Plan de Continuidad para el Negocio - SISTESEG · PDF filePlan de Continuidad para el Negocio Ing Rodrigo Ferrer V. [email protected] CISSP, CISA, ABCP, CSSA, CST, COBIT

Plan de Continuidad para el Negocio

Ing Rodrigo Ferrer [email protected], CISA, ABCP, CSSA, CST, COBIT f.c

Copyright: Rodrigo Ferrer

ITGI, Board Briefing on IT Governance, 2nd Edition, USA.


AGENDAAGENDAAGENDAAGENDA

1. Introducción

2. Continuidad y recuperación del plan

3. Descripción metodología utilizada

4. Gestión del riesgo

5. Roles y responsabilidades

6. Mantenimiento del Plan

7. Conclusiones

IntroducciIntroducciIntroducciIntroduccióóóónnnn


QuQuQuQuéééé es Continuidad del servicioes Continuidad del servicioes Continuidad del servicioes Continuidad del servicio????

La continuidad del servicio involucra capacidades tácticas y estratégicas preaprobadas por la dirección

de una entidad para responder a incidentes e

interrupciones del servicio con el fin de poder continuar con sus operaciones a un nivel aceptable

previamente definido.

Business continuity strategic and tactical capability, pre-approved by management, of an organization to plan for and respond to incidents and business interruptions in order to continue business operations at an acceptable pre-defined level (BSI, BS-25999,p.6.)


GestiGestiGestiGestióóóón de la continuidad del n de la continuidad del n de la continuidad del n de la continuidad del servicioservicioservicioservicio


Productos que lo componenProductos que lo componenProductos que lo componenProductos que lo componen

� Business Impact Analysis (Impacto de Análisis del Negocio).

� Risk Assesment (Evaluación o Valoración de Riesgos).

� Estrategias de Continuidad.

� Estructura Organizacional para la Continuidad (Roles, responsabilidades y procedimientos).

� Procesos de Continuidad.

� Plan de Pruebas del Plan de Continuidad.

Continuidad y RecuperaciContinuidad y RecuperaciContinuidad y RecuperaciContinuidad y Recuperacióóóón ante n ante n ante n ante desastresdesastresdesastresdesastres


Continuidad y recuperaciContinuidad y recuperaciContinuidad y recuperaciContinuidad y recuperacióóóón ante n ante n ante n ante desastres.desastres.desastres.desastres.

Fuente: Syngress


IntegraciIntegraciIntegraciIntegracióóóónnnn

BCP DRP

SGSI

Mejores Prácticas: ITIL V3, COBIT, ISO 27001


Razones para un BCPRazones para un BCPRazones para un BCPRazones para un BCP

� Es mejor tener un plan para evitar la confusión durante el evento

– “Proactivo” Vs “Reactivo”

– Tomar las acciones correctivas cuando sea necesario

– Se deben establecer controles que mitiguen el riesgo

– Continuidad del servicio

– Respuesta ordenada ante un desastre

DescripciDescripciDescripciDescripcióóóón de la Metodologn de la Metodologn de la Metodologn de la Metodologíííía a a a UtilizadaUtilizadaUtilizadaUtilizada


DRIDRIDRIDRI


MetodologMetodologMetodologMetodologííííaaaa

Inicio del Proyecto

Análisis de Impacto al Servicio

Evaluación de Riesgos

Desarrollo de Estrategias de

Mitigación

Desarrollo del Plan de Continuidad del

Servicio

Entrenamiento, Pruebas, Auditoría

Mantenimiento del Plan de Continuidad

del Servicio


BIABIABIABIA


BIABIABIABIA

TIEMPO

CO

STO

O

PERDIDAS

INTERRUPCION

COSTO ESTRATEGIA

GestiGestiGestiGestióóóón del riesgon del riesgon del riesgon del riesgo


El Riesgo

La falta de una gestión del riesgo en cualquier entidad puede tener como consecuencia:

– Perdida de tiempo.

– Perdida de productividad

– Perdida de información confidencial.

– Pérdida de clientes.

– Pérdida de imagen.

– Pérdida de ingresos por beneficios.

– Pérdida de ingresos por ventas y cobros.

– Pérdida de ingresos por producción.

– Pérdida de competitividad en el mercado.

– Pérdida de credibilidad en el sector.


Atributos del riesgoAtributos del riesgoAtributos del riesgoAtributos del riesgo

Fuente: Webber



21


Las amenazasLas amenazasLas amenazasLas amenazas

Naturales &Ambientales

Amenazas

Accidentales IntencionalesFuego

Inundación

TormentaEléctrica

Sequía

Terremoto

Tornado

Huracán, Tifón, Ciclón

Volcán

Tsunami

Pandémica

Humanas

Omisión

Error

Omisión

Error

Fuego

Robo

Sabotaje

Vandalismo

Huelga

Terrorismo

Amenaza químicao biológica

Guerra

Ciber-amenaza

De Infraestructura

Daño estructural

Comunicaciones

Sistemas deSeguridad

Potencia eléctrica

Calefacción / Aire

Paro de transporte

Pérdida deutilidades

Contaminación decomida o agua

Cambio legal oregulatorio


Tipo de controles en el manejo Tipo de controles en el manejo Tipo de controles en el manejo Tipo de controles en el manejo del riesgodel riesgodel riesgodel riesgo

FFíísicossicos

TTéécnicos o cnicos o

tecnoltecnolóógicosgicos

AdministrativosAdministrativos

Objetivos del Manejo del riesgo

Estrategias deContinuidad

MITIGAR EL RIESGO(mitigar el impacto o reducir la probabilidad)

ACEPTAR o ASUMIR EL RIESGO

TRANSFERIR EL RIESGO

ATOMIZAR EL RIESGO

EVITAR EL RIESGO

GestiGestiGestiGestióóóón del Riesgon del Riesgon del Riesgon del Riesgo

Estrategías demitigación

No tecnológicas

Tecnológicas

Centros de Procesamiento

Servidores

Comunicaciones

Suministro Eléctrico

Equipos y Roles

Procesos de Continuidad

Recurso Humano

Capacitación

Suministros

Datos, Backups & Recuperación

GestiGestiGestiGestióóóón del Riesgon del Riesgon del Riesgon del Riesgo




Mejores PrMejores PrMejores PrMejores Práááácticascticascticascticas

Best Practices and Standards Help Enable Effective Governance Best Practices and Standards Help Enable Effective Governance Best Practices and Standards Help Enable Effective Governance Best Practices and Standards Help Enable Effective Governance

of IT Activities Increasingly, the use of standards and best of IT Activities Increasingly, the use of standards and best of IT Activities Increasingly, the use of standards and best of IT Activities Increasingly, the use of standards and best

practices, such as ITIL, practices, such as ITIL, practices, such as ITIL, practices, such as ITIL, CobiCobiCobiCobi T and ISO/IEC 27002, is being driven T and ISO/IEC 27002, is being driven T and ISO/IEC 27002, is being driven T and ISO/IEC 27002, is being driven

by business requirements for improved performance, value by business requirements for improved performance, value by business requirements for improved performance, value by business requirements for improved performance, value

transparency and increased control over IT activities.transparency and increased control over IT activities.transparency and increased control over IT activities.transparency and increased control over IT activities.

IT Governance Institute


Seguridad de la InformaciSeguridad de la InformaciSeguridad de la InformaciSeguridad de la Informacióóóónnnn


AnAnAnAnáááálisis de Brecha ISO 27001lisis de Brecha ISO 27001lisis de Brecha ISO 27001lisis de Brecha ISO 27001

20%Cumplimiento de Leyes

31.6%31.6%31.6%31.6%Promedio Promedio Promedio Promedio

30%Continuidad del Negocio

45%Desarrollo y mantenimiento de Sistemas

40%Control de Acceso

28%Administración de la operación de cómputo y comunicaciones.

60%Seguridad Física

40%Aspectos de Seguridad relacionados con el recurso humano.

33%Control y Clasificación de Activos.

20%Seguridad en la Organización.

0%Política de Seguridad

CumplimientoCumplimientoCumplimientoCumplimientoDominioDominioDominioDominio


Vulnerabilidades en la redVulnerabilidades en la redVulnerabilidades en la redVulnerabilidades en la red

Ejemplo informe


ITIL V3ITIL V3ITIL V3ITIL V3

Proveedores

Procesos Productos

Personas


ITIL V3ITIL V3ITIL V3ITIL V3


EvoluciEvoluciEvoluciEvolucióóóón del Servicion del Servicion del Servicion del Servicio

Roles y ResponsabilidadesRoles y ResponsabilidadesRoles y ResponsabilidadesRoles y Responsabilidades


Estrategias de MitigaciEstrategias de MitigaciEstrategias de MitigaciEstrategias de Mitigacióóóónnnn

Mantenimiento del PlanMantenimiento del PlanMantenimiento del PlanMantenimiento del Plan


Pruebas, CapacitaciPruebas, CapacitaciPruebas, CapacitaciPruebas, Capacitacióóóón, n, n, n, AuditorAuditorAuditorAuditorííííaaaay Mantenimiento.y Mantenimiento.y Mantenimiento.y Mantenimiento.


EntrenamientoEntrenamientoEntrenamientoEntrenamiento

� Seminarios

� Cursos

� Procesos de certificación

� Slogans

� DVD

� Emails

� Campañas

� Afiches

ConclusionesConclusionesConclusionesConclusiones


ConclusionesConclusionesConclusionesConclusiones

� Metodología probada internacionalmente (DRII)

� Estrategias de mitigación concertadas

– Antes

– Durante

– Después

� Gestión de riesgos

– Herramienta automatizada

– Plan de acción

FIN FIN FIN FIN

Documents

Plan de Continuidad para el Negocio - SISTESEG · PDF filePlan de Continuidad para el Negocio Ing Rodrigo Ferrer V. [email protected] CISSP, CISA, ABCP, CSSA, CST, COBIT