Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SISTESEG
Agenda
Sensibilizacin Frameworks y conceptos Metodologa del NIST SP800-34 Metodologa del DRI Concientizacin, Entrenamiento y Educacin Certificaciones
Desastre
Cualquier evento que crea inhabilidad en una parte de la organizacin para proveer sus funciones crticas del negocio por algn periodo de tiempo
Pretende minimizar las prdidas productividad dada la ocurrencia de incidente que genere una interrupcin Continuidad vs. Recuperacin del negocio
de un
Conjunto aprobado de actividades y procedimientos los cuales hacen posible a una organizacin responder a un desastre y reiniciar sus funciones crticas en una condicin aceptable, en un marco de tiempo determinado
Historia
60s
Primeros planes de recuperacin Solo Sistemas de Informacin Solo en EU
70s
Recuperacin de Desastres Alguna actividad fuera de EU Dependencia de Sistemas centralizados
Historia
80s
Recuperacin, no continuidad Planes probados para fuegos, terremotos, huracanes Transicin de planes de SI a planes corporativos Aparece software especializado
90s
Planes corporativos Centrados en el negocio
Planeacin y Organizacin
Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de TI Manejo de la inversin en TI Comunicacin de directrices Gerenciales Administracin del Recurso Humano Asegurar el cumplir requerimientos externos Evaluacin de Riesgos Administracin de Proyectos Administracin de Calidad Identificacin de soluciones Adquisicin y mantenimiento de SW aplicativo Adquisicin y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalacin y Acreditacin de sistemas Administracin de Cambios
Adquisicin e Implementacin
Servicios y Soporte
Seguimiento
Definicin del nivel de servicio Administracin del servicio de terceros Administracin de la capacidad y el desempeo Asegurar el servicio continuo Garantizar la seguridad del sistema Identificacin y asignacin de costos Capacitacin de usuarios Soporte a los clientes de TI Administracin de la configuracin Administracin de problemas e incidentes Administracin de datos Administracin de Instalaciones Administracin de Operaciones Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditora independiente
ITIL
Framework de Continuidad de TI La Gerencia de TI, en cooperacin con los propietarios de los procesos de negocio, debe: Establecer un framework de continuidad el cual define los roles, las responsabilidades y el enfoque metodolgico basados en los riesgos a ser adoptado, y las reglas y estructuras para documentar el Plan de Continuidad al igual que los procedimientos de aprobacin. Estratega y filosofa del Plan de Continuidad de TI La Gerencia deber: Asegurar que el Plan de Continuidad de TI est en lnea con el Plan de Continuidad general para asegurar consistencia. Adems, el Plan de Continuidad de TI debe considerar los planes a largo y a corto plazo para asegurar consistencia.
COBIT DS4- Asegurar el servicio continuo Minimizando los requerimientos de Continuidad de TI La Gerencia de TI deber establecer procedimientos y guas para minimizar los requerimientos de continuidad con respecto a personal, instalaciones, HW, SW, equipos, formatos, insumos y mobiliario Mantenimiento del Plan de Continuidad de TI La Gerencia de TI deber proveer procedimientos de control de cambios para asegurar que el plan de continuidad se mantiene actualizado y refleja los requerimientos actuales del negocio actuales. Esto requiere de procedimientos de mantenimiento del plan de continuidad alineados con el cambio, la administracin y los procedimientos de recursos humanos
COBIT DS4- Asegurar el servicio continuo Pruebas al Plan de Continuidad de TI Para contar con un Plan de Continuidad efectivo, la gerencia necesita evaluar su adecuacin de manera regular o cuando se presenten cambios mayores en el negocio o en la infraestructura de TI; esto requiere una preparacin cuidadosa, documentacin, reporte de los resultados de las pruebas e implementar un plan de accin de acuerdo con los resultados Entrenamiento sobre el Plan de Continuidad de TI La metodologa de Continuidad ante desastres deber asegurar que todas las partes interesadas reciban sesiones de entrenamiento regulares con respecto a los procedimientos a ser seguidos en caso de un incidente o un desastre
COBIT
CMM Modelos de madurez para auto-evaluacin
COBIT
CMM DS4 Asegurar el Servicio Continuo
3 Defined Process Accountability is unambiguous and responsibilities for continuous service planning and testing are clearly defined and assigned. Plans are documented and based on system criticality and business impact. There is periodic reporting of continuous service testing. Individuals take the initiative for following standards and receiving training. Management communicates consistently the need for continuous service. High-availability components and system redundancy are being applied piecemeal. An inventory of critical systems and components is rigorously maintained. 2 Repeatable but Intuitive Responsibility for continuous service is assigned. The approaches to continuous service are fragmented. Reporting on system availability is incomplete and does not take business impact into account. There are no documented user or continuity plans, although there is commitment to continuous service availability and its major principles are known. A reasonably reliable inventory of critical systems and components exists. Standardisation of continuous service practices and monitoring of the process is emerging, but success relies on individuals. 1 Initial/Ad Hoc Responsibilities for continuous service are informal, with limited authority. Management is becoming aware of the risks related to and the need for continuous service. The focus is on the IT function, rather than on the business function. Users are implementing work-arounds. The response to major disruptions is reactive and unprepared. Planned outages are scheduled to meet IT needs, rather than to accommodate business requirements. 0 Non-existent. There is no understanding of the risks, vulnerabilities and threats to IT operations or the impact of loss of IT services to the business. Service continuity is not considered as needing management attention.
COBIT
CMM DS4 Asegurar el Servicio Continuo
5 Optimised Integrated continuous service processes are proactive, self-adjusting, automated and self-analytical and take into account benchmarking and best external practices. Continuous service plans and business continuity plans are integrated, aligned and routinely maintained. Buy-in for continuous service needs is secured from vendors and major suppliers. Global testing occurs and test results are fed back as part of the maintenance process. Continuous service cost effectiveness is optimised through innovation and integration. Gathering and analysis of data is used to identify opportunities for improvement. Redundancy practices and continuous service planning are fully aligned. Management does not allow single points of failure and provides support for their remedy. Escalation practices are understood and thoroughly enforced. 4. Managed and Measurable Responsibilities and standards for continuous service are enforced. Responsibility for maintaining the continuous service plan is assigned. Maintenance activities take into account the changing business environment, the results of continuous service testing and best internal practices. Structured data about continuous service is being gathered, analysed, reported and acted upon. Training is provided for continuous service processes. System redundancy practices, including use of high-availability components, are being consistently deployed. Redundancy practices and continuous service planning influence each other. Discontinuity incidents are classified and the increasing escalation path for each is well known to all involved.
3 Defined Process Accountability is unambiguous and responsibilities for continuous service planning and testing are clearly defined and assigned. Plans are documented and based on system criticality and business impact. There is periodic reporting of continuous service testing. Individuals take the initiative for following standards and receiving training. Management communicates consistently the need for continuous service. High-availability components and system redundancy are being applied piecemeal. An inventory of critical systems and components is rigorously maintained.
Operaciones de TI Desarrollo de aplicaciones Administracin de Proyectos Ciclo de Vida para el Desarrollo de Sistemas Soporte a produccin Control y operacin de produccin Programacin de trabajos Backups del sistema Arquitectura tcnica Diseo, administracin y operacin de la red Soporte a usuarios Administracin de seguridad informtica Continuidad de negocio y recuperacin de desastres
Frameworks de Control Polticas Gerenciales de Informacin Corporativa privacidad, propietarios de procesos de negocio, retencin de registros Departamento de TI CVDS, seguridad Estndares COBIT, ITIL, ISO, SAS70 Prcticas y procedimientos Administracin de la documentacin del sistema Aseguramiento de calidad Cumplimiento regulatorio Procedimientos de escalamiento Procedimientos de divulgacin Administracin de contratos y de vendedores
Principles of IT Governance, Stacey Hamaker, Information Systems Control Journal, Volume 2, 2004
COBIT
KGI DS4 Asegurar el Servicio Continuo
Number of outstanding continuous service issues not resolved or addressed Number and extent of breaches of continuous service, using duration and impact criteria Time lag between organisational change and continuity plan update Time to diagnose an incident and decide on continuity plan execution Time to normalise the service level after execution of the continuity plan Number of proactive availability fixes implemented Lead time to address continuous service shortfalls Frequency of continuous service training provided Frequency of continuous service testing
COBIT
KGI DS4 Asegurar el Servicio Continuo
No incidents causing public embarrassment Number of critical business processes relying on IT that have adequate continuity plans Regular and formal proof that the continuity plans work Reduced downtime Number of critical infrastructure components with automatic availability monitoring
Indicadores
Organizacin de la Seguridad Seguridad del personal Administracin de las comunicaciones y operaciones Desarrollo y mantenimiento de sistemas Cumplimiento
Aspectos de BCM
Procesos de BCM Continuidad de negocio y anlisis de impacto Escribiendo e implementando planes de continuidad BCP Framework Pruebas, mantenimiento y revaloracin de Planes de Continuidad de Negocio
ISO-17799 es un catlogo de buenas cosas por hacer (Controles en formato imperativo) BS-7799-2 es una metodologa formal para construir y evaluar un ISMS (Information Security Management System) El cumplimiento de un ISMS puede ser independientemente evaluado - certificado
Contingency Planning Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology NIST, June 2002
Fases:
Iniciacin del Proyecto Requerimientos Funcionales Diseo y Desarrollo Implementacin Pruebas y ejercicios Mantenimiento y Actualizacin Ejecucin
Fuentes de Riesgo
Softwar Softwar e e
Opciones de Tratamiento Mitigar, Reducir, Aceptar, Asumir, Evitar, Transferir Opciones de Tratamiento Mitigar, Reducir, Aceptar, Asumir, Evitar, Transferir Plan de Manejo del Riesgo Respuesta al Riesgo Respuesta al Riesgo (Monitoreo, mantenimiento y Atencin de incidentes) (Monitoreo, mantenimiento y Atencin de incidentes) Respuesta a Continuidad de Negocio Respuesta a Continuidad de Negocio
Business Continuity: A Business Survival Strategy, Information Systems Control Journal, Volume 1, 2002, pag. 29.
Modelos de Seguridad de la Informacin Risk Management - Enfoques Business Continuity Planning Prevention Plans Before Risk Management Facility Plans Security Plans Emergency Response Plans During Incident Response Life Safety vs. Assest Protection Damage Assessment Business Resumption Plan After Crisis Mgmt. Plan Bus. UnitsPlans I.S. Dept. Plan
After an Incident
Identify
Contain
Minimize
Risk Management Policy Appendix A Risk Management Phases, Treasury Board of Canada Secretariat.
Retroalimentacin Tomar conciencia y decidirse Identificar necesidades Analizar opciones Analizar riesgos
Seleccionar procesos
Todas los requerimientos de las polticas corporativas se satisfacen La frecuencia y el almacenamiento de los backups es adecuado para asegurar recuperacin de datos razonable
Getting Action on Audit Results, Harry A. Sparks Information Systems Control Journal, Volume 6, 2003
PRD
Seguridad
Lic. SW
Total
Getting Action on Audit Results, Harry A. Sparks Information Systems Control Journal, Volume 6, 2003
2004
2005
PRD
Seguridad
Lic. SW
Total
Getting Action on Audit Results, Harry A. Sparks Information Systems Control Journal, Volume 6, 2003
Bibliografa
COBIT 3.0, ISACA, 2000 Information Security Governance, ISACA COBIT Security Baseline, ISACA ISO-17799 NIST SP800-34 DRI Information Systems Control Journal, ISACA Estndar AS/NZS:4360, 2004
FIN!