Business Continuity Management

Fernando Ferrer Olivares CISA, PMP, CCSA, CISM

SISTESEG

Agenda

Sensibilizacin Frameworks y conceptos Metodologa del NIST SP800-34 Metodologa del DRI Concientizacin, Entrenamiento y Educacin Certificaciones

BCM FRAMEWORKS Y CONCEPTOS

Desastre

Cualquier evento que crea inhabilidad en una parte de la organizacin para proveer sus funciones crticas del negocio por algn periodo de tiempo

Business Continuity Mangement Administraci Administracin de la Continuidad de Negocio

Pretende minimizar las prdidas productividad dada la ocurrencia de incidente que genere una interrupcin Continuidad vs. Recuperacin del negocio

de un

Plan de Recuperacin de Desastres Recuperaci

Conjunto aprobado de actividades y procedimientos los cuales hacen posible a una organizacin responder a un desastre y reiniciar sus funciones crticas en una condicin aceptable, en un marco de tiempo determinado

Plan de continuidad de negocio

Son todas las actividades y procedimientos aprobados que hacen posible a una organizacin responder a un evento en tal forma que las funciones crticas del negocio continen sin interrupcin o cambio significativo

Historia

60s
Primeros planes de recuperacin Solo Sistemas de Informacin Solo en EU

70s
Recuperacin de Desastres Alguna actividad fuera de EU Dependencia de Sistemas centralizados

Historia

80s
Recuperacin, no continuidad Planes probados para fuegos, terremotos, huracanes Transicin de planes de SI a planes corporativos Aparece software especializado

90s
Planes corporativos Centrados en el negocio

Modelos de Control Informtico COBIT

Objetivos de Control Objetivos de Control

para Informacin yy para Informacin Tecnologas Relacionadas Tecnologas Relacionadas

Modelos de Control Informtico COBIT Procesos

Planeacin y Organizacin

Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de TI Manejo de la inversin en TI Comunicacin de directrices Gerenciales Administracin del Recurso Humano Asegurar el cumplir requerimientos externos Evaluacin de Riesgos Administracin de Proyectos Administracin de Calidad Identificacin de soluciones Adquisicin y mantenimiento de SW aplicativo Adquisicin y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalacin y Acreditacin de sistemas Administracin de Cambios

Adquisicin e Implementacin

Modelos de Control Informtico COBIT Procesos

Servicios y Soporte

Seguimiento

Definicin del nivel de servicio Administracin del servicio de terceros Administracin de la capacidad y el desempeo Asegurar el servicio continuo Garantizar la seguridad del sistema Identificacin y asignacin de costos Capacitacin de usuarios Soporte a los clientes de TI Administracin de la configuracin Administracin de problemas e incidentes Administracin de datos Administracin de Instalaciones Administracin de Operaciones Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditora independiente

ITIL

COBIT DS4- Asegurar el servicio continuo

Framework de Continuidad de TI La Gerencia de TI, en cooperacin con los propietarios de los procesos de negocio, debe: Establecer un framework de continuidad el cual define los roles, las responsabilidades y el enfoque metodolgico basados en los riesgos a ser adoptado, y las reglas y estructuras para documentar el Plan de Continuidad al igual que los procedimientos de aprobacin. Estratega y filosofa del Plan de Continuidad de TI La Gerencia deber: Asegurar que el Plan de Continuidad de TI est en lnea con el Plan de Continuidad general para asegurar consistencia. Adems, el Plan de Continuidad de TI debe considerar los planes a largo y a corto plazo para asegurar consistencia.

COBIT DS4- Asegurar el servicio continuo

Contenido del Plan de Continuidad de TI La Gerencia de TI debe: Asegurar que un plan escrito es desarrollado conteniendo lo siguiente:
Guas sobre como utilizar el Plan de Continuidad Procedimientos de emergencia para asegurar la seguridad fsica de todos los miembros del staff afectados Procedimientos de respuesta definidos para permitirle al negocio retornar al estado en que se encontraba antes del incidente o desastre Procedimientos de recuperacin Procedimientos para salvaguardar y reconstruir las instalaciones de procesamiento normales Procedimientos de coordinacin con las autoridades pblicas Procedimientos de comunicacin con los interesados, empleados, clientes clave, proveedores crticos, accionistas y gerencia Informacin crtica sobre equipos de continuidad, personal afectado, clientes, proveedores, autoridades pblicas y medios de comunicacin.

COBIT DS4- Asegurar el servicio continuo Minimizando los requerimientos de Continuidad de TI La Gerencia de TI deber establecer procedimientos y guas para minimizar los requerimientos de continuidad con respecto a personal, instalaciones, HW, SW, equipos, formatos, insumos y mobiliario Mantenimiento del Plan de Continuidad de TI La Gerencia de TI deber proveer procedimientos de control de cambios para asegurar que el plan de continuidad se mantiene actualizado y refleja los requerimientos actuales del negocio actuales. Esto requiere de procedimientos de mantenimiento del plan de continuidad alineados con el cambio, la administracin y los procedimientos de recursos humanos

COBIT DS4- Asegurar el servicio continuo Pruebas al Plan de Continuidad de TI Para contar con un Plan de Continuidad efectivo, la gerencia necesita evaluar su adecuacin de manera regular o cuando se presenten cambios mayores en el negocio o en la infraestructura de TI; esto requiere una preparacin cuidadosa, documentacin, reporte de los resultados de las pruebas e implementar un plan de accin de acuerdo con los resultados Entrenamiento sobre el Plan de Continuidad de TI La metodologa de Continuidad ante desastres deber asegurar que todas las partes interesadas reciban sesiones de entrenamiento regulares con respecto a los procedimientos a ser seguidos en caso de un incidente o un desastre

COBIT DS4- Asegurar el servicio continuo

Distribucin del Plan de Continuidad de TI Dada la naturaleza sensitiva de la informacin del plan de continuidad, dicha informacin deber ser distribuida solo a personal autorizado y mantenerse bajo adecuadas medidas de seguridad para evitar su divulgacin no autorizada. Consecuentemente, algunas secciones del plan debern ser distribuidas solo a las personas cuyas actividades hagan necesario conocerlas Procedimientos de respaldo de procesamiento alternativo para Departamentos usuarios La metodologa de continuidad deber asegurar que los departamentos usuarios establezcan procedimientos alternativos de procesamiento, que puedan ser utilizados hasta que la funcin de TI sea capaz de restaurar completamente sus servicios despus de un evento o un desastre.

COBIT DS4- Asegurar el servicio continuo

Recursos Crticos de TI El plan de continuidad deber identificar los programas de aplicacin, servicios de terceros, sistemas operativos, personal, insumos, archivos de datos que resultan crticos as como los tiempos necesarios para la recuperacin despus de que se presenta un desastre. Los datos y las operaciones crticas deben ser identificadas, documentadas, priorizadas y aprobadas por los dueos de los procesos del negocio, en cooperacin con la Gerencia de TI. Sitio y Hardware de Respaldo La Gerencia deber asegurar que la metodologa de continuidad incorpora la identificacin de alternativas relativas al sitio y al hardware de respaldo, as como una seleccin alternativa final. En caso de aplicar, deber establecerse un contrato formal para este tipo de servicios.

COBIT DS4- Asegurar el servicio continuo

Almacenamiento de respaldo en sitio alterno (Off-site) El almacenamiento externo de copias de respaldo, documentacin y otros recursos de TI, catalogados como crticos, debe ser establecido para soportar los planes de recuperacin y continuidad de negocio. Los propietarios de los procesos del negocio y el personal de la funcin de TI deben involucrarse en determinar que recursos de respaldo deben ser almacenados en el sitio alterno. La instalacin de almacenamiento externo debe contar con medidas ambientales apropiadas para los medios y otros recursos almacenados; y debe tener un nivel de seguridad suficiente, que permita proteger los recursos de respaldo contra accesos no autorizados, robo o dao. La Gerencia de TI debe asegurar que los acuerdos/contratos del sitio alterno son peridicamente analizados, al menos una vez al ao, para garantizar que ofrezca seguridad y proteccin ambiental Procedimiento de afinamiento del Plan de Continuidad Dada una exitosa reanudacin de la funcin de TI despus de un desastre, la gerencia de TI deber establecer procedimientos para evaluar lo adecuado del plan y actualizarlo de acuerdo con los resultados de dicha evaluacin

COBIT
CMM Modelos de madurez para auto-evaluacin

COBIT
CMM DS4 Asegurar el Servicio Continuo
3 Defined Process Accountability is unambiguous and responsibilities for continuous service planning and testing are clearly defined and assigned. Plans are documented and based on system criticality and business impact. There is periodic reporting of continuous service testing. Individuals take the initiative for following standards and receiving training. Management communicates consistently the need for continuous service. High-availability components and system redundancy are being applied piecemeal. An inventory of critical systems and components is rigorously maintained. 2 Repeatable but Intuitive Responsibility for continuous service is assigned. The approaches to continuous service are fragmented. Reporting on system availability is incomplete and does not take business impact into account. There are no documented user or continuity plans, although there is commitment to continuous service availability and its major principles are known. A reasonably reliable inventory of critical systems and components exists. Standardisation of continuous service practices and monitoring of the process is emerging, but success relies on individuals. 1 Initial/Ad Hoc Responsibilities for continuous service are informal, with limited authority. Management is becoming aware of the risks related to and the need for continuous service. The focus is on the IT function, rather than on the business function. Users are implementing work-arounds. The response to major disruptions is reactive and unprepared. Planned outages are scheduled to meet IT needs, rather than to accommodate business requirements. 0 Non-existent. There is no understanding of the risks, vulnerabilities and threats to IT operations or the impact of loss of IT services to the business. Service continuity is not considered as needing management attention.

COBIT
CMM DS4 Asegurar el Servicio Continuo
5 Optimised Integrated continuous service processes are proactive, self-adjusting, automated and self-analytical and take into account benchmarking and best external practices. Continuous service plans and business continuity plans are integrated, aligned and routinely maintained. Buy-in for continuous service needs is secured from vendors and major suppliers. Global testing occurs and test results are fed back as part of the maintenance process. Continuous service cost effectiveness is optimised through innovation and integration. Gathering and analysis of data is used to identify opportunities for improvement. Redundancy practices and continuous service planning are fully aligned. Management does not allow single points of failure and provides support for their remedy. Escalation practices are understood and thoroughly enforced. 4. Managed and Measurable Responsibilities and standards for continuous service are enforced. Responsibility for maintaining the continuous service plan is assigned. Maintenance activities take into account the changing business environment, the results of continuous service testing and best internal practices. Structured data about continuous service is being gathered, analysed, reported and acted upon. Training is provided for continuous service processes. System redundancy practices, including use of high-availability components, are being consistently deployed. Redundancy practices and continuous service planning influence each other. Discontinuity incidents are classified and the increasing escalation path for each is well known to all involved.
3 Defined Process Accountability is unambiguous and responsibilities for continuous service planning and testing are clearly defined and assigned. Plans are documented and based on system criticality and business impact. There is periodic reporting of continuous service testing. Individuals take the initiative for following standards and receiving training. Management communicates consistently the need for continuous service. High-availability components and system redundancy are being applied piecemeal. An inventory of critical systems and components is rigorously maintained.

COBIT Procesos claves en IT/Governance

Planeacin y Alineamiento Estratgico Alineamiento con los Objetivos de Negocio Comit Estratgico de TI (Priorizacin) Estndares en estrategia y arquitectura de TI Seguimiento de proyectos de TI Comit de Seguimiento Soporte a iniciativas empresariales estratgicas Financieros Presupuesto operativo de TI Presupuesto de capital de TI Administracin de activos de TI Administracin de contratos de TI Planeacin y asignacin de recursos de TI

Operaciones de TI Desarrollo de aplicaciones Administracin de Proyectos Ciclo de Vida para el Desarrollo de Sistemas Soporte a produccin Control y operacin de produccin Programacin de trabajos Backups del sistema Arquitectura tcnica Diseo, administracin y operacin de la red Soporte a usuarios Administracin de seguridad informtica Continuidad de negocio y recuperacin de desastres

Frameworks de Control Polticas Gerenciales de Informacin Corporativa privacidad, propietarios de procesos de negocio, retencin de registros Departamento de TI CVDS, seguridad Estndares COBIT, ITIL, ISO, SAS70 Prcticas y procedimientos Administracin de la documentacin del sistema Aseguramiento de calidad Cumplimiento regulatorio Procedimientos de escalamiento Procedimientos de divulgacin Administracin de contratos y de vendedores

Principles of IT Governance, Stacey Hamaker, Information Systems Control Journal, Volume 2, 2004

COBIT
KGI DS4 Asegurar el Servicio Continuo

Number of outstanding continuous service issues not resolved or addressed Number and extent of breaches of continuous service, using duration and impact criteria Time lag between organisational change and continuity plan update Time to diagnose an incident and decide on continuity plan execution Time to normalise the service level after execution of the continuity plan Number of proactive availability fixes implemented Lead time to address continuous service shortfalls Frequency of continuous service training provided Frequency of continuous service testing

COBIT
KGI DS4 Asegurar el Servicio Continuo

No incidents causing public embarrassment Number of critical business processes relying on IT that have adequate continuity plans Regular and formal proof that the continuity plans work Reduced downtime Number of critical infrastructure components with automatic availability monitoring

Modelos de Seguridad de la Informacin

Information Security Governance - ISACA

Alineamiento con TI CMM 5 estados

Valoracin de Riesgos Continuidad de negocio Atencin de incidentes

Indicadores

Modelos de Seguridad de la Informacin

COBIT Security Baseline Structure - ISACA

Modelos de Seguridad de la Informacin

COBIT Security Baseline Structure - ISACA

Modelos de Seguridad de la Informacin

COBIT Security Baseline Structure - ISACA

Modelos de Seguridad de la Informacin

ISO-17799 Componentes de un framework de seguridad

Poltica de Seguridad Control y clasificacin de activos Seguridad fsica y ambiental

Organizacin de la Seguridad Seguridad del personal Administracin de las comunicaciones y operaciones Desarrollo y mantenimiento de sistemas Cumplimiento

Control de acceso Administracin de la continuidad del negocio

Modelos de Seguridad de la Informacin

ISO-17799 Business Continuity Mangement

Aspectos de BCM
Procesos de BCM Continuidad de negocio y anlisis de impacto Escribiendo e implementando planes de continuidad BCP Framework Pruebas, mantenimiento y revaloracin de Planes de Continuidad de Negocio

Modelos de Seguridad de la Informacin

ISO-17799 y BS-7799-2

ISO-17799 es un catlogo de buenas cosas por hacer (Controles en formato imperativo) BS-7799-2 es una metodologa formal para construir y evaluar un ISMS (Information Security Management System) El cumplimiento de un ISMS puede ser independientemente evaluado - certificado

Modelos de Seguridad de la Informacin

NIST SP800- 34 - BCP

Contingency Planning Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology NIST, June 2002

Modelos de Seguridad de la Informacin DRI - BCP

Fases:
Iniciacin del Proyecto Requerimientos Funcionales Diseo y Desarrollo Implementacin Pruebas y ejercicios Mantenimiento y Actualizacin Ejecucin

Modelos de Seguridad de la Informacin Risk Management - Enfoques

Plan estratgico de Administracin de Riesgos
Administracin de Crisis Relacion Relacion es es legales y legales y comercia comercia les les Cambio Cambio s s Tecnol Tecnol gicos gicos Cambios Cambios Polticos Polticos Eventos Eventos naturale naturale s s Cambios Cambios procedi procedi mentale mentale s s

Fuentes de Riesgo

Softwar Softwar e e

Presin Presin de la de la compete compete ncia ncia

Comport Comport amiento amiento humano humano

Dispositi Dispositi vos o vos o equipos equipos

Impacto Financiero Impacto Financiero Consecuencias Disponibilidad Disponibilidad Continuidad Continuidad

Impacto Econmico Impacto Econmico Confidencialidad Confidencialidad

Objetivos Objetivos Integridad Integridad Accidentalidad Accidentalidad

Opciones de Tratamiento Mitigar, Reducir, Aceptar, Asumir, Evitar, Transferir Opciones de Tratamiento Mitigar, Reducir, Aceptar, Asumir, Evitar, Transferir Plan de Manejo del Riesgo Respuesta al Riesgo Respuesta al Riesgo (Monitoreo, mantenimiento y Atencin de incidentes) (Monitoreo, mantenimiento y Atencin de incidentes) Respuesta a Continuidad de Negocio Respuesta a Continuidad de Negocio

Business Continuity: A Business Survival Strategy, Information Systems Control Journal, Volume 1, 2002, pag. 29.

Modelos de Seguridad de la Informacin Risk Management - Enfoques Business Continuity Planning Prevention Plans Before Risk Management Facility Plans Security Plans Emergency Response Plans During Incident Response Life Safety vs. Assest Protection Damage Assessment Business Resumption Plan After Crisis Mgmt. Plan Bus. UnitsPlans I.S. Dept. Plan

Crisis Management Planning Part IV, Crisis in Organizations Lawrence Barton.

Modelos de Seguridad de la Informacin Risk Management - Enfoques

Risk Management Before an Incident During an Incident

After an Incident

Identify

Contain

Compensate or Restore and Recover

Minimize

Risk Management Policy Appendix A Risk Management Phases, Treasury Board of Canada Secretariat.

Modelos de Seguridad de la Informacin Risk Management - Enfoques

Changing the Paradigm, MC2 Management Consulting David McNamee.

Modelos de Seguridad de la Informacin Risk Management - Enfoques

Modelos Implementacin de un modelo

Revisin postimplementacin

Retroalimentacin Tomar conciencia y decidirse Identificar necesidades Analizar opciones Analizar riesgos

Seleccionar procesos

Definir dnde est usted Envision la solucin

Definir dnde desea estar usted

Analizar gaps (vacos diferencias)

Definir proyectos Planear la solucin

Desarrollar e implementar el plan de cambio

Integrar a las Integrar medidas prcticas del da en IT-BSC a da Implementar la solucin

Adaptado de IT Governance Hands-on: Using COBIT o implement IT Governance, Luc Kordel, Information Systems Control Journal, Volume 2, 2004

Criterios para procesos de seguridad en TI

Planeacin para la recuperacin de desastres
Planeacin para la Recuperacin de Desastres No existe Plan de Recuperacin de Desastres (PRD) Los backups no son adecuados (frecuencia y/o almacenamiento) para proteger la instalacin. Los backups semanales y mensuales deben ser almacenados externamente; los diarios pueden ser almacenados en la sede si se mantienen en un lugar seguro contra fuego El PRD no ha sido probado adecuadamente El PRD no contiene todos los elementos requeridos por la poltica corporativa La instalacin externa de backups no es adecuada

Todas los requerimientos de las polticas corporativas se satisfacen La frecuencia y el almacenamiento de los backups es adecuado para asegurar recuperacin de datos razonable

Getting Action on Audit Results, Harry A. Sparks Information Systems Control Journal, Volume 6, 2003

Criterios para procesos de seguridad en TI

Planeacin para la recuperacin de desastres

Ubicacin Ubicacin 1 Ubicacin 2 Ubicacin 3 Ubicacin 4 Ubicacin 5

PRD

Seguridad

Lic. SW

Total

Getting Action on Audit Results, Harry A. Sparks Information Systems Control Journal, Volume 6, 2003

Criterios para procesos de seguridad en TI

Planeacin para la recuperacin de desastres

2004

2005

PRD

Seguridad

Lic. SW

Total

Getting Action on Audit Results, Harry A. Sparks Information Systems Control Journal, Volume 6, 2003

Bibliografa

COBIT 3.0, ISACA, 2000 Information Security Governance, ISACA COBIT Security Baseline, ISACA ISO-17799 NIST SP800-34 DRI Information Systems Control Journal, ISACA Estndar AS/NZS:4360, 2004

FIN!