Plan de Continuidad para el Negocio

Ing Rodrigo Ferrer V.

rodrigo.ferrer@sisteseg.com
CISSP, CISA, ABCP, CSSA, CST, COBIT f.c

ITGI, Board Briefing on IT Governance, 2nd Edition, USA.

Copyright: Rodrigo Ferrer

AGENDA
1.
2.
3.
4.
5.
6.
7.

Introduccin
Continuidad y recuperacin del plan
Descripcin metodologa utilizada
Gestin del riesgo
Roles y responsabilidades
Mantenimiento del Plan
Conclusiones

Copyright: Rodrigo Ferrer

Introducci
Introduccin

Qu
Qu es Continuidad del servicio?
servicio?
La continuidad del servicio involucra capacidades
tcticas y estratgicas preaprobadas por la direccin
de una entidad para responder a incidentes e
interrupciones del servicio con el fin de poder
continuar con sus operaciones a un nivel aceptable
previamente definido.

Business continuity strategic and tactical capability, pre-approved by management,

of an organization to plan for and respond to incidents and business interruptions in
order to continue business operations at an acceptable pre-defined level (BSI, BS25999,p.6.)

Copyright: Rodrigo Ferrer

Gesti
Gestin de la continuidad del
servicio

Copyright: Rodrigo Ferrer

Productos que lo componen

Business Impact Analysis (Impacto de Anlisis del Negocio).

Risk Assesment (Evaluacin o Valoracin de Riesgos).
Estrategias de Continuidad.
Estructura Organizacional para la Continuidad (Roles,
responsabilidades y procedimientos).
Procesos de Continuidad.
Plan de Pruebas del Plan de Continuidad.

Copyright: Rodrigo Ferrer

Continuidad y Recuperaci
Recuperacin ante
desastres

Continuidad y recuperaci
recuperacin ante
desastres.

Fuente: Syngress

Copyright: Rodrigo Ferrer

Integraci
Integracin

BCP

DRP

SGSI

Mejores Prcticas: ITIL V3, COBIT, ISO 27001

Copyright: Rodrigo Ferrer

Razones para un BCP

Es mejor tener un plan para evitar la confusin durante el

evento

Proactivo Vs Reactivo

Tomar las acciones correctivas cuando sea necesario

Se deben establecer controles que mitiguen el riesgo

Continuidad del servicio

Respuesta ordenada ante un desastre

Copyright: Rodrigo Ferrer

Descripci
Descripcin de la Metodolog
Metodologa
Utilizada

DRI

Copyright: Rodrigo Ferrer

Metodolog
Metodologa

Inicio del Proyecto

Anlisis de Impacto al
Servicio

Evaluacin de
Riesgos

Desarrollo de
Estrategias de
Mitigacin

Desarrollo del Plan de

Continuidad del
Servicio

Entrenamiento,
Pruebas, Auditora

Mantenimiento del
Plan de Continuidad
del Servicio

Copyright: Rodrigo Ferrer

BIA

Copyright: Rodrigo Ferrer

BIA

COSTO

PERDIDAS
INTERRUPCION
COSTO ESTRATEGIA

TIEMPO

Copyright: Rodrigo Ferrer

Gesti
Gestin del riesgo

El Riesgo
La falta de una gestin del riesgo en cualquier
entidad puede tener como consecuencia:

Perdida de tiempo.
Perdida de productividad
Perdida de informacin confidencial.
Prdida de clientes.
Prdida de imagen.
Prdida de ingresos por beneficios.
Prdida de ingresos por ventas y cobros.
Prdida de ingresos por produccin.
Prdida de competitividad en el mercado.
Prdida de credibilidad en el sector.

Copyright: Rodrigo Ferrer

Atributos del riesgo

Fuente: Webber

Copyright: Rodrigo Ferrer

Gesti
Gestin del riesgo

Copyright: Rodrigo Ferrer

Las amenazas
Amenazas
Humanas

Naturales &
Ambientales
Accidentales

Intencionales

Omisin

Omisin

Dao estructural

Error

Error

Comunicaciones

Terremoto

Fuego

Inundacin

Robo

Sistemas de
Seguridad

Tornado

Sabotaje

Potencia elctrica

Sequa

Vandalismo

Calefaccin / Aire

Huracn, Tifn,
Cicln

Huelga

Paro de transporte

Terrorismo

Prdida de
utilidades

Fuego
Tormenta
Elctrica

Volcn
Tsunami

Amenaza qumica
o biolgica

Pandmica

Guerra
Ciber-amenaza

De Infraestructura

Contaminacin de
comida o agua
Cambio legal o21
regulatorio

Copyright: Rodrigo Ferrer

Tipo de controles en el manejo

del riesgo

Tcnicos o
tecnolgicos

Fsicos

Administrativos

Objetivos del Manejo del riesgo

Copyright: Rodrigo Ferrer

Gesti
Gestin del Riesgo
ACEPTAR o ASUMIR EL RIESGO

EVITAR EL RIESGO

Estrategias de
Continuidad

TRANSFERIR EL RIESGO

MITIGAR EL RIESGO
(mitigar el impacto o reducir la probabilidad)

ATOMIZAR EL RIESGO

Gesti
Gestin del Riesgo

Centros de Procesamiento
Servidores

Tecnolgicas

Comunicaciones
Suministro Elctrico
Datos, Backups & Recuperacin

Estrategas de
mitigacin
Equipos y Roles
Procesos de Continuidad

No tecnolgicas

Recurso Humano
Capacitacin
Suministros

Gesti
Gestin del riesgo

Copyright: Rodrigo Ferrer

Mejores Pr
Prcticas

Best Practices and Standards Help Enable Effective Governance

of IT Activities Increasingly, the use of standards and best
practices, such as ITIL, Cobi T and ISO/IEC 27002, is being driven
by business requirements for improved performance, value
transparency and increased control over IT activities.

IT Governance Institute
Copyright: Rodrigo Ferrer

Seguridad de la Informaci
Informacin

Copyright: Rodrigo Ferrer

An
Anlisis de Brecha ISO 27001
Dominio

Cumplimiento

Poltica de Seguridad

0%

Seguridad en la Organizacin.

20%

Control y Clasificacin de Activos.

33%

Aspectos
humano.

de

Seguridad

relacionados

con

el

recurso

Seguridad Fsica
Administracin
de
comunicaciones.
Control de Acceso

40%
60%

la

operacin

de

cmputo

28%
40%

Desarrollo y mantenimiento de Sistemas

45%

Continuidad del Negocio

30%

Cumplimiento de Leyes

20%

Promedio

31.6%

Copyright: Rodrigo Ferrer

Vulnerabilidades en la red

Ejemplo informe
Copyright: Rodrigo Ferrer

ITIL V3

Personas

Procesos

Productos

Proveedores

Copyright: Rodrigo Ferrer

ITIL V3

Copyright: Rodrigo Ferrer

Evoluci
Evolucin del Servicio

Copyright: Rodrigo Ferrer

Roles y Responsabilidades

Estrategias de Mitigaci
Mitigacin

Copyright: Rodrigo Ferrer

Mantenimiento del Plan

Pruebas, Capacitaci
Capacitacin, Auditor
Auditora
y Mantenimiento.

Copyright: Rodrigo Ferrer

Entrenamiento

Seminarios
Cursos
Procesos de certificacin
Slogans
DVD
Emails
Campaas
Afiches

Copyright: Rodrigo Ferrer

Conclusiones

Conclusiones

Metodologa probada internacionalmente (DRII)

Estrategias de mitigacin concertadas

Antes

Durante

Despus

Gestin de riesgos

Herramienta automatizada

Plan de accin

Copyright: Rodrigo Ferrer

FIN