Plan de Continuidad para el Negocio

Plan de Continuidad para el Negocio
Ing Rodrigo Ferrer V.
[email protected]
CISSP, CISA, ABCP, CSSA, CST, COBIT f.c
ITGI, Board Briefing on IT Governance, 2nd Edition, USA.
Copyright: Rodrigo Ferrer
AGENDA
1.
2.
3.
4.
5.
6.
7.
Introducción
Continuidad y recuperación del plan
Descripción metodología utilizada
Gestión del riesgo
Roles y responsabilidades
Mantenimiento del Plan
Conclusiones
Copyright: Rodrigo Ferrer
Introducció
Introducción
Qué
Qué es Continuidad del servicio?
servicio?
La continuidad del servicio involucra capacidades
tácticas y estratégicas preaprobadas por la dirección
de una entidad para responder a incidentes e
interrupciones del servicio con el fin de poder
continuar con sus operaciones a un nivel aceptable
previamente definido.
Business continuity strategic and tactical capability, pre-approved by management,
of an organization to plan for and respond to incidents and business interruptions in
order to continue business operations at an acceptable pre-defined level (BSI, BS25999,p.6.)
Copyright: Rodrigo Ferrer
Gestió
Gestión de la continuidad del
servicio
Copyright: Rodrigo Ferrer
Productos que lo componen
Business Impact Analysis (Impacto de Análisis del Negocio).
Risk Assesment (Evaluación o Valoración de Riesgos).
Estrategias de Continuidad.
Estructura Organizacional para la Continuidad (Roles,
responsabilidades y procedimientos).
Procesos de Continuidad.
Plan de Pruebas del Plan de Continuidad.
Copyright: Rodrigo Ferrer
Continuidad y Recuperació
Recuperación ante
desastres
Continuidad y recuperació
recuperación ante
desastres.
Fuente: Syngress
Copyright: Rodrigo Ferrer
Integració
Integración
BCP
DRP
SGSI
Mejores Prácticas: ITIL V3, COBIT, ISO 27001
Copyright: Rodrigo Ferrer
Razones para un BCP
Es mejor tener un plan para evitar la confusión durante el
evento
–
“Proactivo” Vs “Reactivo”
–
Tomar las acciones correctivas cuando sea necesario
–
Se deben establecer controles que mitiguen el riesgo
–
Continuidad del servicio
–
Respuesta ordenada ante un desastre
Copyright: Rodrigo Ferrer
Descripció
Descripción de la Metodologí
Metodología
Utilizada
DRI
Copyright: Rodrigo Ferrer
Metodologí
Metodología
Inicio del Proyecto
Análisis de Impacto al
Servicio
Evaluación de
Riesgos
Desarrollo de
Estrategias de
Mitigación
Desarrollo del Plan de
Continuidad del
Servicio
Entrenamiento,
Pruebas, Auditoría
Mantenimiento del
Plan de Continuidad
del Servicio
Copyright: Rodrigo Ferrer
BIA
Copyright: Rodrigo Ferrer
O
BIA
COSTO
PERDIDAS
INTERRUPCION
COSTO ESTRATEGIA
TIEMPO
Copyright: Rodrigo Ferrer
Gestió
Gestión del riesgo
El Riesgo
La falta de una gestión del riesgo en cualquier
entidad puede tener como consecuencia:
–
–
–
–
–
–
–
–
–
–
Perdida de tiempo.
Perdida de productividad
Perdida de información confidencial.
Pérdida de clientes.
Pérdida de imagen.
Pérdida de ingresos por beneficios.
Pérdida de ingresos por ventas y cobros.
Pérdida de ingresos por producción.
Pérdida de competitividad en el mercado.
Pérdida de credibilidad en el sector.
Copyright: Rodrigo Ferrer
Atributos del riesgo
Fuente: Webber
Copyright: Rodrigo Ferrer
Gestió
Gestión del riesgo
Copyright: Rodrigo Ferrer
Las amenazas
Amenazas
Humanas
Naturales &
Ambientales
Accidentales
Intencionales
Omisión
Omisión
Daño estructural
Error
Error
Comunicaciones
Terremoto
Fuego
Inundación
Robo
Sistemas de
Seguridad
Tornado
Sabotaje
Potencia eléctrica
Sequía
Vandalismo
Calefacción / Aire
Huracán, Tifón,
Ciclón
Huelga
Paro de transporte
Terrorismo
Pérdida de
utilidades
Fuego
Tormenta
Eléctrica
Volcán
Tsunami
Amenaza química
o biológica
Pandémica
Guerra
Ciber-amenaza
De Infraestructura
Contaminación de
comida o agua
Cambio legal o21
regulatorio
Copyright: Rodrigo Ferrer
Tipo de controles en el manejo
del riesgo
Técnicos o
tecnológicos
Físicos
Administrativos
Objetivos del Manejo del riesgo
Copyright: Rodrigo Ferrer
Gestió
Gestión del Riesgo
ACEPTAR o ASUMIR EL RIESGO
EVITAR EL RIESGO
Estrategias de
Continuidad
TRANSFERIR EL RIESGO
MITIGAR EL RIESGO
(mitigar el impacto o reducir la probabilidad)
ATOMIZAR EL RIESGO
Gestió
Gestión del Riesgo
Centros de Procesamiento
Servidores
Tecnológicas
Comunicaciones
Suministro Eléctrico
Datos, Backups & Recuperación
Estrategías de
mitigación
Equipos y Roles
Procesos de Continuidad
No tecnológicas
Recurso Humano
Capacitación
Suministros
Gestió
Gestión del riesgo
Copyright: Rodrigo Ferrer
Mejores Prá
Prácticas
Best Practices and Standards Help Enable Effective Governance
of IT Activities Increasingly, the use of standards and best
practices, such as ITIL, Cobi T and ISO/IEC 27002, is being driven
by business requirements for improved performance, value
transparency and increased control over IT activities.
IT Governance Institute
Copyright: Rodrigo Ferrer
Seguridad de la Informació
Información
Copyright: Rodrigo Ferrer
Aná
Análisis de Brecha ISO 27001
Dominio
Cumplimiento
Política de Seguridad
0%
Seguridad en la Organización.
20%
Control y Clasificación de Activos.
33%
Aspectos
humano.
de
Seguridad
relacionados
con
el
recurso
Seguridad Física
Administración
de
comunicaciones.
Control de Acceso
40%
60%
la
operación
de
cómputo
y
28%
40%
Desarrollo y mantenimiento de Sistemas
45%
Continuidad del Negocio
30%
Cumplimiento de Leyes
20%
Promedio
31.6%
Copyright: Rodrigo Ferrer
Vulnerabilidades en la red
Ejemplo informe
Copyright: Rodrigo Ferrer
ITIL V3
Personas
Procesos
Productos
Proveedores
Copyright: Rodrigo Ferrer
ITIL V3
Copyright: Rodrigo Ferrer
Evolució
Evolución del Servicio
Copyright: Rodrigo Ferrer
Roles y Responsabilidades
Estrategias de Mitigació
Mitigación
Copyright: Rodrigo Ferrer
Mantenimiento del Plan
Pruebas, Capacitació
Capacitación, Auditorí
Auditoría
y Mantenimiento.
Copyright: Rodrigo Ferrer
Entrenamiento
Seminarios
Cursos
Procesos de certificación
Slogans
DVD
Emails
Campañas
Afiches
Copyright: Rodrigo Ferrer
Conclusiones
Conclusiones
Metodología probada internacionalmente (DRII)
Estrategias de mitigación concertadas
–
Antes
–
Durante
–
Después
Gestión de riesgos
–
Herramienta automatizada
–
Plan de acción
Copyright: Rodrigo Ferrer
FIN