Plan de Continuidad para el Negocio
Transcription
Plan de Continuidad para el Negocio
Plan de Continuidad para el Negocio Ing Rodrigo Ferrer V. rodrigo.ferrer@sisteseg.com CISSP, CISA, ABCP, CSSA, CST, COBIT f.c ITGI, Board Briefing on IT Governance, 2nd Edition, USA. Copyright: Rodrigo Ferrer AGENDA 1. 2. 3. 4. 5. 6. 7. Introducción Continuidad y recuperación del plan Descripción metodología utilizada Gestión del riesgo Roles y responsabilidades Mantenimiento del Plan Conclusiones Copyright: Rodrigo Ferrer Introducció Introducción Qué Qué es Continuidad del servicio? servicio? La continuidad del servicio involucra capacidades tácticas y estratégicas preaprobadas por la dirección de una entidad para responder a incidentes e interrupciones del servicio con el fin de poder continuar con sus operaciones a un nivel aceptable previamente definido. Business continuity strategic and tactical capability, pre-approved by management, of an organization to plan for and respond to incidents and business interruptions in order to continue business operations at an acceptable pre-defined level (BSI, BS25999,p.6.) Copyright: Rodrigo Ferrer Gestió Gestión de la continuidad del servicio Copyright: Rodrigo Ferrer Productos que lo componen Business Impact Analysis (Impacto de Análisis del Negocio). Risk Assesment (Evaluación o Valoración de Riesgos). Estrategias de Continuidad. Estructura Organizacional para la Continuidad (Roles, responsabilidades y procedimientos). Procesos de Continuidad. Plan de Pruebas del Plan de Continuidad. Copyright: Rodrigo Ferrer Continuidad y Recuperació Recuperación ante desastres Continuidad y recuperació recuperación ante desastres. Fuente: Syngress Copyright: Rodrigo Ferrer Integració Integración BCP DRP SGSI Mejores Prácticas: ITIL V3, COBIT, ISO 27001 Copyright: Rodrigo Ferrer Razones para un BCP Es mejor tener un plan para evitar la confusión durante el evento – “Proactivo” Vs “Reactivo” – Tomar las acciones correctivas cuando sea necesario – Se deben establecer controles que mitiguen el riesgo – Continuidad del servicio – Respuesta ordenada ante un desastre Copyright: Rodrigo Ferrer Descripció Descripción de la Metodologí Metodología Utilizada DRI Copyright: Rodrigo Ferrer Metodologí Metodología Inicio del Proyecto Análisis de Impacto al Servicio Evaluación de Riesgos Desarrollo de Estrategias de Mitigación Desarrollo del Plan de Continuidad del Servicio Entrenamiento, Pruebas, Auditoría Mantenimiento del Plan de Continuidad del Servicio Copyright: Rodrigo Ferrer BIA Copyright: Rodrigo Ferrer O BIA COSTO PERDIDAS INTERRUPCION COSTO ESTRATEGIA TIEMPO Copyright: Rodrigo Ferrer Gestió Gestión del riesgo El Riesgo La falta de una gestión del riesgo en cualquier entidad puede tener como consecuencia: – – – – – – – – – – Perdida de tiempo. Perdida de productividad Perdida de información confidencial. Pérdida de clientes. Pérdida de imagen. Pérdida de ingresos por beneficios. Pérdida de ingresos por ventas y cobros. Pérdida de ingresos por producción. Pérdida de competitividad en el mercado. Pérdida de credibilidad en el sector. Copyright: Rodrigo Ferrer Atributos del riesgo Fuente: Webber Copyright: Rodrigo Ferrer Gestió Gestión del riesgo Copyright: Rodrigo Ferrer Las amenazas Amenazas Humanas Naturales & Ambientales Accidentales Intencionales Omisión Omisión Daño estructural Error Error Comunicaciones Terremoto Fuego Inundación Robo Sistemas de Seguridad Tornado Sabotaje Potencia eléctrica Sequía Vandalismo Calefacción / Aire Huracán, Tifón, Ciclón Huelga Paro de transporte Terrorismo Pérdida de utilidades Fuego Tormenta Eléctrica Volcán Tsunami Amenaza química o biológica Pandémica Guerra Ciber-amenaza De Infraestructura Contaminación de comida o agua Cambio legal o21 regulatorio Copyright: Rodrigo Ferrer Tipo de controles en el manejo del riesgo Técnicos o tecnológicos Físicos Administrativos Objetivos del Manejo del riesgo Copyright: Rodrigo Ferrer Gestió Gestión del Riesgo ACEPTAR o ASUMIR EL RIESGO EVITAR EL RIESGO Estrategias de Continuidad TRANSFERIR EL RIESGO MITIGAR EL RIESGO (mitigar el impacto o reducir la probabilidad) ATOMIZAR EL RIESGO Gestió Gestión del Riesgo Centros de Procesamiento Servidores Tecnológicas Comunicaciones Suministro Eléctrico Datos, Backups & Recuperación Estrategías de mitigación Equipos y Roles Procesos de Continuidad No tecnológicas Recurso Humano Capacitación Suministros Gestió Gestión del riesgo Copyright: Rodrigo Ferrer Mejores Prá Prácticas Best Practices and Standards Help Enable Effective Governance of IT Activities Increasingly, the use of standards and best practices, such as ITIL, Cobi T and ISO/IEC 27002, is being driven by business requirements for improved performance, value transparency and increased control over IT activities. IT Governance Institute Copyright: Rodrigo Ferrer Seguridad de la Informació Información Copyright: Rodrigo Ferrer Aná Análisis de Brecha ISO 27001 Dominio Cumplimiento Política de Seguridad 0% Seguridad en la Organización. 20% Control y Clasificación de Activos. 33% Aspectos humano. de Seguridad relacionados con el recurso Seguridad Física Administración de comunicaciones. Control de Acceso 40% 60% la operación de cómputo y 28% 40% Desarrollo y mantenimiento de Sistemas 45% Continuidad del Negocio 30% Cumplimiento de Leyes 20% Promedio 31.6% Copyright: Rodrigo Ferrer Vulnerabilidades en la red Ejemplo informe Copyright: Rodrigo Ferrer ITIL V3 Personas Procesos Productos Proveedores Copyright: Rodrigo Ferrer ITIL V3 Copyright: Rodrigo Ferrer Evolució Evolución del Servicio Copyright: Rodrigo Ferrer Roles y Responsabilidades Estrategias de Mitigació Mitigación Copyright: Rodrigo Ferrer Mantenimiento del Plan Pruebas, Capacitació Capacitación, Auditorí Auditoría y Mantenimiento. Copyright: Rodrigo Ferrer Entrenamiento Seminarios Cursos Procesos de certificación Slogans DVD Emails Campañas Afiches Copyright: Rodrigo Ferrer Conclusiones Conclusiones Metodología probada internacionalmente (DRII) Estrategias de mitigación concertadas – Antes – Durante – Después Gestión de riesgos – Herramienta automatizada – Plan de acción Copyright: Rodrigo Ferrer FIN