Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información

(1)

Haga clic para cambiar el estilo de

título

Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

Curso de Seguridad de la

Información

Continuidad de Negocios y Planificación de

Recuperación de Desastre

(Business Continuity and Disaster Recovery Planning)

Continuidad y Recuperación ante Desastres

Introducción

Risk Assessment (RIA)

Business Impact Analysis (BIA)

Metodología Disaster Recovery Plan (DRP)

Metodología Business continuity Program (BCP)

Metodología Business Continuity Management (BCM)

Ejercicio de los Planes de Continuidad

(2)

Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 2

Preocupaciones del CIO

• Qué es lo que no le permite dormir al CIO desde el 2006? En orden de las 10 primeras preocupaciones:

• 1. La Seguridad Informática • 2. La Continuidad del Negocio

• 3. La Recuperación en casos de Desastre

• Fuente- Information Week

Continuidad y Recuperación ante Desastres

El dinero no es la

El dinero no es la úúnica preocupacinica preocupacióónn

• La pérdida de productividad de los empleados

• Una ruptura en el servicio del cliente

• La pérdida de confianza del cliente y “buena voluntad”

• El incremento en los costos de asistencia técnica

• Los niveles de servicio acordados con terceros

(3)

El dinero no es la

El dinero no es la úúnica preocupacinica preocupacióón (Cont.)n (Cont.)

Value of Tangible assets

Risk Management – A changing framework

1970’s 2000+ Production based economy Mainly National/Local Founded on Plant, Labour etc Knowledge based economy Value of Intangible assets

Knowledge Reputation Management Image Traditional Asset Protection

Continuidad y Recuperación ante Desastres

Recuperación ante Contingencias

Tareas a definir para …

– Antes de que ocurra una interrupción – Durante la ocurrencia de la interrupción – Después de que ocurrió la interrupción

Toda la Planificación de la Recuperación ante Contingencias debe ser

realizada antes de la ocurrencia de los eventos.

– Proactivo en lugar de Reactivo

La prioridad Número 1 de la recuperación ante contingencias es LA

(4)

Haga clic para cambiar el estilo de

título

Haga clic para modificar el estilo de texto del patrón Segundo nivel

Tercer nivel Cuarto nivel Quinto nivel

Risk Assessment (RIA)

Continuidad y Recuperación ante Desastres

Risk Assessment

• Seguridad de las redes y de la información:

– la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles

• Riesgo:

– estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización

• Activos:

– Son los recursos del sistema de información, o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección

(5)

Valoración de Activos

• Coste que supondría la ocurrencia de una amenaza – valor de reposición

– valor de reconstrucción – horas perdidas de trabajo – lucro cesante

– daños y perjuicios

• No sólo importa lo que cuesta,

importa más para qué vale • Para un estudio comparativo basta alguna escala sencilla:

– 0, 1, 2, ..., 10

– es más importante saber el valor relativo que el absoluto – Para un estudio de costes se requiere una estimación ajustada

Continuidad y Recuperación ante Desastres

Dimensiones de Valoración de activos

• Disponibilidad

– ¿Qué importancia tendría que el activo no estuviera disponible? • Integridad

– ¿Qué importancia tendría que el activo fuera modificado fuera de control? • Confidencialidad

– ¿Qué importancia tendría que el activo fuera conocido por personas no autorizadas? • Autenticidad

– ¿Qué importancia tendría que quien accede al activo no sea realmente quien se cree? • Trazabilidad (accountability)

(6)

Amenazas

Son los eventos que pueden desencadenar un incidente en la

organización, produciendo daños materiales o pérdidas inmateriales

Tipos de Amenazas:

Accidentales:

Naturales

Æ

Terremotos, huracanes

Humanos

Æ

errores operativos

Técnicos

Æ

fallas de Hardware

Deliberadas: (intencionales)

Humanas

Æ

terrorismo, robo

Técnicas

Æ

espionaje, hacking

Continuidad y Recuperación ante Desastres

Cuantificación de Amenazas

• Se trata de estimar la vulnerabilidad de los activos frente a las amenazas • Las amenazas se cuantifican por su efecto sobre los activos afectados

– frecuencia de ocurrencia

– ¿cuántas veces por año? – ARO = annual rate of occurrence

– Degradación

– daño causado

(7)

Impacto

• Consecuencia que sobre un activo tiene la materialización de una amenaza – pérdida posible

Continuidad y Recuperación ante Desastres

Riesgo

• Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización

– pérdida probable • Valoración

– cualitativa / subjetiva

– irrelevante …grave …intolerable – cuantitativa / económica

– coste dinerario • Métodos

– cualitativos: tabulares

(8)

Análisis de riesgos

Continuidad y Recuperación ante Desastres

(9)

Resumiendo Gestión del Riesgo

• Análisis de riesgos:

– proceso sistemático para estimar la magnitud de los riesgos a que estáexpuesta una

organización

• Evaluación de los riesgos:

– proceso en el que se coteja el riesgo estimado contra los criterios de la organización para

determinar la importancia del riesgo

• Tratamiento de riesgos:

– selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar

los riesgos identificados

Continuidad y Recuperación ante Desastres

Risk Assessment

• Metodología orientada a determinar la vulnerabilidades que puede padecer una organización. Con base en los diversos riesgos encontrados, se les asigna un valor específico, según la probabilidad de ocurrencia y de la cobertura del seguro contratado, con el fin de proponer alternativas para reducir el riesgo. • Identificamos:

– Identificacion de escenarios de fallas potenciales. – Probabilidad de Ocurrencia de la Falla.

– Costo de la falla (análisis de impacto). – Costo monetario.

– Gastos operativos adicionales.

– Violación de contratos o requerimientos legales. – Pérdida de ventaja competitiva, confianza del público. – Assumed maximum downtime (tiempo marco de recuperación). – Balance del impacto vs. costo de los controles/ contramedidas.

(10)

• 67% de las compañías que tienen un desastre por más de dos semanas, están fuera del negocio dentro de los

dos años siguientes”. Sun Systems

• Gartner Group estima que, de cinco empresas que sufren una contingencia dos de ellas saldrán del negocio

dentro de los cinco siguientes años. Gartner Group, September 2001

• El 40 % de las empresas dicen que tomará mas de un día regresar o “poner” en línea los sistemas en caso de

que el desastre destruya una localidad principal. Information Week Research, Nov 26, 2001

• El porcentaje de estar fuera de servicio por una hora es de $84,000 dólares en un Call Center. IDC

• El costo estimado por una hora de un empleado por no operar en caso de contingencia de acuerdo a

información de la Industria Aseguradora es de $ 370 USD. Meta Group

• El 45% de las contingencias de los centros de cómputo en EUA es debido a fallas de energía eléctrica.

Contingency Planning Research

• Las Funciones del Negocio no pueden continuar operando después de 4.8 días sin la recuperción de la

Infraestructura tecnológica. Info Security News

• EL 68% de los negocios RECLAMAN Planes de Contingencia. Disaster Recovery Journal

• El 60% de las empresas tienen información crítica de los usuarios en sus laptos o desktops. Network World,

November 26, 2001

Algunos Datos Estadísticos

Haga clic para cambiar el estilo de

título

Business Impact Analysis

(BIA)

(11)

Business Impact Analysis

•Análisis de Impactos al Negocio.

•A través de esta metodología se hace un análisis de todos los procesos y

aplicaciones dentro de la Empresa a través de un CUESTIONARIO que se aplica en diversos niveles.

•Como resultado se llega a determinar el portafolio de PROCESOS Y APLICACIONES CRITICAS, así como los Requerimientos Mínimos y las características de cada uno de ellos.

Continuidad y Recuperación ante Desastres

BIA

• Consiste en identificar los impactos de las interrupciones y

escenarios de desastre que pueden afectar la organización:

- Establecer el proyecto

- Evaluar los efectos de las interrupciones, daños e impactos al negocio - Establezca la metodología BIA (cuestionarios, talleres, entrevistas..) - Defina y categorice las funciones y registros críticos

- Determine las franjas de tiempo de recuperación y requerimientos de recursos mínimos

- Identifique y categorice procesos del negocio - Determine tiempos de reemplazo

(12)

BIA

• Consiste en realizar una evaluación de los procesos y sistemas

del negocio, con el objetivo de identificar

: – Áreas, funciones y/o procesos sensibles a interrupciones – Interdependencia entre procesos internos y externos – Impactos financieros de las interrupciones

– Impactos Operacionales de las interrupciones – Sistemas de información críticos para la operación – Tiempos objetivo de recuperación (RTO)

– Puntos Objetivo de recuperación (RPO)

– Clientes y proveedores críticos de la organización – Recursos necesarios para la recuperación de operaciones – Épocas críticas para la operación del negocio

Continuidad y Recuperación ante Desastres

BIA

• Resultados:

– Inventario de los procesos críticos del negocio.

– Secuencia de recuperación de procesos y sistemas críticos

– Estimación del impacto financiero de una interrupción en los procesos críticos del negocio.

– Estimación del impacto operacional de una interrupción en los procesos críticos del negocio.

– Identificación de los tiempos de recuperación para cada proceso crítico del negocio. – Identificación de los requerimientos mínimos de los procesos o aplicaciones críticas

(13)

Cuestionario BIA

• Datos básicos del proceso y de su dueño • Frecuencia del proceso

• Períodos de tiempo críticos • Tiempo máximo de interrupción • Volumen de trabajo del proceso

• Indicadores y medidas de desempeño existentes

• Impactos: Financiero, cliente interno, cliente externo, eficiencia operativa, aspectos legales, imagen - reputación y en general para la organización como negocio. • Dependencias internas y externas

• Aplicaciones informáticas que lo soportan • Procedimientos alternos existentes o sugeridos • Efectividad de los procedimientos alternos • Registros vitales de cada proceso

• Complejidad de recuperación de las dependencias evaluadas • Recursos mínimos para la recuperación de cada dependencia.

Haga clic para cambiar el estilo de

título

(14)

Disaster recovery plan

•Plan de Recuperación en Caso de Desastre. Está orientado a recuperar en el menor tiempo posible la operación de las APLICACIONES CRITICAS, utilizando para ello un equipo de cómputo alterno u otro plan alternativo, minimizando el impacto y el costo de un desastre.

•Permite recuperar las operaciones críticas definidas de IT. •Responsable: Área de Sistemas

Continuidad y Recuperación ante Desastres

DRP: Disaster Recovery Plan

• Objetivos

– Proteger a la organización de fallas generales de los servicios de información – Minimizar el riesgo generado por la demora en la provisión de servicios de

información

– Garantizar la confianza de los sistemas de backup a través de pruebas y simulaciones

– Minimizar la toma de decisiones del personal durante una contingencia

(15)

• Continuidad del procesamiento de datos

– Acuerdos de ayuda mutua

– Servicios de suscripción – Hot Site – Warm Site – Cold Site – Centros Múltiples – Service Bureaus – Centros Móviles

– Servicios de provisión de Hardware / Software

28

Continuidad y Recuperación ante Desastres

• Mantenimiento del Plan

– El plan es un documento “vivo”

– Asegurar que solo la copia más reciente del plan sea distribuida. Evitar la existencia de múltiples versiones

– Asegurar que la información de contactos esté actualizada

– Asegurar que ante la adquisición o modificación o eliminación de elementos críticos, estos serán incorporados al plan

(16)

Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 30 Finalizar estrategia de recuperación Definir estra-tegia de recu-peración Definir procesos de recuperación Refinar estrategia de recuperación Determinar viabilidad de estrategia Capacitación Pruebas Mantenimiento Documentación del Plan Definición de Recursos Análisis de Impacto Aplicativo Determinar los servicios críticos de soporte Análisis de Amenazas

Fase I

Fase II

Fase III Fase IV Fase IV Metodología DRP

Haga clic para cambiar el estilo de

título

(17)

Business Continuity Plan

•A diferencia del DRP, el Plan de Continuidad del Negocio (BCP) está orientado a recuperar en el menor tiempo posible la operación de las FUNCIONES CRITICAS del negocio, estén o no automatizadas.

•Responsable: Dirección

Continuidad y Recuperación ante Desastres

BCP y DRP Conceptos Generales

• Business Continuity Plan (BCP)

– Define las acciones a tomar en los casos en que una determinada

contingencia inhabilite algún área de operaciones o tecnología.

– Permite recuperar las operaciones críticas definidas

del negocio.

– Incluye el DRP.

“El objetivo de un BCP es establecer las estrategias y procedimientos que deben ser implementados por un equipo de individuos que provee

direccionamiento, soporte, equipamiento, metodologías y estándares para garantizar la continuidad de las operaciones del negocio”

(18)

Objetivos del BCP

• Proteger al personal y los activos corporativos • Asegurar la continuidad de las operaciones

• Garantizar la reanudación de los procesos críticos dentro de los margenes de tiempo tolerables

• Minimizar el proceso de toma de decisiones durante una contingencia • Reducir los efectos negativos ocasionados por el caos

• Mantener el servicio al cliente • Responder a los Inversionistas

• Cumplir con requerimientos Legales / Contractuales /Gubernamentales • Reducir al máximo los niveles de dependencia sobre personas o grupos

específicos en el proceso de continuidad.

• Eliminar la necesidad de desarrollar nuevos procedimientos durante la contingencia.

• Minimizar la posibilidad de pérdida de información crítica para el negocio. • Cumplir con requerimientos de auditoria

Continuidad y Recuperación ante Desastres

Metodología BCP Dependencia entre Sistemas Impactos sin servicio Requerimientos Críticos Tiempos / Periódos críticos Análisis de Impacto al Negocio Evaluación de Seguridad Mitigación del Desastre Análisis de

Amenazas Recuperación_{de Usuarios}

Recuperación del Negocio Recuperación Técnica Instalaciones de Recuperación Estudio de Riesgos Estrategias de Continuidad Procedimientos documentados Mantenimiento a Procedimientos Estructura de Plan Equipos de Recuperación Procedimientos de la Prueba Evaluación de la Prueba Programación de la Prueba Métodos de la Prueba Desarrollo del Plan Pruebas del Plan

(19)

Definición histórica Realidad

El Business Continuity está limitado, es enfocado con TI, relacionados con activos y normalmente ligados con unidades especificas de negocio o departamento. Con frecuencia son planeados pero no probados o ejecutados. Business Continuity Planning Business Continuity Planning Disaster RecoveryDisaster Recovery

La recuperación de datos y el Centro de Cómputo TI con buenos mecanismos ambientales y de protección pero pobre apalancamiento de la Infraestructura de TI. No se recuperan totalmente los activos de TI.

Disaster Recovery (DR) es una habilidad de la compañía para recuperar en un periodo aceptable de tiempo (basado en el tiempo de recuperación y la recuperación basada en ciertos objetivos) por un incidente mayor o desastre y que asegure que los usuarios, sistemas críticos del negocio son eficientemente restaurados en forma completa y accesible.

Business Continuity Planning (BCP) es un todo que engloba los terminos que describen el proceso de planeación para asegurar que una organización puede sobrevivir ante un evento que cause la interrupción del proceso normal del negocio.

Haga clic para cambiar el estilo de

título

(20)

• Programa funcional determinado por los requerimientos del negocio • Dirigido por un equipo directivo con autoridad para responder a las

interrupciones.

• Modifica las consecuencias de una interrupción a un nivel aceptable por la Dirección.

• Proporciona un medio probado para enfrentar las crisis. Programa de Continuidad de Negocios

Continuidad y Recuperación ante Desastres

Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 39 Objetivos del plan de continuidad del negocio

Garantizar una reanudación oportuna y eficiente de las

operaciones de la Empresa, cuando se presente una interrupción

mayor

(21)

Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 40 •Reducir las decisiones que se

toman durante una contingencia •Reducir los efectos negativos ocasionados por el CAOS

•Evitar la dependencia sobre una persona o grupo de personas en el proceso de recuperación

•Eliminar la necesidad de desarrollar nuevos procedimientos durante la recuperación

•Minimizar la pérdida de Información que se considere CRITICA

Objetivos del plan

Continuidad y Recuperación ante Desastres

BCP: Business Continuity Management

•Roles y Responsabilidades

– Alta Gerencia

– Inicia el proyecto, da la aprobación final y apoya la iniciativa a lo

largo de todo su ciclo de vida.

– Gerencia de Unidades de Negocio

– Identifican y priorizan los sistemas / operaciones críticas del

negocio.

– Comité de BCP

– Dirige los procesos de planificación, implementación y prueba del

BCP.

– Unidades Funcionales

(22)

Ciclo de Vida de la Administración de la Continuidad del Negocio

5

1

2

3

4

6

Entendimiento del Negocio Administración de la Estrategia de

Continuidad del Negocio

Desarrollo e Implementación de Respuesta del BCM Estructura y Difusión de la cultura del BCM Prueba, Mantenimiento y Plan de Auditoría Programa de Administración del BCM

BCM

Continuidad y Recuperación ante Desastres

Administración de la Continuidad del Negocio

Productos de Negocio y Servicios (Core del Negocio)

Recursos de Recuperación para la Estrategia del BCM

Plan de Manejo de Crisis

Programa de Entrenamiento del BCM Auditoría al BCM Aseguramiento del BCM Fase 1: Entendimiento del Negocio Fase 3: Desarrollo e Implementación de Respuesta del BCM Fase 2: Administración de la Estrategia de Continuidad del Negocio Fase 4: Estructura y Difusión de la cultura del BCM Fase 6: Administración del programa del BCM Fase 5: Prueba, Mantenimiento y Plan de Auditoría. Estrategia Organizacional del BCM (Corporativo) Plan(es) de Continuidad del Negocio Cultura de BCM y Programa de Concientización

Definición del Programa

Factores Críticos del Negocio (Misión de las

Actividades Críticas)

Niveles de los Procesos de la Estrategia del BCM

Planes de los Recursos de Recuperación Educación y Creación de las Actividades de Cultura Mantenimiento del BCM Política del BCM Pruebas del BCM Estrategia Organizacional y Objetivos del Negocio

(23)

Mejores Prácticas de BCM

• El comité directivo revisa anualmente el programa • La alta gerencia es responsable del BCM

• Personal de BC con presupuesto

• La función de BCM abarca todos los aspectos de la empresa • BCM es un proceso continuo

• Política comprensible de respaldo de registrosvitales

• Existencia de estrategias de recuperación basadas en prioridades, momento e impacto en la empresa (BIA)

• Existencia de un programa de concientización, capacitación, pruebas y ejercicios • El plan de continuidad está actualizado y disponible

• Un programa de continuidad de negocios NO es un proyecto, NO es una tarea de una sola vez, NO es por un período fijo de tiempo.

Debe ser un programa permanente, vivo, consistente en

varios proyectos interdependientes y reiterativos

Continuidad y Recuperación ante Desastres

Beneficios del BCM

• Prever y mitigar el desastre de forma positiva, logrando mantener la continuidad de la empresa su reputación, credibilidad y lealtad del cliente.

• Recuperar en forma efectiva en el tiempo a la organización, reduciendo los impactos por el evento de la contingencia.

• Identificar las prioridades del negocio, alineándolas al BCM con la sinergia de la arquitectura de TI proporcionando a la organización elementos de competitividad en el ambiente de los negocios y de la industria.

• Contar con voto de confianza por parte de los accionistas de la organización. • Delimitar las severidad del daño y riesgos hacia la salud y bienestar de los empleados. • Minimizar la magnitud de la interrupción sobre los procesos críticos ante eventos inesperados. • Contar con los elementos regulatorios y jurídicos para enfrentar juicios o demandas de terceros

o gubernamentales.

• Contar con un BCM alineado a los estándares internacionales que permita cubrir los lineamientos solicitados por cada uno de ellos.

• Contar con personal entrenado para el manejo de crisis y recuperación de las operaciones. • Asegurar que los registros vitales estén disponibles ante el evento de contingencia. • Contar con la mayoría de los procedimientos probados.

(24)

Curva de Madurez del BCM

Time

Level of bus

ine

s

Critical recovery point

B

No BCM – lucky escape

C

No BCM – usual outcome

A

Fully tested effective BCM

Continuidad y Recuperación ante Desastres

Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 47 Contexto BCM Contexto BCM ––BCP BCP --DRPDRP Plan específico a tecnología de la Información Plan dirigido a los procesos del Negocio Considera la administración de la continuidad del negocio como parte de un proceso

DRP

(Disaster Recovery Plan)

BCM

(Business Continuity Management)

BCP

(25)

Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 48 Evolución en el Tiempo Resp. de Información DRP BRP BCP BRS

DRP = Disaster Recovery Plan BRS = Business Recovery Services BRP = Business Recovery Plan BCP = Business Continuity Plan

BCM = Business Continuity Management

BCM

Estrategias de Continuidad Desarrollo del Plan Pruebas del Plan Estudio de Riesgos Análisis de Impacto al Negocio 5 1 2 3 4 6 BCM ‘80 ₁₉₉₇ ₁₉₉₈ ₁₉₉₉ ₂₀₀₀ ₂₀₀₁ ₂₀₀₂ ₂₀₀₄

Haga clic para cambiar el estilo de

título

Ejercicio de los Planes

de Continuidad

(26)

Objetivo de los Planes de Continuidad

• Planificar y coordinar el plan de ejercicios y evaluar y documentar los resultados de los mismos:

– Establecer un programa de ejercicios (pruebas) – Determinar requerimientos de los ejercicios – Definir escenarios de desastre

– Establecer criterios de evaluación y documentar los hallazgos – Crear un cronograma de ejercicios

– Crear un plan de control y reporte de los ejercicios – Facilitar la realización de los ejercicios

– Reporte post-ejercicios

– Retroalimentar y monitorear los resultados de los ejercicios – Definir un cronograma de mantenimiento de los planes – Formular los procedimientos de control de cambios

– Establecer procedimientos para informar el estado de los planes – Objetivos de auditoria

Continuidad y Recuperación ante Desastres

Prueba del Plan

• Objetivos

– Definición de un Plan de Pruebas

– Definición de los Procedimientos de Prueba – Planificación de las Pruebas

– Ejecución de las Pruebas – Evaluación de los resultados

– Ejecución de las modificaciones necesarias

• Excusas frecuentes para no probar el plan

– Tiempo

- Falta de presupuestos (costos de la prueba)

(27)

Testeo de los Planes

– Checklist (Lista de Verificación)

– Copias del plan son distribuidas a las gerencias para su revisión

– Seguimiento estructurado (structured walk-through)

– Gerentes de las áreas afectadas se reúnen para revisar el plan

– Simulación

– Todo el personal de soporte se reúne en una sesión de práctica

– Prueba en Paralelo

– Los sistemas críticos son ejecutados en el sitio alternativo

– Interrupción completa

– Todos los sistemas en producción son interrumpidos. Se procede a ejecutar el plan en condiciones reales.

– Las pruebas del plan deben realizarse alternando el personal a cargo

– No es absolutamente necesario efectuar siempre pruebas completas

– La periodicidad de las pruebas dependerá del grado de “movilidad”

del plan y/o del personal a cargo

– Toda prueba que haya sido 100% exitosa fue mal realizada

– Todo resultado de una prueba debe servir como feedback para

mejorar el plan

52

Continuidad y Recuperación ante Desastres

Regulaciones vigentes sobre Business Continuity

• US - Securities and Exchange Commission - NASD Rules 3510 & 3520 and the

NYSE Rule 446

• Basilea II & E-banking

• Sarbanes Oxley

• UK FSA – BCM Guidance

• BS 7799 (I7799), Apartado 10

• PAS 56 and from Summer 2006 BSI

• King II - South Africa

• Singapore - MAS BCM Standard

• Australian Standard for BCM

(28)

Websites de utilidad

– Disaster Recovery International Institute:

www.drii.org

– Disaster Recovery Journal:

www.drj.com

– Contingency Planning Management:

www.contingencyplanning.com

– Continuity Insights:

www.continuityinsights.com

- NIST

www.nist.gov

54

Continuidad y Recuperación ante Desastres

5 Curso de Seguridad de la Información - Módulo VIII – Seguridad en

A li i

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información

Haga clic para cambiar el estilo de

título

Curso de Seguridad de la

Información

Continuidad de Negocios y Planificación de

Recuperación de Desastre

(Business Continuity and Disaster Recovery Planning)

Continuidad y Recuperación ante Desastres



Introducción



Risk Assessment (RIA)



Business Impact Analysis (BIA)



Metodología Disaster Recovery Plan (DRP)



Metodología Business continuity Program (BCP)



Metodología Business Continuity Management (BCM)



Ejercicio de los Planes de Continuidad

Continuidad y Recuperación ante Desastres

• La pérdida de productividad de los empleados

• Una ruptura en el servicio del cliente

• La pérdida de confianza del cliente y “buena voluntad”

•

El incremento en los costos de asistencia técnica

• Los niveles de servicio acordados con terceros

Continuidad y Recuperación ante Desastres



Tareas a definir para …



Toda la Planificación de la Recuperación ante Contingencias debe ser

realizada antes de la ocurrencia de los eventos.



La prioridad Número 1 de la recuperación ante contingencias es LA

Haga clic para cambiar el estilo de

título

Risk Assessment (RIA)

Continuidad y Recuperación ante Desastres

Continuidad y Recuperación ante Desastres

Son los eventos que pueden desencadenar un incidente en la

organización, produciendo daños materiales o pérdidas inmateriales

Tipos de Amenazas:

Accidentales:

Naturales

Æ

Terremotos, huracanes

Humanos

Æ

errores operativos

Técnicos

Æ

fallas de Hardware

Deliberadas: (intencionales)

Humanas

Æ

terrorismo, robo

Técnicas

Æ

espionaje, hacking

Continuidad y Recuperación ante Desastres

Continuidad y Recuperación ante Desastres

Continuidad y Recuperación ante Desastres

Continuidad y Recuperación ante Desastres

Haga clic para cambiar el estilo de

título

Business Impact Analysis

(BIA)

Continuidad y Recuperación ante Desastres

• Consiste en identificar los impactos de las interrupciones y

escenarios de desastre que pueden afectar la organización:

• Consiste en realizar una evaluación de los procesos y sistemas

del negocio, con el objetivo de identificar

Continuidad y Recuperación ante Desastres

• Resultados:

Haga clic para cambiar el estilo de

título