticascticascticas
Best Practices and Standards Help Enable Effective Governance Best Practices and Standards Help Enable Effective Governance Best Practices and Standards Help Enable Effective Governance Best Practices and Standards Help Enable Effective Governance
of IT Activities Increasingly, the use of standards and best of IT Activities Increasingly, the use of standards and best of IT Activities Increasingly, the use of standards and best of IT Activities Increasingly, the use of standards and best
practices, such as ITIL, practices, such as ITIL, practices, such as ITIL, practices, such as ITIL, CobiCobiCobiCobi T and ISO/IEC 27002, is being driven T and ISO/IEC 27002, is being driven T and ISO/IEC 27002, is being driven T and ISO/IEC 27002, is being driven
by business requirements for improved performance, value by business requirements for improved performance, value by business requirements for improved performance, value by business requirements for improved performance, value
transparency and increased control over IT activities.transparency and increased control over IT activities.transparency and increased control over IT activities.transparency and increased control over IT activities.
IT Governance Institute
Copyright: Rodrigo Ferrer
Seguridad de la InformaciSeguridad de la InformaciSeguridad de la InformaciSeguridad de la Informacióóóónnnn
Copyright: Rodrigo Ferrer
AnAnAnAnáááálisis de Brecha ISO 27001lisis de Brecha ISO 27001lisis de Brecha ISO 27001lisis de Brecha ISO 27001
20%Cumplimiento de Leyes
31.6%31.6%31.6%31.6%Promedio Promedio Promedio Promedio
30%Continuidad del Negocio
45%Desarrollo y mantenimiento de Sistemas
40%Control de Acceso
28%Administración de la operación de cómputo y comunicaciones.
60%Seguridad Física
40%Aspectos de Seguridad relacionados con el recurso humano.
33%Control y Clasificación de Activos.
20%Seguridad en la Organización.
0%Política de Seguridad
CumplimientoCumplimientoCumplimientoCumplimientoDominioDominioDominioDominio
Copyright: Rodrigo Ferrer
Vulnerabilidades en la redVulnerabilidades en la redVulnerabilidades en la redVulnerabilidades en la red
Ejemplo informe
Copyright: Rodrigo Ferrer
ITIL V3ITIL V3ITIL V3ITIL V3
Proveedores
Procesos Productos
Personas
Copyright: Rodrigo Ferrer
ITIL V3ITIL V3ITIL V3ITIL V3
Copyright: Rodrigo Ferrer
EvoluciEvoluciEvoluciEvolucióóóón del Servicion del Servicion del Servicion del Servicio
Roles y ResponsabilidadesRoles y ResponsabilidadesRoles y ResponsabilidadesRoles y Responsabilidades
Copyright: Rodrigo Ferrer
Estrategias de MitigaciEstrategias de MitigaciEstrategias de MitigaciEstrategias de Mitigacióóóónnnn
Mantenimiento del PlanMantenimiento del PlanMantenimiento del PlanMantenimiento del Plan
Copyright: Rodrigo Ferrer
Pruebas, CapacitaciPruebas, CapacitaciPruebas, CapacitaciPruebas, Capacitacióóóón, n, n, n, AuditorAuditorAuditorAuditorííííaaaay Mantenimiento.y Mantenimiento.y Mantenimiento.y Mantenimiento.
Copyright: Rodrigo Ferrer
EntrenamientoEntrenamientoEntrenamientoEntrenamiento
� Seminarios
� Cursos
� Procesos de certificación
� Slogans
� DVD
� Emails
� Campañas
� Afiches
ConclusionesConclusionesConclusionesConclusiones
Copyright: Rodrigo Ferrer
ConclusionesConclusionesConclusionesConclusiones
� Metodología probada internacionalmente (DRII)
� Estrategias de mitigación concertadas
– Antes
– Durante
– Después
� Gestión de riesgos
– Herramienta automatizada
– Plan de acción
FIN FIN FIN FIN