CONTINUIDAD DE NEGOCIO DEFINICIONES PREVIAS TIEMPO GRUPO DE OBJETIVO DE EVENTO INTERÉS RECUPERACI ON
Un suceso o serie de sucesos
que pueden ser internos o Personas u organizaciones Es el tiempo establecido por externos a la empresa, que se ven impactadas por las la empresa para reanudar un originados por la misma operaciones de una empresa. proceso causa, que ocurren durante el mismo periodo de tiempo
2 DEFINICIONES PREVIAS RIESGO LEY OPERACIONA RIESGO GENERAL L
Es el periodo de tiempo La posibilidad de pérdidas
La condición en que existe la luego del cual la viabilidad debido a procesos posibilidad de que un evento de la empresa sería afectada inadecuados, fallas del ocurra e impacte seriamente, si un producto o personal, de la tecnología de negativamente sobre los servicio en particular no es información, o eventos objetivos de la empresa. reanudado. externos.
3 Gestión de la continuidad del negocio
La gestión de la continuidad del negocio es un proceso, efectuado por el Directorio, la Gerencia y
el personal, que implementa respuestas efectivas para que la operatividad del negocio de la empresa continúe de una manera razonable, con el fin de salvaguardar los intereses de sus principales grupos de interés, ante la ocurrencia de eventos que pueden crear una interrupción o inestabilidad en las operaciones de la empresa.
4 RESPONSABILIDAD DEL DIRECTORIO Aprobar Una política general que defina el alcance, principios y guías que orienten la gestión de la continuidad del negocio.
Obtener aseguramiento razonable que la empresa cuenta con una efectiva gestión de la continuidad del Aprobar negocio. Los recursos necesarios para el adecuado desarrollo de la gestión de la continuidad del negocio, a fin de contar con la infraestructura, metodología y personal apropiados.
5 RESPONSABILIDAD DE LA GERENCIA
La gerencia general tiene la responsabilidad de implementar la gestión de la
continuidad del negocio conforme a las disposiciones del Directorio. La gerencia podrá constituir comités para el cumplimiento de sus responsabilidades relacionadas con la gestión de la continuidad del negocio.
6 RESPONSABILIDAD DE LA UNIDAD DE RIESGOS
La Unidad de Riesgos deberá asegurarse que la gestión de la continuidad del negocio que realice la empresa sea consistente con las políticas y procedimientos aplicados para la gestión de riesgos.
7 FUNCIÓN DE CONTINUIDAD DEL NEGOCIO Proponer las políticas, procedimientos y metodología apropiados para la gestión de la continuidad del negocio en la empresa, incluyendo la asignación de roles y responsabilidades Informar a la gerencia general y al comité de riesgos los aspectos relevantes de la gestión de la Velar continuidad del negocio para por una gestión de la una oportuna toma de continuidad del negocio decisiones competente
8 FASES DE LA CONTINUIDAD DE NEGOCIO ENTENDIMIENTO DE LA ORGANIZACIÓN
Las actividades mínimas a desarrollar durante esta fase son las siguientes: • Análisis de impacto: Consiste en determinar el impacto que tendría una interrupción de los procesos que soportan los principales productos y servicios de la empresa. • Evaluación de riesgos: Consiste en identificar y evaluar los riesgos que podrían causar una interrupción del negocio.
1 SELECCIÓN DE LA ESTRATEGIA DE CONTINUIDAD Evaluación y Selección de Estrategias de Continuidad por Proceso
HABILIDADES Y INSTALACIONES SEGURIDAD DEL CONOCIMIENTOS ALTERNAS DE PERSONAL ASOCIADOS AL TRABAJO PROCESO. INFRAESTRUCTU RA ALTERNA DE EQUIPAMIENTO TECNOLOGÍA DE SEGURIDAD DE NECESARIO PARA INFORMACIÓN LA INFORMACIÓN EL PROCESO. QUE SOPORTE EL PROCESO.
1 DESARROLLO E IMPLEMENTACIÓN DE LA ESTRATEGIA DE CONTINUIDAD
En esta fase, se deben desarrollar los planes de respuesta ante los eventos analizados en las fases previas, e implementar un modelo de respuesta flexible y escalable que permita cubrir los eventos inesperados y proveer los recursos necesarios, acorde con la estrategia seleccionada, para enfrentar con éxito un evento de interrupción de operaciones.
1 PLAN DE GESTION DE CRISIS PROPÓSITO Y ALCANCE
CRITERIOS DE INVOCACIÓN Y ACTIVACIÓN ROLES Y RESPONSABILIDA DES
1 PLAN DE GESTION DE CRISIS RESPONSABLE DE SU ACTUALIZACIÓN COMUNICACIONES CON EL PERSONAL, FAMILIARES Y CONTACTOS DE PLANES DE EMERGENCIA ACCIÓN
1 PLAN DE GESTION DE CRISIS INTERACCIÓN CON LOS MEDIOS DE COMUNICACIÓN
ESTABLECIMIENTO DE UN CENTRO DE COMANDO COMUNICACIÓN CON LOS GRUPOS DE INTERÉS
1 PLANES DE CONTINUIDAD DE NEGOCIO
Tiene(n) como objetivo dotar a la empresa de la capacidad de mantener, o de ser el caso recuperar, los principales procesos de negocio dentro de los parámetros previamente establecidos. Debe(n) considerar, como mínimo, los siguientes aspectos:
1 CRITERIOS DE PROPOSITO Y INVOCACION Y ALCANSE ACTIVACION
ROLES Y RESPONSABLE RESPONSABILI DE DAD ACTUALIZACI ON
1 PLANES DE CONTINUIDAD DE NEGOCIO
Planes de acción para reanudar los procesos
conforme a la estrategia seleccionada
Requerimiento de recursos
Información vital y como acceder a
ella
1 PRUEBAS Y ACTUALIZACION A continuación, se detallan las actividades mínimas que deben ser aplicadas en esta fase:
EJECUCION DE PRUEBAS El alcance de las pruebas debe ser consistente con el alcance de los planes de continuidad del negocio
ACTUALIZACION DE LOS PLANES
Las empresas deben definir políticas y procedimientos para la actualización de los planes de gestión de la continuidad del negocio.
1 INTEGRAR LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO A LA CULTURA ORGANIZACIONAL EVALUACIÓN DEL GRADO DE CONOCIMIENTO SOBRE LA GESTIÓN DE CONTINUIDAD DESARROLLO Y MEJORA DE LA CULTURA DE CONTINUIDAD: MONITOREO PERMANENTE
2 PLAN DE RECUPERACIÓN ANTE DESASTRES (DRP)
El enfoque proactivo de seguridad en las empresas busca evitar o reducir riesgos. A tales fines, el Plan de Recuperación ante Desastres es una opción. El enfoque proactivo de seguridad de la información en las empresas busca evitar o reducir las consecuencias de los riesgos existentes en su entorno. En esta categoría se incluyen elementos como el análisis de riesgos o el plan de respuesta a incidentes, pero hay otra opción a considerar: el Plan de Recuperación ante Desastres (DRP por sus siglas en inglés) y su relación con otros planes como el Plan de Continuidad del Negocio (BCP).
2 Desarrollo y activación DRP Existen diferentes maneras de abordar el desarrollo de un plan de recuperación, pero éste siempre debe estar alineado con el plan de continuidad, por lo que debe considerar los elementos que definen la razón de ser de una organización. Además, el DRP debe incluir los criterios para determinar cuándo un incidente de seguridad no se puede resolver mediante los procedimientos comunes de atención y se considera como un desastre, es decir, cuando se presenta un evento catastrófico y repentino que nulifica la capacidad de las organizaciones para llevar a cabo los procesos esenciales. Un desastre podría ser el resultado de un daño importante a una parte de las operaciones, la pérdida total de una instalación o la incapacidad de los empleados para acceder a las instalaciones, generado por algún tipo de desastre natural, una contingencia sanitaria o una huelga, por ejemplo.
2 DESARROLLO Y ACTIVACIÓN DEL DRP DESARROLLAR UNA POLÍTICA DE CONTINUIDAD DEL NEGOCIO Todas las actividades deben estar alineadas con los objetivos de continuidad del negocio
REALIZAR UNA EVALUACIÓN DE RIESGOS
Llevar a cabo una evaluación de riesgos permite identificar, analizar y evaluar las amenazas que podrían afectar a la organización
2 DESARROLLO Y ACTIVACIÓN DEL DRP REALIZAR UN ANÁLISIS DE IMPACTO AL NEGOCIO (BIA) En este paso se definen principalmente los objetivos de recuperación para los sistemas que soportan los procesos de negocio.
DESARROLLAR ESTRATEGIAS DE RECUPERACIÓN Y
CONTINUIDAD DEL NEGOCIO En este paso se busca dejar en claro todas las medidas a poner en práctica para regresar a la operación tan pronto como sea posible.
2 DESARROLLO Y ACTIVACIÓN DEL DRP CONCIENTIZAR, CAPACITAR Y PROBAR LOS PLANES Un elemento necesario con relación a los planes consiste en realizar su difusión entre los miembros de la organización, especialmente entre aquellos que serán los encargados de ponerlo en ejecución en caso de ser requerido.
MANTENER Y MEJORAR EL PLAN DE
RECUPERACIÓN ANTE DESASTRES A partir de los resultados de la prueba de los planes se deben llevar los ajustes correspondientes para contar con documentación actualizada y apropiada a los intereses de la organización
2 RECUPERACIÓN DE DESASTRES
• Es el proceso de conseguir que los sistemas y herramientas de servicio se pongan en
funcionamiento al 100% después de que un desastre impida su función. • El Recovery Point Objective (RPO) y Recovery Time Objective (RTO) son dos de los parámetros más importantes de un Plan de Recuperación de Desastres (DRP) o Plan de Continuidad de Negocio (BCP). Estos son objetivos que pueden guiar a las empresas a elegir un plan de respaldo de datos óptimo. • El RPO / RTO, junto con un análisis de impacto en el negocio, proporcionan la base para identificar y analizar estrategias viables para su inclusión en el plan de continuidad del negocio. Las opciones de estrategia viables incluyen cualquiera que permita la reanudación de un proceso de negocio en un marco de tiempo en o cerca del RPO / RTO.
26 Recovery point objetive(RPO)
El RPO describe el intervalo de tiempo que puede pasar durante una interrupción antes de que la cantidad de datos perdidos durante ese período exceda el umbral máximo permitido o la «tolerancia» del Plan de Continuidad del Negocio.
2 Recovery time objetive(RTO) Es el tiempo que un negocio necesita para recuperar sus sistemas después de inactividad producida por un incidente (desastre), es decir, la cantidad de datos que se pierden y se tienen que volver a ingresar durante el tiempo de inactividad de la red.
El RTO describe el intervalo de tiempo que puede pasar antes de que la interrupción comience a impedir las operaciones normales del negocio (continuidad de negocio).
El RTO indica la rapidez con la que necesita recuperarse de un tiempo de inactividad,
mientras el RPO define la frecuencia con la que se necesitan hacer copias de seguridad.
2 RTO / RPO
2 COMO DEFINIR LOS VALORES DE RPO Y RTO
No existe una única solución para un Plan de Continuidad de Negocio y sus métricas. Cada empresa tiene diferentes necesidades, y con ello, diferentes requisitos para sus objetivos de recuperación. Sin embargo, es habitual dividir en niveles las aplicaciones y servicios de la empresa y establecer los valores de RPO y RTO según los acuerdos de niveles de servicio (SLA).
3 COMO DEFINIR LOS VALORES DE RPO Y RTO
Existe un modelo de tres niveles para diseñar un plan de continuidad:
Nivel 1: Para aplicaciones críticas de negocio. Requiere un RTPO de menos de 15 minutos.
Nivel 2: Para aplicaciones esenciales. Requiere un RTO de 2 horas y RPO de 4. Nivel 3: Para aplicaciones no esenciales. Requiere un RTO de 4 horas y un RPO de 24
3 NORMA ISO 27001 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
La norma UNE ISO IEC 27001 es una norma internacional creada por Organización Internacional de Normalización, ISO, que ayuda a reducir riesgos de carácter informático en las organizaciones.
La implantación de la norma ISO 27001 trata de proteger la información que tiene
carácter confidencial tanto de ataques de piratería, como de violación de confidencialidad o pérdida de datos informáticos...
3 APLICACIÓN DE LA NORMA ISO 27001 SISTEMA DE SEGURIDAD DE LA INFORMACIÓN
• La información es un activo de vital importancia para todo tipo de organizaciones.
Las nuevas tecnologías nos permiten tener más información y de forma más rápida, permitiéndonos analizar y tomar decisiones que pueden suponer el éxito o el fracaso con respecto a nuestros competidores. Por este motivo es fundamental proteger nuestra información y los sistemas que la procesan.
3 BENEFICIOS DE LA NORMA ISO 27001
• Reduce el riesgo de pérdida, robo o corrupción de información.
• Permite establecer una metodología de gestión de la seguridad clara. • Mejora la imagen de la empresa, diferenciándose con respecto a la competencia. • Permite a la empresa ganar cuota de mercado gracias a la confianza que genera entre los clientes y socios estratégicos.
3 BENEFICIOS DE LA NORMA ISO 27001 • Permite continuar con las operaciones necesarias del negocio tras incidentes de gravedad. • Permite a la empresa medir la eficacia de su sistema de gestión de acuerdo con normas nacionales e internacionales a través de la certificación de terceros. • Establece los cimientos a través de los que mejorar continuamente sus procesos internos y reforzar la habilidad de la organización para alcanzar los objetivos estratégicos, en este caso la seguridad de la información.
3 ASPECTOS CLAVES DE LA NORMA ISO 27001 Es fundamental realizar una evaluación de riesgos adecuada a cada organización:
• La empresa debe tener un responsable de seguridad de la información, que con
independencia de otras funciones lidere el proyecto internamente, en colaboración con la consultora ACMS. Dicha persona debe tener cierta autoridad dentro de la organización.
• La documentación del sistema de seguridad de la información debe ser sencilla,
práctica y operativa, evitando la burocratización del sistema.
3 ASPECTOS CLAVES DE LA NORMA ISO 27001
• La organización debe estar adecuadamente formada y concienciada en lo relativo a
seguridad de la información.
• El sistema de seguridad de la información debe estar totalmente integrado en la
![Manual Imesevi[1]](https://imgv2-1-f.scribdassets.com/img/document/38189344/149x198/58d3cd2bb6/1359692779?v=1)
![Utilidades Buenísimas Para Internet [Wep,Wpa][Megapost] - Taringa!](https://imgv2-1-f.scribdassets.com/img/document/222410459/149x198/9a1d93f0d9/1543286562?v=1)
