Seguridad Informática y Continuidad del Negocio por Erika Zenteno Savín

Seguridad Informática y Continuidad del Negocio

Erika Zenteno Savín, CBCP.

Auditor Líder BCM

Agenda

• Evolución de la Continuidad del Negocio en México

• Relación entre Seguridad Informática y Continuidad del Negocio

• Responsables del Plan de Continuidad

• Retos de la Gestión de la Continuidad del Negocio

Seguridad y Continuidad

• Sismo 1985 Ciudad de México

• Jueves 19 de septiembre de 1985, a las 7:19 horas.

• Magnitud de 8.1 grados Richter.

• Réplica más significativa al día siguiente 7.3 grados en la escala de Richter.

• El registro de 10 mil muertos aproximadamente.

• Mas de 4 mil personas rescatadas con vida de los escombros, hasta 10 días después del primer sismo.

• Más de un millón usuarios quedaron sin servicio eléctrico.

• Estructuras destruidas en su totalidad: 30 mil .

• Edificaciones con daños parciales: 68 mil.http://www.excelsior.com.mx/comunidad/2013/09/19/919241

• Enfoque cutural en México

… a mi no me va a pasar !

… si algo pasa, ya veremos en ese momento que podemos hacer


• 1985 - 1995


• Desastres informáticos

• Respaldos

• Sitio alterno

• Sistemas disponibles


• Tipos de Desastre

• Naturales Terremoto Incendio Inundación

• HumanosSabotaje Negligencia Huelga

• TécnicosDescompostura Eléctrico Instalaciones


• Disaster Recovery Plan - DRP

• Orientado a Informática

• Datos

• Servicios

• Aplicaciones

• Sistema Operativo

• Con frecuencia se ve simplemente como un SITE Alterno


• Director de Sistemas

• Seguridad Informática


• Responsables DRP

• 1995 - 1998

• Reducción presupuesto TI

• Centros de Soporte Alterno

• Proveedores de hardware


• Respaldo y restauración de Información

• Alta disponiblidad y replicación


• Respaldos totales

• Respaldos incrementales

• Respaldos diferenciales

• Recovery Point Objective - RPO

• Tiempo en el que el proceso de

negocio tiene que estar restaurado

después de un incidente grave para

evitar consecuencias inaceptables


• Fecha o momento de los archivos

que se deben restaurar después de

un incidente grave.

(pérdida de datos aceptable)

• Recovery Time Objective - RTO

Ultimo respaldo oPunto en que los datos

Son utilizables

Ocurrenciadel Desastre

Restauraciónde servicios

6 horas 2 horas

RPO

Tiempo

RTO

Cada vez más empresas, conscientes de los riesgos que enfrentan, dirigen sus esfuerzos a la Planeación de Continuidad de Negocio.

Esto es, no solo la continuidad de la operación de sistemas, sino de todo el negocio.

“Es la capacidad que tiene la organización para continuar la entrega de productos o servicios a niveles predefinidos aceptables después de que haya sucedido un incidente perjudicial. “


ISO 22301, Párrafo 3.3

• Plan de Continuidad de Negocio (Business Continuity Plan – BCP)

• 1999

• “Y2K”


• Posibles fallas en:

Sistemas bancarios

Líneas de producción

Suministro de energía y agua

Comunicaciones

• Disaster Recovery Plan


BCP

• Es un plan de toda la empresa

• Contempla la reanudación de funciones

DRP

• Es un plan de Sistemas

• Contempla la recuperación de aplicaciones

• Business Continuity Plan

• Los planes buscan minimizar:


• Las decisiones que se toman durante una contingencia.

• Los efectos negativos ocasionados por el caos.

• La dependencia sobre una persona en el proceso de recuperación.

• La necesidad de desarrollar nuevos procedimientos durante la recuperación.

Ataque al WTC en Nueva York


• 2002

• Respuesta de cuerpos de emergencia

• Sitios alternos en el mismo edificio

• Marco legal resguardo de información y continuidad de sistemas


• La Ley Sabarnes&Oaxley (sección 404) requiere a las organizaciones seleccionar un marco de control para asegurar la disponibilidad, integridad y confidencialidad de los sistemas de información.

• En México, la CNBV, requiere a las instituciones financieras contar con un Plan de Recuperación de los Sistemas de Información.

• 2005


Huracán Wilma Quintana Roo, México

• Participantes:

Sistemas

Seguridad

Responsabilidad Social

• 2010

Epidemia de Influenza

• Participantes:

Sistemas

Seguridad

Recursos Humanos



• Instalaciones

• Comunicaciones (ATMs y POS)

• Virus informático

• Internet

• Amenaza de terrorismo

• Marchas y bloqueos

• Epidemia

• Cambio climático

• Ingeniería Social

• Enfoques DRP y BCP en México

• DRII –Disaster Recovery Institute International

• BSI 25999

• ISO 22301

• COBIT

• ITIL

• NIST …


• Metodología y estándares

• Prácticas del DRII

1 Inicio y Administración del Proyecto

2 Evaluación y Control de Riesgos

3 Análisis de Impactos al Negocio

4 Desarrollo de Estrategias de Continuidad de Negocios

5 Respuesta de Emergencia / Operaciones

6 Desarrollo e implementación de Planes de Continuidad de Negocios

7 Programas de Capacitación y Concientización

8 Prueba y Mantenimiento de Planes de Continuidad de Negocios

9 Relaciones Públicas y Comunicación de Crisis

10 Coordinación con Autoridades Públicas



• BSI 25999

Entender la organización

Determinar la estrategia de continuidad

Desarrollar e implementar la respuesta

Ejercitar, mantener y revisar



Stage 4Plan Trainning,

Plan

Manteinance,

Exercising,

Mantaining

/Embedding

BCM

Práctica 7

y 8

Mantenimiento, capacitación y

concientización

Stage 1, 3

y 4

Project

Preparation /

Ensure IT

Continuity

BCM Programme

ManagementPráctica 1,

6 y 8

Administración del presupuesto

BCM

Stage 3 y

4

TestingExercising and

MantainingPráctica 8Pruebas de Planes, estrategias,

etc

Stage 3IT Continuity

Plans

Developing and

Implementing BCM

response

Práctica 5

y 6

Documentación BCM (planes,

programas, reportes,

escalamiento, notificaciones, etc)

Stage 2 y

3

Continuity

Framework

Determine

BCM StrategyPráctica 4

y 6

Crear estructura BCM

Stage 2Assess and

Management

Risk / Critical IT

Resources

Understanding

the

Organization

Práctica 2

y 3

Realizar análisis del impacto y

riesgo del negocio

Stage 4Plan

Trainning

Exercising,

Manteining and

Review

Práctica 7Permear el proceso BCM en la

organización

Stage 1Project

Preparation

Embedding BCM

Organizatión´s

Culture

Práctica 1Involucrar a la Alta Dirección

ITILCobitBS 25999DRII

Stage 4Plan Trainning,

Plan

Manteinance,

Exercising,

Mantaining

/Embedding

BCM

Práctica 7

y 8

Mantenimiento, capacitación y

concientización

Stage 1, 3

y 4

Project

Preparation /

Ensure IT

Continuity

BCM Programme

ManagementPráctica 1,

6 y 8

Administración del presupuesto

BCM

Stage 3 y

4

TestingExercising and

MantainingPráctica 8Pruebas de Planes, estrategias,

etc

Stage 3IT Continuity

Plans

Developing and

Implementing BCM

response

Práctica 5

y 6

Documentación BCM (planes,

programas, reportes,

escalamiento, notificaciones, etc)

Stage 2 y

3

Continuity

Framework

Determine

BCM StrategyPráctica 4

y 6

Crear estructura BCM

Stage 2Assess and

Management

Risk / Critical IT

Resources

Understanding

the

Organization

Práctica 2

y 3

Realizar análisis del impacto y

riesgo del negocio

Stage 4Plan

Trainning

Exercising,

Manteining and

Review

Práctica 7Permear el proceso BCM en la

organización

Stage 1Project

Preparation

Embedding BCM

Organizatión´s

Culture

Práctica 1Involucrar a la Alta Dirección

ITILCobitBS 25999DRII



Es el proceso integral de gestión que identifica las amenazas potenciales para

una organización, así como los impactos que dichas amenazas pueden causar

(en caso de realizarse) en las operaciones comerciales, y proporcionan un marco

para la resilencia organizacional con la capacidad de dar una respuesta eficaz

que salvaguarde los intereses de sus colaboradores clave, su reputación, la

marca y las actividades que crean valor.


• Gestión de la Continuidad del Negocio

ISO 22301, Párrafo 3.4


• Modelo de Madurez de Gestión de la Continuidad

Leadership VL L M H H H

BC Awareness

BC Program Structure

Program Pervasiveness

Metrics

Resource Commitment

External Coordination

VL L L M H H

VL L L M H H

VL L L M H H

VL L M H H H

VL L M M H H

VL L L L M H

Corporate Competencies General Attributes of an Organization at Each Maturity Level

BC Program Content VL L M H H H

Maturity Model LevelsLevel 1

Self-Governed

Level 6Synergistic

Level 5Planned

Growth

Level 4Enterprise

Awakening

Level 3Centrally

Governed

Level 2Supported

Self-Governed

Athlete Analogy

Comparative Model

Able to Crawl Competitive Runner Olympic Runner“Fit” Runner”Able to RunAble to Walk

Organization “At Risk” “Competent” Performer “Best of Breed”

Increasing Business Continuity Competency Maturity


• Retos BCM

• Concientización

• Acceso a Alta Dirección

• Capacitación y experiencia

• Definición de responsabilidades

• Coordinación y participación de las áreas

• Integración de los planes

• Difusión y prueba del plan

• Mantenimiento y mejora


• Principales problemas

• Definición de alcance

• Términos

• Experiencia

• Metodología

• Costo - tiempo


• Apoyo a BCM

• Cursos

• Talleres

• Consultoría

• Eventos

• Auditoría

SEAMOS RESPONSABLES DE BCM

MUCHAS GRACIAS !

ES MEJOR ESTAR PREPARADOS


[email protected]

Seguridad Informática y Continuidad del Negocio por Erika Zenteno Savín

Education

Transcript of Seguridad Informática y Continuidad del Negocio por Erika Zenteno Savín