INSTITUTO DE EDUCACIÓN SUPERIOR TECNOLÓGICO

PÚBLICO
“TEODORO RIVERA TAYPE”

Elvis Alex Bolívar Antonio

Daniel Bolívar Antonio

Escuela de Computación e informática

 SISTEMAS DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN

ISO 27001
Gestión de la Continuidad del
Negocio
INTRODUCCIÓN
 CONTINUIDAD DEL NEGOCIO

❑ Cuando se habla de la continuidad del negocio hay que establecer los

requerimientos ocasionados por amenazas ocurridas con anterioridad
o detectados en el análisis

❑ Es esencial que la empresa este preparada para reactivar sus

servicios en un mínimo tiempo y así disminuir el impacto que causaría
al negocio.
 SEGURIDAD
❑Hoy en día la información es un recurso muy importante como el
resto de los activos comerciales.

❑La seguridad de información protege una gama de amenazas

como desastres naturales, incendios descargas eléctricas e
inundaciones, ataques informáticos, virus, con el fin de
garantizar la continuidad del negocio .
 VALOR DE LOS ACTIVOS
•Se debe considerar a la información como un activo crítico de las
organizaciones y como tal se debe preservar su Integridad,
disponibilidad, confidencialidad.
 ¿ ES POSIBLE ELIMINAR LOS
RIESGOS ?
No es posible eliminar por completo los riesgos, sin embargo es
posible reducirlos mediante controles de protección contra amenazas y
vulnerabilidades.
 AMENAZAS
La empresa no está libre de sufrir:

❑ Ataques informáticos
❑ Pérdida de enlaces
❑ Descargas eléctricas
❑ Desastres naturales (incendio, terremotos,
inundaciones , etc.)
 BENEFICIOS SGSI

Dentro del conjunto de beneficios que se obtendrían al contar con un

SGSI se pueden mencionar como:

❑ Contar con un proceso definido para: Evaluar, Implementar, Mantener y

Administrar la Seguridad de la Información en la empresa.

❑ Diferenciarse en el mercado.

❑ Tener una metodología para poder administrar los riesgos.

Cabe indicar que con el presente trabajo, no se busca preparar a la empresa

inmobiliaria para una eventual certificación en materia de seguridad de la
información, sino que proporciona las bases de un SGSI para que una vez
implementado, se pueda aprovechar los beneficios que éste ofrece.
GENERALIDADES DE LA EMPRESA
INMOBILIARIA
La amplia trayectoria convierte a la
inmobiliaria en el mayor promotor de
viviendas del Ecuador desde 1973,
permitiendo la entrega puntual de decenas
de miles de viviendas, de un extenso
catálogo de productos con la máxima
flexibilidad en plazos de financiamiento.
Certificación de calidad ISO 9001:2008.
 ACTIVOS DE LA EMPRESA

Actualmente la empresa cuenta con un Data Center con

servidores de :

❑ Dominio, DNS
❑ Correo
❑ Base de Datos
❑ Internet
❑ Dispositivos Móviles (Black Berry)
❑ Servidor de Archivos
❑ Enlaces de Red con Puntos remotos
❑ Centrales Telefónicas
ENLACES DE DATOS PRINCIPALES
 MARCO
TEÓRICO
 GESTION DE CONTINUIDAD DE
NEGOCIO

En varias empresas se aplican ciertos procesos de

contingencia ante cualquier eventualidad que pueda afectar
sus medios de almacenamiento o comunicación. En otros
casos se improvisa una solución inmediata.

Con lo anteriormente mencionado se realizará el proyecto

utilizando las metodologías :

❑ Norma ISO 27001

❑ ITIL (Buenas prácticas)
 ISO 27001

•NORMAS ISO27001 forma metódica y clara

basada en objetivos claros de seguridad y una
evaluación de los riesgos a los que está sometida
la información de la organización.
 CICLO DE VIDA

Esta Basado en el ciclo de vida PDCA (Planear-Hacer-Verificar-

Actuar; o ciclo de Deming).
 OTROS ESTANDARES DE SGSI

Existen otros estándares internacionalmente aceptados

relacionados con seguridad de la información como: COBIT,
NIST, MAGERIT, ITIL, entre otros, que la enfocan desde
diferentes puntos de vista como controles de seguridad,
buen gobierno, gestión de riesgo.
 ITIL

•ITIL establece los conceptos básicos. Las tareas clave a realizar y la

documentación resultante común a todos los proyectos de análisis y
gestión de riesgos donde se aplique ITIL.
 ¿ QUE ES ITIL ?
•Desarrollada a finales de 1980, y es la Biblioteca de Infraestructura
de Tecnologías de la Información (ITIL) se ha convertido en el
estándar mundial de factor en la Gestión de Servicios Informáticos.

Prestación de Soporte a los

Servicios Usuarios

Soluciones

Perspectivas de Gestión de la
Negocios Infraestructura
TECNOLOGÍA ITIL
ANÁLISIS DE RIESGOS
 GESTIÓN DE LA CONTINUIDAD
DEL NEGOCIO
Es un proceso de gestión logístico que identifica
potenciales impactos que amenazan la organización y
provee una estructura para aumentar la resistencia y la
capacidad de respuesta de manera efectiva que
salvaguardan los intereses de los miembros de la
organización, su reputación, marca y valor creando
actividades.
 ESTRATEGIA DE CONTINUIDAD
Definición Diagrama

•HOT SITE:
•Página web compacta
construida a partir de modelos
estandarizados.
•Posee retorno instantáneo a
bajos costos Significativas de
respuesta.
 ESTRATEGIA DE CONTINUIDAD

•WARM SITE: Forma de ver las principales estrategias

• Recuperación de desastres fuera de sitio
• Recuperación de centro principal.
 MARCO METODOLÓGICO

El proceso de Administración de Continuidad de Servicios de TI cuenta

con 4 etapas que se ejecutan durante las actividades del proceso.
Estas etapas se ilustran en la siguiente figura:

Etapa de Etapa de
Etapa de
Etapa inicial requerimientos y
implantación Operación
estrategia

Educación
y conciencia
Análisis de impacto Organización y
en el negocio plan de implantación
Auditorias
Inicio de Implantación del
Administración de plan de recuperación
Continuidad Análisis de Pruebas
en el Negocio riesgos
Procedimientos
de desarrollo
Admón. de
cambios
Estrategia de
Prueba inicial
continuidad del negocio

Entrenamiento
EVALUACIÓN DE
RIESGO
PARA LA
INMOBILIARIA
 EVALUACION DE RIESGO
Resumen de la Identificación de Riesgos

DOMINIO CANTIDAD
Gestión de continuidad del Negocio 4

Calificación de riesgo de acuerdo al nivel de

Ocurrencia
CALIFICACIÓN NIVEL DE OCURRENCIA
Alta 3
Media 2
Baja 1
Calificación de riesgo de acuerdo al nivel de Impacto

CALIFICACIÓN NIVEL DE IMPACTO

Alta 3
Media 2
Baja 1

Calificación de riesgo
Nivel de Severidad Etiqueta
de acuerdo al nivel de Severidad
Mínimo Máximo
Severidad Baja B 1 3
Severidad Media M 3 6
Severidad Alta A 6 9

Severidad = Nivel de Ocurrencia x Nivel de Impacto

Calificación de riesgo de acuerdo al nivel de
Criticidad

Calificación Nivel de Criticidad

POCO CRITICO 1
MEDIO CRITICO 2
CRITICO 3
MUY CRITICO 4
INDISPENSABLE 5
EJECUCIÓN
 EJECUCIÓN
Ubicación de los principales Activos de la empresa:

ACTIVOS
EQUIPO UBICACIÓN
SERVIDOR CDC_DBASE Edificio principal
SERVIDOR SAMBDATA Edificio principal
SERVIDOR ABMAIL Edificio principal
SERVIDOR
Edificio principal
APLICATION_SERVER
SERVIDOR ANTIVIRUS Edificio principal
SERVIDOR CITRIX Edificio principal
SERVIDOR BALACKBERRY Edificio principal
SERVIDOR ABMAIL Edificio principal
SWHITCH Edificio principal
ROUTER Edificio principal
MODEM Edificio principal
CENTRAL TELEFONICA Edificio principal
 CONTROLES DE APLICABILIDAD
Activos y procesos:

PROCESO NIVEL CRITICO APLICACIÓN HARDWARE

VENTAS 5 SIGI CDC_DBASE, ALMAIL

PROYECTOS 3 SIGI CDC_DBASE, ALMAIL

CDC_DBASE, SAMBDATA,
FINANCIERO 4 SIGI,GP ALMAIL

CONTABLE 3 GP SAMBDATA, ALMAIL

NOMINA 2 EVOLUTION SAMBDATA, ALMAIL

CREDITO Y
COBRANZA 4 SIGI CDC_DBASE, ALMAIL

COMUNICACIÓN
EMPRESARIAL 5 EXCHANGE ABMAIL
 CONTROLES DE APLICABILIDAD

❑Incluir seguridad de información en el proceso.

❑Continuidad comercial y evaluación de riesgos.

❑Desarrollo e implementación del plan de continuidad.

❑Marco referencial de la planeación.

❑Prueba y evaluación.
 CONCLUSIONES

•La perdida de información podría

soportar muchas consecuencias
negativas.

•La seguridad de información es una

medida para incrementar el éxito.

•Permitirá mantener un proceso de

mejora continua.
 RECOMENDACIONES

•Contar con el apoyo correspondiente de

las altas autoridades.

•Concienciar a los empleados sobre la

seguridad de la información.

•Constante evaluación del sistema de

seguridad de información.
GRACIAS POR SU
ATENCIÓN