007 Semana 7 - Diseño Del Servicio 02

CARRERA DE INGENIERA DE SISTEMAS
SEMESTRE ACADMICO 2014-1

Agosto 2010
SESIN 06 Diseo del Servicio
01
Gestin de la Continuidad del Servicio
El objetivo de la Gestin de Continuidad de Servicios de TI es; planear, cubrir
y recuperarse de una crisis de TI, y de ser requerido que las operaciones de TI
se muevan a un sistema alterno realizar esta actividad de una manera
transparente, sin afectar la operatividad del negocio.
Hoy en da los ambientes de negocio son altamente competitivos, las
organizaciones son juzgadas en su habilidad para continuar operando y
proporcionando servicios. La administracin de continuidad se preocupa por la
habilidad de una organizacin para continuar proporcionando un
los predeterminado y acordado nivel de servicios de TI, para soportar
requerimientos mnimos del negocio.
Beneficios para la Gestin de Servicios de TI

1. Mejor administracin de riesgos
2. Credibilidad organizacional
3. Ventaja competitiva
4. Recuperacin de los sistemas de TI de una manera controlada
5. Interrupcin mnima del negocio
Estrategia de la
Continuidad del
Negocio
Planes de
Continuidad del
Negocio
Invocacin
1. Iniciacin
2. Requisitos y
Estrategia
3.
Implementacin
4. Operaciones
Continuas
Gestin
de la
Continuidad
del Negocio
Ciclo de Vida Actividades Clave
Educacin, Conciencia y Capacitacin
Revisin y Auditora
Pruebas
Gestin de Cambios
Anlisis del Impacto de Negocio
Evaluacin de Riesgos
Estrategia de la Continuidad de los
Servicios de TI
Desarrollo de Planes de Continuidad
de los Servicios de TI
Desarrollar Planes de TI, Planes de
Recuperacin y Procedimientos
Planificacin Organizacional
Estrategia de las Pruebas
Establecimiento de Polticas
Alcance
Inicio de un Proyecto
Actividades; Gestin de Continuidad
Componentes
Recuperacin
PERSONAS
LUGAR
DATOS
PLAN
Componentes de la Continuidad del servicio
Dada la probabilidad de un evento, el planeamiento se
enfoca en base a escenarios de desastre:
Prdida o indisponibilidad del local y del equipamiento
por efectos de una amenaza (fuego, falta de energa u
otro evento externo como inundacin, terremoto, etc.)

En ese sentido los escenarios tpicos son:
Desastre total del local principal (incluido el Data
Center)
Desastre total del centro de cmputo
Planificacin de Escenarios para la Continuidad de Servicios
IMPACTO Y CRITICIDAD
Sobre la Continuidad de Servicios

En esta etapa el juicio experto del administrador evala el impacto de NO
DISPONER el servicio para la Institucin, como este impacta a los procesos
desde los aspectos econmicos, imagen y operatividad del servicio.

ALTO: El impacto en la institucin es seriamente afectado en trminos de
disponibilidad, prdidas econmicas y dao considerable a la imagen y
servicio de la organizacin.

MEDIO: El impacto en la institucin se moderado afecta a las operaciones y
servicios de la organizacin pero no indispone en su totalidad el servicio, puede
haber prdidas econmicas importantes.

BAJO: No causa efecto considerable a la organizacin, en ninguno de los
aspectos (imagen, econmico y operatividad)
Restauracin desde Tapes
Centro alterno dedicado
Espejo o rplica de bases de datos
Sistema operativo en espera
Bveda electrnica remota
Tiempo Objetivo de Recuperacin
(RTO)
Das Horas Minutos
Costo de
Implementacin
US$
Estrategias de Recuperacin
De la Continuidad de Servicios
Etapa Inicial

Las actividades consideradas en la primera etapa dependen de la extensin a
las instalaciones de contingencia que se han aplicado en la organizacin. La
nica manera de implantar una administracin de continuidad efectiva, es por
medio de la identificacin de los procesos crticos del negocio y del
anlisis y coordinacin de la infraestructura y servicios de TI que los soportan.
La organizacin del proceso cubre todo el proceso y consiste de las siguientes
actividades:
Definicin de polticas
Definicin de trminos de referencia y alcance
Recursos asignados
Definicin de la organizacin del proyecto y estructura de control
Acuerdo del proyecto y plan de calidad
Etapa de Requerimientos y estrategia

Esta etapa proporciona la base de la administracin de continuidad y es un
componente crtico para determinar cuan bien sobrevivir una
organizacin a interrupciones del negocio o desastres y el costo en que se
incurrir. Si el anlisis de requerimientos es incorrecto o se olvida
informacin clave, podra tener graves consecuencias en la efectividad del
mecanismo de la administracin de continuidad.
Tipos de Centros de Respaldo:
Hot Sites

Warm Sites

Cold Sites

Mirroring Sites

Sitios Mviles

Acuerdos recprocos con otras compaas
Desarrollo de estrategias
Sitio Costo Equipo HW Telecoms Tiempo
Setup
Local
Cold Bajo Nada Nada Largo Fijo
Warm Medio Parcial Parcial/Full Medio Fijo
Hot Medio/
Alto
Completo Completo Corto Fijo
Mobile Alto Dependiente Depend. Depend. No Fijo
Mirrored Alto Completo Completo Nada Fijo
1)Establecer la organizacin y desarrollar el plan de
implantacin
2) Implantar acuerdos de espera
3) Implantar medidas de reduccin de riesgos
4) Desarrollar planes de recuperacin de TI
5) Desarrollo de procedimientos
6) Realizacin de pruebas iniciales
Propsito y alcance
Descubrimiento

contingencia

Respuesta inicial
Identificacin de
recursos
Acciones sostenidas
Retorno a situacin
normal
Etapa de Implantacin
Etapa de Operacin

Una vez culminada la implantacin es necesario asegurar que el
proceso sea mantenido como parte de lo usual del negocio.

Esto se alcanza gracias a la administracin operacional incluyendo:
Educacin y conocimiento
Entrenamiento
Revisin
Prueba
Control de cambios
Aseguramiento de calidad
Secuencia de actividades
de la recuperacin
de la recuperacin
Este tiempo esta relacionado con la tolerancia
que la empresa puede tener, sobre la perdida de
datos, medidos en trminos del tiempo entre el
ultimo respaldo (Backup) de datos y el evento
del desastre
de la recuperacin
Esta asociado con la recuperacin de recursos tales como sistemas
de computo, equipos de manufactura e infraestructura fsica. El RTO
es el tiempo transcurrido entre una interrupcin y la recuperacin.
Indica el tiempo disponible para recuperar sistemas y recursos
interrumpidos.
de la recuperacin
Procedimientos
normales
Sistemas y
recursos
inexistentes
Procedimientos normales y manuales
Procedimiento
normal
LTIMO
BACKUP
EVENTO
ALTERADOR
SISTEMAS Y RECURSOS
RECUPERADOS
Recuperar datos
perdidos
Datos
perdidos
Procedimientos
manuales de
emergencia
RPO RTO
INICIO DE PROCESAMIENTO
NORMAL
Recuperacin
manual de
datos
Tiempo para la recuperacin de
un desastre

MTD: Este tiempo representa al periodo mximo de tiempo de inactividad que puede tolerar, sin
de la recuperacin
Tiempo
TIEMPOS, PRIORIZACION Y CRITICIDAD
De la disponibilidad

El Tiempo Objetivo de Recuperacin (RTO): Se refiere al tiempo disponible para recuperar
los servicios crticos y sensibles de TI.

El Punto objetivo de Recuperacin (RPO): se determina en base a la prdida aceptable de
datos en el caso de una interrupcin de las operaciones. Esto indica el punto ms anticipado
en el tiempo al cual es aceptable recuperar los datos.
Interrupcin
Objetivo Punto de Recuperacin Objetivo Tiempo de Recuperacin
Tx
Estrategias de Respaldo
T1 T2 Tn
Ty
Antes Despus
To
TIEMPOS, PRIORIZACION Y CRITICIDAD
De la disponibilidad
Ejemplos:

El Tiempo Objetivo de Recuperacin (RTO): Se refiere al tiempo disponible para recuperar los servicios crticos
y sensibles de TI.

Por ejemplo: Tenemos una aplicacin denominada PORTAL WEB, Si el RTO definido para la
Aplicacin PORTAL WEB es de 1 hora, esto significa que el RTO (PORTAL WEB) = 1
hora; es decir que TI esta preparado a nivel tecnolgico, recursos humanos y
procedimientos tcnicos para recuperar el servicio para la organizacin en una hora.

El Punto objetivo de Recuperacin (RPO): se determina en base a la prdida aceptable de datos en el caso de
una interrupcin de las operaciones. Esto indica el punto ms anticipado en el tiempo al cual es aceptable
recuperar los datos.

Por ejemplo: Si la organizacin define que se perder datos de PORTAL WEB hasta 1
hora antes de cualquier desastre, entonces la ltima copia de respaldo es hasta 1 hora
antes del desastre o la interrupcin.
Factores crticos de xito, disponibilidad de servicios

Los factores importantes para lograr xito en el proceso de
Administracin de Continuidad de Servicios de TI son los siguientes:

Realizar anlisis de riesgos para el plan de continuidad.

El plan de continuidad debe de estar en trminos del negocio y TI.

Realizar un anlisis financiero, para llevar a cabo el plan de
continuidad.

Ejecutar pruebas del plan de continuidad.
KPIs - Gestin de la Continuidad del Servicio de TI
KPI (Mtrica de CSI) Descripcin
Procesos de negocio con acuerdos de
continuidad
Porcentaje de procesos de negocio cubiertos por metas especficas de
continuidad del servicio
Lagunas en preparacin para desastres Cantidad de lagunas identificadas en la preparacin para eventos de
desastres (amenazas serias sin contramedidas definidas)
Duracin de la implementacin Duracin desde la identificacin del riesgo relacionado a desastres hasta la
implementacin de un mecanismo de continuidad adecuado
Cantidad de prcticas para desastres Cantidad de prcticas para desastres que realmente se llevaron a cabo
Cantidad de defectos identificados
durante las prcticas para desastres
Cantidad de defectos identificados en la preparacin para eventos de
desastres identificados durante las prcticas
Roles: Gerente de la Continuidad del Servicio

Implementa y mantiene el proceso
Planes, riesgos y actividades relacionadas
BIA
Evaluacin y gestin del riesgo
Comunicacin y Concientizacin

Desarrollo y mantenimiento de la estrategia de continuidad
Evala los problemas potenciales de continuidad de negocio
Gestiona la continuidad durante su operacin
Asegura la preparacin de todas las reas de TI
Gestiona los contratos relacionados con continuidad con terceras partes

Agenda las pruebas de TI
Calidad, conformidad y revisiones
Gestin de la Seguridad de la Informacion
Confidencialidad
Integridad
Disponibilidad
Objetivo
Cumplir con los requisitos de Seguridad acordados en
los SLA.
Proveer un nivel de Seguridad bsico, Independiente
de los requisitos externos.
Se asegura tanto, como
el valor de la informacin
que se protege
Definicin

Controla la provisin de informacin y previene el uso sin autorizacin
de la misma.

El estndar ISO 27001 (en general la familia de estndares ISO 2700X)
ofrece una gua para el desarrollo de las buenas practicas en la gestin
de la seguridad
Qu busca la Seguridad de la Informacin
Qu se debe preservar?

1. CONFIDENCIALIDAD

Se garantiza que la informacin es
accesible slo a aquellas personas
autorizadas.
Seguridad de la Informacin
2. INTEGRIDAD
Se salvaguarda la exactitud y
totalidad de la informacin
y los mtodos de procesamiento
y transmisin.
3. DISPONIBILIDAD
Se garantiza que los usuarios
autorizados tienen acceso a la
informacin y a los recursos
relacionados toda vez que lo
requieran.
Actividades; Gestin de Seguridad
Comunica, Implementa
y aplica el cumplimiento
de todas las polticas de
seguridad
Monitorea y administra
los incidentes e
infracciones de
seguridad
Crea informes, revisa y
reduce las infracciones
de seguridad e
incidentes mayores
Produce y mantiene una
poltica de seguridad de la
informacin
Evala y clasifica los
activos de informacin,
riesgos y vulnerabilidades
Evala, revisa y genera
informes con regularidad de
los riesgos de seguridad y
las amenazas
Impone y revisa los
controles de seguridad de
riesgos, revisa e
implementa la mitigacin de
riesgos
Poltica de
seguridad de la
informacin
Sistema de
Gestin de la
Seguridad (SGSI)
Informes e
informacin de
seguridad
Controles de
seguridad
Riesgos y
respuestas
de seguridad
Actividades

Poltica y organizacin de la seguridad
Planear
Implementar
Evaluar
Mantenimiento
Informes
ISO 27001
Esta norma es una base
para desarrollar prcticas y
estndares
administrar la
para
seguridad
de la informacion en una
organizacion
Desarrollo y Mantenimiento
de Sistemas
Gestin de Operaciones y
Comunicaciones
Gestin de la Continuidad
del Negocio
Seguridad Fsica y del
Entorno
Seguridad Ligada al
Personal
Conformidad
Gestin de Incidentes de
Seguridad de Informacin
Control de Accesos
Clasificacin y Control de
Activos
Aspectos Organizativos para
la Organizacin
Poltica de Seguridad
Seguridad Organizativa
Seguridad Lgica
Seguridad Fsica
Seguridad Legal
DOMINIO
DOMINIO
DOMINIO
DOMINIO
DOMINIO
DOMINIO
DOMINIO
DOMINIO
Poltica de Seguridad
Organizacin de
Seguridad
Administracin de
Activos
Seguridad de los Recursos Humanos
Seguridad Fsica y Ambiental
Gestin de Comunicaciones y
Operaciones Sistema de Control
de Accesos
Adquisicin, Desarrollo y Mantenimiento
de Sistemas de
informacin
DOMINIO Administracin de Incidentes de Seguridad de la Informacin
DOMINIO Plan de Continuidad del Negocio
DOMINIO Cumplimiento
Norma ISO 27001
DOMINIOS DE LA NORMA
KPI's - Gestin de la Seguridad
Cantidad de medidas preventivas
implementadas
Cantidad de medidas de seguridad preventivas implementadas como respuesta a
amenazas de seguridad identificadas
Duracin de la implementacin de medidas
preventivas implementadas
Duracin desde la identificacin de una amenaza de seguridad hasta la
implementacin de una contramedida adecuada
Cantidad de incidentes graves de la
seguridad
Cantidad de incidentes de seguridad identificados, clasificados por categora de
gravedad
Cantidad de periodos de inactividad de
servicio relacionados con la seguridad
Cantidad de incidentes de seguridad que causan interrupciones de servicio o
disponibilidad reducida
Cantidad de pruebas de seguridad Cantidad de pruebas y adiestramientos de seguridad llevados a cabo
Cantidad de defectos identificados durante
las pruebas de seguridad
Cantidad de defectos identificados en los mecanismos de seguridad durante las
pruebas
Gestin de Proveedores
KPI's - Gestin de Proveedores Externos
Cantidad de UCs acordados Porcentaje de contratos apoyados por los UC's
Cantidad de revisiones de
contratos
Cantidad de revisiones de contratos y suministradores
realizadas
Cantidad de incumplimientos de
contrato identificados
Cantidad de obligaciones contractuales que no cumplieron los
suministradores (identificados durante las revisiones de
contratos)

007 Semana 7 - Diseño Del Servicio 02

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

007 Semana 7 - Diseño Del Servicio 02

Cargado por

Copyright:

Formatos disponibles

CARRERA DE INGENIERA DE SISTEMAS

SEMESTRE ACADMICO 2014-1

También podría gustarte