Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Controles
Estrategias
Alternativas
Acciones rápidas
Amenazas
Naturales
Humanas No se pueden evitar pero se puede mitigar su
Tecnológicas impacto
Amenazas Naturales
Atentan contra las instalaciones físicas
• Inundaciones
• Temblores o terremotos (Armenia)
• Incendios
Menor dimensión
• Tormentas eléctricas
Humanas
Atentados contra las instalaciones
físicas
• Terrorismo
• Sabotaje
• Bombas
Menores dimensiones
• Contra las personas
• Contra los equipos o la información
Tecnológicas
Pérdida de potencia
Fallas en equipos UPS, plantas,
etc.
Daños fortuitos
Fallas en condiciones
ambientales
Denial of Service
• Casos Yahoo, Amazon, HotMail, etc.
Virus
Recuperación VS Continuidad
Normalidad
Transacciones Normalidad
Consultas Transacciones
Nuevos clientes Consultas
Requerimientos Interrupción
Nuevos clientes
etc Requerimientos
etc
Consideraciones legales
Impactos
Personas afectadas (tipo, cantidad)
Imagen (área, Organización, País)
Nivel de afectación (interno, externo)
Impactos
Tiempo que permanece fuera el servicio y horarios críticos
Económico (demandas, pérdidas financieras, etc.)
Ne gocio
Procesos críticos
Contable
P a gos
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Horario (horas)
Impactos
Probabilidades de sobrevivir a un desastre: “de 5 empresas 2 no
vuelven a abrir y de los 3 que permanecen, 1 sale del negocio dentro de los
• Consolidación y centralización
• Infraestructura
• Cambios tecnológicos
Objetivos y requerimientos
Garantizar que los servicios que provee la organización al exterior
y los procesos críticos internos operen a un nivel aceptable
durante un evento de crisis y logren su normalidad después de
ésta.
Objetivos y requerimientos
Mitigar los efectos causados por un eventual desastre, mediante la adecuada
planeación y control.
Permitir una respuesta rápida a las emergencias, y lograr una recuperación eficaz
y efectiva.
Reseña del Instituto Internacional de
Recuperación de Desastres (D.R.I.I.)
Fundado formalmente en 1988 (Washington University St.
Louis).
Propone los lineamientos para los profesionales en la
planeación de recuperación de negocios mediante la
definición de áreas base del conocimiento.
Capacitación, asesorías y servicios.
Certifica profesionales en la materia.
Certificaciones ofrecidas por el D.R.I.I.
Toma de decisiones
Pruebas y ejercicios
Mantenimiento
EJECUCIÓN
Fase 1: Definición
TELECOMUNICACIONES
Hardware (Mainframe,
PC’s, LAN)
Análisis de Riesgos
El análisis de riesgos permite identificar las vulnerabilidades
de la compañía, evaluar los controles existentes, así como
prever si son necesarios nuevos controles.
Puede ser cualitativo o cuantitativo.
Análisis de Riesgos (cont.)
Actividades:
• Identificar las amenazas y vulnerabilidades sobre los
elementos críticos
• Establecer los riesgos utilizando A.L.E (Anual Loss Exposure,
Riesgo=frec x exposic)
• Identificar y analizar controles existentes
• Analizar el valor de los controles adicionales
• Recomendar la implantación de controles para mitigar los
riesgos
Análisis de impacto del negocio
Basados en los riesgos ya identificados:
• Determinar los procesos, funciones, departamentos y áreas de
trabajo del negocio sensibles en el tiempo.
• Determinar los sistemas, datos y telecomunicaciones sensibles
en el tiempo.
• Determinar el tiempo de disponibilidad requerido (RTO).
Análisis de impacto del negocio
Es importante definir el criterio de criticidad de las funciones y procesos.
tiempo
Recovery Time Objective
Procesos del
negocio
Es el tiempo entre el punto de interrupción, y el punto en el cuál los
funcionando
sistemas sensibles en el tiempo deben estar funcionando
nuevamente, con los datos actualizados
Identificación de estrategias
Efectuar ejercicios
Evaluar resultados
Fase 6: Mantenimiento y actualización
Programar y calcular la inversión en actividades de actualización y
mantenimiento
Evaluar herramientas de software como apoyo
Establecer criterios de revisión
Procedimientos de mantenimiento del plan:
• Procedimientos de actualización
• Procedimientos de reporte de estado
Fase 6: Mantenimiento y actualización (cont.)
Foro
Importancia para una empresa que provee servicios de operaciones de
ciberseguridad (C-SOC) a tercero de contar con un Plan de Continuidad del Negocio
Tarea
Conceptualizar y proponer un ejemplo para los siguientes conceptos:
- Plan de recuperación ante desastres
- Plan de continuidad de negocio
“La tecnología por sí sola no basta. También tenemos que poner el corazón” – Jane Goodall
Conversemos un poco sobre los nuevos
términos o conceptos aprendidos el día de hoy
En la modalidad virtual participamos a través del chat, para ello usamos la opción “Levantar la mano”
Gracias por su atención . . . !