Professional Documents
Culture Documents
GESTIÓN DE LA CONTINUIDAD DE
NEGOCIOS Y RECUPERACIÓN DE
DESASTRES
BCP, BIA, DRP, CERT
Descripción breve
La gestión de la continuidad del negocio, es un proceso holístico
INTRODUCCION ................................................................................................................................ ii
CAPITULO I ....................................................................................................................................... 3
Principios Para La Preparación De La Continuidad Del Negocio .................................................. 3
CAPITULO II ...................................................................................................................................... 6
BCP (Plan De Continuidad Del Negocio): ..................................................................................... 6
Proceso De Planificación Del BCP ................................................................................................ 7
CAPITULO III ................................................................................................................................... 10
Estándares.................................................................................................................................. 10
CAPITULO IV ................................................................................................................................... 12
BIA Análisis de Impacto del Negocio .......................................................................................... 12
Métodos Para La Obtención De Información............................................................................. 13
Metodología Del Análisis De Impacto Del Negocio.................................................................... 14
CAPITULO V .................................................................................................................................... 19
DRP Plan de Recuperación de Desastres ................................................................................... 19
Objetivo...................................................................................................................................... 20
Alcance ....................................................................................................................................... 20
Enfoque ...................................................................................................................................... 20
Como organizar un DRP ............................................................................................................. 21
CAPITULO VI ................................................................................................................................... 25
CERT/CSIRT Equipo de Respuesta ante Emergencias Informáticas ........................................... 25
Motivación, objetivos y funciones ............................................................................................. 25
Servicios ofrecidos por un CERT/CSIRT ...................................................................................... 26
CONCLUSIONES .............................................................................................................................. 28
REFERENCIAS .................................................................................................................................. 30
i
INTRODUCCION
ii
Como parte del proceso de continuidad del negocio, la
preparación de las TIC para la continuidad del negocio (BCP), hace
referencia a un sistema de gestión que complementa y suporta la
continuidad del negocio de la organización y los programas de
Sistemas de Gestión de Seguridad de la Información (SGSI), para
mejorar la preparación de la Entidad que le permita:
iii
CAPITULO I
a. Prevención de Incidentes
b. Detección de incidentes
BCP promueve:
3
Detecta incidentes lo más rápido posible, minimizando así el
impacto a los servicios; reduce el esfuerzo de recuperación y
preserva la calidad del servicio.
La inversión en la detección de incidentes debe estar vinculada
a las necesidades de continuidad de negocio.
c. Respuesta
Contener el incidente.
4
Activar mecanismos de contingencia pertinentes.
Comunicarse con los grupos de interés.
d. Recuperación
Planes técnicos de recuperación.
En conjunto con los planes de continuidad de negocio de la
organización.
Tolerancia a fallos de inmediato (time-critical systems).
Recuperación en menos tiempo (time-sensitive systems).
Administrar el proceso de recuperación
e. Mejora
5
CAPITULO II
6
Proceso De Planificación Del BCP
7
c. Crear un plan de respuesta y recuperación
8
d. Prueba el plan y refina el análisis
9
CAPITULO III
Estándares
10
d. (ISO, IEC 22300, 2012) Análisis del impacto al negocio (BIA por sus
siglas en ingles). Proceso del análisis de actividades las funciones
operacionales y el efecto que una interrupción del negocio
podría tener sobre ellas.
e. (ISO, IEC 27031, 2011) Típicamente, esto incluye los recursos,
servicios y actividades necesarios para garantizar la continuidad
de las funciones críticas del negocio.
f. (ISO, IEC 27031, 2011) En el ámbito de la aplicación abarca todos
los eventos e incidentes que se relacionan con la seguridad que
puede tener un impacto en la infraestructura y los sistemas TIC.
11
CAPITULO IV
12
Identificar las funciones y procesos importantes para la
supervivencia de la entidad al momento de la interrupción, esto es
tener en cuenta cuales de los procesos son claves para que entren
en operación rápidamente asignándoles la mayor prioridad posible,
frente a los de menor prioridad; debe quedar claro que para los
procesos identificados como no tan prioritarios se deben preparar
también planes de recuperación.
Revisar las consecuencias tanto operacionales como financieras,
que una interrupción tendrá en los procesos considerados de alta
prioridad.
Estimar los tiempos de recuperación, en razón a las posibles
alteraciones de los procesos considerados de alta prioridad para el
funcionamiento de las infraestructuras de TI.
El entregable de esta fase es un informe con el detalle de las
funciones y procesos críticos del negocio. Este documento debe
contener la información básica de los recursos requeridos y los
tiempos de recuperación para que las entidades puedan poner en
funcionamiento los servicios y por ende la continuidad del negocio.
13
Entrevistas: La información del Análisis de Impacto del Negocio (BIA), se
obtiene personalmente, entrevistando a una o más personas. La
información detallada puede obtenerse creando preguntas para
cada entrevista, de acuerdo a las necesidades de la organización que
hace las preguntas.
14
Identificación de Funciones y Procesos
15
Identificación de Procesos Críticos
16
Esto quiere decir que si por ejemplo un proceso tiene un periodo
máximo de tiempo de inactividad (MTD) de un (1) día, este debe tener
mayor prioridad para iniciar el evento de recuperación, en razón al
poco tiempo de tolerancia de la inactividad, frente a otros que tienen
mayor tolerancia.
Identificación de Recursos
17
Adicionalmente, se aplica el WRT, es decir el tiempo que es
requerido para completar el trabajo que ha estado interrumpido con
el propósito de volverlo a la normalidad.
18
CAPITULO V
19
El objetivo de un DRP (Disaster Recovery Plan) o Plan de
Recuperación ante desastres, es definir el conjunto de actividades,
roles y responsabilidades que permitan mantener la continuidad de la
plataforma tecnológica de una empresa, en caso de la ocurrencia de
un evento de desastre, interrupción mayor o un evento contingente.
Objetivo
Definir el conjunto de actividades, roles y responsabilidades que
permitan mantener la continuidad de la plataforma tecnológica de
una empresa, en caso de la ocurrencia de un evento de desastre,
interrupción mayor o un evento contingente.
Alcance
Se enmarca en la protección de los sistemas y plataformas
tecnológicas que soportan los procesos misionales de la empresa
(Aplicaciones, mensajería, comunicaciones, servicios e infraestructura).
Enfoque
El recurso de mayor valor de una empresa, después de los
recursos humanos, es la información. Precisamente, por este motivo,
20
cualquier acción que proporcione seguridad a esa información será un
paso en firme para dar continuidad al negocio.
21
denominamos análisis previos. Una primera aproximación es la de
establecer un conjunto de causas que pueden generar dificultades,
tales como:
Riesgos Tecnológicos:
Riesgos Humanos:
Robos.
Acto Hostil.
Marchas, mítines.
Artefactos explosivos.
Problemas organizacionales (huelgas, leyes aceptadas por el
congreso, regulaciones gubernamentales, leyes internacionales)
Problemas de terceros involucrados en la producción o soporte
a un servicio.
Problemas con los proveedores de insumos o subproductos.
Desastres Naturales:
Sismos
22
Tormentas Eléctricas
Incendios
Inundaciones
Definir un Plan
Pruebas y simulacros.
23
Mantenimiento
24
CAPITULO VI
25
Constituency: Comunidad de la que el CERT/CSIRT es responsable y a
la que ofrece sus servicios Incidente de Seguridad: Cualquier evento
real o sospechoso relacionado con la seguridad de un sistema
informático o red.
Servicios preventivos
Avisos de seguridad
Búsqueda de vulnerabilidades
26
Auditorías o evaluaciones de seguridad
Configuración y mantenimiento de herramientas de seguridad,
aplicaciones e infraestructuras
Desarrollo de herramientas de seguridad
Propagación de información relacionada con la seguridad
Servicios reactivos
27
CONCLUSIONES
28
La realización de respaldos de las bases de datos e información
se realiza de acuerdo a los procedimientos y frecuencias
establecidas.
29
REFERENCIAS
Hiles, A. (2004). Bussiness Continuity Best Practices. Connecticut: Rothstein Associates, Inc.
ISO. (1 de Junio de 2006). IEC 18043. Information technology -- Security techniques -- Selection,
deployment and operations of intrusion detection systems. Technical Committee :
ISO/IEC JTC 1/SC 27 IT Security techniques.
ISO. (2006 de junio de 2006). IEC 18043. Information technology -- Security techniques --
Selection, deployment and operations of intrusion detection systems. Obtenido de
www.iso.org.
ISO. (1 de Marzo de 2011). IEC 27031. Information technology -- Security techniques -- Guidelines
for information and communication technology readiness for business continuity.
Technical Committee : ISO/IEC JTC 1/SC 27 IT Security techniques.
ISO. (1 de 2 de 2012). IEC 22300. Societal security – Terminology. Technical Committee : ISO/IEC
JTC 1/SC 27 IT Security techniques.
ISO. (1 de Mayo de 2012). IEC 22301. Societal security -- Business continuity management
systems -- Requirements. Technical Committee : ISO/IEC JTC 1/SC 27 IT Security
techniques.
30