Gestión de la Continuidad del Negocio
& Recuperación de Desastres
Patricia Pereyra Salvador
Auditoría de Tecnologías y Seguridad de la
Información
Módulo Descripción cursoSeguridad de la Información Estándares Aplicados en la Gestión de la Seguridad de la Información
Diseño de Políticas de Seguridad Gestión de Riesgos
Gestión de la Continuidad del Negocio & Recuperación de Desastres
Sistemas de Gestión de Seguridad de la Información. Marco general y alcance de un SGSI. ISO 27001:2005
Sistemas de Gestión de Seguridad de la Información. Implementación de un SGSI. ISO 27001:2005
Gestión de Tareas y de resultados
Auditoría de Sistemas de Información Normas Legales y la Auditoria de SistemasEstándares Aplicados a la Auditoría de Sistemas de Información
El Proceso de Auditoría de Sistemas de Información
Gobierno de Tecnologías de la InformaciónAdministración de la Infraestructura y el Ciclo de Vida de Sistemas
Entrega y Soporte del Servicio TIProyecto Integrador. Elaboración de esquemas de trabajo.
Aplicación de las Directrices de Auditoría de Sistemas de Información
Implementación de Objetivos de Control para TIHerramientas de Software para la Auditoría de Sistemas
Proyecto Sustentación Final Proyecto Integrador
Exposición del docente
Trabajos en grupos
Dinámicas
Foros y discusiones
Metodología curso:
Contenido de la Sesión:
1. Generalidades y conceptos
2. Beneficios y errores
3. Estándares y guías.
4. Trabajo en equipo.
Generalidades y conceptos
Las operaciones claves del negocio dependen cada vez mas de la tecnología
Las operaciones claves del negocio dependen cada vez mas de la tecnología
Generalidades y conceptos
99.9 99.9 99.9 99.9 99.9 99.9
System Software
Application Software
IT People & Operations
Network Topologies
Servers Hardware
Backup & Recovery Hardware
Storage & Data Management
La continuidad en la entrega de servicios y productos, depende de la sinergia de los componentes individuales del negocio …
Storage Hardware
Business Operations & Resources
Customer
Customer
Customer
Customer
Generalidades y conceptos
Nuestro Plan de Recuperación se resume en algo como esto …
Esperamos tener presupuesto algún día
Generalidades y conceptos
Continuidad de negocio (Business Continuity)
Recuperación de desastres (Disaster Recovery)
Generalidades y conceptos
Continuidad de negocio (Business Continuity)
Recuperación de desastres (Disaster Recovery)
Concepto fundamentalmente PROACTIVO ¿Cómo evito o mitigo el impacto de un riesgo?
Concepto fundamentalmente REACTIVO
¿Cómo me recupero de un desastre y restauro la organización a un estado normal de operación una vez que un riesgo se ha materializado?
Generalidades y conceptos
Continuidad de negocio (Business Continuity)
Recuperación de desastres (Disaster Recovery)
Son todas las actividades y procedimientos aprobados que hacen posible a una organización responder a un evento en tal forma que las funciones críticas del negocio continúen sin interrupción o cambio significativo
Un conjunto aprobado de actividades y procedimientos los cuales hacen posible a una organización responder a un desastre y reiniciar sus funciones críticas en una condición aceptable, en un marco de tiempo determinado.
Generalidades y conceptos
Desastre
“Desastre es todo evento (conocido o no), que interrumpe seriamente las operaciones normales de un negocio, y le genera restricciones en la entrega de servicios críticos durante un periodo de tiempo”
Generalidades y conceptos
Riesgos¿Qué hacer con los riesgos?
• Eliminarlos
• Disminuirlos
• Transferirlos
• Asumir los Riesgos
Generalidades y conceptos$ COSTO
TIEMPOTIEMPO
EHA(Alta Disponibilidad)
Magnitud del DesastreMagnitud del Desastre
Eventos Rutinarios Eventos NO Rutinarios Eventos Catastróficos
Planes de Continuidad de Negocio
BCPDRP
BRP
OEPCCP
DRP IT Contingency Plan(sitio)
ITCP
BRP
CCP
COOP
BCPBRP DRP
OEP
Consideran solo la tecnología.Consideran procesos y tecnología soporteConsideran solo funciones y procesos de negocio
Estrategia Generalidades y conceptos
LA CONTINUIDAD DE NEGOCIO EN LAS TISUS CLIENTES DEPENDEN DE SU INFRAESTRUCTURA DE TI
Clases particulares on-line para estudiantes de ESO y Bachillerato
Su empresa funciona gracias al correo electrónico.
Sus clientes esperan obtener confirmación de sus pedidos y respuestas rápidas y precisas a sus peticiones por email
Sus empleados dependen de una BBDD para tener acceso constante a los procesos de negocio
BASES DE DATOS
Acceso a la web permite dar servicios e información a sus clientes y usuarios: precios, intranet
Imagen corporativa a través de la disponibilidad del portal
PORTAL WEB
Sus clientes esperan obtener información actualizada sobre sus stocks y plazos de entrega
Comunicaciones con proveedores
CADENA DE SUMINISTROS
Generalidades y conceptos
CICLO DE VIDA DE UN DE BC
1. Entendimiento del Negocio
2. Diseño de estrategias de BC
3. Desarrollo e implementación de una
respuesta efectiva de BC
4. Construir e interiorizar cultura de BC
5. Ejercitar, mantener y auditar BC
6. Administración del Programa de BC
Generalidades y conceptos
CICLO DE BCMCiclo de Vida de BCM
Fuente: BCI
• Recuperación de negocio
• Recuperación de TI• Administración de
crisis• Manejo de
incidentes
• Plan estratégico• Portafolio de
servicios• Mapa de procesos• Infraestructura física• Estructura
Organizacional• Mercado y
competencia• Normatividad
• Planes efectivos y probados
• Sistemas de control y mitigación
• Incorporación de estrategias e iniciativas
• Coordinación de recursos
• Definición de un gobierno de BCM
• Estructura organizacional
• Sensibilización y comunicación
• Creación de cultura
Generalidades y conceptos
¿Cual es mi negocio?
Tiempo: 5 min.
Generalidades y conceptos
Beneficios y errores
Beneficios
Tiempo: 5 min.
Identifica los diversos eventos que podrían impactar sobre la continuidad de
las operaciones y su impacto financiero, humano y de reputación sobre la
organización.
Obliga a conocer los tiempos críticos de recuperación para volver a la
situación anterior al desastre sin comprometer al negocio.
Previene o minimiza las pérdidas para el negocio en caso de desastre.
Clasifica los activos para priorizar su protección en caso de desastre.
Aporta una ventaja competitiva frente a la competencia.
Fomenta e implica a los recursos humanos de la compañía en las
actividades de continuidad.
Beneficios y errores
Errores
1. Exceso de confianza
2. Alcance reducido
3. Carencia de priorización
4. Desactualización del plan
5. Falta de definición de la responsabilidad del plan
6. Carencia de planes de comunicación
7. Carencia de Seguridad
8. Estrategia de Relaciones Públicas no definida
9. Falta de control de Seguros
10.Adquisiciones sin evaluación del costo / beneficio
Estándares y guías
Seguridad de la Información ISO/IEC 27001
Continuidad de Negocio BS 25999
Tecnologías de la Información: ISO/IEC 20000:2005
NFPA 1600 Standard on Disaster/Emergency Management
and Business Continuity Programs
Riesgo ISO/IEC Guide 73
Trabajo en equipo
Seleccionar la empresa con la que trabajarán
En que escenario identificas a tu empresa seleccionada:Las que conocen que hacer cuando un evento ocurre y saben que hacer para solucionarlo.
Las que saben que hacer pero no están preparadas para afrontar la calamidad.
Las que saben que hacer pero desean apoyo para establecer las acciones a seguir.
Las que no saben que hacer cuando cualquier evento que pueda perjudicar su negocio se suscite.
Indicar ¿Porque?