Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Continuidad de Negocios

Seguridad Informatica
by

Ivan Marcano

on 5 June 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Continuidad de Negocios

Componentes en la estrategia de Continuidad de Negocio Aspectos generales del
Plan de Continuidad de Negocio Auditoría y Mantenimiento
del BCP Componentes de la Estrategia de Continuidad de Negocio ¿Qué es Continuidad del Negocio? La continuidad del servicio involucra capacidades tácticas y estratégicas para la continuación de la operatividad de actividades organizacionales que son interrumpidas ante un evento inesperado. Metodología para implementar un Plan de Continuidad de Negocio Creando
Cultura Agenda Plan de Continuidad de Negocio Conceptos Aspectos generales del Plan de Continuidad de Negocio Normas aplicadas Metodología para implementar un Plan de Continuidad de Negocio Inicio del proyecto Análisis de impacto al negocio (BIA) Análisis de riesgos Selección de estrategias Desarrollo del plan Capacitación y pruebas periódicas Auditoría del plan de continuidad de negocio Mantenimiento del plan de continuidad de negocio Integrantes Luisana Iglesias
Martha Fajardo
Rubens Gomez
Ivan Marcano Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los procesos del negocio generando un mínimo impacto o nulo ante una contingencia. Plan de Continuidad del Negocio (BCP) Es el proceso administrativo que identifica impactos potenciales que pueden afectar la operatividad y provee la estructura para dar flexibilidad y respuestas efectivas para salvaguardar los intereses de la organización. Administración de la Continuidad del Negocio (BCM) La misión principal de un BCP es permitir la recuperación de todos los procesos críticos de la organización y no solamente la porción relacionada con TI, y asegurar la integridad de las personas y activos, así como también salvaguardar su imagen y reputación. Enfocarse sólo en prevención es una práctica incorrecta por tres razones fundamentales:
1.Es imposible asegurar que se han identificado todos los posibles orígenes de contingencias
2. Hay riesgos que no es rentable prevenir.
3. Hay riesgos que no se pueden prevenir. La alta gerencia como principal responsable de:

 1. Cumplir con los objetivos del negocio
2. Asumir el diseño del plan
3. Implantar y mantener el plan ISO 22301 es la nueva norma internacional de gestión de continuidad de negocio. Esta
ha sido creada en respuesta a la fuerte demanda internacional que obtuvo la norma
británica original, BS 25999-2. La norma permite:
 
1. Establecer, implementar, mantener y mejorar el Plan Continuidad de Negocio.
2. Cumplir con los requisitos de la política de Continuidad de Negocio. Normas aplicadas a la Gestión de Continuidad de Negocio Definición de objetivos y alcance
Fijar requisitos de seguridad
Estudiar aspectos legales relacionados
Realizar casos de estudio INICIO DE PROYECTO ANÁLISIS DE IMPACTO AL NEGOCIO (BIA) En esta etapa se describen todos los procesos aplicados para la Organización que apoyan al logro de la misión, visión y metas propuestas Identificación de los procesos del negocio Los procesos críticos se determinan del conjunto de procesos, los mismos que en caso de ocurrencia de eventos de riesgo que interrumpan las operaciones de la organización, serán los primeros en tomarse en cuenta para su restauración y regreso a funcionamiento Evaluación de los impactos Financieros y operacionales Los procesos críticos, se evalúan en función del nivel de relación y relevancia directa con la continuidad del negocio y desde un enfoque de análisis detallado posterior de los recursos que soportan los procesos. Tiempo Máximo de Inactividad (MTD):

Tiempo Objetivo de Recuperación (RTO):

Puntos Objetivo de Recuperación (RPO):

Tiempo de Trabajo de Recuperación (WRT): Establecimiento de los tiempos de Recuperación Identificación de Procesos Críticos Análisis de Riesgo Análisis de Riesgo Esta identificación se efectuará tomando en consideración los siguientes aspectos
Recursos críticos que pertenecen a tecnología de información.
Recursos críticos que no pertenecen a tecnología de información. Identificación de los requerimientos de recursos Para cada uno de los procesos críticos se identifican las amenazas a las que están expuestos cada uno de los recursos críticos, se identifican controles actuales, vulnerabilidades y controles esperados y otorga un puntaje de exposición al riesgo. Tomando como referencia el análisis de riesgo, se determinó el número y tipo de Planes de contingencia a ser realizados, en función de dicho análisis tenemos el Siguiente resumen y agrupación de prioridades, puntajes y planes SELECCIÓN Y DESARROLLO DE LAS ESTRATÉGICAS DE CONTINUIDAD Plan de Contingencia de Tecnología de la Información este incluye
Plan de Reanudación
Plan de Recuperación
Plan de Contingencia en caso de ausencia del RRHH
Plan de Contingencia de Liquidez
Plan de Contingencia frente Eventos Externos
Incendios
Sismos, terremotos
Amenaza de Bomba
Robos Tipos de Planes las acciones que pueden producir esta merma en los procesos de negocio han de ser identificadas y clasificadas. Un ejemplo de clasificación podría ser, por fuerza mayor, por acción criminal, por fallos técnicos o por fallos humanos. Planes de contingencia ENSAYO Y MANTENIMIENTO DEL PLAN DE CONTINUIDAD DEL NEGOCIO Se tomará en cuenta el ciclo de vida de la continuidad del negocio descrito en la gráfica anterior, como referencia del procedimiento a seguir en temas de mantenimiento y actualización del Plan de Continuidad, además para tener éxito en integrar los principios de continuidad de negocio dentro de la organización se deberá tener definidas una serie de políticas y procedimientos, todo esto deberá estar principalmente apoyado por:
 
Liderazgo de la alta administración
Definición de responsabilidades
Creciente conocimiento
Capacitación
Ejercicios. Ejecución de Pruebas ¿Que resultados extraer de las pruebas? Documentación para el Análisis de Resultados Entrenamiento a.Lista de chequeo: Revisa la disponibilidad de recursos para la ejecución del plan.
b.Paseo de Revisión: Reunión de equipos y descripción verbal de los pasos.
c.Simulación: Practicar el plan y validar una o más partes del plan.
d.Interrupción completa: Partiendo del hecho de que todos los procesos esenciales se han alterado. Recursos requeridos para la prueba: Recursos Humanos, Recursos Tecnológicos, Recursos no tecnológicos, Documentación formularios de respaldo, Etc.
Tiempos y actividades detalladas
Responsables de ejecución de la prueba
Responsables de control de la ejecución (Internos y Externos)
Las líneas o unidades de negocio y operativas comprometidas con los procesos críticos. •El tiempo transcurrido en la ejecución de las tareas.
•La cantidad de trabajo realizado por el personal tanto administrativo como de TI.
•Recuento de recursos y registros. Debe incluir desde actividades de capacitación hasta un proceso de concienciación, dispuestas en correspondencia con los niveles del personal y sus roles. Capacitación CONCIENCIACIÓN Imágenes Generar Alerta o¿Qué haría usted mañana si su compañía es consumida por el fuego hoy?
o¿Qué harían sus clientes?
o¿Qué harían sus competidores?
o¿Qué harían sus bancos y accionistas? Talleres y Actividades con
Expertos Internos y Externos Experiencias y Eventos Estadísticas Todo lo anterior es cierto, pero

…Nosotros somos inmunes a desastres
…Eso nunca pasará aquí
…Nosotros tenemos una política de seguros, eso es suficiente
…Nosotros nunca hemos tenido problemas antes El adiestramiento al personal en sus roles y responsabilidades relacionadas al Plan.
Así como el entrenamiento en habilidades específicas que necesitarán para llevar a cabo sus roles efectivamente.
Certificaciones. Auditoria del BCP ¿Que se Evalúa? Actividades Rol del Auditor 1.Evaluar los BCP´s: Determinar su adecuación al BCP general.

2.Verificar los BCP’s: Determinar si son eficaces, revisión de los resultados.

3.Evaluar el almacenamiento en sede remota: adecuación segura mediante, inspección, la revisión de contenido, revisión de controles.

4.Evaluar la habilidad del personal de Sistemas y usuario: responde eficazmente a situaciones de emergencia Evaluar los resultados de las pruebas previas
Evaluación del almacenamiento en Sede remota
Evaluar de Seguridad de las Instalaciones de procesos alternativos.
Entrevistas con el personal Clave
Examinar el contrato de la sede alternativa
Revisión de la cobertura de seguro Aprendiz
•Capacitarse en estos temas•Certificarse en estos temas

Consultor
•Contribuir a la sensibilización y concientización
•Durante la definición o establecimiento del Framework
•Durante el Proyecto Inicial de Construcción de Planes
•Sugiriendo innovaciones al Framework – Aporte de buenas prácticas

Evaluador
•Revisión de la elaboración de los Planes
•Revisiones posteriores a los Procesos de Construcción de Planes
•Revisiones posteriores a los Planes ¿Por que? Actividades Control de Cambios ¿Que revisar? Mantenimiento Del BCP •Cambio estrategias debido a necesidades cambiantes organización que puede alterar criticidad aplicaciones.
•Desarrollo / adquisición nuevas aplicaciones.
•Cambios entorno de sw/hw pueden convertir en obsoletas o inapropiadas los planes actuales. 1.Establecimiento de un cronograma revisiones y mantenimiento periódicos, que incluyas asesoría al personal, correspondiente a sus funciones

2.Examen revisiones y sugerencias, y actualización del plan en los 30 días posteriores a la revisión.

3.Realizar arreglos y coordinar pruebas planificadas y no planificadas del plan para evaluar su adecuación. •Adquisiciones de nuevos equipos •Actualizaciones en los sistemas operacionales •Estrategias de negocio •Cambios de ubicaciones físicas •Cambios en Leyes y regulaciones•Contratistas, proveedores de servicio y de recursos críticos así como clientes muy importantes •Procesos nuevos o eliminados •Riesgo (Operacional y financiero) •Cambios en el personal, es especial si es personal clave•Cambios en el organigrama •Cambios de dirección / teléfono de algún componente del equipo de recuperación•Cambios en cualquier equipo o dispositivo informático •Cambio en algún procedimiento•Cambios en la configuración de los sistemas o los dispositivos de almacenamiento.•Cambios en la configuración de comunicaciones o de las redes. •Requerimientos operacionales

•Requerimientos de seguridad

•Procedimientos técnicos

•Hardware, software y otros equipos (tipos, especificaciones y cantidad)

•Nombres e información de contacto de los miembros de los equipos de recuperación

•Nombres e información de contacto de los proveedores

•Archivos vitales (impresos y electrónicos). Esta etapa se desarrolla en base a los aspectos que se detallan a continuación:
Procedimientos alternos si se presenta la interrupción.
Deben ser generalmente manuales.
Procesos alternos para todos los procesos críticos. Identificación de los Procesos Alternos Dinámica
Full transcript