La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Néstor Orlando Romero ABCP, Msc

Publicada porPedro Catalina Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Néstor Orlando Romero ABCP, Msc"— Transcripción de la presentación:

1 Néstor Orlando Romero ABCP, Msc
Planes de Contingencia: Un enfoque práctico Néstor Orlando Romero ABCP, Msc Junio 2002

2 3/29/2017 Agenda Introducción Historia DRI Definiciones Metodología

3 3/29/2017 Introducción Pretende minimizar las pérdidas de productividad dada la ocurrencia de un incidente que genere una interrupción Continuidad vs. Recuperación del negocio

4 Motivación Eventos no esperados (New York, 11 de Septiembre)
3/29/2017 Motivación Eventos no esperados (New York, 11 de Septiembre) Alta dependencia de la información y de las infraestructuras informáticas Alta motivación para atacantes Planes de contingencia ya no son un lujo sino una necesidad

5 Historia 60’s 70’s Primeros planes de recuperación
3/29/2017 Historia 60’s Primeros planes de recuperación Solo Sistemas de Información Solo en EU 70’s Recuperación de Desastres Alguna actividad fuera de EU Dependencia de Sistemas centralizados

6 Historia (cont.) 80’s 90’s Recuperación, no continuidad
3/29/2017 Historia (cont.) 80’s Recuperación, no continuidad Planes probados por fuegos, terremotos, huracanes Transición de planes de SI a planes corporativos Aparece software especializado 90’s Planes corporativos Centrado en el negocio

7 Disaster Recovery Institute
3/29/2017 Disaster Recovery Institute Fundado en (Washington University) Propone los lineamientos para los profesionales en la planeación de recuperación de negocios mediante la definición de áreas de conocimiento Ofrece capacitación y asesorías Certifica profesionales

8 Disaster Recovery Institute (cont.)
3/29/2017 Disaster Recovery Institute (cont.) Actualmente, al menos 1500 empresas aplican los conceptos y metodología del DRI. Algunas de ellas son: Texas Instruments AT & T Bell South National Bank World Bank Merrill Lynch Banco Central de Venezuela

9 Áreas de conocimiento base del DRI
3/29/2017 Áreas de conocimiento base del DRI 1. Administración e iniciación del proyecto 2. Evaluación de riesgos y controles 3. Análisis de Impacto del negocio 4. Estrategias de recuperación 5. Respuesta a la emergencia 6. Desarrollo e implementación del plan 7. Programas de concientización y entrenamiento 8. Pruebas y ejercicios del plan 9. Mantenimiento y actualización del plan

10 3/29/2017 Definiciones Desastre: Es cualquier evento que crea inhabilidad para una parte de una organización para proveer sus funciones críticas del negocio por algún periodo de tiempo (inconveniencia o desastre).

11 3/29/2017 Definiciones (cont.) Plan de recuperación de desastres: Un conjunto aprobado de actividades y procedimientos los cuales hacen posible a una organización responder a un desastre y reiniciar sus funciones críticas en una condición aceptable, en un marco de tiempo determinado.

12 3/29/2017 Definiciones (cont.) Plan de continuidad del negocio: Son todas las actividades y procedimientos aprobados que hacen posible a una organización responder a un evento en tal forma que las funciones críticas del negocio continúen sin interrupción o cambio significativo

13 Donde encaja la administración de riesgos?
Plan de Manejo del Riesgo Consecuencias Respuesta a Continuidad de Negocio Respuesta al Riesgo (Monitoreo, mantenimiento y Atención de incidentes) Opciones de Tratamiento Mitigar, Reducir, Aceptar, Asumir, Evitar, Transferir Plan estratégico de Administración de Riesgos Administración de Crisis Financiero Relaciones legales y comerciales Cambios Tecnológicos Cambios Políticos Eventos naturales Cambios procedimentales Software Presión de la competencia Comportamie nto humano Dispositivos o equipos Económico Objetivos Integridad Disponibilidad Accidentalidad Continuidad Confidencialidad Fuentes de Riesgo

14 Proceso de planeación de contingencias
Tomado de IT Contingency Planning Guide (NIST)

15 Requerimientos Funcionales
3/29/2017 Metodología Fases: Definición Requerimientos Funcionales Diseño y Desarrollo Implementación Pruebas y ejercicios Mantenimiento Ejecución

16 Etapas durante un desastre
Normalidad DESASTRE Normalidad Restauración Declaración de la emergencia Toma del control Toma de decisiones Reanudación de operaciones Recuperación de las capacidades

17 3/29/2017 Fase 1: Definición Definir el problema (Recuperación de desastres vs. Continuidad del negocio) Conciencia en la alta gerencia y políticas de continuidad del negocio Definición de los objetivos y requerimientos de continuidad (Quien, que, cuando, donde y como) Alcance y objetivos del proyecto Comité de seguimiento al proyecto

18 Fase 2: Requerimientos funcionales
3/29/2017 Fase 2: Requerimientos funcionales Identificación de los bienes a ser protegidos Efectuar el análisis de riesgos Realizar el análisis de impacto del negocio (BIA) Identificación de las estrategias Costo-beneficio de las estrategias Selección de la estrategia Presupuesto de inversión

19 Bienes a ser protegidos
3/29/2017 Bienes a ser protegidos TELECOMUNICACIONES Equipos Instalaciones Circuitos Seguridad, Potencia Protección & Ambiente Clientes y Usuarios (Externos e Internos) Hardware (Mainframe, PC’s, LAN) Inventario & Materiales Sistemas Operativos Datos Plantas de producción & equipo Aplicaciones Personas

20 3/29/2017 Análisis de Riesgos El análisis de riesgos permite identificar las vulnerabilidades de la compañía, evaluar los controles existentes, así como prever si son necesarios nuevos controles. Puede ser cualitativo o cuantitativo

21 Análisis de Riesgos (cont.)
3/29/2017 Análisis de Riesgos (cont.) Actividades: Identificar las amenazas y vulnerabilidades sobre los elementos críticos Establecer los riesgos utilizando A.L.E (Anual Loss Exposure, Riesgo=frec x exposic, Benef=R-r-c) Identificar y analizar controles existentes Analizar el valor de los controles adicionales Recomendar la implantación de controles para mitigar los riesgos

22 Análisis de impacto del negocio
3/29/2017 Análisis de impacto del negocio Basados en los riesgos ya identificados: Determinar los procesos, funciones, departamentos y áreas de trabajo del negocio sensibles en el tiempo Determinar los sistemas, datos y telecomunicaciones sensibles en el tiempo Determinar el tiempo de disponibilidad requerido (RTO)

23 Análisis de impacto del negocio (cont.)
3/29/2017 Análisis de impacto del negocio (cont.) Es importante definir el criterio de criticidad de las funciones y procesos Definir las consecuencias de las caídas del negocio Establecer el RTO (tiempo objetivo de recuperación) de los procesos críticos

24 Recovery Time Objective
3/29/2017 Recovery Time Objective Los sistemas críticos son operativos y con datos actuales Punto de interrrupción Reinicio de las operaciones tiempo Recovery Time Objective Procesos del negocio funcionando Es el tiempo entre el punto de interrupción, y el punto en el cuál los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con los datos actualizados

25 Identificación de estrategias
3/29/2017 Identificación de estrategias Identificar los requerimientos de las estrategias de recuperación: Tiempos Personal requerido Sitios (recuperación, coordinación, reinicio) Tipos (CdeC, funciones del negocio, comunic.) Identificar las posibles alternativas de recuperación : No hacer nada

26 Identificación de estrategias (cont.)
3/29/2017 Identificación de estrategias (cont.) Diferir acciones Procedimientos manuales Acuerdos recíprocos Sitios alternos Servicios comerciales (recuperación interna, hot site, cold site, warm site, nada) Consorcio con otras compañías Procesamiento distribuido Comunicaciones alternas

27 Identificación de estrategias (cont.)
3/29/2017 Identificación de estrategias (cont.) Seleccionar el almacenamiento fuera del sitio Seleccionar el sitio alterno Realizar un análisis costo beneficio

28 Fase 3: Diseño y desarrollo
3/29/2017 Fase 3: Diseño y desarrollo Definir el alcance del plan Estructurar una organización jerárquica paralela para administrar emergencias, con esquemas de notificación Definición de escenarios Programas de control de personal Detallar la administración general del plan

29 3/29/2017 Fase 4: Implementación Crear procedimientos de atención a al emergencia Crear procedimientos para controlar la crisis Designar la autoridad Crear procedimientos para encadenar respuesta a la emergencia y recuperación Detallar procedimientos de reinicio, recuperación y restauración Contratos y recursos para recuperación

30 Fase 5: Pruebas y ejercicios
3/29/2017 Fase 5: Pruebas y ejercicios Diseñar programas de entrenamiento, conciencia corporativa y mecanismos de distribución del plan Programar ejercicios con objetivos claros Preparar los escenarios Efectuar ejercicios Evaluar resultados

31 Fase 6: Mantenimiento y actualización
3/29/2017 Fase 6: Mantenimiento y actualización Programar y calcular la inversión en actividades de actualización y mantenimiento Evaluar herramientas de software como apoyo Establecer criterios de revisión Procedimientos de mantenimiento del plan: Procedimientos de actualización Procedimientos de reporte de estado

32 Fase 6: Mantenimiento y actualización (cont.)
3/29/2017 Fase 6: Mantenimiento y actualización (cont.) Procedimientos de auditoría y control Establecer mecanismos de distribución de la actualización del plan y procedimientos de control

33 3/29/2017 Fase 7: Ejecución Cada empleado sabe que hacer, donde ir, a quien reportarse durante la emergencia. Se inicia el plan de respuesta a la emergencia Se inicia el procedimiento de recuperación del negocio, si es necesario

34 3/29/2017 FIN!

Descargar ppt "Néstor Orlando Romero ABCP, Msc"

Presentaciones similares

ARQUITECTURA DE SISTEMAS DE INFORMACION ERP Alfonso Velázquez Capuleño Roberto Correa Reyes Julio 2010.

ARQUITECTURA DE SISTEMAS DE INFORMACION ERP Alfonso Velázquez Capuleño Roberto Correa Reyes Julio 2010.
Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
SEMINARIO DE AUDITORÍA INTEGRAL

SEMINARIO DE AUDITORÍA INTEGRAL
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Control Interno Informático. Concepto

Control Interno Informático. Concepto
METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO

METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO
DESASTRE Evento de origen natural o provocado por el hombre que causa alteraciones intensas en las personas, los bienes, los servicios y ó el medio ambiente.

DESASTRE Evento de origen natural o provocado por el hombre que causa alteraciones intensas en las personas, los bienes, los servicios y ó el medio ambiente.
IMPLEMENTACION Y MONITOREO -FORMULACION DE PLANES DE CONTINGENCIA-

IMPLEMENTACION Y MONITOREO -FORMULACION DE PLANES DE CONTINGENCIA-
Servicio de Consultoría Administración de la Continuidad del Negocio

Servicio de Consultoría Administración de la Continuidad del Negocio
PROCESOS ITIL Entrega Soporte Usuario Cliente Gestión de niveles

PROCESOS ITIL Entrega Soporte Usuario Cliente Gestión de niveles
Metodologías de Desarrollo

Metodologías de Desarrollo
Planeación de la Auditoría en Informática

Planeación de la Auditoría en Informática
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.

SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
DESARROLLO DEL PLAN DE CONTINUIDAD DEL NEGOCIO PARA LA EMPRESA EQUIVIDA PARA EL PERIODO 2012-2015 ANDRÉS CÁRDENAS P.

DESARROLLO DEL PLAN DE CONTINUIDAD DEL NEGOCIO PARA LA EMPRESA EQUIVIDA PARA EL PERIODO ANDRÉS CÁRDENAS P.
UPC – 2010 021 SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.

UPC – SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.
Definición del problema Para las unidades operativas: Pocos recursos, requerimientos de productividad, incrementar la visión, actualización tecnológica.

Definición del problema Para las unidades operativas: Pocos recursos, requerimientos de productividad, incrementar la visión, actualización tecnológica.
Continuidad del Negocio

Continuidad del Negocio
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
12.4 Seguridad de los archivos del sistema

12.4 Seguridad de los archivos del sistema
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO

Presentaciones similares

Anuncios Google