Este documento presenta una introducción a la seguridad de la información y la continuidad del negocio. Explica la evolución de estos temas en México desde desastres como el terremoto de 1985. También describe la relación entre la seguridad de la información y la continuidad del negocio, los responsables de los planes de continuidad, y los retos de gestionar la continuidad del negocio.
3. Agenda
• Evolución de la Continuidad del Negocio en México
• Relación entre Seguridad Informática y Continuidad del Negocio
• Responsables del Plan de Continuidad
• Retos de la Gestión de la Continuidad del Negocio
4. Seguridad y Continuidad
• Sismo 1985 Ciudad de México
•
•
Magnitud de 8.1 grados Richter.
•
Réplica más significativa al día siguiente 7.3 grados en
la escala de Richter.
•
El registro de 10 mil muertos aproximadamente.
•
Mas de 4 mil personas rescatadas con vida de los
escombros, hasta 10 días después del primer sismo.
•
Más de un millón usuarios quedaron sin servicio
eléctrico.
•
Estructuras destruidas en su totalidad: 30 mil .
•
http://www.excelsior.com.mx/comunidad/2013/09/19/919241
Jueves 19 de septiembre de 1985, a las 7:19 horas.
Edificaciones con daños parciales: 68 mil.
5. Seguridad y Continuidad
• Enfoque cutural en México
… a mi no me va a pasar !
… si algo pasa, ya veremos en ese
momento que podemos hacer
9. Seguridad y Continuidad
• Disaster Recovery Plan - DRP
•
•
•
•
•
•
Orientado a Informática
Datos
Servicios
Aplicaciones
Sistema Operativo
Con frecuencia se ve simplemente como un SITE Alterno
11. Seguridad y Continuidad
• 1995 - 1998
• Reducción presupuesto TI
• Centros de Soporte Alterno
• Proveedores de hardware
12. Seguridad y Continuidad
• Respaldo y restauración de Información
• Respaldos totales
• Respaldos incrementales
• Respaldos diferenciales
• Alta disponiblidad y replicación
13. Seguridad y Continuidad
• Recovery Point Objective - RPO
• Recovery Time Objective - RTO
•
•
Fecha o momento de los archivos
que se deben restaurar después de
un incidente grave.
(pérdida de datos aceptable)
Ultimo respaldo o
Punto en que los datos
Son utilizables
Tiempo en el que el proceso de
negocio tiene que estar restaurado
después de un incidente grave para
evitar consecuencias inaceptables
Ocurrencia
del Desastre
Restauración
de servicios
Tiempo
6 horas
RPO
2 horas
RTO
14. Seguridad y Continuidad
• Plan de Continuidad de Negocio (Business Continuity Plan – BCP)
Cada vez más empresas, conscientes de los riesgos que enfrentan,
dirigen sus esfuerzos a la Planeación de Continuidad de Negocio.
Esto es, no solo la continuidad de la operación de sistemas, sino de
todo el negocio.
“Es la capacidad que tiene la organización para continuar la entrega
de productos o servicios a niveles predefinidos aceptables después
de que haya sucedido un incidente perjudicial. “
ISO 22301, Párrafo 3.3
15. Seguridad y Continuidad
• 1999
• “Y2K”
• Posibles fallas en:
Sistemas bancarios
Líneas de producción
Suministro de energía y agua
Comunicaciones
16. Seguridad y Continuidad
• Disaster Recovery Plan
• Business Continuity Plan
DRP
• Es un plan de Sistemas
• Contempla la recuperación de
aplicaciones
BCP
• Es un plan de toda la empresa
• Contempla la reanudación de
funciones
17. Seguridad y Continuidad
• Los planes buscan minimizar:
•
•
•
•
Las decisiones que se toman durante una contingencia.
Los efectos negativos ocasionados por el caos.
La dependencia sobre una persona en el proceso de recuperación.
La necesidad de desarrollar nuevos procedimientos durante la recuperación.
18. Seguridad y Continuidad
• 2002
Ataque al WTC en Nueva York
• Respuesta de cuerpos de
emergencia
• Sitios alternos en el mismo
edificio
19. Seguridad y Continuidad
• Marco legal resguardo de información y continuidad de sistemas
• La Ley Sabarnes&Oaxley (sección 404) requiere a las
organizaciones seleccionar un marco de control para asegurar la
disponibilidad, integridad y confidencialidad de los sistemas de
información.
• En México, la CNBV, requiere a las instituciones financieras
contar con un Plan de Recuperación de los Sistemas de
Información.
20. Seguridad y Continuidad
• 2005
Huracán Wilma Quintana Roo,
México
• Participantes:
Sistemas
Seguridad
Responsabilidad Social
21. Seguridad y Continuidad
• 2010
Epidemia de Influenza
• Participantes:
Sistemas
Seguridad
Recursos Humanos
22. Seguridad y Continuidad
• Enfoques DRP y BCP en México
•
•
•
•
•
•
•
•
•
Instalaciones
Comunicaciones (ATMs y POS)
Virus informático
Internet
Amenaza de terrorismo
Marchas y bloqueos
Epidemia
Cambio climático
Ingeniería Social
23. Seguridad y Continuidad
• Metodología y estándares
•
•
•
•
•
•
DRII –Disaster Recovery Institute International
BSI 25999
ISO 22301
COBIT
ITIL
NIST …
24. Seguridad y Continuidad
• Metodología y estándares
• Prácticas del DRII
1
Inicio y Administración del Proyecto
2
Evaluación y Control de Riesgos
3
Análisis de Impactos al Negocio
4
Desarrollo de Estrategias de Continuidad de Negocios
5
Respuesta de Emergencia / Operaciones
6
Desarrollo e implementación de Planes de Continuidad de Negocios
7
Programas de Capacitación y Concientización
8
Prueba y Mantenimiento de Planes de Continuidad de Negocios
9
Relaciones Públicas y Comunicación de Crisis
10 Coordinación con Autoridades Públicas
25. Seguridad y Continuidad
• Metodología y estándares
• BSI 25999
Entender la organización
Determinar la estrategia de continuidad
Desarrollar e implementar la respuesta
Ejercitar, mantener y revisar
26. Seguridad y Continuidad
• Metodología y estándares
DRII
BS 25999
Cobit
ITIL
Involucrar a la Alta Dirección
Práctica 1
Embedding BCM
Organizatión´s
Culture
Project
Preparation
Stage 1
Permear el proceso BCM en la
organización
Práctica 7
Exercising,
Manteining and
Review
Plan
Trainning
Stage 4
Realizar análisis del impacto y
riesgo del negocio
Práctica 2
y 3
Understanding
the
Organization
Assess and
Management
Risk / Critical IT
Resources
Stage 2
Crear estructura BCM
Práctica 4
y6
Determine
BCM Strategy
Continuity
Framework
Stage 2 y
3
Documentación BCM (planes,
programas, reportes,
escalamiento, notificaciones, etc)
Práctica 5
y6
Developing and
Implementing BCM
response
IT Continuity
Plans
Stage 3
Pruebas de Planes, estrategias,
etc
Práctica 8
Exercising and
Mantaining
Testing
Stage 3 y
4
Administración del presupuesto
BCM
Práctica 1,
6y8
BCM Programme
Management
Project
Preparation /
Ensure IT
Continuity
Stage 1, 3
y4
Mantenimiento, capacitación y
concientización
Práctica 7
y8
Exercising,
Mantaining
/Embedding
BCM
Plan Trainning,
Plan
Manteinance,
Stage 4
27. Seguridad y Continuidad
• Gestión de la Continuidad del Negocio
Es el proceso integral de gestión que identifica las amenazas potenciales para
una organización, así como los impactos que dichas amenazas pueden causar
(en caso de realizarse) en las operaciones comerciales, y proporcionan un marco
para la resilencia organizacional con la capacidad de dar una respuesta eficaz
que salvaguarde los intereses de sus colaboradores clave, su reputación, la
marca y las actividades que crean valor.
ISO 22301, Párrafo 3.4
28. Seguridad y Continuidad
• Modelo de Madurez de Gestión de la Continuidad
Increasing Business Continuity Competency Maturity
Maturity Model Levels
Athlete Analogy
Comparative Model
Corporate Competencies
Leadership
BC Awareness
BC Program Structure
Program Pervasiveness
Metrics
Resource Commitment
External Coordination
BC Program Content
Level 1
Level 2
Level 3
Level 4
Level 5
Level 6
Self-Governed
Supported
Self-Governed
Centrally
Governed
Enterprise
Awakening
Planned
Growth
Synergistic
Able to Crawl
Able to Walk
Able to Run
“Fit” Runner”
Competitive Runner
Olympic Runner
Organization “At Risk”
“Competent” Performer
“Best of Breed”
General Attributes of an Organization at Each Maturity Level
VL
VL
VL
VL
VL
VL
VL
VL
L
L
L
L
L
L
L
L
M
L
L
L
M
M
L
M
H
M
M
L
M
H
M
H
H
H
H
M
H
H
H
H
H
H
H
H
H
H
H
H
29. Seguridad y Continuidad
•
Retos BCM
•
•
•
•
•
•
•
•
Concientización
Acceso a Alta Dirección
Capacitación y experiencia
Definición de responsabilidades
Coordinación y participación de las
áreas
Integración de los planes
Difusión y prueba del plan
Mantenimiento y mejora
30. Seguridad y Continuidad
• Principales problemas
•
•
•
•
•
Definición de alcance
Términos
Experiencia
Metodología
Costo - tiempo