Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Escuela Superior
Politécnica del Litoral
Auditoria de la
Planificación de la
Continuidad del
Negocio y
Recuperación de
Desastres
Informáticos
Agosto, 2015
1
Riesgo Estratégico
Riesgo Reputacional
1
14/08/2015
LIQUIDEZ
CREDITO
MERCADO
OPERACIONAL
LEGAL
LAVADO DE ACTIVOS
Sistemas de Gestión
relacionados
SAROp -Sistema de Administración
de Riesgo Operativo
SACN - Sistema de Administración de
la Continuidad del Negocio
SGSI - Sistema de Gestión de la
SACN
Seguridad de la Información
SGTI – Sistema de Gestión de
Tecnología de la Información
SGC- Sistema de Gestión de Calidad
SGTI
2
14/08/2015
Sistemas de Gestión
Gobierno Corporativo / Gestión de Riesgos / Proceso de Administración Estratégica
relacionados Desempeño Económico Financiero /
Cumplimiento
Plan Estratégico Corporativo
Plan Estratégico de Sistemas
OPERACIONAL LEGAL
SI SGP
SGTI
SI – Seguridad Informática
SGP – Sistema de Gestión de Procesos
SAC - Sistema de Administración de
Cambios
PCRDI –Plan de Contingencias para la
Recuperación de Desastres Informaticos
1,000
Caídas de Aplicaciones
Negocio
100 Fallas de Disponibilidad de Sistemas Fallas de Administración
Problemas de Redes /Operación Relacionados
10
Fallas por incumplir con Eventos
1 Incumplimiento con estandares de industria
Disposiciones
Terrorismo/ Huelgas Civiles
1/10 Regulatorias
Desastres
No frecuente
3
14/08/2015
Aseguramiento de la Información
Confidencialidad
– La información que se intercambia entre individuos y empresas no siempre
deberá ser conocida por todo el mundo. Mucha de la información generada por
las personas se destina a un grupo específico de individuos, y muchas veces a
una única persona. Eso significa que estos datos deberán ser conocidos sólo
por un grupo controlado de personas.
Integridad
– Una información íntegra es una información que no ha sido alterada de forma
indebida o no autorizada.
– Para que la información se pueda utilizar, deberá estar íntegra. Cuando ocurre
una alteración no autorizada de la información, quiere decir que la información
ha perdido su integridad.
Disponibilidad
– Para que una información se pueda utilizar,
deberá estar disponible. Se refiere a la
disponibilidad de la información y de toda la
estructura física y tecnológica que permite el
acceso, tránsito y almacenamiento.
– La disponibilidad de la información permite que:
• Se utilice cuando sea necesario.
• Que esté al alcance de sus usuarios y destinatarios.
• Se pueda accederla en el momento en que necesitan utilizarla.
4
14/08/2015
5
14/08/2015
Que es un desastre?
Los criterios que permiten definir una situación como un desastre son, entre otros:
a. Una interrupción no planificada que interrumpe la disponibilidad de los procesos
o de la operacion del negocio causando danos o perdida.
b. Una interrupción planificada prolongada.
c. Una interrupción que no puede ser manejada o corregida a través de los
procedimientos normales pensados por la administración para resolver
problemas típicos.
Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398
Extremos Catastróficos
Fuego
Explosiones
Inundaciones
Sabotajes
Huelgas
Regulares Mayores
6
14/08/2015
7
14/08/2015
49%
experimentaron perdida
de productividad
32% 17%
experimentaron perdida
como resultado de reportaron experimentar
de ingresos
los incidentes en daño a la reputación
la cadena
38% 11%
experimentaron
19% Reportaron experimentar
reportaron preocupación incrementado
costo de trabajo
de los accionistas escrutinio de la entidad
incrementado
de control
8
14/08/2015
9
14/08/2015
10
14/08/2015
En Ecuador:
1.Fallas de energía.
2.Inundaciones y Filtraciones.
3.Fallas de hardware/software.
4.Fuego.
5.Fallas en telecomunicaciones.
6.Errores humanos.
Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398
Estadísticas recientes
11
14/08/2015
Estadísticas recientes
Servicios de log
inexistentes o no
AMENAZAS Acceso clandestino
a redes
chequeados Sabotaje Incendios
Falsificación de información
Ingeniería Destrucción de equipamiento
para terceros
Social Espionaje Empleados
Crackers Penetración en los sistemas
Puertos deshonestos
Robo de equipos Desactualización
vulnerables
Hackers
abiertos Accesos no autorizados Instalaciones Escalamiento
Acceso Vandalismo default de privilegios
indebido a Agujeros de seguridad Hacking de Centrales
documentos de redes conectadas Telefónicas
impresos Robo de
Inundaciones
Interrupción del servicio información
Destrucción de Intercepción de
Captura de PC comunicaciones, voz y
soportes
desde el exterior wireless
documentales
Spamming Intercepción, modificación Backups
Keylogging y violación de e-mails inexistentes
Programas “bomba, Violación de
Fraude asistido por computadora
troyanos” contraseñas
Virus Indisponibilidad de información clave
Incumplimiento de leyes y regulaciones Violación de la privacidad
Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398 Software ilegal de los empleados
12
14/08/2015
Administración de Incidentes
13
14/08/2015
14
14/08/2015
15
14/08/2015
16
14/08/2015
17
14/08/2015
ISO 27001-2013
ISO 20000-1:2011
Information
Service Management
Security
Management
System
Management
Systems
ISO 9001:
2015 ISO 31000
Quality Risk
Management Management
System
ISO 22301
Business Continuity
Management
18
14/08/2015
19
14/08/2015
20
14/08/2015
21
14/08/2015
BCM efectivo
totalmente
probado
A
Nivel de negocio
Sin BCM –
escape suertudo
C Sin BCM –
www.Continuityforum.org - +44 (0) 208 993 1599
usualmente
fuera del
negocio
Punto de
Recuperación
Tiempo Critico
22
14/08/2015
Siniestro /
Reacción Recuperación
NIVEL DE OPERACIONES
Definitiva
Normal Normal
Recuperación
inicial a un nivel Tiempo en el cual los impactos
aceptable dentro son inaceptables
de un tiempo
aceptable
2. Interrupción
recortada
Interina CON continuidad del negocio
Este nivel de operaciones también
1.Responder puede ser mínimo nivel aceptable
a, mitigar, y, de supervivencia
administrar
impactos SIN continuidad del negocio
Costo Cierto Costo Eventual
TIEMPO
Siniestro /
Reacción Recuperación
NIVEL DE OPERACIONES
Definitiva
ALERTA !
Normal Normal
Recuperación
Respuesta
Controlada
inicial a un nivel Tiempo en el cual los impactos
aceptable dentro son inaceptables
de un tiempo
aceptable
2. Interrupción
recortada
Interina CON continuidad del negocio
Este nivel de operaciones también
1.Responder puede ser mínimo nivel aceptable
a, mitigar, y, de supervivencia
administrar
impactos SIN continuidad del negocio
Costo Cierto Costo Eventual
TIEMPO
23
14/08/2015
The
El event
evento Crunch
Punto Point
de no retorno
Recovery Period
Periodo de
recuperación
Time Line
Tiempo
33horas
hours or
o 33 semanas?
weeks?
The
El event
evento Crunch
Punto Point
de no retorno
PrePlanificación
Pre Planning
Recovery
Periodo de Period
recuperación
Time Line
Tiempo
3 3horas
hoursoor33semanas?
weeks?
24
14/08/2015
100% Desastre:
Administración de Emergencias Reanudación
/ Administración de Crisis Paso 3
100%
Paso 2 Nuevo Normal?
Reanudación Impactos?
Recuperar y restaurar del Negocio Paso 1
funciones criticas del negocio
Ultimo Respaldo Recuperar y reanudar
consistente Tiempo
Sistemas y aplicaciones críticos
Periodo con perdida
de datos Periodo con aplicaciones aun no disponibles
RTO
RPO
Recovery Time Objective (horas)
Recovery Point Inmediato < 24h < 48h < 72h
Objective (horas)
MTPOD
Maximum Tolerable Period of Downtime (horas)
• El período máximo de tiempo después del inicio de una interrupción dentro de la cual cada actividad
necesita ser reanudada.
• El nivel máximo en el cual cada actividad necesita ser ejecutada después de la reanudación.
• La cantidad de tiempo dentro del cual el nivel normal de operación necesita ser reanudado.
Jorge E.Olaya T. / jolaya@espol.edu.ec / 0997195398
Cuesta demasiado.
25
14/08/2015
26