Agosto 2010 SESIN 06 Diseo del Servicio 01 CARRERA DE INGENIERA DE SISTEMAS Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS El objetivo de la Gestin de Continuidad de Servicios de TI es; planear, cubrir y recuperarse de una crisis de TI, y de ser requerido que las operaciones de TI se muevan a un sistema alterno realizar esta actividad de una manera transparente, sin afectar la operatividad del negocio. Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Hoy en da los ambientes de negocio son altamente competitivos, las organizaciones son juzgadas en su habilidad para continuar operando y proporcionando servicios. La administracin de continuidad se preocupa por la habilidad de una organizacin para continuar proporcionando un los predeterminado y acordado nivel de servicios de TI, para soportar requerimientos mnimos del negocio. Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Beneficios para la Gestin de Servicios de TI
1. Mejor administracin de riesgos 2. Credibilidad organizacional 3. Ventaja competitiva 4. Recuperacin de los sistemas de TI de una manera controlada 5. Interrupcin mnima del negocio Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Estrategia de la Continuidad del Negocio Planes de Continuidad del Negocio Invocacin 1. Iniciacin 2. Requisitos y Estrategia 3. Implementacin 4. Operaciones Continuas Gestin de la Continuidad del Negocio Ciclo de Vida Actividades Clave Educacin, Conciencia y Capacitacin Revisin y Auditora Pruebas Gestin de Cambios Anlisis del Impacto de Negocio Evaluacin de Riesgos Estrategia de la Continuidad de los Servicios de TI Desarrollo de Planes de Continuidad de los Servicios de TI Desarrollar Planes de TI, Planes de Recuperacin y Procedimientos Planificacin Organizacional Estrategia de las Pruebas Establecimiento de Polticas Alcance Inicio de un Proyecto Actividades; Gestin de Continuidad CARRERA DE INGENIERA DE SISTEMAS Componentes Recuperacin PERSONAS LUGAR DATOS PLAN Componentes de la Continuidad del servicio Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Dada la probabilidad de un evento, el planeamiento se enfoca en base a escenarios de desastre: Prdida o indisponibilidad del local y del equipamiento por efectos de una amenaza (fuego, falta de energa u otro evento externo como inundacin, terremoto, etc.)
En ese sentido los escenarios tpicos son: Desastre total del local principal (incluido el Data Center) Desastre total del centro de cmputo Planificacin de Escenarios para la Continuidad de Servicios Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS IMPACTO Y CRITICIDAD Sobre la Continuidad de Servicios
En esta etapa el juicio experto del administrador evala el impacto de NO DISPONER el servicio para la Institucin, como este impacta a los procesos desde los aspectos econmicos, imagen y operatividad del servicio.
ALTO: El impacto en la institucin es seriamente afectado en trminos de disponibilidad, prdidas econmicas y dao considerable a la imagen y servicio de la organizacin.
MEDIO: El impacto en la institucin se moderado afecta a las operaciones y servicios de la organizacin pero no indispone en su totalidad el servicio, puede haber prdidas econmicas importantes.
BAJO: No causa efecto considerable a la organizacin, en ninguno de los aspectos (imagen, econmico y operatividad) Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Restauracin desde Tapes Centro alterno dedicado Espejo o rplica de bases de datos Sistema operativo en espera Bveda electrnica remota Tiempo Objetivo de Recuperacin (RTO) Das Horas Minutos Costo de Implementacin US$ Estrategias de Recuperacin De la Continuidad de Servicios CARRERA DE INGENIERA DE SISTEMAS Etapa Inicial
Las actividades consideradas en la primera etapa dependen de la extensin a las instalaciones de contingencia que se han aplicado en la organizacin. La nica manera de implantar una administracin de continuidad efectiva, es por medio de la identificacin de los procesos crticos del negocio y del anlisis y coordinacin de la infraestructura y servicios de TI que los soportan. La organizacin del proceso cubre todo el proceso y consiste de las siguientes actividades: Definicin de polticas Definicin de trminos de referencia y alcance Recursos asignados Definicin de la organizacin del proyecto y estructura de control Acuerdo del proyecto y plan de calidad Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Etapa de Requerimientos y estrategia
Esta etapa proporciona la base de la administracin de continuidad y es un componente crtico para determinar cuan bien sobrevivir una organizacin a interrupciones del negocio o desastres y el costo en que se incurrir. Si el anlisis de requerimientos es incorrecto o se olvida informacin clave, podra tener graves consecuencias en la efectividad del mecanismo de la administracin de continuidad. Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Estrategias de Recuperacin Tipos de Centros de Respaldo: Hot Sites
Warm Sites
Cold Sites
Mirroring Sites
Sitios Mviles
Acuerdos recprocos con otras compaas Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Desarrollo de estrategias Gestin de la Continuidad del Servicio Sitio Costo Equipo HW Telecoms Tiempo Setup Local Cold Bajo Nada Nada Largo Fijo Warm Medio Parcial Parcial/Full Medio Fijo Hot Medio/ Alto Completo Completo Corto Fijo Mobile Alto Dependiente Depend. Depend. No Fijo Mirrored Alto Completo Completo Nada Fijo CARRERA DE INGENIERA DE SISTEMAS 1)Establecer la organizacin y desarrollar el plan de implantacin 2) Implantar acuerdos de espera 3) Implantar medidas de reduccin de riesgos 4) Desarrollar planes de recuperacin de TI 5) Desarrollo de procedimientos 6) Realizacin de pruebas iniciales Propsito y alcance Descubrimiento
contingencia
Respuesta inicial Identificacin de recursos Acciones sostenidas Retorno a situacin normal Etapa de Implantacin Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Etapa de Operacin
Una vez culminada la implantacin es necesario asegurar que el proceso sea mantenido como parte de lo usual del negocio.
Esto se alcanza gracias a la administracin operacional incluyendo: Educacin y conocimiento Entrenamiento Revisin Prueba Control de cambios Aseguramiento de calidad Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Secuencia de actividades de la recuperacin Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Secuencia de actividades de la recuperacin Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Este tiempo esta relacionado con la tolerancia que la empresa puede tener, sobre la perdida de datos, medidos en trminos del tiempo entre el ultimo respaldo (Backup) de datos y el evento del desastre Secuencia de actividades de la recuperacin Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Esta asociado con la recuperacin de recursos tales como sistemas de computo, equipos de manufactura e infraestructura fsica. El RTO es el tiempo transcurrido entre una interrupcin y la recuperacin. Indica el tiempo disponible para recuperar sistemas y recursos interrumpidos. Secuencia de actividades de la recuperacin Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Procedimientos normales Sistemas y recursos inexistentes Procedimientos normales y manuales Procedimiento normal LTIMO BACKUP EVENTO ALTERADOR SISTEMAS Y RECURSOS RECUPERADOS Recuperar datos perdidos Datos perdidos Procedimientos manuales de emergencia RPO RTO INICIO DE PROCESAMIENTO NORMAL Recuperacin manual de datos Tiempo para la recuperacin de un desastre
MTD: Este tiempo representa al periodo mximo de tiempo de inactividad que puede tolerar, sin Secuencia de actividades de la recuperacin Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Tiempo TIEMPOS, PRIORIZACION Y CRITICIDAD De la disponibilidad
El Tiempo Objetivo de Recuperacin (RTO): Se refiere al tiempo disponible para recuperar los servicios crticos y sensibles de TI.
El Punto objetivo de Recuperacin (RPO): se determina en base a la prdida aceptable de datos en el caso de una interrupcin de las operaciones. Esto indica el punto ms anticipado en el tiempo al cual es aceptable recuperar los datos. Interrupcin Objetivo Punto de Recuperacin Objetivo Tiempo de Recuperacin Tx Estrategias de Respaldo T1 T2 Tn Estrategias de Recuperacin Ty Antes Despus To Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS TIEMPOS, PRIORIZACION Y CRITICIDAD De la disponibilidad Ejemplos:
El Tiempo Objetivo de Recuperacin (RTO): Se refiere al tiempo disponible para recuperar los servicios crticos y sensibles de TI.
Por ejemplo: Tenemos una aplicacin denominada PORTAL WEB, Si el RTO definido para la Aplicacin PORTAL WEB es de 1 hora, esto significa que el RTO (PORTAL WEB) = 1 hora; es decir que TI esta preparado a nivel tecnolgico, recursos humanos y procedimientos tcnicos para recuperar el servicio para la organizacin en una hora.
El Punto objetivo de Recuperacin (RPO): se determina en base a la prdida aceptable de datos en el caso de una interrupcin de las operaciones. Esto indica el punto ms anticipado en el tiempo al cual es aceptable recuperar los datos.
Por ejemplo: Si la organizacin define que se perder datos de PORTAL WEB hasta 1 hora antes de cualquier desastre, entonces la ltima copia de respaldo es hasta 1 hora antes del desastre o la interrupcin. Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Factores crticos de xito, disponibilidad de servicios
Los factores importantes para lograr xito en el proceso de Administracin de Continuidad de Servicios de TI son los siguientes:
Realizar anlisis de riesgos para el plan de continuidad.
El plan de continuidad debe de estar en trminos del negocio y TI.
Realizar un anlisis financiero, para llevar a cabo el plan de continuidad.
Ejecutar pruebas del plan de continuidad. Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS KPIs - Gestin de la Continuidad del Servicio de TI Gestin de la Continuidad del Servicio KPI (Mtrica de CSI) Descripcin Procesos de negocio con acuerdos de continuidad Porcentaje de procesos de negocio cubiertos por metas especficas de continuidad del servicio Lagunas en preparacin para desastres Cantidad de lagunas identificadas en la preparacin para eventos de desastres (amenazas serias sin contramedidas definidas) Duracin de la implementacin Duracin desde la identificacin del riesgo relacionado a desastres hasta la implementacin de un mecanismo de continuidad adecuado Cantidad de prcticas para desastres Cantidad de prcticas para desastres que realmente se llevaron a cabo Cantidad de defectos identificados durante las prcticas para desastres Cantidad de defectos identificados en la preparacin para eventos de desastres identificados durante las prcticas CARRERA DE INGENIERA DE SISTEMAS Roles: Gerente de la Continuidad del Servicio
Implementa y mantiene el proceso Planes, riesgos y actividades relacionadas BIA Evaluacin y gestin del riesgo Comunicacin y Concientizacin
Desarrollo y mantenimiento de la estrategia de continuidad Evala los problemas potenciales de continuidad de negocio Gestiona la continuidad durante su operacin Asegura la preparacin de todas las reas de TI Gestiona los contratos relacionados con continuidad con terceras partes
Agenda las pruebas de TI Calidad, conformidad y revisiones Gestin de la Continuidad del Servicio CARRERA DE INGENIERA DE SISTEMAS Gestin de la Seguridad de la Informacion CARRERA DE INGENIERA DE SISTEMAS Confidencialidad Integridad Disponibilidad Gestin de la Seguridad de la Informacion CARRERA DE INGENIERA DE SISTEMAS Objetivo Cumplir con los requisitos de Seguridad acordados en los SLA. Proveer un nivel de Seguridad bsico, Independiente de los requisitos externos. Se asegura tanto, como el valor de la informacin que se protege Gestin de la Seguridad de la Informacion CARRERA DE INGENIERA DE SISTEMAS Definicin
Controla la provisin de informacin y previene el uso sin autorizacin de la misma.
El estndar ISO 27001 (en general la familia de estndares ISO 2700X) ofrece una gua para el desarrollo de las buenas practicas en la gestin de la seguridad Gestin de la Seguridad de la Informacion CARRERA DE INGENIERA DE SISTEMAS Qu busca la Seguridad de la Informacin Gestin de la Seguridad de la Informacion CARRERA DE INGENIERA DE SISTEMAS Qu se debe preservar?
1. CONFIDENCIALIDAD
Se garantiza que la informacin es accesible slo a aquellas personas autorizadas. Seguridad de la Informacin Gestin de la Seguridad de la Informacion CARRERA DE INGENIERA DE SISTEMAS Qu se debe preservar? 2. INTEGRIDAD Se salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento y transmisin. Gestin de la Seguridad de la Informacion CARRERA DE INGENIERA DE SISTEMAS Qu se debe preservar? 3. DISPONIBILIDAD Se garantiza que los usuarios autorizados tienen acceso a la informacin y a los recursos relacionados toda vez que lo requieran. Gestin de la Seguridad de la Informacion CARRERA DE INGENIERA DE SISTEMAS Actividades; Gestin de Seguridad Comunica, Implementa y aplica el cumplimiento de todas las polticas de seguridad Monitorea y administra los incidentes e infracciones de seguridad Crea informes, revisa y reduce las infracciones de seguridad e incidentes mayores Produce y mantiene una poltica de seguridad de la informacin Evala y clasifica los activos de informacin, riesgos y vulnerabilidades Evala, revisa y genera informes con regularidad de los riesgos de seguridad y las amenazas Impone y revisa los controles de seguridad de riesgos, revisa e implementa la mitigacin de riesgos Poltica de seguridad de la informacin Sistema de Gestin de la Seguridad (SGSI) Informes e informacin de seguridad Controles de seguridad Riesgos y respuestas de seguridad Gestin de la Seguridad de la Informacion CARRERA DE INGENIERA DE SISTEMAS Actividades
Poltica y organizacin de la seguridad Planear Implementar Evaluar Mantenimiento Informes Gestin de la Seguridad de la Informacion CARRERA DE INGENIERA DE SISTEMAS ISO 27001 Esta norma es una base para desarrollar prcticas y estndares administrar la para seguridad de la informacion en una organizacion Desarrollo y Mantenimiento de Sistemas Gestin de Operaciones y Comunicaciones Gestin de la Continuidad del Negocio Seguridad Fsica y del Entorno Seguridad Ligada al Personal Conformidad Gestin de Incidentes de Seguridad de Informacin Control de Accesos Clasificacin y Control de Activos Aspectos Organizativos para la Organizacin Poltica de Seguridad Seguridad Organizativa Seguridad Lgica Seguridad Fsica Seguridad Legal Gestin de la Seguridad de la Informacion CARRERA DE INGENIERA DE SISTEMAS DOMINIO DOMINIO DOMINIO DOMINIO DOMINIO DOMINIO DOMINIO DOMINIO Poltica de Seguridad Organizacin de Seguridad Administracin de Activos Seguridad de los Recursos Humanos Seguridad Fsica y Ambiental Gestin de Comunicaciones y Operaciones Sistema de Control de Accesos Adquisicin, Desarrollo y Mantenimiento de Sistemas de informacin DOMINIO Administracin de Incidentes de Seguridad de la Informacin DOMINIO Plan de Continuidad del Negocio DOMINIO Cumplimiento Norma ISO 27001 DOMINIOS DE LA NORMA Gestin de la Seguridad de la Informacion CARRERA DE INGENIERA DE SISTEMAS KPI's - Gestin de la Seguridad KPI (Mtrica de CSI) Descripcin Cantidad de medidas preventivas implementadas Cantidad de medidas de seguridad preventivas implementadas como respuesta a amenazas de seguridad identificadas Duracin de la implementacin de medidas preventivas implementadas Duracin desde la identificacin de una amenaza de seguridad hasta la implementacin de una contramedida adecuada Cantidad de incidentes graves de la seguridad Cantidad de incidentes de seguridad identificados, clasificados por categora de gravedad Cantidad de periodos de inactividad de servicio relacionados con la seguridad Cantidad de incidentes de seguridad que causan interrupciones de servicio o disponibilidad reducida Cantidad de pruebas de seguridad Cantidad de pruebas y adiestramientos de seguridad llevados a cabo Cantidad de defectos identificados durante las pruebas de seguridad Cantidad de defectos identificados en los mecanismos de seguridad durante las pruebas CARRERA DE INGENIERA DE SISTEMAS Gestin de la Seguridad de la Informacion CARRERA DE INGENIERA DE SISTEMAS Gestin de Proveedores CARRERA DE INGENIERA DE SISTEMAS Gestin de Proveedores CARRERA DE INGENIERA DE SISTEMAS Gestin de Proveedores CARRERA DE INGENIERA DE SISTEMAS KPI's - Gestin de Proveedores Externos Gestin de Proveedores KPI (Mtrica de CSI) Descripcin Cantidad de UCs acordados Porcentaje de contratos apoyados por los UC's Cantidad de revisiones de contratos Cantidad de revisiones de contratos y suministradores realizadas Cantidad de incumplimientos de contrato identificados Cantidad de obligaciones contractuales que no cumplieron los suministradores (identificados durante las revisiones de contratos) CARRERA DE INGENIERA DE SISTEMAS Gestin de Proveedores