REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN

UNIVERSIDAD NACIONAL EXPERIMENTAL DE LA GRAN CARACAS
ESPECIALIZACIÓN EN AUDITORÍA DE TECNOLOGÍAS DE
INFORMACIÓN FINANCIERA Y SEGURIDAD DE DATOS
CATEDRA: SEGURIDAD

GESTIÓN DE LA CONTINUIDAD DE
NEGOCIOS Y RECUPERACIÓN DE
DESASTRES
BCP, BIA, DRP, CERT

Descripción breve
La gestión de la continuidad del negocio, es un proceso holístico

Noel Bolívar / Dayana Coronel

nboli2005@gmail.com / coroneldyana75@gmail.com
 Tabla de contenido

INTRODUCCION ................................................................................................................................ ii
CAPITULO I ....................................................................................................................................... 3
Principios Para La Preparación De La Continuidad Del Negocio .................................................. 3
CAPITULO II ...................................................................................................................................... 6
BCP (Plan De Continuidad Del Negocio): ..................................................................................... 6
Proceso De Planificación Del BCP ................................................................................................ 7
CAPITULO III ................................................................................................................................... 10
Estándares.................................................................................................................................. 10
CAPITULO IV ................................................................................................................................... 12
BIA Análisis de Impacto del Negocio .......................................................................................... 12
Métodos Para La Obtención De Información............................................................................. 13
Metodología Del Análisis De Impacto Del Negocio.................................................................... 14
CAPITULO V .................................................................................................................................... 19
DRP Plan de Recuperación de Desastres ................................................................................... 19
Objetivo...................................................................................................................................... 20
Alcance ....................................................................................................................................... 20
Enfoque ...................................................................................................................................... 20
Como organizar un DRP ............................................................................................................. 21
CAPITULO VI ................................................................................................................................... 25
CERT/CSIRT Equipo de Respuesta ante Emergencias Informáticas ........................................... 25
Motivación, objetivos y funciones ............................................................................................. 25
Servicios ofrecidos por un CERT/CSIRT ...................................................................................... 26
CONCLUSIONES .............................................................................................................................. 28
REFERENCIAS .................................................................................................................................. 30

i
 INTRODUCCION

La gestión de la continuidad del negocio, es un proceso holístico

a través del cual se identifican los impactos potenciales que amenazan
la continuidad de las actividades de las organizaciones, proveyendo
un marco de referencia para la construcción de la resiliencia y la
capacidad de una respuesta efectiva, que le permita proteger los
intereses de las Entidades debido a disrupciones.

La base de la gestión de la continuidad son las políticas, guías,

estándar y procedimientos implementados por una organización. Todo
el diseño, implementación, soporte y mantenimiento de los sistemas
debe estar fundamentado en la obtención de un buen plan de
continuidad del negocio, recuperación de desastres y en algunos
casos, soporte al sistema.

La información expuesta en este documento, es una

interpretación de los estándares de seguridad y privacidad de la
información y se constituye en un referente de la continuidad del
negocio para las organizaciones.

El modelo de operación de Continuidad del Negocio para la

Seguridad y Privacidad de la Información, contemplada en este
trabajo consta para su implementación de cinco (5) capítulos: BCP
(Plan De Continuidad Del Negocio), Estándares, BIA Análisis de Impacto
del Negocio, Plan de Recuperación de Desastres y CERT/CSIRT Equipo
de Respuesta ante Emergencias Informáticas.

ii
 Como parte del proceso de continuidad del negocio, la
preparación de las TIC para la continuidad del negocio (BCP), hace
referencia a un sistema de gestión que complementa y suporta la
continuidad del negocio de la organización y los programas de
Sistemas de Gestión de Seguridad de la Información (SGSI), para
mejorar la preparación de la Entidad que le permita:

 Responder al cambiante ambiente de riesgos.

 Asegurar la continuidad de las operaciones críticas del negocio
soportadas por servicios de TIC.
 Estar preparado para responder antes de que una disrupción de
los servicios de TIC ocurra, identificar los eventos o las series de
eventos relacionados provenientes de incidentes.
 Responder y recuperarse de incidentes y/o desastres y fallas.

iii
 CAPITULO I

Principios Para La Preparación De La Continuidad Del Negocio

a. Prevención de Incidentes

Proceso iterativo que prepara las tecnologías de información y

comunicación (TIC o ICT) para promover la resiliencia (capacidad
de un sistema de soportar y recuperarse ante desastres y
perturbaciones).

 Facilita la identificación de componentes críticos en cada uno

de los elementos que componen el entorno de las TIC.
 Justifica recursos y presupuesto para las medidas de resiliencia
adecuadas.
 Monitorear el rendimiento de las métricas de resiliencia.
 Revisión y mejoramiento siguiendo ejercicios, pruebas e
incidentes.

b. Detección de incidentes

BCP promueve:

 Responder antes que un incidente ocurra, tras la detección de

uno o una serie de eventos relacionados que se convierten en
incidentes.

3
 Detecta incidentes lo más rápido posible, minimizando así el
impacto a los servicios; reduce el esfuerzo de recuperación y
preserva la calidad del servicio.
 La inversión en la detección de incidentes debe estar vinculada
a las necesidades de continuidad de negocio.

c. Respuesta

BCP promueve las buenas prácticas existentes:

 Confirmar la naturaleza y el alcance del incidente.

 Adquirir información.
 Evaluar.
 ¿Cómo afecta a los elementos del entorno de las TIC?
 ¿Cómo podría esto afectar a los usuarios del servicio y las
actividades críticas de la organización?

Toma el control de la situación.

 ¿Failover manual o automático?

 Determinar prioridades para la mitigación de incidentes.
 Determinar los recursos requeridos.
 Comunicación.

Contener el incidente.

 Recursos directos para gestionar la situación.

 Comunicación.
 ¿Está activo el Administración de Incidentes de la
Continuidad del Negocio (BCM)?
 Servir de enlace con resto de la organización.

4
  Activar mecanismos de contingencia pertinentes.
 Comunicarse con los grupos de interés.

d. Recuperación
 Planes técnicos de recuperación.
 En conjunto con los planes de continuidad de negocio de la
organización.
 Tolerancia a fallos de inmediato (time-critical systems).
 Recuperación en menos tiempo (time-sensitive systems).
 Administrar el proceso de recuperación

e. Mejora

BCP promueve la mejora.

 Las lecciones aprendidas de los ejercicios.

 Evaluación de auto auditorias (Audits/Self)
 La retroalimentación gracias a los BIAs (Análisis del Impacto al
Negocio) y análisis de riesgos periódicos.
 Acciones correctivas y preventivas siguiendo el incidente.

5
 CAPITULO II

BCP (Plan De Continuidad Del Negocio):

De acuerdo a (ISO, IEC 27031, 2011) se define como: “Capacidad

de una organización para soportar sus operaciones de negocio a
través de la prevención, detección y respuesta a interrupciones y
recuperación de servicios de Tecnología de Información y
Comunicaciones (TICs)”.

Significa entonces un proceso general de gestión holístico que

identifica amenazas potenciales a una organización y el impacto que
se podría causar a la operación de negocio que en caso de
materializarse y el cual provee un marco de trabajo para la
construcción de la resiliencia organizacional con la capacidad de una
respuesta efectiva que salvaguarde los intereses de las partes
interesadas claves, reputación, marca y actividades de creación de
valor.

Los planes de continuidad incluyen un análisis de impacto en el

negocio (BIA), que permite identificar la criticidad y sensibilidad ante
una interrupción de los diferentes procesos de negocio y, en
consecuencia, determinar los tiempos de recuperación asociados a
cada proceso y las estrategias de recuperación para garantizarlos.

6
Proceso De Planificación Del BCP

Cualquier empresa de cualquier tamaño puede mejorar las

posibilidades de superar un incidente de interrupción de la actividad y
quedar en una pieza (con la marca intacta y sin merma en los ingresos)
si sigue ciertas estrategias probadas y de confianza, más allá de que
desee obtener la certificación ISO 22301 o no.

A continuación, un resumen de los cuatro pasos principales:

a. Identificar y ordena las amenazas

Crea una lista de los incidentes de interrupción de la actividad

que constituyan las amenazas más probables para la empresa. En
esta etapa, una buena técnica es reunir personas de todos los
departamentos en una sesión de intercambio de ideas.

El objetivo de la reunión es crear una lista de escenarios

ordenados por probabilidad de ocurrencia y por potencial de
causar un impacto negativo.

b. Realizar un análisis del impacto en la empresa

Una manera es comenzar detallando las funciones, los procesos,

los empleados, los lugares y los sistemas que son críticos para el
funcionamiento de la organización. De esto se puede ocupar el líder
del proyecto de BCM; para ello, deberá entrevistar a los empleados
de cada departamento y luego elaborar una tabla de resultados
que liste las funciones y las personas principales y las secundarias.

7
c. Crear un plan de respuesta y recuperación

En esta etapa debemos catalogar datos clave sobre los bienes

involucrados en la realización de las funciones críticas, incluyendo
sistemas de TI, personal, instalaciones, proveedores y clientes.
Deberás incluir números de serie de los equipos, acuerdos de
licencia, alquileres, garantías, detalles de contactos, etc.

Necesitamos determinar “a quién llamar” en cada categoría de

incidente y crear un árbol de números telefónicos para que se
hagan las llamadas correctas en el orden correcto. También
necesitas una lista de “quién puede decir qué cosa” para controlar
la interacción con los medios durante un incidente (considera
quedarte con una estrategia de “sólo el CEO” si se trata de un
incidente delicado).

Deberán quedar documentados todos los acuerdos vigentes

para mudar las operaciones a ubicaciones e instalaciones de TI
temporales, de ser necesario. No te olvides de documentar el
proceso de notificación para los miembros de la empresa en su
totalidad y el procedimiento de asesoramiento para clientes.

Los pasos para recuperar las operaciones principales deberían

ordenarse en una secuencia donde queden explícitas las
interdependencias funcionales. Cuando el plan esté listo, asegúrate
de capacitar a los gerentes sobre los detalles relevantes para cada
departamento, así como la importancia del plan general para
sobrevivir a un incidente.

8
 d. Prueba el plan y refina el análisis

La mayoría de los expertos en BCP recomiendan probar el plan

al menos una vez al año, con ejercicios, análisis paso a paso o
simulaciones. La prueba te permite sacar el mayor provecho a lo
que invertiste en la creación del plan, y no sólo te permite encontrar
fallas y dar cuenta de los cambios corporativos con el transcurso del
tiempo, sino que también causa una buena impresión en la
gerencia.

No cabe duda de que estos cuatro pasos significan un enorme

trabajo, pero es una tarea que las empresas ignoran bajo su propio
riesgo. Si el proyecto parece demasiado desalentador para aplicar a
la empresa completa, considera comenzar por unos pocos
departamentos o una sola oficina, si hay varias. Todo lo que se aprenda
en el proceso se podrá aplicar en mayor escala a medida que se
progrese. Evitar a toda costa pensar que las cosas malas no suceden,
porque sí lo hacen. Sólo tenemos que estar preparados y no pretender
que cuando ocurra algo no será tan malo, porque podría serlo.

9
 CAPITULO III

Estándares

La alta dirección debe gestionar y proporcionar los recursos

necesarios, procedimientos y operación de la gestión de la continuidad
del negocio y recuperación ante desastres, así como los programas de
entrenamiento y concientización. La implementación se debe
gestionar como un proyecto a través del proceso de control de
cambios formales de la Entidad y de los controles de gestión del
proyecto de la Gestión de Continuidad del Negocio con el fin de
asegurar visibilidad completa de la gestión y del reporte.

Los estándares consisten en las especificaciones técnicas

realizadas para la implementación de todos los procesos de negocio.
Se deben de tener en cuenta estándares internacionales pertinentes
durante la implementación de la detección y respuesta de incidentes
y de los componentes de recuperación de desastres, incluyendo los
siguientes:

a. (ISO, IEC 18043, 2006) Para la selección y operación de sistemas

de detección de intrusos.
b. (ISO, IEC TR 18044, 2004)Para el proceso de respuesta a
incidentes.
c. (ISO, IEC 24762, 2008)Para los servicios de recuperación de
desastres.

10
d. (ISO, IEC 22300, 2012) Análisis del impacto al negocio (BIA por sus
siglas en ingles). Proceso del análisis de actividades las funciones
operacionales y el efecto que una interrupción del negocio
podría tener sobre ellas.
e. (ISO, IEC 27031, 2011) Típicamente, esto incluye los recursos,
servicios y actividades necesarios para garantizar la continuidad
de las funciones críticas del negocio.
f. (ISO, IEC 27031, 2011) En el ámbito de la aplicación abarca todos
los eventos e incidentes que se relacionan con la seguridad que
puede tener un impacto en la infraestructura y los sistemas TIC.

11
 CAPITULO IV

BIA Análisis de Impacto del Negocio

Es otro elemento utilizado para estimar la afectación que podría

padecer una organización como resultado de la ocurrencia de algún
incidente o un desastre.

El BIA es un proceso más especializado en la identificación de los

tipos de impacto, orientado en conocer qué podría verse afectado y
las consecuencias sobre los procesos de negocio.

(ISO, IEC 22301, 2012) lo define como el “Proceso del análisis de

actividades las funciones operacionales y el efecto que una
interrupción del negocio podría tener sobre ellas”.

El Análisis de Impacto del Negocio BIA permite identificar con

claridad los procesos misionales de cada organización y analizar el nivel
de impacto con relación a la gestión del negocio.

Cada organización debe disponer de un documento que

permita identificar todas las áreas críticas del negocio y sea un
instrumento para garantizar la medición de la magnitud del impacto
operacional y financiero de la entidad, al momento de presentarse una
interrupción.

En esta etapa, el análisis de impacto del negocio, debe poder

clarificar los siguientes requerimientos:

12
 Identificar las funciones y procesos importantes para la
supervivencia de la entidad al momento de la interrupción, esto es
tener en cuenta cuales de los procesos son claves para que entren
en operación rápidamente asignándoles la mayor prioridad posible,
frente a los de menor prioridad; debe quedar claro que para los
procesos identificados como no tan prioritarios se deben preparar
también planes de recuperación.
 Revisar las consecuencias tanto operacionales como financieras,
que una interrupción tendrá en los procesos considerados de alta
prioridad.
 Estimar los tiempos de recuperación, en razón a las posibles
alteraciones de los procesos considerados de alta prioridad para el
funcionamiento de las infraestructuras de TI.
 El entregable de esta fase es un informe con el detalle de las
funciones y procesos críticos del negocio. Este documento debe
contener la información básica de los recursos requeridos y los
tiempos de recuperación para que las entidades puedan poner en
funcionamiento los servicios y por ende la continuidad del negocio.

Métodos Para La Obtención De Información

Es recomendable que las entidades posean un método

estructurado que facilite la obtención de la información requerida,
según (Hiles, 2004), se debe disponer de encuestas, entrevistas y talleres.

Encuesta: Conjunto de preguntas que se envían a las distintas

entidades de la organización.

13
Entrevistas: La información del Análisis de Impacto del Negocio (BIA), se
obtiene personalmente, entrevistando a una o más personas. La
información detallada puede obtenerse creando preguntas para
cada entrevista, de acuerdo a las necesidades de la organización que
hace las preguntas.

Talleres: Permite a un grupo de personas trabajar de forma colectiva

para que de esta manera se provea de información para el análisis de
impacto del negocio.

Metodología Del Análisis De Impacto Del Negocio

La metodología del Análisis de Impacto del Negocio, consiste en

definir una serie de pasos interactivos con el objeto de identificar
claramente los impactos de las interrupciones y tomar decisiones
respecto a aquellos procesos que se consideran críticos para la
organización y que afectan directamente el negocio ante la
ocurrencia de un desastre, estos pasos se muestran en esta ilustración:

14
Identificación de Funciones y Procesos

En este paso se identifican las funciones del negocio útiles para

apoyar la misión y los objetivos a alcanzar en el Sistema de Gestión de
Seguridad de Información de la Entidad.

Este punto tiene como resultado generar un listado de roles y

procesos, que sirven de análisis para el cumplimiento de los siguientes
pasos del BIA.

Evaluación de Impactos Operacionales

Teniendo en cuenta los elementos operacionales de la

organización, se requiere evaluar el nivel de impacto de una
interrupción dentro de la Entidad.

El impacto operacional permite evaluar el nivel negativo de una

interrupción en varios aspectos de las operaciones del negocio; el
impacto se puede medir utilizando un esquema de valoración, con los
siguientes niveles: A, B o C.

Nivel A: La operación es crítica para el negocio. Una operación es

crítica cuando al no contar con ésta, la función del negocio no puede
realizarse.

Nivel B: La operación es una parte integral del negocio, sin ésta el

negocio no podría operar normalmente, pero la función no es crítica.

Nivel C: La operación no es una parte integral del negocio.

15
Identificación de Procesos Críticos

La identificación de los procesos críticos del negocio se da con

base en la clasificación de los impactos operacionales de las
organizaciones, según esta tabla:

Establecimiento de Tiempos de Recuperación

Una vez identificados los procesos críticos del negocio, se deben

establecer los tiempos de recuperación que son una serie de
componentes correspondientes al tiempo disponible para recuperarse
de una alteración o falla de los servicios; el entendimiento de estos
componentes es fundamental para comprender el BIA. Los tiempos de
recuperación de describen a continuación:

Una vez identificados los procesos críticos del negocio, función

que hace parte del análisis de los impactos operacionales, se procede
a identificar el MTD, que corresponde al tiempo máximo de inactividad
que puede tolerar una organización antes de colapsar y se hace la
clasificación a fin de priorizar la recuperación del proceso (servicio).

16
 Esto quiere decir que si por ejemplo un proceso tiene un periodo
máximo de tiempo de inactividad (MTD) de un (1) día, este debe tener
mayor prioridad para iniciar el evento de recuperación, en razón al
poco tiempo de tolerancia de la inactividad, frente a otros que tienen
mayor tolerancia.

El siguiente ejemplo ilustra esta situación:

Identificación de Recursos

Las diferentes actividades contempladas en la función crítica del

negocio deben considerarse de vital importancia cuando apoyan los
procesos críticos del negocio; por lo tanto, es clave en este punto, la
identificación de recursos críticos de Sistemas de Tecnología de
Información que permitan tomas acciones para medir el impacto del
negocio de las Entidades.

Disposición de los RTO/RPO (Recovery Time Objective / Recovery Point

Objective)

RTO: Tiempo de Recuperación Objetivo: Asociado con la

restauración de los recursos que han sido alterados de las Tecnologías
de la Información; comprende el tiempo disponible para recuperar
recursos alterados.

17
 Adicionalmente, se aplica el WRT, es decir el tiempo que es
requerido para completar el trabajo que ha estado interrumpido con
el propósito de volverlo a la normalidad.

RPO: Punto de Recuperación Objetivo: Este punto es importante

para determinar por cada uno de los procesos críticos (servicios), el
rango de tolerancia que una Entidad puede tener sobre la pérdida de
información y el evento de desastre.

Identificación de Procesos Alternos

La identificación de procesos alternos hace posible que los

procesos del negocio puedan continuar operando en caso de
presentarse una interrupción; para ello es oportuno que las Entidades
tengan métodos alternativos de manera temporal que ayuden a
superar la crisis que ha generado una interrupción; por lo tanto, para
cada proceso crítico que se establezca (en los servicios), se debe
poseer un procedimiento manual de continuidad del servicio.

Generación de Informe de Impacto del Negocio

En este punto es necesario presentar un informe de impacto de

negocio que corresponde a la guía para el BIA con los siguientes
resúmenes:

 Listado de procesos críticos

 Listado de prioridades de sistemas y aplicaciones
 Listado de tiempos MTD, RTO y RPO
 Listado de procedimientos alternos.

18
 CAPITULO V

DRP Plan de Recuperación de Desastres

Llamamos desastre a cualquier causa que afecte a esta

infraestructura (datos, hardware o software) ya sea natural, intencional
o involuntario, e impida la continuidad del negocio, hace quince o
veinte años, si había una amenaza de incendio para los sistemas, un
plan de recuperación de desastres podría consistir en apagar la
computadora central y otros equipos antes de que el sistema de
rociadores se encendiera, desmontar componentes, y posteriormente
secar las placas de circuitos en el estacionamiento con un secador de
pelo.

Sin embargo, los actuales sistemas empresariales tienden a ser

demasiado grandes y complicados para estos métodos sencillos y
prácticos, y la interrupción del servicio o la pérdida de datos pueden
tener consecuencias financieras graves, ya sea directamente o a
través de la pérdida de confianza del cliente.

La recuperación de desastres se está convirtiendo en un aspecto

cada vez más importante de la informática empresarial. Como los
dispositivos, sistemas y redes se vuelven cada vez más complejos,
simplemente hay más cosas que pueden salir mal. Como
consecuencia de ello, los planes de recuperación se han vuelto más
complejos.

19
 El objetivo de un DRP (Disaster Recovery Plan) o Plan de
Recuperación ante desastres, es definir el conjunto de actividades,
roles y responsabilidades que permitan mantener la continuidad de la
plataforma tecnológica de una empresa, en caso de la ocurrencia de
un evento de desastre, interrupción mayor o un evento contingente.

Su alcance se enmarca en la protección de los sistemas y

plataformas tecnológicas que soportan los procesos misionales de la
empresa (Aplicaciones, mensajería, comunicaciones, servicios e
infraestructura).

Objetivo
Definir el conjunto de actividades, roles y responsabilidades que
permitan mantener la continuidad de la plataforma tecnológica de
una empresa, en caso de la ocurrencia de un evento de desastre,
interrupción mayor o un evento contingente.

Alcance
Se enmarca en la protección de los sistemas y plataformas
tecnológicas que soportan los procesos misionales de la empresa
(Aplicaciones, mensajería, comunicaciones, servicios e infraestructura).

Enfoque
El recurso de mayor valor de una empresa, después de los
recursos humanos, es la información. Precisamente, por este motivo,

20
cualquier acción que proporcione seguridad a esa información será un
paso en firme para dar continuidad al negocio.

Como organizar un DRP

Los planes apropiados varían de una empresa a otra, en función
de variables como el tipo de negocio, los procesos involucrados, y el
nivel de seguridad requerido. La planificación de la recuperación de
desastres puede ser desarrollada dentro de una organización o se
puede comprar una aplicación de software o un servicio, el siguiente
grafico muestra los pasos para diseñar un DRP.

Gestión del Riesgo:

La gestión del riesgo debe contemplar el “cálculo del riesgo, la

apreciación de su impacto en el negocio y la posibilidad de
ocurrencia. A pesar de la existencia de diversidad de métodos es
recomendable iniciar con los más sencillos, que forman parte de lo que

21
denominamos análisis previos. Una primera aproximación es la de
establecer un conjunto de causas que pueden generar dificultades,
tales como:

Riesgos Tecnológicos:

 Fallas en el Fluido Eléctrico.

 Sabotaje Informático
 Fallas en el Centro de Datos.
 Problemas Técnicos.
 Fallas en equipos tanto de procesamiento, telecomunicaciones
como eléctricos.
 Servicios de Soporte a Sistemas de Producción y/o Servicios.

Riesgos Humanos:

 Robos.
 Acto Hostil.
 Marchas, mítines.
 Artefactos explosivos.
 Problemas organizacionales (huelgas, leyes aceptadas por el
congreso, regulaciones gubernamentales, leyes internacionales)
Problemas de terceros involucrados en la producción o soporte
a un servicio.
 Problemas con los proveedores de insumos o subproductos.

Desastres Naturales:

 Sismos

22
  Tormentas Eléctricas
 Incendios
 Inundaciones

Alinear con el Análisis de Impacto del Negocio

Realizar un análisis de impacto de toda la organización para

determinar los servicios y datos críticos a fin de establecer los
RTO/RPO/NRO.

Definir un Plan

 Diseñar una solución en base a los requerimientos establecidos por

la organización de acuerdo a la información obtenida de la etapa
1.
 Documentar los pasos de recuperación de cada servicio crítico con
sus sistemas relacionados.
 Asignar responsables de la ejecución de cada procedimiento.

Pruebas y simulacros.

 Probar la viabilidad de las estrategias desarrolladas para asegurar la

continuidad de los servicios críticos de la organización.
 Realizar las modificaciones requeridas en las estrategias
desarrolladas, recursos requeridos, personal, etc.

23
Mantenimiento

No es más que una serie de actividades que permiten mantener

vigente el plan.

 Capacitar al personal encargado de restablecer los servicios para

cuando se presente y termine un desastre.
 Desarrollar estrategias de comunicación a todo el personal de la
organización para prevenir desastres.
 Fomentar cultura de seguridad y manejo de la información.
 Corregir los datos afectados por el desastre (datos desactualizados,
corruptos) aplicando las estrategias desarrolladas.
 Realizar informe con los resultados de la ejecución del Plan de
Recuperación de Desastre.

Cuando una organización va creciendo con el apoyo de la

tecnología y va tomando las medidas necesarias para proteger su
información (su bien más importante) y establece las estrategias
pertinentes (mediante un DRP) para recuperarla en caso de alguna
contingencia (desastre, siniestro), podrá asegurar la continuidad de sus
servicios y asegurar la atención de sus clientes, manteniéndose al día
con la exigencia de su mercado.

24
 CAPITULO VI

CERT/CSIRT Equipo de Respuesta ante Emergencias Informáticas

Es un centro de respuesta a incidentes de seguridad en

tecnologías de la información. Se trata de un grupo de expertos
responsable del desarrollo de medidas preventivas y reactivas ante
incidencias de seguridad en los sistemas de información.

Un CERT estudia el estado de seguridad global de redes y

ordenadores y proporciona servicios de respuesta ante incidentes a
víctimas de ataques en la red, publica alertas relativas a amenazas y
vulnerabilidades y ofrece información que ayude a mejorar la
seguridad de estos sistemas.

Motivación, objetivos y funciones

La razón de la creación de los CERT/CSIRT es la cantidad de pérdidas

causadas por los virus, las vulnerabilidades, los casos de acceso no
autorizado a información, el robo de información protegida, etc.

Un CERT o CSIRT recibe, analiza y responde informes de incidentes

recibidos desde miembros de su comunidad (constituency), otros CSIRT,
o terceras personas, coordinando la respuesta entre las partes.

En este aspecto podemos definir los siguientes términos:

25
Constituency: Comunidad de la que el CERT/CSIRT es responsable y a
la que ofrece sus servicios Incidente de Seguridad: Cualquier evento
real o sospechoso relacionado con la seguridad de un sistema
informático o red.

Las funciones, pues, de un CERT/CSIRT son:

 Ayudar al público objetivo (constituency) a atenuar y prevenir

incidentes graves de seguridad.
 Ayudar a proteger informaciones valiosas.
 Coordinar de forma centralizada la seguridad de la información.
 Guardar evidencias, por si hubiera que recurrir a pleitos.
 Apoyar y prestar asistencia a usuarios para recuperarse de las
consecuencias de los incidentes de seguridad.
 Dirigir de forma centralizada la respuesta a los incidentes de
seguridad – Promover confianza, que alguien controla la situación

Servicios ofrecidos por un CERT/CSIRT

Cada CERT es diferente y en función de sus recursos y su público

objetivo establece unas prioridades y decide aportar unos servicios
diferentes. Algunos ejemplos de Servicios que un CERT/CSIRT puede
ofrecer son:

Servicios preventivos

 Avisos de seguridad
 Búsqueda de vulnerabilidades

26
 Auditorías o evaluaciones de seguridad
 Configuración y mantenimiento de herramientas de seguridad,
aplicaciones e infraestructuras
 Desarrollo de herramientas de seguridad
 Propagación de información relacionada con la seguridad

Servicios reactivos

 Gestión de incidentes de seguridad (análisis, respuesta, soporte y

coordinación de incidentes de seguridad)
 Gestión de vulnerabilidades (análisis, respuesta y coordinación de
vulnerabilidades detectadas)

27
 CONCLUSIONES

El análisis de impacto del negocio – BIA, hace parte importante

del plan de continuidad del negocio y a su vez presenta
consideraciones importantes para la gestión del riesgo dentro de las
organizaciones, que establecen un marco de políticas, procedimientos
y estrategias que permiten asegurar que las operaciones de carácter
crítico puedan ser mantenidas y recuperadas a la mayor brevedad
posible, en caso de fallas graves dentro de los sistemas de información
y las comunicaciones.

La efectividad en la ejecución del DRP, ante la ocurrencia de un

evento de desastre, interrupción mayor o un evento contingente que
afecte la plataforma tecnológica, se fundamenta en los siguientes
supuestos:

 Se dispone de la infraestructura y recursos que soportan las

estrategias de contingencia y recuperación para los sistemas
críticos.
 Los encargados de ejecutar el plan, o sus suplentes, se
encuentran disponibles y no ha sido afectados por el desastre.
 El desastre no afectó simultáneamente el Centro de cómputo
principal y el Centro de Cómputo Alterno.
 Se han realizado las pruebas de las estrategias y procedimientos
al menos 1 vez al año, y han funcionado.
 Los encargados han participado en las pruebas y
capacitaciones realizadas.

28
  La realización de respaldos de las bases de datos e información
se realiza de acuerdo a los procedimientos y frecuencias
establecidas.

BCP hace referencia al Plan de Continuidad de Negocio, el cual

integra el DRP, planes de contingencia y recuperación de procesos de
la entidad, planes de emergencia, y plan de comunicación y
administración de crisis.

La razón de la creación de los CERT/CSIRT es la cantidad de

pérdidas causadas por los virus, las vulnerabilidades, los casos de
acceso no autorizado a información, el robo de información protegida,
etc.

Un CERT o CSIRT recibe, analiza y responde informes de incidentes

recibidos desde miembros de su comunidad (constituency), otros CSIRT,
o terceras personas, coordinando la respuesta entre las partes.

29
 REFERENCIAS

Colombia, M. d. (2010). Guía para la preparación de las TIC. Bogota: MINTIC.

Hiles, A. (2004). Bussiness Continuity Best Practices. Connecticut: Rothstein Associates, Inc.

ISO. (1 de Octubre de 2004). IEC TR 18044. Information technology -- Security techniques --

Information security incident management. Comite Tecnico ISO/IEC JTC 1/SC 27.

ISO. (1 de Junio de 2006). IEC 18043. Information technology -- Security techniques -- Selection,
deployment and operations of intrusion detection systems. Technical Committee :
ISO/IEC JTC 1/SC 27 IT Security techniques.

ISO. (2006 de junio de 2006). IEC 18043. Information technology -- Security techniques --
Selection, deployment and operations of intrusion detection systems. Obtenido de
www.iso.org.

ISO. (1 de Febrero de 2008). IEC 24762. Information technology -- Security techniques --

Guidelines for information and communications technology disaster recovery services.
Technical Committee : ISO/IEC JTC 1/SC 27 IT Security techniques.

ISO. (1 de Marzo de 2011). IEC 27031. Information technology -- Security techniques -- Guidelines
for information and communication technology readiness for business continuity.
Technical Committee : ISO/IEC JTC 1/SC 27 IT Security techniques.

ISO. (1 de 2 de 2012). IEC 22300. Societal security – Terminology. Technical Committee : ISO/IEC
JTC 1/SC 27 IT Security techniques.

ISO. (1 de Mayo de 2012). IEC 22301. Societal security -- Business continuity management
systems -- Requirements. Technical Committee : ISO/IEC JTC 1/SC 27 IT Security
techniques.

Securt-IT @C.R.S. (1 de Diciembre de 2017). CERT/CSIRT. Obtenido de

https://securitcrs.wordpress.com/knowledge-base/certcsirt/

SUPERINTENDENCIA DE SOCIEDADES. (06 de Diciembre de 2011). SISTEMA GESTIÓN INTEGRADO

. GUIA: PLAN DE RECUPERACIÓN ANTE DESASTRES – DRP. Bogota, Colombia: Dirección
de Informática.

30