Post on 05-Dec-2014
description
Seguridad Informática y Continuidad del Negocio
Erika Zenteno Savín, CBCP.
Auditor Líder BCM
Agenda
• Evolución de la Continuidad del Negocio en México
• Relación entre Seguridad Informática y Continuidad del Negocio
• Responsables del Plan de Continuidad
• Retos de la Gestión de la Continuidad del Negocio
Seguridad y Continuidad
• Sismo 1985 Ciudad de México
• Jueves 19 de septiembre de 1985, a las 7:19 horas.
• Magnitud de 8.1 grados Richter.
• Réplica más significativa al día siguiente 7.3 grados en la escala de Richter.
• El registro de 10 mil muertos aproximadamente.
• Mas de 4 mil personas rescatadas con vida de los escombros, hasta 10 días después del primer sismo.
• Más de un millón usuarios quedaron sin servicio eléctrico.
• Estructuras destruidas en su totalidad: 30 mil .
• Edificaciones con daños parciales: 68 mil.http://www.excelsior.com.mx/comunidad/2013/09/19/919241
• Enfoque cutural en México
… a mi no me va a pasar !
… si algo pasa, ya veremos en ese momento que podemos hacer
Seguridad y Continuidad
• 1985 - 1995
Seguridad y Continuidad
• Desastres informáticos
• Respaldos
• Sitio alterno
• Sistemas disponibles
Seguridad y Continuidad
• Tipos de Desastre
• Naturales Terremoto Incendio Inundación
• HumanosSabotaje Negligencia Huelga
• TécnicosDescompostura Eléctrico Instalaciones
Seguridad y Continuidad
• Disaster Recovery Plan - DRP
• Orientado a Informática
• Datos
• Servicios
• Aplicaciones
• Sistema Operativo
• Con frecuencia se ve simplemente como un SITE Alterno
Seguridad y Continuidad
• Director de Sistemas
• Seguridad Informática
Seguridad y Continuidad
• Responsables DRP
• 1995 - 1998
• Reducción presupuesto TI
• Centros de Soporte Alterno
• Proveedores de hardware
Seguridad y Continuidad
• Respaldo y restauración de Información
• Alta disponiblidad y replicación
Seguridad y Continuidad
• Respaldos totales
• Respaldos incrementales
• Respaldos diferenciales
• Recovery Point Objective - RPO
• Tiempo en el que el proceso de
negocio tiene que estar restaurado
después de un incidente grave para
evitar consecuencias inaceptables
Seguridad y Continuidad
• Fecha o momento de los archivos
que se deben restaurar después de
un incidente grave.
(pérdida de datos aceptable)
• Recovery Time Objective - RTO
Ultimo respaldo oPunto en que los datos
Son utilizables
Ocurrenciadel Desastre
Restauraciónde servicios
6 horas 2 horas
RPO
Tiempo
RTO
Cada vez más empresas, conscientes de los riesgos que enfrentan, dirigen sus esfuerzos a la Planeación de Continuidad de Negocio.
Esto es, no solo la continuidad de la operación de sistemas, sino de todo el negocio.
“Es la capacidad que tiene la organización para continuar la entrega de productos o servicios a niveles predefinidos aceptables después de que haya sucedido un incidente perjudicial. “
Seguridad y Continuidad
ISO 22301, Párrafo 3.3
• Plan de Continuidad de Negocio (Business Continuity Plan – BCP)
• 1999
• “Y2K”
Seguridad y Continuidad
• Posibles fallas en:
Sistemas bancarios
Líneas de producción
Suministro de energía y agua
Comunicaciones
• Disaster Recovery Plan
Seguridad y Continuidad
BCP
• Es un plan de toda la empresa
• Contempla la reanudación de funciones
DRP
• Es un plan de Sistemas
• Contempla la recuperación de aplicaciones
• Business Continuity Plan
• Los planes buscan minimizar:
Seguridad y Continuidad
• Las decisiones que se toman durante una contingencia.
• Los efectos negativos ocasionados por el caos.
• La dependencia sobre una persona en el proceso de recuperación.
• La necesidad de desarrollar nuevos procedimientos durante la recuperación.
Ataque al WTC en Nueva York
Seguridad y Continuidad
• 2002
• Respuesta de cuerpos de emergencia
• Sitios alternos en el mismo edificio
• Marco legal resguardo de información y continuidad de sistemas
Seguridad y Continuidad
• La Ley Sabarnes&Oaxley (sección 404) requiere a las organizaciones seleccionar un marco de control para asegurar la disponibilidad, integridad y confidencialidad de los sistemas de información.
• En México, la CNBV, requiere a las instituciones financieras contar con un Plan de Recuperación de los Sistemas de Información.
• 2005
Seguridad y Continuidad
Huracán Wilma Quintana Roo, México
• Participantes:
Sistemas
Seguridad
Responsabilidad Social
• 2010
Epidemia de Influenza
• Participantes:
Sistemas
Seguridad
Recursos Humanos
Seguridad y Continuidad
Seguridad y Continuidad
• Instalaciones
• Comunicaciones (ATMs y POS)
• Virus informático
• Internet
• Amenaza de terrorismo
• Marchas y bloqueos
• Epidemia
• Cambio climático
• Ingeniería Social
• Enfoques DRP y BCP en México
• DRII –Disaster Recovery Institute International
• BSI 25999
• ISO 22301
• COBIT
• ITIL
• NIST …
Seguridad y Continuidad
• Metodología y estándares
• Prácticas del DRII
1 Inicio y Administración del Proyecto
2 Evaluación y Control de Riesgos
3 Análisis de Impactos al Negocio
4 Desarrollo de Estrategias de Continuidad de Negocios
5 Respuesta de Emergencia / Operaciones
6 Desarrollo e implementación de Planes de Continuidad de Negocios
7 Programas de Capacitación y Concientización
8 Prueba y Mantenimiento de Planes de Continuidad de Negocios
9 Relaciones Públicas y Comunicación de Crisis
10 Coordinación con Autoridades Públicas
Seguridad y Continuidad
• Metodología y estándares
• BSI 25999
Entender la organización
Determinar la estrategia de continuidad
Desarrollar e implementar la respuesta
Ejercitar, mantener y revisar
Seguridad y Continuidad
• Metodología y estándares
Stage 4Plan Trainning,
Plan
Manteinance,
Exercising,
Mantaining
/Embedding
BCM
Práctica 7
y 8
Mantenimiento, capacitación y
concientización
Stage 1, 3
y 4
Project
Preparation /
Ensure IT
Continuity
BCM Programme
ManagementPráctica 1,
6 y 8
Administración del presupuesto
BCM
Stage 3 y
4
TestingExercising and
MantainingPráctica 8Pruebas de Planes, estrategias,
etc
Stage 3IT Continuity
Plans
Developing and
Implementing BCM
response
Práctica 5
y 6
Documentación BCM (planes,
programas, reportes,
escalamiento, notificaciones, etc)
Stage 2 y
3
Continuity
Framework
Determine
BCM StrategyPráctica 4
y 6
Crear estructura BCM
Stage 2Assess and
Management
Risk / Critical IT
Resources
Understanding
the
Organization
Práctica 2
y 3
Realizar análisis del impacto y
riesgo del negocio
Stage 4Plan
Trainning
Exercising,
Manteining and
Review
Práctica 7Permear el proceso BCM en la
organización
Stage 1Project
Preparation
Embedding BCM
Organizatión´s
Culture
Práctica 1Involucrar a la Alta Dirección
ITILCobitBS 25999DRII
Stage 4Plan Trainning,
Plan
Manteinance,
Exercising,
Mantaining
/Embedding
BCM
Práctica 7
y 8
Mantenimiento, capacitación y
concientización
Stage 1, 3
y 4
Project
Preparation /
Ensure IT
Continuity
BCM Programme
ManagementPráctica 1,
6 y 8
Administración del presupuesto
BCM
Stage 3 y
4
TestingExercising and
MantainingPráctica 8Pruebas de Planes, estrategias,
etc
Stage 3IT Continuity
Plans
Developing and
Implementing BCM
response
Práctica 5
y 6
Documentación BCM (planes,
programas, reportes,
escalamiento, notificaciones, etc)
Stage 2 y
3
Continuity
Framework
Determine
BCM StrategyPráctica 4
y 6
Crear estructura BCM
Stage 2Assess and
Management
Risk / Critical IT
Resources
Understanding
the
Organization
Práctica 2
y 3
Realizar análisis del impacto y
riesgo del negocio
Stage 4Plan
Trainning
Exercising,
Manteining and
Review
Práctica 7Permear el proceso BCM en la
organización
Stage 1Project
Preparation
Embedding BCM
Organizatión´s
Culture
Práctica 1Involucrar a la Alta Dirección
ITILCobitBS 25999DRII
• Metodología y estándares
Seguridad y Continuidad
Es el proceso integral de gestión que identifica las amenazas potenciales para
una organización, así como los impactos que dichas amenazas pueden causar
(en caso de realizarse) en las operaciones comerciales, y proporcionan un marco
para la resilencia organizacional con la capacidad de dar una respuesta eficaz
que salvaguarde los intereses de sus colaboradores clave, su reputación, la
marca y las actividades que crean valor.
Seguridad y Continuidad
• Gestión de la Continuidad del Negocio
ISO 22301, Párrafo 3.4
Seguridad y Continuidad
• Modelo de Madurez de Gestión de la Continuidad
Leadership VL L M H H H
BC Awareness
BC Program Structure
Program Pervasiveness
Metrics
Resource Commitment
External Coordination
VL L L M H H
VL L L M H H
VL L L M H H
VL L M H H H
VL L M M H H
VL L L L M H
Corporate Competencies General Attributes of an Organization at Each Maturity Level
BC Program Content VL L M H H H
Maturity Model LevelsLevel 1
Self-Governed
Level 6Synergistic
Level 5Planned
Growth
Level 4Enterprise
Awakening
Level 3Centrally
Governed
Level 2Supported
Self-Governed
Athlete Analogy
Comparative Model
Able to Crawl Competitive Runner Olympic Runner“Fit” Runner”Able to RunAble to Walk
Organization “At Risk” “Competent” Performer “Best of Breed”
Increasing Business Continuity Competency Maturity
Seguridad y Continuidad
• Retos BCM
• Concientización
• Acceso a Alta Dirección
• Capacitación y experiencia
• Definición de responsabilidades
• Coordinación y participación de las áreas
• Integración de los planes
• Difusión y prueba del plan
• Mantenimiento y mejora
Seguridad y Continuidad
• Principales problemas
• Definición de alcance
• Términos
• Experiencia
• Metodología
• Costo - tiempo
Seguridad y Continuidad
• Apoyo a BCM
• Cursos
• Talleres
• Consultoría
• Eventos
• Auditoría
SEAMOS RESPONSABLES DE BCM
MUCHAS GRACIAS !
ES MEJOR ESTAR PREPARADOS
Seguridad y Continuidad
erikazenteno@prodigy.net.mx