Electiva II Parte I

ELECTIVA II
ESPECIALIZACIN EN SEGURIDAD
INFORMTICA
ING. TELMA BARRAZA OLAYA
te_lm_ab@hotmail.com
ESPECIALIZACIN
SEGURIDAD INFORMTICA
El verdadero viaje del descubrimiento no consiste en buscar nuevos

paisajes, sino en tener ojos nuevos.
Marcel Proust
OBJETIVOS
Dominar los procedimientos y estrategias de

atencin de desastres en informtica, el
anlisis y gestin de los riesgos y
administracin de incidentes para poder
proteger a las instalaciones informticas que
se han implantado en las empresas con el fin
de proteger su funcionabilidad y recuperar
sus operaciones en el menor tiempo posible.
Comprender la operacin de un sistema de
Gestin de la Continuidad del Negocio
basado en la ISO 22301 y sus procesos
principales
CONTENIDO
Antecedentes
Principios fundamentales
Administracin de Desastres
Anlisis y gestin de Riesgos
Gestin de Incidentes
Administracin de copias de seguridad
Planes de Contingencia en Informtica

METODOLOGA
Exposiciones del
Docente
Talleres
Trabajos
Evaluacin
Aprender Haciendo!!
CONTENIDO
Antecedentes

Antecedentes
ANTECEDENTES OBJETIVOS :
Presentar antecedentes de diferentes
desastres.
Al final de este mdulo el participante :
Habr desarrollado competencias que le
permitirn:
Identificar la importancia de los
Planes de Contingencia dentro de
diferentes desastres
CONTENIDO
Septiembre 11
Como superar la contingencia?
Otras situaciones
Antecedentes
9
Antecedentes
Impacto en Verizon Communications
10
Antecedentes
Medidas adoptadas por Verizon
Media noche del 11 de septiembre:
6 torres de celular temporales preparadas (3 fuera del rea de Manhattan).

1 conmutador mvil preparado.
Trabajos con proveedores de larga distancia para reenrutar el trfico
Contactos con sus proveedores principales para el despacho de equipos
crticos
(conmutadores, fibra ptica, etc.).
11
Antecedentes
Principales daos en Verizon
5 conmutadores de telecomunicacin
10 torres del sistema de telefona celular
300.000 lneas de voz
3.6 millones de circuitos ubicados en el rea
Los centros de conmutacin de AT&T y Sprint

en el WTC fueron destruidos
UAC-
ING. Telma Barraza O.- ING. Vernica De La 12
Cruz
Antecedentes
Los das posteriores
2 semanas despus:
70% de la capacidad restaurada.
Transferencia de llamadas activas para mediados de esa semana.
3 semanas despus:
80% de la capacidad nuevamente en servicio
Virtualmente todos los servicios han sido restaurados hasta la
fecha
13
Antecedentes
Atentados terroristas
14
Antecedentes
Secuestros
As fue el secuestro hace cinco aos
El 11 de abril de 2002, el recinto de la Asamblea del Valle fue escenario del

secuestro a plena luz del da, de doce diputados que se encontraban
sesionando y fueron sacados bajo el engao de que se estaba haciendo
una evacuacin de emergencia por una amenaza de bomba en el lugar.
15
Antecedentes
Datos estadsticos indican que el 80%

de todos los negocios presentan
alguna de estas condiciones:
No tienen Plan de Continuidad del
Negocio.
Si lo tienen, nunca lo han probado.
Su Plan fall cundo lo probaron.
Solamente 20% de los datos de
usuario final estn protegidos.
16
Antecedentes
Gracias al desarrollo de la tecnologa, la mayora de

los procesos de una empresa, dependen de los
sistemas de informacin para operar, pero cualquier
falla de stos puede interrumpir la operacin de
manera parcial o en el peor de los casos de toda la
organizacin
Para sortear esta situacin, se deben definir medidas
preventivas para reducir los riesgos de interrupcin y
desarrollar los procedimientos de recuperacin
necesarios, en caso de que un desastre ocurra.
Es decir, se debe lograr una adecuada Administracin

de la Continuidad del Negocio.
17
Importancia de la
continuidad del negocio
Incidentes de seguridad a nivel

global crecieron 48% durante
2014, hasta alcanzar los 40
millones. Superando el 34% a
los del 2013
The global state of information Security Survey 2015- PWC

Importancia de la
Cul es el panorama en Latinoamrica?
The global state of information Security Survey 2015- PWC

Importancia de la
Es probable que se presente
algn tipo de incidente que afecte
a nuestra empresa y a nuestros
empleos.
No podemos pensar que nunca va
a suceder nada.
Mas bien, debemos prepararnos
para cuando algo grave suceda.
Graves incidentes de prdida
puede significar la paralizacin de
una Organizacin de la
rentabilidad a largo plazo, e
incluso la continuacin de su
existencia.
Diferentes situaciones de
desastres?
Es improbable un desastre; pero somos muy vulnerables
Taller # 1
Objetivo: Evaluar la conceptualizacin de Planes
de Continuidad
Qu tan buena es la preparacin anticipada de

las empresas de Colombia en caso de un
desastre?
Estn preparadas para enfrentar desastres

naturales, accidentes o ataques terroristas?
Cul es la exposicin potencial y el posible

costo de NO contar con un plan?
Grupo : 2 Personas Duracin : 30 Minutos
Puesta en Comn
PRINCIPIOS
FUNDAMENTALES Y LOS
CONCEPTOS DE
CONTINUIDAD DEL OBJETIVOS :
NEGOCIO El objetivo de este mdulo es presentar a
los participantes los principios
fundamentales de la Continuidad del
Negocio
Conocer detalladamente los principios y los
conceptos fundamentales de la Continuidad del
Negocio y tendr competencia para utilizarlo
CONTENIDO
Estndar y Marco Normativo
Sistema de Gestin de la Continuidad del
Negocio
Principios y Conceptos fundamentales de la
Continuidad del Negocio
Alcance del SGCN
Principios fundamentales y los conceptos
de la continuidad del negocio
MARCOS DE CONTROL
REFERENCIA
ISO 22301
QU?
COBIT 5 ISO 9000 CMO?
ISO 27002
ITIL
ALCANCE
SISTEMA DE LA GESTIN DE LA CONTINUIDAD
DE NEGOCIO?
Que es Continuidad de Negocio?
Capacidad estratgica y tctica que tiene una Organizacin para
planificar y responder a incidentes e interrupciones del negocio con el fin
de continuar con las operaciones crticas del negocio dentro de un nivel de
servicio aceptable y asumible por la Organizacin
Gestin de Continuidad de Negocio
Proceso de gestin holstico que identifica amenazas potenciales a las que

se puede enfrentar la Organizacin y los impactos a las operaciones que
dichas amenazas, caso de materializarse, puedan causar, y que proporciona
un marco para construir resiliencia organizativa con capacidad de dar una
respuesta eficaz que salvaguarda los intereses de sus grupos de inters,
prestigio, marca y actividades de creacin de valor fundamentales
QU ES LA GESTIN DE CONTINUIDAD DE NEGOCIO?
Gestionar la recuperacin o continuidad de actividades de negocio en

el caso de producirse un acontecimiento de interrupcin de negocio
(anticipacin).
Gestionar la formacin, ejercicios y revisiones de CN para procurar que

los Planes de Continuidad de Negocio se mantengan al corriente y
actualizados
(preparacin continua y constante).
Reducir los riesgos a un nivel aceptable y desarrollar planes para

restaurar las actividades del negocio si se interrumpen por un desastre.
QU ES LA GESTIN DE CONTINUIDAD DE NEGOCIO?
Factores que afectan a la continuidad de negocio:
1. Dependencia creciente de la tecnologa

2. Interdependencia de los proveedores
3. Un acto individual puede tener consecuencias planetarias
4. La competencia (feroz) no perdona interrupciones
prolongadas
o, simplemente, apreciables por los usuarios
5. Cualquier obligacin legal o regulacin sectorial
La creciente complejidad de los riesgos:
Cambios constantes y cada vez ms complejos

Mundo cada vez ms interdependiente
Redefinicin de la economa mundial
Cambios demogrficos
Estrategia de la Continuidad del Negocio
La organizacin debe determinar los recursos requeridos
para implementar las estrategias seleccionadas
Personas
Informacin y datos
Edificios, ambientes de trabajo y utilitarios
Equipamiento y proveedura
Sistemas de comunicacin tecnolgicos
Transporte
Financieros
Proveedores
Estrategia de la Continuidad del Negocio
La organizacin debe darle un tratamiento a los riesgos

para:
Reducir la probabilidad de ocurrencia
Acortar el periodo de la disrupcin
Limitar el impacto de la disrupcin en los
productos y servicios claves de la organizacin
Administracin de la Continuidad, Factores Claves
Desarrollar una rigorosa planeacin de la continuidad de las

operaciones.
Reducir el riesgo de interrupciones a los procesos de negocio
crticos.
Identificar los procesos y activos crticos para la operacin del
negocio.
Asegurar la continuidad del nivel de servicio mnimo necesario
para las operaciones crticas.
Obtener el compromiso de la alta direccin.
Principios fundamentales y los conceptos Estndar y Marco Normativo
Normas de Continuidad del Negocio

La norma ISO 22301 especifica requisitos para planificar, establecer,
implantar, operar, monitorear, revisar, mantener y mejorar continuamente
un sistema de gestin documentado para prepararse, responder y
recuperarse de eventos que generan interrupciones, cuando stos
ocurren
Especifica requisitos de gestin del SGCN
Los requisitos estn escritos utilizando el verbo debern en

imperativo
ISO22301
Integra el modelo PDCA
Auditable
La organizacin puede ser certificada en esa norma
Aplica para diferentes tipos de organizaciones

Administracin de la Continuidad,
Plan de
Continuidad de
Negocio (BCP)
Plan de
Recuperacin del
Negocio (BRP)
Plan de
Recuperacin de
Desastres (DRP)
de TI
Plan de Contingencias
TI
Principios fundamentales y los conceptos COMPONENTES CLAVES DE UN SGCN
SGCN, al igual que otro sistema de gestin, tiene los siguientes

componentes fundamentales
UNA POLTICA
PERSONAS CON RESPONSABILIDADES DEFINIDAS
PROCESOS DE GESTION ASOCIADOS
POLTICA PLANIFICACIN IMPLEMENTACIN Y OPERACIN EVALUACIN DEL

RENDIMIENTO REVISIN POR LA DIRECCIN-MEJORA
DOCUMENTACIN QUE PROVEA PRUEBAS AUDITABLES
CUALQUIER PROCESO DE GESTIN DE LA CONTINUIDAD DEL NEGOCIO

PERTINENTE A LA ORGANIZACIN
ISO 22301, clusula 4.4: Sistema de Gestin de la Continuidad del Negocio

La organizacin debe es establecer, implementar, mantener y mejorar continuamente
un SGCN, incluyendo los procesos necesarios y sus interacciones, de conformidad
con los requisitos de esta norma internacional
Estndar y Marco Normativo
Normas de la Continuidad del Negocio 2007 2012
Seguridad de la Sociedad: Sistemas de 2006 Se public el

estndar BS Se public
Continuidad del Negocio. 25999- la
ISO22301
Historia de la Norma ISO 22301 2:2007, el
2003 Se public el
primer .
lineamiento BS
estndar
25999-1, el
internacional
cual describi
2002 certificable y
Se publica el de manera
auditable.
lineamiento PAS concreta el ciclo
56. Esta gua de vida de
1997 la continuidad
estableci el
El Business proceso, del negocio.
Continuity principios y
1995 El Disaster Institute terminologa de
Recovery public un sistema de
Institute los gestin de
International lineamientos continuidad del
1994 Publicacin
(DRII), public las de Buenas
Del negocio.
documento Prcticas Prcticas para
NFPA 1600 Profesionales la Continuidad
1988 Creacin Gestin de para la Gestin del Negocio
del BCI desastres, del Negocio
emergencias PERODO DE ACTUALIZACIN
y mayo 2012 hasta mayo 2014
Programas de Todas las empresas que estn certificadas con BS 25999
Creacin Continuidad tendrn que actualizarse con ISO 22301
del DRI .
INTRODUCCIN A LA FAMILIA DE NORMAS ISO 22301
NORMAS RELACIONADAS
NORMA DESCRIPCION
ISO/IEC 15408 Criterios de evaluacin de tcnicas de seguridad
ISO/IEC 12207 Proceso del ciclo de vida del software
ISO/IEC 18045 Metodologa para la evaluacin de seguridad de las TI
Directivas de seguridad de la informacin
ISOIEC 13569 Servicios de banca y otros servicios financieros
Directivas para la gestin de la seguridad de las TI
ISO/IEC TR 13335 ISO/IEC
ISO/IEC TR 15504 Valoracin del proceso del software
BS ISO/IEC 90003 Directivas para la aplicacin de la ISO 9001 al software
Utilizacion de la ISO 9001 para la construccin de sistemas de
gestin de calidad del software, certificacin y mejora
TickIt 5 continua
ISO 20000 Servicios de gestin de TI
ISO 27001 Seguridad de la informacin
INTRODUCCIN A LA FAMILIA DE NORMAS ISO 22301
NORMA DESCRIPCION
ISO/DIS 22322 Gestin de emergencias alertas pblicas.
ISO/CD 22324 Gestin de emergencias Alertas codificadas por color
Guas para la evaluacin de capacidad de atencin de
ISO/CD 22325 emergencias para organizaciones.
ISO/NP 22351 Gestin de emergencias Alerta compartida de situaciones.

Guas para establecer acuerdos de cooperacin entre
ISO/CD 22397 organizaciones.
ISO/DIS 22398.2 Guas para realizar ejercicios.
Gua para la gestin de la preparacin ante incidentes y la
ISO/PAS 22399:2007 continuidad operacional.
Principios fundamentales y los conceptos INTRODUCCIN A LA FAMILIA DE NORMAS ISO
de la continuidad del negocio 22301
ISO 22300- VOCABULARIO SEGURIDAD

SOCIETARIA
CONTINUIDAD GESTIN DE
DEL NEGOCIO EMERGENCIAS
ISO 22315- Plan evacuacin

ISO 22301-BCMS ISO 22316- Resitencia Urbana
ISO 22320-Requisitos Respuesta a

incidentes
ISO 22313- Prctica
BCMS ISO 22322- Alerta Pblica
ISO 22312-CAPACIDAD
ISO 22324- Alerta /Color
ISO 22398- Gua
ejercicios ISO 22325- Cap. Atencin- Gua para
emergencias
ISO 22399- preparacin
incidentes
ISO 22351- Alerta Compartida
ISO 22397- Cooperacin
La norma ISO 22301 es, a nivel mundial, la

primera norma internacional para la gestin
de la continuidad de negocio (GCN) y ha sido
desarrollada para ayudar a las organizaciones
a minimizar el riesgo de este tipo de
interrupciones.
Esta norma remplaz la norma britnica

BS25999
Conceptualizacin
Gestin
Sistema Actividades coordinadas
Conjunto de elementos para dirigir y controlar
mutuamente relacionados o una organizacin.
que actan entre s. Alta direccin
Persona o grupo personas
Sistema de gestin que dirige o controla una
Riesgo Conjunto de elementos organizacin a alto nivel.
Efecto de incertidumbre en los interrelacionados o
objetivos (3.48) interactuantes de una
organizacin para establecer
poltica y objetivos, y
procesos para alcanzar tales Efectividad
objetivos. (3.24) Grado en el cual las
actividades planeadas
son realizadas y los
Control resultados planeados
Medio para gestionar el riesgo, son alcanzados. (3.16)
incluyendo guas, procedimientos,
polticas, prcticas o estructuras.
COMPONENTES DE LA ISO 22301
ALCANCE
MEJORAMIENTO CONTEXTO DE
LA
ORGANIZACIN
EVALUACIN DE
DESEMPEO LIDERAZGO
OPERACIN PLANIFICACIN
SOPORTE
ISO 22301
(1) ALCANCE: Este estndar internacional para la gestin de la

continuidad del negocio especifica requisitos para planear,
establecer, implementar, operar, monitorear, revisar, mantener y
mejorar de manera continua un sistema de gestin documentado
para proteger, reducir la probabilidad de ocurrencia, estar
preparado, responder y recuperarse de eventos disruptivos
cuando stos surjan.
Este estndar internacional es aplicable a organizaciones de todos los tipos y

tamaos que deseen:
a. Establecer, implementar, mantener y mejorar un sistema de gestin de la

continuidad del negocio,
b. Asegurar conformidad con la poltica de continuidad del negocio
c. Demostrar la conformidad,
d. Buscar la certificacin o registro de su sistema de gestin de continuidad
del negocio por un organismo de certificacin acreditado de tercera parte,
o
e. Hacer una auto-determinacin y auto-declaracin de conformidad con
este estndar internacional
Principios fundamentales y los conceptos PRESENTACIN DE LA NORMA ISO 22301:2012
4. Contexto 6. 7. 9 EVALUACIN
8. OPERACIN 10. MEJORA
de la 5. Liderazgo Apoyo DEL DESEMPEO
Direccin
Planificacin
10.1 No
4.1 Entendiendo 6.1 Acciones para 8.1 Planeacin y 9.1. Monitoreo,
la Organizacin y
5.1 Liderazgo y
atender riesgos y 7.1 Recursos control medicin, anlisis
conformidades
compromiso y acciones
su contexto oportunidades operacional y evaluacin
correctivas
4.2 Entendiendo 6.2 Objetivos de 8.2 Anlisis de

las necesidades y 5.2 Compromiso continuidad del impacto al 10.2
7.2 Competencia 9.2 Auditora
expectativas de de la direccin negocio y planes negocio y
interna Mejora
las partes para alcanzarlos evaluacin de
interesadas riesgos continua
4.3 Determinando
alcance del 8.3 Estrategia de
5.3 Poltica 7.3 Conciencia 9.3 Revisin por la
sistema de gestin continuidad del
direccin
de continuidad del negocio
negocio
4.4 Sistema de 5.4 Roles, 8.4 Establecer e

gestin de responsabilidades implementar
continuidad del 7.4 Comunicacin procedimientos
y autoridad en la
negocio organizacin de continuidad del
negocio
7.5 Accin
Documentada
EL CICLO DE MEJORA CONTINUA
Establecer la poltica de
continuidad del negocio, Mejora continua del Sistema de Gestin de
objetivos, alcances, Continuidad del Negocio (BCMS/SGCN)
controles, procesos y
Partes
procedimientos relevantes Partes
Interesadas
para mejorar la continuidad Establecer Interesadas
del negocio con el fin de (Planear)- 4-5-6-7
entregar resultados
alineados con las polticas y
objetivos organizacionales
Mantener y Implementar
Requisitos mejorar (Actuar) y Operar
para la 10 (Hacer) 8
preparacin
Continuidad
y Gestin de
del negocio
la
Monitorear gestionada
Continuidad
y revisar
del negocio (verificar)
9
Mejora continua del Sistema de Gestin de

Continuidad del Negocio (BCMS/SGCN)
Implementar y
Partes
operacionalizar la poltica Partes
Interesadas
de continuidad del negocio, Establecer Interesadas
controles, procesos y (Planear)- 4-5-6-7
procedimientos
preparacin
Continuidad
y Gestin de
del negocio
la
Continuidad
y revisar
9
Monitorear y revisar el
desempeo contra la Mejora continua del Sistema de Gestin de
poltica de continuidad del Continuidad del Negocio (BCMS/SGCN)
negocio y los objetivos,
reportarPartes
los resultados de la
Partes
Interesadas
revisin de la gestin, y Establecer Interesadas
determinar y autorizar (Planear)- 4-5-6-7
acciones para remediar o
mejorar
preparacin
Continuidad
y Gestin de
del negocio
la
Continuidad
y revisar
9
Mantener y mejorar el BCMSMejora continua del Sistema de Gestin de

Continuidad del Negocio (BCMS/SGCN)
Partes
Partes
Interesadas Establecer Interesadas
(Planear)- 4-5-6-7
preparacin
Continuidad
y Gestin de
del negocio
la
Continuidad
y revisar
9
CONTEXTO DE LA ORGANIZACIN
ISO 22301, clusula 4.1
-Las actividades de la Organizacin, Funciones,
Servicios, Productos, Alianzas, Cadena de suministro,
Conocimiento de
Relaciones con las partes interesadas
la Organizacin y
-Los vnculos entre la poltica de continuidad del
su entorno
negocio y los objetivos de la organizacin y otras
polticas
- El apetito de la organizacin por el riesgo
Comprensin de las La necesidades de las partes interesadas que son pertinentes

expectativas de las para un SGCN
partes interesadas Los requisitos de estas partes interesadas
Requisitos jurdicos y normativos
La organizacin determinar los lmites y la aplicabilidad del

Determinar el SGCN para establecer su alcance
alcance del Sistema A la hora de determinar el alcance, la organizacin tendr en
de Gestin cuenta las cuestiones internas y externas y los requisitos
Principios fundamentales y los conceptos CONTEXTO DE LA ORGANIZACIN
ISO 22313,- Prcticas del BCMS clusula 4.1-

Conocimiento de la Organizacin y su entorno
La evaluacin el contexto externo de la organizacin debera incluir,
cuando proceda, los siguientes factores:
Entorno poltico, jurdico y regulatorio ya sea nacional, regional y

local
Entorno social y cultural, poltico, legal, reglamentario financiero,
tecnolgico, econmico, natural y competitivo, a nivel internacional,
regional y local
Compromisos y relaciones de la cadena de suministro
Consideraciones de estudios internos sobre los riesgos, teniendo en
cuenta otros sistemas pertinentes de gestin de la informacin y ms
general toda la informacin de la gestin del conocimiento
Los factores claves y las tendencias que repercuten sobre los
objetivos y el funcionamiento de la organizacin, y
La relacin con, y las percepciones y los valores de las partes
interesadas fuera de la organizacin.
Anlisis FODA Anlisis PEST Anlisis de las 5 fuerzas

LIDERAZGO Y COMPROMISO DE LA DIRECCIN
ISO 22301, clusula 5.1 5.2
-Asegurarse que el SGCN es compatible con la

ORIENTACIN orientacin estratgica de la organizacin
ESTRATGICA - Integrar los requisitos del SGCN en los procesos de
negocio de una organizacin
HACER QUE LOS La direccin deber determinar y proporcionar los recursos

RECURSOS necesarios para el SGCN
ESTN
DISPONIBLES
La Direccin deber comunicar la importancia de una buena

Gestin de la Continuidad del Negocio y el cumplimiento de
COMUNICACIN los procesos de SGCN
de la continuidad del negocio POLTICA DE CONTINUIDAD DEL NEGOCIO

La alta direccin debe establecer una poltica de
continuidad del negocio: Apropiada a los propsitos de
ESTABLECER LA la Organizacin
POLTICA Proporcione un marco para establecer objetivos de la
Incluya un compromiso de cumplir requisitos aplicables
Incluya un compromiso de establecer mejora continua
DISPONIBILIDAD
COMUNICACIN Estar disponible como informacin documentada
ACTUALIZACIN DE Ser comunicada dentro de la organizacin
LA POLTICA Estar a disposicin de las partes interesadas, segn
corresponda
Ser revisada para su adecuacin continuada a
intervalos definidos y cuando se produzcan cambios
significativos
POLTICA DE CONTINUIDAD DEL NEGOCIO

Ejemplo
ESTABLECER LA
POLTICA
DISPONIBILIDAD
COMUNICACIN
ACTUALIZACIN DE
LA POLTICA
POLTICA DE CONTINUIDAD DEL NEGOCIO
Cundo debe revisar la poltica de Continuidad

del Negocio?
38
Cambios en la organizacin, el contexto o el sistema de gestin del

riesgo
Por incidentes
Luego de las auditoras
REVISAR DE MANERA PERIDICA TODOS LOS TEM DE LA NORMA

Taller # 2
Objetivo: Poltica de Continuidad

Dados las polticas ejemplos determinar si las polticas cumplen
con los requerimientos identificados.
En caso de no cumplir con cuales no cumple
Participantes por Grupo: 2 Personas
Duracin : 20 minutos
Ejemplo Poltica de Continuidad
FUNCIONES Y RESPONSABILIDADES DE LA DIRECCIN
La Alta Direccin deber asegurarse de que las

ASIGNACIN DE responsabilidades y autoridades para funciones
RESPONSABILIDADES pertinentes sean asignadas y comunicadas dentro de la
organizacin
La alta Gerencia deber asignar la responsabilidad y

GARANTIZAR autoridad para:
REQUISITOS E
- Garantizar que el sistema de gestin se ejecuta
INFORMAR DE LA
EFICACIA DEL
conforme con los requisitos de la ISO22301
SISTEMA - Informar sobre la eficacia de la gestin a la alta
Gerencia
Dominio 1: Principios fundamentales y los conceptos de la continuidad del negocio
OBJETIVOS Y PLANES PARA ALCANZARLOS

La Alta Direccin deber asegurarse de que los

objetivos de continuidad del negocio son establecidos y
ESTABLECER OBJETIVOS
comunicados para las funciones y los niveles
pertinentes dentro de la organizacin
Los objetivos debern:

Ser coherentes con la Poltica de Continuidad del
CONTENIDOS DE Negocio
LOS OBJETIVOS Tomar cuenta del nivel mnimo de productos y
servicios que sea aceptable para la organizacin
para alcanzar sus objetivos
Ser mesurables
Tener en cuenta los requisitos aplicables
Ser Monitoreados y actualizados segn proceda
APOYO
ISO 22301, clusula 7
La organizacin deber determinar y proporcionar los

RECURSOS
recursos necesarios para el SGCN
La organizacin deber asegurar tener personas

COMPETENCIAS
competentes para realizar las tareas con el SGCN
Las personas que realizan trabajos en el marco del
SENSIBILIZACIN control de la organizacin debern ser conscientes de
la poltica de la CN y los requisitos para la organizacin
La organizacin deber establecer, implementar, y

COMUNICACIN
mantener mecanismos de comunicacin con las partes
interesadas internas y externas.
El SGCN de la Organizacin deber incluir informacin

DOCUMENTACIN
documentada requerida por la ISO22301 y registros
para demostrar la eficacia del sistema
CONTENIDO
Antecedentes

Administracin de
Desastres
OBJETIVOS :
Analizar, comparar e interpretar los
ADMINISTRACIN DE
fundamentos administracin de desastres.
DESASTRES
Articular los conceptos referentes
recuperacin de operaciones.
Habr desarrollado competencias que le
permitirn:
Dominar los fundamentos
administracin de desastres.
Aplicar los conceptos referentes
recuperacin de operaciones ante
desastres
Aplicar los procedimientos de
administracin de desastres.
CONTENIDO
Qu es un desastre?
Tipos de desastres
Administracin antes- durante y despus del
desastre
QU ES UN DESASTRE ?
Cualquier EVENTO MAYOR que

afecte el funcionamiento normal de
las operaciones de una Empresa
TIPOS DE DESASTRES
NATURALES
TERREMOTOS HURACANES VOLCANES
INUNDACIONES TORNADOS
TIPOS DE DESASTRE
HUMANOS TECNOLGICOS
DERRAMAMIENTOS DE
ACCIDENTES DE
SUBSTANCIAS NOCIVAS
AVIONES DESCARRILAMIENTOS
DE TRENES
EXPLOSIONES INCENDIOS
Desastres e Interrupciones
Los desastres:
Impactan adversamente las operaciones del negocio
Interrumpen la operacin de procesamiento de informacin
crtica
Requieren de acciones para recuperar el estado operativo.
No todas las interrupciones son desastres
Pueden ser causados por:
calamidades naturales: terremotos, inundaciones,
tornados, incendios, etc.
Interrupcin de servicios: energa elctrica,
telecomunicaciones, gas natural.
Seres humanos: ataques terroristas, hackers, etc
Las Interrupciones:
Mal funcionamiento de equipos o software.
Negacin de servicio en la red
Virus
DEFINICIN
La Administracin de Desastres puede ser definida como el

conjunto de actividades (las polticas y decisiones
administrativas y actividades operacionales) diseadas para
mantener control sobre situaciones de desastre y
emergencia y dar un marco para ayudar a personas en
riesgo para evitar o recuperarse del impacto de los
desastres.
La administracin de Desastres trata con situaciones que

ocurren antes, durante y despus del desastre.
OBJETIVOS DE LA ADMINISTRACIN DE DESASTRES

Los objetivos de la administracin de desastres son:
Reducir o evitar las prdidas humanas, fsicas y

econmicas sufridas por individuos, por la sociedad o
por todo el pas.
Reducir el sufrimiento de las personas.
Acelerar la recuperacin.
RESPONSABILIDADES
ADMINISTRADOR DE DESASTRES: Planear y administrar

actividades de pre y/o post desastres.
Elementos en Administracin en Desastres
Administracin de riesgo
Administracin de prdidas
Control de eventos
Equidad de asistencia
Administracin de recursos
Reduccin del impacto
ELEMENTOS
Administracin de riesgo: Es un sistema a travs del cual las

organizaciones identifican, miden, monitorean, hacen
seguimiento y controlan el Riesgo a un nivel aceptable
Administracin de prdidas: Las Prdidas en un desastres

incluyen las prdidas humanas, estructurales, y econmicas. La
administracin de prdidas se encarga de cada una de esas a
travs de acciones pre y post-desastre diseadas para mantener
las prdidas en un mnimo. La administracin de prdidas ms
efectiva ocurre antes del desastre y est enfocada en reducir la
vulnerabilidad en un desastre
Control de eventos: Importante que antes y durante el desastre

se tenga un conocimiento de los diferentes eventos que se
encuentran relacionadas con el manejo del desastre con el
propsito de disminuir el impacto del mismo.
ELEMENTOS
Equidad de asistencia: Consiste en garantizar que la proteccin y

asistencia en situaciones de emergencia se planifica y ejecuta de
una manera que beneficie a todas las personas por igual.
Teniendo en cuenta que sus necesidades y capacidades son
diferentes. Considerando su situacin en el momento del
desastre. Ejemplo Equidad de Genero
Administracin de recursos: Es importante realizar un inventario
de los daos para establecer la adecuada utilizacin de los
recursos existentes. Incluye recursos humanos (competencias
tcnicas) y recursos fsicos (servidores, medios, comunicaciones)
Reduccin del impacto: Previamente se deben establecer los
riesgos y las estrategias por cada posible desastres y documentar
el impacto en caso de ocurrencia y saber cuales son las
actividades que se deben tener implementadas para que en caso
de ocurrir se minimice el impacto.
El antes (Prevencin), que comprende las medidas y acciones

diseadas para evitar o reducir el desastre;
El durante (Emergencia) constituida por el conjunto de actividades y

medidas utilizadas durante e inmediatamente despus de ocurrido el
desastre para minimizar sus efectos, comprende tambin la
rehabilitacin; y,
El despus (Reconstruccin), conformada por acciones para la

recuperacin del estado luego de el desastre.
.
Objetivos de la Administracin de Desastres
Los objetivos de la administracin de desastres son:
Reducir o evitar las prdidas humanas, fsicas y econmicas sufridas

por individuos, por la sociedad o por todo el pas.
Reducir el sufrimiento de las personas.
Acelerar la recuperacin.
ANTES (Prevencin),
1. Actividades previas al Desastre

Son todas las actividades de planeamiento, preparacin,
entrenamiento y ejecucin de las actividades de resguardo
de los activos de la infraestructura tecnolgica de la
Institucin, que nos aseguren un proceso de Recuperacin
con el menor costo posible.
Identificar y cuantificar estrategias viables y

rentables: hotsites, cold sites, sites alternos, reas de
trabajo, etc
Priorizar las estrategias identificadas

DURANTE
Actividades durante el Desastre
Una vez presentada la Contingencia, Falla o Siniestro, se
deber ejecutar las siguientes actividades, planificadas
previamente
Evitar la DEPENDENCIA sobre una persona o grupo de
personas en el proceso de continuidad
Eliminar la necesidad de desarrollar nuevos

procedimientos durante la contingencia
Minimizar la prdida de Informacin que se considere

CRITICA
Activar el Plan de Emergencias

Se establecen las acciones a realizar cuando se presente una
falla o desastre, as como la coordinacin y comunicacin de
las mismas.
DESPUS
Actividades despus del Desastre
Despus de ocurrido e l Desastre es necesario realizar:
Evaluacin de Daos: Inmediatamente despus de concluido el

desastre, de deber evaluar la magnitud del dao producido, equipos no
funcionales, cuales se pueden recuperar y estimacin del tiempo.
Ejecucin de Actividades: La recuperacin y puesta en marcha del
servicio afectado, se realizar en dos fases, la primera restablecer el
servicio usando los recursos propios (Equipos de respaldo) y la segunda
con el apoyo de proveedores y entes tanto gubernamentales como no
gubernamentales .
Evaluacin de Resultados: Finalizada las fases de recuperacin, se debe
evaluar objetivamente las actividades realizadas, porcentaje de
eficiencia y efectividad, tiempo, inconvenientes, colaboracin y apoyo.
Retroalimentacin del Plan de Accin: Con la evaluacin de resultados,
se debe actualizar el plan de accin original, mejorando las actividades
ms complejas y reforzando las que respondieron adecuadamente.
Taller # 3
Objetivo: Administracin de desastres

Identifique un posible desastre en la CA
Documente 5 estrategias y posibles actividades informaticas
que se debera implementar ante este desastre
Participantes por Grupo: 2 Personas
Duracin : 20 minutos
ANEXOS
COBIT 5.0- RESUMEN
Grupo : 2 Personas Duracin : 30 Minutos

Puesta en Comn
COBIT comprende
COBIT 5.0 comprende
90
COBIT comprende
COBIT 5.0 comprende
5 PRINCIPIOS
5 DOMINIOS
37 PROCESOS
ACTIVIDADES
METRICAS
ENTRADAS Y SALIDAS
7 CATALIZADORES
91
ESTRUCTURA DE COBIT 5.0
PRINCIPIOS
1. Satisfacer
las
necesidades
de las partes
interesadas
5. Separar 2. Cubrir la
el empresa
Gobierno de extremo
de la a extremo
Gestin PRINCIPIOS
DE COBIT 5.0
3. Aplicar
4. Hacer un Marco
posible un de
enfoque Referencia
Holstico nico e
Integrado
COBIT comprende
COBIT 5.0 comprende
5 DOMINIOS
GOBIERNO (EDM)
EVALUAR
ORIENTAR
SUPERVISAR
GESTIN
Alinear, Planificar y Organizar (Align, Plan and
Organise, APO)
Construir, Adquirir e Implementar (Build,
Acquire and Implement, BAI)
Entregar, dar Servicio y Soporte (Deliver,
Service and Support, DSS)
Supervisar, Evaluar y Valorar (Monitor, Evaluate
and Assess, MEA)
93
ESTRUCTURA DE COBIT 5.0
37 PROCESOS
COBIT comprende
COBIT 5.0 comprende
7 CATALIZADORES
1. Principios, Polticas y marcos
2. Procesos
3. Estructuras organizacionales
4. Cultura, tica y Conducta
5. Informacin
6. Servicios, Infraestructura y Aplicaciones
7. Gente, Habilidades y Competencias
95
COBIT comprende
COBIT 5.0 comprende
96
COBIT comprende
COBIT 5.0 comprende
97
COBIT comprende
COBIT 5.0 comprende
PROCESOS
98
COBIT comprende
COBIT 5.0 comprende
99
COBIT comprende
COBIT 5.0 comprende
100
COBIT comprende COBIT 5.0 comprende
101
COBIT comprende
COBIT 5.0 comprende
102
COBIT comprende
COBIT 5.0 comprende
103
COBIT comprende
COBIT 5.0 comprende
104
COBIT comprende
COBIT 5.0 comprende
105
COBIT comprende
COBIT 5.0 comprende
106
COBIT comprende
COBIT 5.0 comprende
107
COBIT comprende
COBIT 5.0 comprende
108
COBIT comprende COBIT 5.0 comprende
109
COBIT comprende
COBIT 5.0 comprende
110
COBIT comprende
COBIT 5.0 comprende
111
COBIT comprende
COBIT 5.0 comprende
112
RACI
RESPONSIBLE
Those who perform the activity or make the decision
Responsibilities can be shared.
ACCOUNTABLE
The individual who is ultimately accountable.
Only One can be assigned to an activity or decision.
CONSULTED
Those who need to be consulted or provide imput
before
an activity is performed or a decision is taken.
This is a two way process.
INFORMED
Those who need to be informed after an activity is
performed or decision is taken.
NORMATIVIDAD DE REFERENCIA
Constitucin Poltica de Colombia
Artculo 78
Sern responsables, de acuerdo con la ley, quienes en la produccin y en la
comercializacin de bienes y servicios, atenten contra la salud, la seguridad
y el adecuado aprovisionamiento a consumidores y usuarios.
El Estado garantizar la participacin de las organizaciones de
consumidores y usuarios en el estudio de las disposiciones que les
conciernen. Para gozar de este derecho las organizaciones deben ser
representativas y observar procedimientos democrticos internos.
Superintendencia Financiera de Colombia
Constitucin Poltica de Colombia
Artculo 15
Todas las personas tienen derecho a su intimidad personal y familiar y a su

buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo,
tienen derecho a conocer, actualizar y rectificar las informaciones que se
hayan recogido sobre ellas en bancos de datos y en archivos de entidades
pblicas y privadas .
En la recoleccin, tratamiento y circulacin de datos se respetarn la libertad
y dems garantas consagradas en la Constitucin.
Ley habeas data
Ley habeas data
Ley habeas data
Ley habeas data
ITIL
ITILCoreServiceLifecycle
Service Strategy
Gua de cmo disear, desarrollar e

implementar servicios como un activo
estratgico.
Modela y planea servicios que tengan utility
and warranty
Definir el Mercado
Desarrollar Ofertas
Procesos
Gestin de la Estrategia del Servicio
Gestin de Relaciones de Negocio
Gestin del Portafolio
Gestin de la Demanda
Gestin Financiera
Objetivos
Provee a las organizaciones una gua de cmo disear, desarrollar e
implementar una Gestin del Servicio como un activo estratgico y para
pensar y actuar de manera estratgica.
Integrar TI a la Visin y Objetivos del Negocio.
Definir objetivos estratgicos del rea de TI
La principal preocupacin de la estrategia del servicio es establecer polticas
y objetivos
Diseo de Servicios
Activos del Servicio de alta calidad, costos

efectivos y servicios consistentes.
Foco en las 4ps.
Procesos
Gestin de Niveles de Servicio

Gestin de Catlogos de Servicio
Gestin de Disponibilidad
Gestin de seguridad de la informacin
Gestin de Proveedores
Gestin de la Capacidad
Gestin de la Continuidad del Servicio de TI
Design Cordination
Basados en objetivos, polticas y guas del Service strategy Ejecutar la etapa del
ciclo de vida donde el diseo de servicios nuevos o modificados se preparan para su
introduccin en entorno corporativo y que se rena en el diseo los requerimientos
del negocio..
Entrega los planes estratgicos y los objetivos creando diseos y especificaciones
que sern puestos en ejecucin en las fases de: Service Transition & Service
Operations.
Transicin del Servicio
Transicin de servicios nuevos y

cambiados al interior de las operaciones.
Alinea servicios nuevos y cambiados con
los requerimientos del negocio.
Procesos
Gestin de Cambios
Release and Deployment Management
Gestin del Conocimiento
Evaluacin de cambios
Gestin de Configuracin
Service Validation and Testing
Management
Operacin del Servicio
Provee una gua para lograr efectividad y

eficiencia en la prestacin y el soporte a los
servicios.
Es una habilidad Critica en el Ciclo de vida de
los Servicios.
Procesos
Gestin de eventos
Gestin de Solicitudes de servicios de usuarios
Gestin de Problemas
Gestin de Accesos
Es responsable de la gestin de la tecnologa que se utiliza para brindar y

soportar servicios. Se enfoca en el manejo efectivo del da a da.
Continual Service Improvement
Provee una gua de cmo continuamente crear

y mejorar el valor entregado al negocio a
travs de ciclos de mejoramientos basados en
modelos.
Alinear y Realinear los IT Service con los

requerimientos cambiantes del negocio.
IT Service Management como una disciplina.
Portafolio Actualizado
Madurez de Procesos
Service Report, Service Measurement, ROI.

Electiva II Parte I

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Electiva II Parte I

Cargado por

Copyright:

Formatos disponibles

ELECTIVA II

El verdadero viaje del descubrimiento no consiste en buscar nuevos

Dominar los procedimientos y estrategias de

Anlisis y gestin de Riesgos

Administracin de copias de seguridad

Planes de Contingencia en Informtica

Anlisis y gestin de Riesgos

Administracin de copias de seguridad

Planes de Contingencia en Informtica

Media noche del 11 de septiembre:

6 torres de celular temporales preparadas (3 fuera del rea de Manhattan).

Los centros de conmutacin de AT&T y Sprint

El 11 de abril de 2002, el recinto de la Asamblea del Valle fue escenario del

Datos estadsticos indican que el 80%

Gracias al desarrollo de la tecnologa, la mayora de

Es decir, se debe lograr una adecuada Administracin

Incidentes de seguridad a nivel

The global state of information Security Survey 2015- PWC

The global state of information Security Survey 2015- PWC

Qu tan buena es la preparacin anticipada de

Estn preparadas para enfrentar desastres

Cul es la exposicin potencial y el posible

Gestin de Continuidad de Negocio

Proceso de gestin holstico que identifica amenazas potenciales a las que

QU ES LA GESTIN DE CONTINUIDAD DE NEGOCIO?

Gestionar la recuperacin o continuidad de actividades de negocio en

Gestionar la formacin, ejercicios y revisiones de CN para procurar que

Reducir los riesgos a un nivel aceptable y desarrollar planes para

QU ES LA GESTIN DE CONTINUIDAD DE NEGOCIO?

Factores que afectan a la continuidad de negocio:

1. Dependencia creciente de la tecnologa

La creciente complejidad de los riesgos:

Cambios constantes y cada vez ms complejos

Edificios, ambientes de trabajo y utilitarios

Sistemas de comunicacin tecnolgicos

Estrategia de la Continuidad del Negocio

La organizacin debe darle un tratamiento a los riesgos

Administracin de la Continuidad, Factores Claves

Desarrollar una rigorosa planeacin de la continuidad de las

Normas de Continuidad del Negocio

Los requisitos estn escritos utilizando el verbo debern en

Integra el modelo PDCA

La organizacin puede ser certificada en esa norma

Aplica para diferentes tipos de organizaciones

SGCN, al igual que otro sistema de gestin, tiene los siguientes

PERSONAS CON RESPONSABILIDADES DEFINIDAS

PROCESOS DE GESTION ASOCIADOS

POLTICA PLANIFICACIN IMPLEMENTACIN Y OPERACIN EVALUACIN DEL

DOCUMENTACIN QUE PROVEA PRUEBAS AUDITABLES

CUALQUIER PROCESO DE GESTIN DE LA CONTINUIDAD DEL NEGOCIO

ISO 22301, clusula 4.4: Sistema de Gestin de la Continuidad del Negocio

Seguridad de la Sociedad: Sistemas de 2006 Se public el

INTRODUCCIN A LA FAMILIA DE NORMAS ISO 22301

INTRODUCCIN A LA FAMILIA DE NORMAS ISO 22301

ISO/NP 22351 Gestin de emergencias Alerta compartida de situaciones.

ISO 22300- VOCABULARIO SEGURIDAD

ISO 22315- Plan evacuacin

ISO 22320-Requisitos Respuesta a

La norma ISO 22301 es, a nivel mundial, la

Esta norma remplaz la norma britnica

(1) ALCANCE: Este estndar internacional para la gestin de la

Este estndar internacional es aplicable a organizaciones de todos los tipos y

a. Establecer, implementar, mantener y mejorar un sistema de gestin de la