Gestión de Riesgos Informáticos

Unidad de aprendizaje 3: Herramientas para la Gestión del Riesgos

Plan de Continuidad de Negocio

Mg. Sc. Ing. CIP Adolfo Cáceres Luque

 LOGRO DE APRENDIZAJE DE LA SESION

Al finalizar la sesión, el estudiante entiende la importancia de contar con plan

de continuidad del negocio, para mantener la operatividad disponible de una
organización.
 INTRODUCCION
¿Qué le sugiere la siguiente imágen?
 TEMAS A TRATAR

 Plan de continuidad de negocio

Qué puede suceder?

•Desastres de grandes dimensiones

•Pequeños incidentes
Porque se requiere planear la continuidad?

• Casos de desastres contra la continuidad

• Sitios WEB atacados mediante Denial of Service
• Situación terremoto de Armenia
• Atentados terroristas
• Desordenes públicos que impiden el acceso a las instalaciones
• Centros de cómputo fuera de servicio
Preparación para riesgos de cualquier dimensión

Controles

Estrategias

Alternativas

Acciones rápidas
Amenazas
 Naturales
 Humanas No se pueden evitar pero se puede mitigar su
 Tecnológicas impacto
Amenazas Naturales
 Atentan contra las instalaciones físicas
• Inundaciones
• Temblores o terremotos (Armenia)
• Incendios
 Menor dimensión
• Tormentas eléctricas
Humanas
 Atentados contra las instalaciones
físicas
• Terrorismo
• Sabotaje
• Bombas
 Menores dimensiones
• Contra las personas
• Contra los equipos o la información
Tecnológicas
 Pérdida de potencia
 Fallas en equipos UPS, plantas,
etc.
 Daños fortuitos
 Fallas en condiciones
ambientales
 Denial of Service
• Casos Yahoo, Amazon, HotMail, etc.
 Virus
 Recuperación VS Continuidad

 Inicialmente la planeación se concentraba en la recuperación de

interrupciones sobre sistemas de información

 Hoy se busca garantizar la continuidad de la funcionalidad del negocio

Recuperación VS Continuidad

Normalidad
Transacciones Normalidad
Consultas Transacciones
Nuevos clientes Consultas
Requerimientos Interrupción
Nuevos clientes
etc Requerimientos
etc

Tiempo de pérdida Tiempo

Impactos
 Credibilidad de los clientes
 Operativos Financieros
 Imagen Mercado

 Consideraciones legales
Impactos
 Personas afectadas (tipo, cantidad)
 Imagen (área, Organización, País)
 Nivel de afectación (interno, externo)
Impactos
 Tiempo que permanece fuera el servicio y horarios críticos
 Económico (demandas, pérdidas financieras, etc.)

Cie rre diario

Ne gocio

Procesos críticos

Contable

P a gos

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

Horario (horas)
Impactos
 Probabilidades de sobrevivir a un desastre: “de 5 empresas 2 no

vuelven a abrir y de los 3 que permanecen, 1 sale del negocio dentro de los

siguientes 2 años”.[Gartner Group Study]

 Desde finales de 1960 se esta trabajando en el tema, inicialmente solo a nivel de

informática, hoy se involucra toda la organización.

Impactos
 Los desastres han incrementado en la medida en que la industria avanza, es
necesario planear mas que reaccionar
• Globalización

• Consolidación y centralización

• Infraestructura
• Cambios tecnológicos
Objetivos y requerimientos
 Garantizar que los servicios que provee la organización al exterior
y los procesos críticos internos operen a un nivel aceptable
durante un evento de crisis y logren su normalidad después de
ésta.
Objetivos y requerimientos
 Mitigar los efectos causados por un eventual desastre, mediante la adecuada
planeación y control.

 Permitir una respuesta rápida a las emergencias, y lograr una recuperación eficaz
y efectiva.
Reseña del Instituto Internacional de
Recuperación de Desastres (D.R.I.I.)
 Fundado formalmente en 1988 (Washington University St.
Louis).
 Propone los lineamientos para los profesionales en la
planeación de recuperación de negocios mediante la
definición de áreas base del conocimiento.
 Capacitación, asesorías y servicios.
 Certifica profesionales en la materia.
Certificaciones ofrecidas por el D.R.I.I.

 Associate Business Continuity Planner

 Certified Business Continuity

Professional

 Master Business Continuity Professional

Cursos ofrecidos por el D.R.I.I.
 Cursos Básicos:
DRP-111. “Introduction to Business Continuity Planning”
DRP-112. “Managing & developing the B.C.P.”
DRP-113. “Business Communications For C.P.”
DRP-114. “Implementing & testing the B.C.P.”
 Cursos Especializados:
DRP-210. “Business Impact Analysis”
DRP-211. “B.C.P. For local area networks”
DRP-212. “Prevention, Control & Mitigation in C.P.”
DRP-213. “Corporate Incident Management”
DRP- 501. “B.C.P. review”
DRP- 601. “Master level case study review”
Áreas del conocimiento base del D.R.I.I.
1.Administración e iniciación del proyecto.
2.Evaluación de riesgos y controles.
3.Análisis del impacto sobre el negocio.
4.Estrategias de recuperación.
5.Respuesta a la emergencia.
6.Desarrollo e implementación del plan.
7.Programas de concientización y
entrenamiento del personal.
8.Pruebas y ejercicios del plan.
9.Mantenimiento y actualización del plan.
Metodología D.R.I.I.
 Basada en las áreas del conocimiento base de los profesionales en planeación de la
continuidad del negocio.

 Proporciona un estándar internacional para las prácticas en la construcción de

“Planes de Continuidad del Negocio”.

 Originada desde antes de 1989.

 Revisada permanentemente por expertos en la materia.

Situaciones
Normalidad
DESASTRE PROBLEMA
“Un evento externo o interno
interrumpe uno o más procesos
Respuesta a la emergencia del negocio”

Toma del control

Toma de decisiones

Reanudación de operaciones críticas

Restauración
Recuperación de las
capacidades diarias
Fases de la metodología
Definición
En cualquier
momento Requerimientos Func.
es posible
devolverse
a efectuar Diseño y Desarrollo
cambios
en una Implementación
fase previa.

Pruebas y ejercicios

Mantenimiento

EJECUCIÓN
Fase 1: Definición

Definir el problema (Recuperación de desastres vs. Continuidad

del negocio)
Conciencia en la alta gerencia y políticas de continuidad del negocio
Definición de los objetivos y requerimientos de continuidad
(Quien, que, cuando, donde y como)
Alcance y objetivos del proyecto
Comité de seguimiento al proyecto
Fase 2: Requerimientos funcionales
• Identificación de los bienes a ser protegidos
• Efectuar el análisis de riesgos
• Realizar el análisis de impacto del negocio (BIA)
• Identificación de las estrategias
• Costo-beneficio de las estrategias
• Selección de la estrategia
• Presupuesto de inversión
Bienes a ser protegidos

TELECOMUNICACIONES

Hardware (Mainframe,
PC’s, LAN)
Análisis de Riesgos
El análisis de riesgos permite identificar las vulnerabilidades
de la compañía, evaluar los controles existentes, así como
prever si son necesarios nuevos controles.
Puede ser cualitativo o cuantitativo.
Análisis de Riesgos (cont.)

Actividades:
• Identificar las amenazas y vulnerabilidades sobre los
elementos críticos
• Establecer los riesgos utilizando A.L.E (Anual Loss Exposure,
Riesgo=frec x exposic)
• Identificar y analizar controles existentes
• Analizar el valor de los controles adicionales
• Recomendar la implantación de controles para mitigar los
riesgos
Análisis de impacto del negocio
Basados en los riesgos ya identificados:
• Determinar los procesos, funciones, departamentos y áreas de
trabajo del negocio sensibles en el tiempo.
• Determinar los sistemas, datos y telecomunicaciones sensibles
en el tiempo.
• Determinar el tiempo de disponibilidad requerido (RTO).
Análisis de impacto del negocio
 Es importante definir el criterio de criticidad de las funciones y procesos.

 Definir las consecuencias de las caídas del negocio.

 Establecer el RTO (tiempo objetivo de recuperación) de los procesos
críticos.
Recovery Time Objective

Los sistemas críticos

Punto de Reinicio de las son operativos y con
interrrupción operaciones datos actuales

tiempo
Recovery Time Objective
Procesos del
negocio
Es el tiempo entre el punto de interrupción, y el punto en el cuál los
funcionando
sistemas sensibles en el tiempo deben estar funcionando
nuevamente, con los datos actualizados
 Identificación de estrategias

 Identificar los requerimientos de las estrategias de recuperación:

• Tiempos
• Personal requerido
• Sitios (recuperación, coordinación, reinicio)
• Tipos (CdeC, funciones del negocio, comunic.)
 Identificar las posibles alternativas de recuperación :
• No hacer nada
Identificación de estrategias
• Diferir acciones
• Procedimientos manuales
• Acuerdos recíprocos
• Sitios alternos
• Servicios comerciales (recuperación interna, hot site, cold site, warm site,
nada)
• Consorcio con otras compañías
• Procesamiento distribuido
• Comunicaciones alternas
Identificación de estrategias

Seleccionar el almacenamiento fuera del sitio

Seleccionar el sitio alterno
Realizar un análisis costo beneficio
Fase 3: Diseño y desarrollo

 Definir el alcance del plan

 Estructurar una organización jerárquica paralela para
administrar emergencias, con esquemas de notificación
 Definición de escenarios
 Programas de control de personal
 Detallar la administración general del plan
Fase 4: Implementación

 Crear procedimientos de atención a al emergencia

 Crear procedimientos para controlar la crisis
 Designar la autoridad
 Crear procedimientos para encadenar respuesta a la
emergencia y recuperación
 Detallar procedimientos de reinicio, recuperación y
restauración
 Contratos y recursos para recuperación
Fase 5: Pruebas y ejercicios

 Diseñar programas de entrenamiento, conciencia corporativa y mecanismos

de distribución del plan

 Programar ejercicios con objetivos claros

 Preparar los escenarios

 Efectuar ejercicios

 Evaluar resultados
Fase 6: Mantenimiento y actualización
 Programar y calcular la inversión en actividades de actualización y
mantenimiento
 Evaluar herramientas de software como apoyo
 Establecer criterios de revisión
 Procedimientos de mantenimiento del plan:
• Procedimientos de actualización
• Procedimientos de reporte de estado
Fase 6: Mantenimiento y actualización (cont.)

 Procedimientos de auditoría y control

 Establecer mecanismos de distribución de la actualización del plan y procedimientos
de control
Fase 7: Ejecución

 Cada empleado sabe que hacer, donde ir, a quien reportarse

durante la emergencia.

 Se inicia el plan de respuesta a la emergencia

 Se inicia el procedimiento de recuperación del negocio, si
es necesario
 Tarea/Actividad en Canvas

Foro
Importancia para una empresa que provee servicios de operaciones de
ciberseguridad (C-SOC) a tercero de contar con un Plan de Continuidad del Negocio

 Tarea
Conceptualizar y proponer un ejemplo para los siguientes conceptos:
- Plan de recuperación ante desastres
- Plan de continuidad de negocio

“La tecnología por sí sola no basta. También tenemos que poner el corazón” – Jane Goodall
Conversemos un poco sobre los nuevos
términos o conceptos aprendidos el día de hoy

En la modalidad virtual participamos a través del chat, para ello usamos la opción “Levantar la mano”
Gracias por su atención . . . !

Mg. Sc. Ing. CIP Adolfo Cáceres Luque

https://www.linkedin.com/in/adolfo-caceres-luque/