SlideShare ist ein Scribd-Unternehmen logo

Continuidad de Negocio (UNE 71599 / BS 25999)

S
S2 Grupo · Security Art Work

Un repaso rápido a la Continuidad de Negocio según la BS 25999 y la nueva UNE 71599. Pueden descargar el PDF desde http://www.s2grupo.es/jornadas_presentaciones.shtml

Technologie
1 von 44
Continuidad de Negocio UNE 71599 / BS 25999 Manuel Benet Consultor de Seguridad. S2 Grupo 12 de Mayo, 2011
Prólogo Prólogo Existen varios caminos a la Continuidad de Negocio: a. El directo. b. El indirecto. c. El doloroso. 2
Prólogo a. El directo o “momento revelación” “Hoy podría morir calcinado en este salón de actos. ¿Sobreviviría mi organización a tan trágica pérdida?“ I. No. Tienen (tenemos) un problema. II. Sí. ¿A qué coste? 3
Prólogo b. El indirecto o “momento certificación ISO 27001” 4
Prólogo c. El doloroso Suele llegar demasiado tarde y quizá no haya negocio que continuar. Puede conllevar no sólo pérdidas económicas sino también humanas. 5
Prólogo Los tres caminos suelen compartir las mismas fases, aunque su duración es variable. 6
Acto I “Eso no me puede pasar a mí” 7
“Eso no me puede pasar a mí” 1. Polonia El 10 de abril de 2010 el avión Tupolev 154 en el que viajaba el presidente de Polonia, Lech Kaczynski, se estrelló en la ciudad rusa de Smolensk. Además del presidente y su esposa fallecieron el gobernador del Banco Central, el jefe de Estado Mayor, el viceministro de Exteriores y decenas de diputados. 8
“Eso no me puede pasar a mí” 2. Edificio Windsor 9
“Eso no me puede pasar a mí” 3. Fukushima 10
Acto II “Quizá sí, pero es poco probable” 11
“Quizá sí, pero es poco probable” Ejemplos más “mundanos” 1. Manolo, su excavadora y las líneas de datos. 2. Los grupos electrógenos: a veces funcionan, a veces no. 3. Esa afición por colocar tuberías en los CPDs. 4. La diversión de abrir adjuntos ejecutables. 5. ¿La clave del fichero de claves? Sólo la sabía Pepe. 6. ¿Copias? ¿Qué copias? 7. Los AACC se van de vacaciones en agosto. 12
Acto III “De acuerdo, hagámoslo” 13
“De acuerdo, hagámoslo” 14
“De acuerdo, hagámoslo” El camino fácil (que no el correcto) Una vez planteada la necesidad/obligatoriedad del proyecto, es habitual optar por un enfoque “simplificado” que... 15
“De acuerdo, hagámoslo” … se limita a las copias de seguridad y poco más. … ignora la problemática asociada a las personas. … ignora las necesidades del negocio. … ignora las capacidades reales de TI. … no es mantenido regularmente. … no es probado en condiciones. … no incluye los planes operativos correspondientes. 16
“De acuerdo, hagámoslo” Ese planteamiento, menos exhaustivo y costoso, puede ser parcialmente válido, pero debemos ser conscientes de sus limitaciones y de que no es un Sistema de Gestión de Continuidad de Negocio. Lo que fácil viene, fácil se va 17
“De acuerdo, hagámoslo” El camino correcto (que no el fácil) 1. Implica un proceso de a) desarrollo, b) implantación, c) mantenimiento y d) posible certificación. 2. Requiere pruebas periódicas. 3. Necesita tiempo, recursos económicos y humanos. 4. Exige implicación de la Dirección. 5. Es un Sistema de Gestión. 6. Sigue un estándar probado: UNE 71599 / BS 25999. 18
La Continuidad de Negocio según UNE 71599 / BS 25999 19
UNE 71599 / BS 25999 La Continuidad de Negocio es un sistema de Gestión que identifica las amenazas que pueden poner en riesgo la continuidad de la organización y proporciona los medios para hacerles frente y proteger el negocio. 20
UNE 71599 / BS 25999 Seis pasos básicos 1. Colocar los cimientos. 2. Entender la Organización. 3. Determinar la Estrategia de Continuidad de Negocio. 4. Desarrollar e implantar la Continuidad de Negocio. 5. Probar, mantener, revisar y auditar. 6. Asentar la Continuidad de Negocio en la cultura de la organización. 21
UNE 71599 / BS 25999 Seis pasos básicos 22
1. Asegurar los cimientos 1. Colocar los cimientos • Definición del alcance • Asignar recursos. • Implicar a la Dirección y a la organización. • Asignar las responsabilidades. 23
1. Asegurar los cimientos Errores típicos • El alcance no está claramente definido. • Hay proyecto, pero no hay recursos. • No hay implicación (“es un proyecto de TI”). • ¿Responsabilidades? ¿Qué responsabilidades? (también conocido como “TI se lo guisa, TI se lo come.”) 24
2. Entender la organización 2. Entender la organización • El Análisis de Impacto sobre el Negocio. • El Análisis de Riesgos. 25
2. Entender la organización El Análisis de Impacto sobre el Negocio (AIN o BIA): I. Procesos del negocio. • Activos y personal implicado. • Dependencias (proveedores, servicios internos, etc.). • Periodos críticos. • Impactos. • Tiempo máximo de interrupción tolerable. • Niveles mínimos de calidad de servicio aceptables tras la recuperación del proceso. • Tiempo máximo para volver a la operación normalizada. 26
2. Entender la organización El Análisis de Riesgos: I. Amenazas. II. Impactos. III. Probabilidades. IV. Riesgos inherentes y residuales. V. Política de gestión de riesgos (aceptar / mitigar / transferir / eliminar). El resultado proporciona los riesgos no aceptables para las necesidades del negocio y los procesos más vulnerables a los riesgos detectados. 27
2. Entender la organización Errores comunes • Tener una visión demasiado “aérea”. • Obtener tiempos no “razonables”. • Omitir dependencias internas. • Omitir personal crítico. • Basarse únicamente en la visión de TI. • No consensuar/contrastar los resultados obtenidos con el resto de la organización. 28
3. La estrategia 3. La estrategia Para cada potencial incidente, deben desarrollarse alternativas a adoptar en cada uno de los aspectos controlables. Recursos necesarios para cada alternativa propuesta. 29
3. La estrategia Posibles alternativas y factores • Personal. Necesidades de formación, externalización, gestión del conocimiento… • Ubicaciones físicas. Alquiler, compra, teletrabajo… • Tecnología. Sedes alternativas, replicación, acceso remoto, virtualización, copias de seguridad,… • Información. Ubicación digital, papel, datos de carácter personal, registros críticos,… • Suministros. Proveedores críticos y tiempos de respuesta, contratos de servicio, almacenes y proveedores alternativos… • Terceras partes. Aspectos legales (p.ej. LOPD, presentación de tributos), comunicación con clientes, partners,… 30
3. La estrategia Errores comunes • Las estrategias no están en línea con el risk appettite (o nivel de riesgo aceptable por la organización). • No tener en cuenta las actividades críticas. • No tener en cuenta los periodos críticos. • Proponer estrategias “a futuro” o irreales por coste o ejecución. No ser realista. • No tener el apoyo y visto bueno de Dirección. 31
4. Desarrollo e implantación 4. Desarrollo e Implantación Tomando como base la información del BIA, el AR y las estrategias seleccionadas, determina: • El plan de respuesta a incidentes (o Plan de Crisis). • Planes de gestión de incidentes. 32
4. Desarrollo e implantación El plan de respuesta a incidentes: • Gestiona el momento inicial de la incidencia. • Garantiza una respuesta rápida al incidente. • Simplifica la toma de decisiones. • Identifica al personal responsable de la gestión del incidente. • Especifica las condiciones de disparo de los planes específicos. Si algo puede salir mal, saldrá mal, y lo hará en el peor momento posible. 33
4. Desarrollo e implantación Los planes de gestión de incidentes: • Documentos que permiten la recuperación de las diferentes actividades afectadas por un incidente. • Identifican al personal responsable del plan. • Contienen los recursos necesarios afectados por el plan (personal, locales, tecnología, información, suministros y terceras partes). • Contienen los procedimientos de toma de decisiones (quién, cómo, y a quién informar). • Identifican procedimientos operativos concretos. 34
4. Desarrollo e implantación Errores comunes • La documentación está obsoleta. • La documentación está ilocalizable. • ¿Documentación? ¿Qué documentación? • Las responsabilidades no están definidas. • No se contemplan dependencias. • El escalado de incidencias no está claramente definido. • No existen planes operativos. 35
5. Pruebas 5. Pruebas • Verificar que el sistema “no olvida nada”. • Comprobar que TI puede soportar al negocio. • Anticipar problemas concretos en situaciones controladas. • Mejorar la capacidad de la organización para enfrentarse a situaciones de crisis. • Propagar la cultura de la continuidad de negocio entre los participantes. • Generar confianza entre los participantes de las pruebas. 36
5. Pruebas Errores comunes • No se realizan pruebas. • Las pruebas olvidan al usuario final u omiten personal relevante. • Las pruebas no son comunicadas a la organización. • Las pruebas no son realistas. • El resultado de las pruebas se “maquilla”. • El resultado de las pruebas no tiene continuidad (¿planes de acción?). 37
6. Cultura de la organización 6. Cultura de la organización Como todo Sistema de Gestión, debe desarrollarse un programa de concienciación que: • Mejore la eficacia del sistema. • Prepare al personal implicado. • Difunda entre clientes y proveedores las ventajas del sistema implantado. • Mejore la receptividad de la organización hacia las pruebas. 38
6. Cultura de la organización Algunas medidas • Utilización de los medios internos: Intranet, e- mail, circulares internas. • Sesiones de formación entre el personal. • Encuestas y grupos de trabajo. • Incluir la Continuidad de Negocio en las reuniones de los departamentos. 39
6. Cultura de la organización Errores comunes • No desarrollar un programa de concienciación. • Incluir en el programa únicamente a personal técnico. • Tener un programa demasiado disperso en el tiempo. 40
Conclusiones Un Sistema de Gestión de la Continuidad de Negocio es como una rueda de repuesto: Se ve poco, no se usa, pero hay que revisarla de vez en cuando. Ojalá no tengamos que utilizarla nunca, pero… …mejor que esté ahí, por si acaso. 41
Conclusiones Principales problemas • No tener el apoyo de Dirección. • No dedicar recursos, tiempo y personal asignado. • Olvidar las necesidades del negocio. • No desarrollar o mantener la documentación. • Obviar las pruebas y la comunicación a usuarios. 42
Conclusiones Primero llegó ISO 9001. Luego vino ISO 27001. La Continuidad de Negocio es el próximo hito. 43
44

Empfohlen

Implantacion de un SGCN segun UNE 71599
Implantacion de un SGCN segun UNE 71599Implantacion de un SGCN segun UNE 71599
Implantacion de un SGCN segun UNE 71599
Jorge García Carnicero
 
Quelle boîte à outils pour la communication interne de crise ?
Quelle boîte à outils pour la communication interne de crise ?Quelle boîte à outils pour la communication interne de crise ?
Quelle boîte à outils pour la communication interne de crise ?
Cap'Com
 
Talleres para Editores de Revistas Científicas
Talleres para Editores de Revistas CientíficasTalleres para Editores de Revistas Científicas
Talleres para Editores de Revistas Científicas
Facultad de Humanidades y Ciencias Sociales | UNaM
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
Yann Riviere CCSK, CISSP, CRISC, CISM
 
Faire évoluer la maturité des process ICP (incidents changements et problè...
Faire évoluer la maturité des process ICP (incidents changements et problè...Faire évoluer la maturité des process ICP (incidents changements et problè...
Faire évoluer la maturité des process ICP (incidents changements et problè...
SAID BELKAID
 
TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA)
TAR Security
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
ISACA Chapitre de Québec
 

Empfohlen

Implantacion de un SGCN segun UNE 71599
Implantacion de un SGCN segun UNE 71599Implantacion de un SGCN segun UNE 71599
Implantacion de un SGCN segun UNE 71599
Jorge García Carnicero
 
Quelle boîte à outils pour la communication interne de crise ?
Quelle boîte à outils pour la communication interne de crise ?Quelle boîte à outils pour la communication interne de crise ?
Quelle boîte à outils pour la communication interne de crise ?
Cap'Com
 
Talleres para Editores de Revistas Científicas
Talleres para Editores de Revistas CientíficasTalleres para Editores de Revistas Científicas
Talleres para Editores de Revistas Científicas
Facultad de Humanidades y Ciencias Sociales | UNaM
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
Yann Riviere CCSK, CISSP, CRISC, CISM
 
Faire évoluer la maturité des process ICP (incidents changements et problè...
Faire évoluer la maturité des process ICP (incidents changements et problè...Faire évoluer la maturité des process ICP (incidents changements et problè...
Faire évoluer la maturité des process ICP (incidents changements et problè...
SAID BELKAID
 
TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA)
TAR Security
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
ISACA Chapitre de Québec
 
Réussir son analyse des besoins dans la conduite d'un projet informatique (2007)
Réussir son analyse des besoins dans la conduite d'un projet informatique (2007)Réussir son analyse des besoins dans la conduite d'un projet informatique (2007)
Réussir son analyse des besoins dans la conduite d'un projet informatique (2007)
Ardesi Midi-Pyrénées
 
Comment bien gérer une crise sur les réseaux sociaux - Mikail Kuyukazan
Comment bien gérer une crise sur les réseaux sociaux - Mikail KuyukazanComment bien gérer une crise sur les réseaux sociaux - Mikail Kuyukazan
Comment bien gérer une crise sur les réseaux sociaux - Mikail Kuyukazan
Mikail Kuyukazan
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
Daniel Arevalo
 
Gobierno de TI - COBIT 5 y TOGAF
Gobierno de TI - COBIT 5 y TOGAFGobierno de TI - COBIT 5 y TOGAF
Gobierno de TI - COBIT 5 y TOGAF
Carlos Francavilla
 
Identidad e Imagen Corporativa
Identidad e Imagen CorporativaIdentidad e Imagen Corporativa
Identidad e Imagen Corporativa
Florencia Franco Belluomini
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
Aymen Foudhaili
 
Analyse de données avec R : Une petite introduction
Analyse de données avec R : Une petite introductionAnalyse de données avec R : Une petite introduction
Analyse de données avec R : Une petite introduction
Ahmadou DICKO
 
Fedora guia de usuario
Fedora guia de usuarioFedora guia de usuario
Fedora guia de usuario
Miguel Castillo
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
Ammar Sassi
 
exposé sécurité
exposé sécuritéexposé sécurité
exposé sécurité
Kaoutar Kouka Cne
 
Atelier - Comment bien gérer les relations publiques dans le cadre d'un événe...
Atelier - Comment bien gérer les relations publiques dans le cadre d'un événe...Atelier - Comment bien gérer les relations publiques dans le cadre d'un événe...
Atelier - Comment bien gérer les relations publiques dans le cadre d'un événe...
Cap'Com
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Unidad v imagen corp.
Unidad v imagen corp.Unidad v imagen corp.
Unidad v imagen corp.
smileinfected
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
saqrjareh
 
Systèmes d'information, société de l'information
Systèmes d'information, société de l'informationSystèmes d'information, société de l'information
Systèmes d'information, société de l'information
Clément Dussarps
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
jerssondqz
 
Estructura dramatica clase
Estructura dramatica claseEstructura dramatica clase
Estructura dramatica clase
Eva Avila
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Anasse Ej
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
Maria Jose Buigues
 
Continuidad de negocio usando Software libre
Continuidad de negocio usando Software libreContinuidad de negocio usando Software libre
Continuidad de negocio usando Software libre
EOI Escuela de Organización Industrial
 
17 Continuidad De Negocio Neurowork Why Floss
17 Continuidad De Negocio Neurowork Why Floss17 Continuidad De Negocio Neurowork Why Floss
17 Continuidad De Negocio Neurowork Why Floss
Neurowork
 

Weitere ähnliche Inhalte

Was ist angesagt?

Unidad v imagen corp.
Unidad v imagen corp.Unidad v imagen corp.
Unidad v imagen corp.
smileinfected
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Anasse Ej
 

Was ist angesagt? (20)

Réussir son analyse des besoins dans la conduite d'un projet informatique (2007)
Réussir son analyse des besoins dans la conduite d'un projet informatique (2007)Réussir son analyse des besoins dans la conduite d'un projet informatique (2007)
Réussir son analyse des besoins dans la conduite d'un projet informatique (2007)
 
Comment bien gérer une crise sur les réseaux sociaux - Mikail Kuyukazan
Comment bien gérer une crise sur les réseaux sociaux - Mikail KuyukazanComment bien gérer une crise sur les réseaux sociaux - Mikail Kuyukazan
Comment bien gérer une crise sur les réseaux sociaux - Mikail Kuyukazan
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
 
Gobierno de TI - COBIT 5 y TOGAF
Gobierno de TI - COBIT 5 y TOGAFGobierno de TI - COBIT 5 y TOGAF
Gobierno de TI - COBIT 5 y TOGAF
 
Identidad e Imagen Corporativa
Identidad e Imagen CorporativaIdentidad e Imagen Corporativa
Identidad e Imagen Corporativa
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Analyse de données avec R : Une petite introduction
Analyse de données avec R : Une petite introductionAnalyse de données avec R : Une petite introduction
Analyse de données avec R : Une petite introduction
 
Fedora guia de usuario
Fedora guia de usuarioFedora guia de usuario
Fedora guia de usuario
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
exposé sécurité
exposé sécuritéexposé sécurité
exposé sécurité
 
Atelier - Comment bien gérer les relations publiques dans le cadre d'un événe...
Atelier - Comment bien gérer les relations publiques dans le cadre d'un événe...Atelier - Comment bien gérer les relations publiques dans le cadre d'un événe...
Atelier - Comment bien gérer les relations publiques dans le cadre d'un événe...
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Unidad v imagen corp.
Unidad v imagen corp.Unidad v imagen corp.
Unidad v imagen corp.
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 
Systèmes d'information, société de l'information
Systèmes d'information, société de l'informationSystèmes d'information, société de l'information
Systèmes d'information, société de l'information
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Estructura dramatica clase
Estructura dramatica claseEstructura dramatica clase
Estructura dramatica clase
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
 

Ähnlich wie Continuidad de Negocio (UNE 71599 / BS 25999)

Investigacion efectiva de incidente
Investigacion efectiva de incidente Investigacion efectiva de incidente
Investigacion efectiva de incidente
ENARSAHI
 
Plan de continuidad de negocio
Plan de continuidad de negocioPlan de continuidad de negocio
Plan de continuidad de negocio
Andres Ldño
 
Planes contingencia
Planes contingenciaPlanes contingencia
Planes contingencia
Patricia
 

Ähnlich wie Continuidad de Negocio (UNE 71599 / BS 25999) (20)

Continuidad de negocio usando Software libre
Continuidad de negocio usando Software libreContinuidad de negocio usando Software libre
Continuidad de negocio usando Software libre
 
17 Continuidad De Negocio Neurowork Why Floss
17 Continuidad De Negocio Neurowork Why Floss17 Continuidad De Negocio Neurowork Why Floss
17 Continuidad De Negocio Neurowork Why Floss
 
Metodo evita
Metodo evitaMetodo evita
Metodo evita
 
2 método evita
2 método evita2 método evita
2 método evita
 
Es common-errors
Es common-errorsEs common-errors
Es common-errors
 
Relaciones públicas y manejo de crisis
Relaciones públicas y manejo de crisisRelaciones públicas y manejo de crisis
Relaciones públicas y manejo de crisis
 
Entre Creer Que Se Sabe Y Saber De Verdad
Entre Creer Que Se Sabe Y Saber De VerdadEntre Creer Que Se Sabe Y Saber De Verdad
Entre Creer Que Se Sabe Y Saber De Verdad
 
Investigacion efectiva de incidente
Investigacion efectiva de incidente Investigacion efectiva de incidente
Investigacion efectiva de incidente
 
Plan de continuidad de negocio
Plan de continuidad de negocioPlan de continuidad de negocio
Plan de continuidad de negocio
 
16-Unidad 4: Manejo de archivos y seguimiento del proyecto
16-Unidad 4: Manejo de archivos y seguimiento del proyecto16-Unidad 4: Manejo de archivos y seguimiento del proyecto
16-Unidad 4: Manejo de archivos y seguimiento del proyecto
 
ciclovida.pdf
ciclovida.pdfciclovida.pdf
ciclovida.pdf
 
Ernesto planescontingencia
Ernesto planescontingenciaErnesto planescontingencia
Ernesto planescontingencia
 
Ciclovida
CiclovidaCiclovida
Ciclovida
 
Ciclovida sistemas
Ciclovida sistemasCiclovida sistemas
Ciclovida sistemas
 
Ciclovida
CiclovidaCiclovida
Ciclovida
 
Ciclovida
CiclovidaCiclovida
Ciclovida
 
Ciclo de vida de un sistema
Ciclo de vida de un sistemaCiclo de vida de un sistema
Ciclo de vida de un sistema
 
Metodologias de investigacion Ingenieria de software
Metodologias de investigacion Ingenieria de software Metodologias de investigacion Ingenieria de software
Metodologias de investigacion Ingenieria de software
 
Ciclovida
CiclovidaCiclovida
Ciclovida
 
Planes contingencia
Planes contingenciaPlanes contingencia
Planes contingencia
 

Mehr von S2 Grupo · Security Art Work

Mehr von S2 Grupo · Security Art Work (10)

LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15
 
Hardening murcia lan party 2013
Hardening murcia lan party 2013Hardening murcia lan party 2013
Hardening murcia lan party 2013
 
Facebook to whatsapp
Facebook to whatsappFacebook to whatsapp
Facebook to whatsapp
 
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasIntroducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
 
Protección de Infraestructuras Críticas
Protección de Infraestructuras CríticasProtección de Infraestructuras Críticas
Protección de Infraestructuras Críticas
 
Facebook to whatsapp
Facebook to whatsappFacebook to whatsapp
Facebook to whatsapp
 
Seguridad dentro y fuera de la Nube
Seguridad dentro y fuera de la NubeSeguridad dentro y fuera de la Nube
Seguridad dentro y fuera de la Nube
 
Gestión de Incidencias
Gestión de IncidenciasGestión de Incidencias
Gestión de Incidencias
 
El nuevo director de seguridad
El nuevo director de seguridadEl nuevo director de seguridad
El nuevo director de seguridad
 
Convergencia de la Seguridad
Convergencia de la SeguridadConvergencia de la Seguridad
Convergencia de la Seguridad
 

Kürzlich hochgeladen

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
silviayucra2
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
241521559
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 

Kürzlich hochgeladen (10)

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 

Continuidad de Negocio (UNE 71599 / BS 25999)

  • 1. Continuidad de Negocio UNE 71599 / BS 25999 Manuel Benet Consultor de Seguridad. S2 Grupo 12 de Mayo, 2011
  • 2. Prólogo Prólogo Existen varios caminos a la Continuidad de Negocio: a. El directo. b. El indirecto. c. El doloroso. 2
  • 3. Prólogo a. El directo o “momento revelación” “Hoy podría morir calcinado en este salón de actos. ¿Sobreviviría mi organización a tan trágica pérdida?“ I. No. Tienen (tenemos) un problema. II. Sí. ¿A qué coste? 3
  • 4. Prólogo b. El indirecto o “momento certificación ISO 27001” 4
  • 5. Prólogo c. El doloroso Suele llegar demasiado tarde y quizá no haya negocio que continuar. Puede conllevar no sólo pérdidas económicas sino también humanas. 5
  • 6. Prólogo Los tres caminos suelen compartir las mismas fases, aunque su duración es variable. 6
  • 7. Acto I “Eso no me puede pasar a mí” 7
  • 8. “Eso no me puede pasar a mí” 1. Polonia El 10 de abril de 2010 el avión Tupolev 154 en el que viajaba el presidente de Polonia, Lech Kaczynski, se estrelló en la ciudad rusa de Smolensk. Además del presidente y su esposa fallecieron el gobernador del Banco Central, el jefe de Estado Mayor, el viceministro de Exteriores y decenas de diputados. 8
  • 9. “Eso no me puede pasar a mí” 2. Edificio Windsor 9
  • 10. “Eso no me puede pasar a mí” 3. Fukushima 10
  • 11. Acto II “Quizá sí, pero es poco probable” 11
  • 12. “Quizá sí, pero es poco probable” Ejemplos más “mundanos” 1. Manolo, su excavadora y las líneas de datos. 2. Los grupos electrógenos: a veces funcionan, a veces no. 3. Esa afición por colocar tuberías en los CPDs. 4. La diversión de abrir adjuntos ejecutables. 5. ¿La clave del fichero de claves? Sólo la sabía Pepe. 6. ¿Copias? ¿Qué copias? 7. Los AACC se van de vacaciones en agosto. 12
  • 13. Acto III “De acuerdo, hagámoslo” 13
  • 15. “De acuerdo, hagámoslo” El camino fácil (que no el correcto) Una vez planteada la necesidad/obligatoriedad del proyecto, es habitual optar por un enfoque “simplificado” que... 15
  • 16. “De acuerdo, hagámoslo” … se limita a las copias de seguridad y poco más. … ignora la problemática asociada a las personas. … ignora las necesidades del negocio. … ignora las capacidades reales de TI. … no es mantenido regularmente. … no es probado en condiciones. … no incluye los planes operativos correspondientes. 16
  • 17. “De acuerdo, hagámoslo” Ese planteamiento, menos exhaustivo y costoso, puede ser parcialmente válido, pero debemos ser conscientes de sus limitaciones y de que no es un Sistema de Gestión de Continuidad de Negocio. Lo que fácil viene, fácil se va 17
  • 18. “De acuerdo, hagámoslo” El camino correcto (que no el fácil) 1. Implica un proceso de a) desarrollo, b) implantación, c) mantenimiento y d) posible certificación. 2. Requiere pruebas periódicas. 3. Necesita tiempo, recursos económicos y humanos. 4. Exige implicación de la Dirección. 5. Es un Sistema de Gestión. 6. Sigue un estándar probado: UNE 71599 / BS 25999. 18
  • 19. La Continuidad de Negocio según UNE 71599 / BS 25999 19
  • 20. UNE 71599 / BS 25999 La Continuidad de Negocio es un sistema de Gestión que identifica las amenazas que pueden poner en riesgo la continuidad de la organización y proporciona los medios para hacerles frente y proteger el negocio. 20
  • 21. UNE 71599 / BS 25999 Seis pasos básicos 1. Colocar los cimientos. 2. Entender la Organización. 3. Determinar la Estrategia de Continuidad de Negocio. 4. Desarrollar e implantar la Continuidad de Negocio. 5. Probar, mantener, revisar y auditar. 6. Asentar la Continuidad de Negocio en la cultura de la organización. 21
  • 22. UNE 71599 / BS 25999 Seis pasos básicos 22
  • 23. 1. Asegurar los cimientos 1. Colocar los cimientos • Definición del alcance • Asignar recursos. • Implicar a la Dirección y a la organización. • Asignar las responsabilidades. 23
  • 24. 1. Asegurar los cimientos Errores típicos • El alcance no está claramente definido. • Hay proyecto, pero no hay recursos. • No hay implicación (“es un proyecto de TI”). • ¿Responsabilidades? ¿Qué responsabilidades? (también conocido como “TI se lo guisa, TI se lo come.”) 24
  • 25. 2. Entender la organización 2. Entender la organización • El Análisis de Impacto sobre el Negocio. • El Análisis de Riesgos. 25
  • 26. 2. Entender la organización El Análisis de Impacto sobre el Negocio (AIN o BIA): I. Procesos del negocio. • Activos y personal implicado. • Dependencias (proveedores, servicios internos, etc.). • Periodos críticos. • Impactos. • Tiempo máximo de interrupción tolerable. • Niveles mínimos de calidad de servicio aceptables tras la recuperación del proceso. • Tiempo máximo para volver a la operación normalizada. 26
  • 27. 2. Entender la organización El Análisis de Riesgos: I. Amenazas. II. Impactos. III. Probabilidades. IV. Riesgos inherentes y residuales. V. Política de gestión de riesgos (aceptar / mitigar / transferir / eliminar). El resultado proporciona los riesgos no aceptables para las necesidades del negocio y los procesos más vulnerables a los riesgos detectados. 27
  • 28. 2. Entender la organización Errores comunes • Tener una visión demasiado “aérea”. • Obtener tiempos no “razonables”. • Omitir dependencias internas. • Omitir personal crítico. • Basarse únicamente en la visión de TI. • No consensuar/contrastar los resultados obtenidos con el resto de la organización. 28
  • 29. 3. La estrategia 3. La estrategia Para cada potencial incidente, deben desarrollarse alternativas a adoptar en cada uno de los aspectos controlables. Recursos necesarios para cada alternativa propuesta. 29
  • 30. 3. La estrategia Posibles alternativas y factores • Personal. Necesidades de formación, externalización, gestión del conocimiento… • Ubicaciones físicas. Alquiler, compra, teletrabajo… • Tecnología. Sedes alternativas, replicación, acceso remoto, virtualización, copias de seguridad,… • Información. Ubicación digital, papel, datos de carácter personal, registros críticos,… • Suministros. Proveedores críticos y tiempos de respuesta, contratos de servicio, almacenes y proveedores alternativos… • Terceras partes. Aspectos legales (p.ej. LOPD, presentación de tributos), comunicación con clientes, partners,… 30
  • 31. 3. La estrategia Errores comunes • Las estrategias no están en línea con el risk appettite (o nivel de riesgo aceptable por la organización). • No tener en cuenta las actividades críticas. • No tener en cuenta los periodos críticos. • Proponer estrategias “a futuro” o irreales por coste o ejecución. No ser realista. • No tener el apoyo y visto bueno de Dirección. 31
  • 32. 4. Desarrollo e implantación 4. Desarrollo e Implantación Tomando como base la información del BIA, el AR y las estrategias seleccionadas, determina: • El plan de respuesta a incidentes (o Plan de Crisis). • Planes de gestión de incidentes. 32
  • 33. 4. Desarrollo e implantación El plan de respuesta a incidentes: • Gestiona el momento inicial de la incidencia. • Garantiza una respuesta rápida al incidente. • Simplifica la toma de decisiones. • Identifica al personal responsable de la gestión del incidente. • Especifica las condiciones de disparo de los planes específicos. Si algo puede salir mal, saldrá mal, y lo hará en el peor momento posible. 33
  • 34. 4. Desarrollo e implantación Los planes de gestión de incidentes: • Documentos que permiten la recuperación de las diferentes actividades afectadas por un incidente. • Identifican al personal responsable del plan. • Contienen los recursos necesarios afectados por el plan (personal, locales, tecnología, información, suministros y terceras partes). • Contienen los procedimientos de toma de decisiones (quién, cómo, y a quién informar). • Identifican procedimientos operativos concretos. 34
  • 35. 4. Desarrollo e implantación Errores comunes • La documentación está obsoleta. • La documentación está ilocalizable. • ¿Documentación? ¿Qué documentación? • Las responsabilidades no están definidas. • No se contemplan dependencias. • El escalado de incidencias no está claramente definido. • No existen planes operativos. 35
  • 36. 5. Pruebas 5. Pruebas • Verificar que el sistema “no olvida nada”. • Comprobar que TI puede soportar al negocio. • Anticipar problemas concretos en situaciones controladas. • Mejorar la capacidad de la organización para enfrentarse a situaciones de crisis. • Propagar la cultura de la continuidad de negocio entre los participantes. • Generar confianza entre los participantes de las pruebas. 36
  • 37. 5. Pruebas Errores comunes • No se realizan pruebas. • Las pruebas olvidan al usuario final u omiten personal relevante. • Las pruebas no son comunicadas a la organización. • Las pruebas no son realistas. • El resultado de las pruebas se “maquilla”. • El resultado de las pruebas no tiene continuidad (¿planes de acción?). 37
  • 38. 6. Cultura de la organización 6. Cultura de la organización Como todo Sistema de Gestión, debe desarrollarse un programa de concienciación que: • Mejore la eficacia del sistema. • Prepare al personal implicado. • Difunda entre clientes y proveedores las ventajas del sistema implantado. • Mejore la receptividad de la organización hacia las pruebas. 38
  • 39. 6. Cultura de la organización Algunas medidas • Utilización de los medios internos: Intranet, e- mail, circulares internas. • Sesiones de formación entre el personal. • Encuestas y grupos de trabajo. • Incluir la Continuidad de Negocio en las reuniones de los departamentos. 39
  • 40. 6. Cultura de la organización Errores comunes • No desarrollar un programa de concienciación. • Incluir en el programa únicamente a personal técnico. • Tener un programa demasiado disperso en el tiempo. 40
  • 41. Conclusiones Un Sistema de Gestión de la Continuidad de Negocio es como una rueda de repuesto: Se ve poco, no se usa, pero hay que revisarla de vez en cuando. Ojalá no tengamos que utilizarla nunca, pero… …mejor que esté ahí, por si acaso. 41
  • 42. Conclusiones Principales problemas • No tener el apoyo de Dirección. • No dedicar recursos, tiempo y personal asignado. • Olvidar las necesidades del negocio. • No desarrollar o mantener la documentación. • Obviar las pruebas y la comunicación a usuarios. 42
  • 43. Conclusiones Primero llegó ISO 9001. Luego vino ISO 27001. La Continuidad de Negocio es el próximo hito. 43
  • 44. 44