ACI - 425 Clase - 02c Gestión de La Continuidad Del Negocio

ACI 425 SEGURIDAD INFORMTICA
Unidad 2:
Gestin de la continuidad del negocio
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Objetivos
Conocer los estndares internacionales de gestin en la continuidad del negocio de manera de poder planear planes de contingencia frente a incidentes, y estimar la probabilidad que ocurran.
Contenidos
Conceptos: continuidad, evento, incidente, siniestro, riesgo, impacto. Planificacin y planeacin de contingencia. Recuperacin de desastres. Business Continuity Management (BCM): definicin, y relacin con otros modelos de control interno. Estndares internacionales.
NIST y DRI. HB 221:2004 Business Continuity Management.
Tipos de planes.
3
Evolucin, Enfoque y Lenguaje de Continuidad

+20 aos
Respaldo & Recuperacin Software de Mainframe BCM BCP BRP DRP 10-20 Aos Recuperacin Infraestructura de TI
B&R
73%
5-10 Aos Recuperacin Procesos del Negocio y Capital Humano 13% < 5%
ltimos 5 Aos
Continuidad Procesos Crticos del Negocio
Estndares de TI
OBJETIVOS DEL NEGOCIO
ITIL
COBIT
INFORMACION
EFECTIVIDAD EFECTIVIDA D EFICIENCIA CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CUMPLIMIENTO LEGAL CONFIABILIDAD
MONITOREO
PLANEACION Y ORGANIZACION
COBIT
RECURSOS DE TI ENTREGA Y SOPORTE DATOS APLICATIVOS TECNOLOGIA FACILIDADES PERSONAS ADQUISICION E IMPLEMENTACION
5
Estndares de Continuidad
www.drii.org
www.thebci.org
NIST
National Institute of Standards and Technology Computer Security Division Computer Security Resource Center: http://csrc.nist.gov/ El National Institute of Standards and Technology (NIST) es un organismo de Estados Unidos que se ocupa del control y administracin de normas y estndares en ciencia y tecnologa.
7
DRI
Disaster Recovery Institute International Disaster Recovery Institute Canada
Business Continuity Institute
http://www.thebci.org/
HB 221:2004
Normativa australiana referenciada en Handbook Business Continuity Management (BCM) Define que entiende por manejo de la continuidad del negocio y bosqueja su evolucin desde un enfoque estrecho, basado en tecnologa de informacin hacia una herramienta de planificacin que puede ayudar a la organizacin en su estrategia y planificacin del negocio. Establece un marco de trabajo para BCM que puede ser desarrollado por cualquier tipo de organizacin, as como el detalle discutido de los pasos necesarios para implementar prcticamente un adecuado manejo de la continuidad del negocio. El libro de trabajo consiste de varias plantillas y suministra un proceso simple de seguir, que puede ser implementado a todos los niveles de la organizacin, tanto en un rea especializada para desarrollo de los planes de recuperacin en tecnologa de informacin como para enlazar con el manejo de riesgos, la gerencia corporativa y el programa de BCM.
10
Enfoque de Continuidad- BCI

Las estrategias, planes y soluciones de continuidad deben ser apropiadas y dirigidas por la organizacin
La administracin de la continuidad y el manejo de crisis son parte integral del Gobierno Corporativo
ADMINISTRACION DE CONTINUIDAD DE NEGOCIO
CADENA SUMINISTRO
ADMINITRACION DEL CONOCIMIENTO
ADMINISTRACION DE INSTALACIONES
ADMINISTRACION DE EMERGENCIAS
RECUPERACION DE DESASTRES
Las implicaciones de la continuidad deben ser consideradas como parte esencial del proceso de administracin del cambio en la organizacin
Las actividades de administracin de la continuidad deben estar enfocadas a soportar las estrategias y metas del negocio
COMUNICACION DE CRISIS
ADMINISTRACION DE RIESGOS
ADMINITRACION DE LA CALIDAD
SEGURIDAD FISICA Y LGICA
ADMINISTRACION
SALUD OCUPACIONAL
11
Tipos de Planes
12
Tipos de Planes (2) (segn NIST)
PLAN
Business Continuity Plan (BCP) Business Recovery (or Resumption) Plan (BRP) Continuity Of Operations Plan (COOP)
OBJETIVO
Suministra procedimientos para sostener las operaciones esenciales de negocio mientras se recupera de una interrupcin significante. Suministra procedimientos para recuperacin de las operaciones de negocio inmediatamente despus de un desastre. Suministra procedimientos y capacidades para sostener lo esencial de una organizacin, funciones estratgicas en un sitio alterno por ms de 30 das. Suministra procedimientos y capacidades para recuperar grandes aplicaciones o sistemas de soporte general.
ALCANCE
Direcciona los procesos de negocio y la tecnologa que los soporta.
Direcciona los procesos de negocio; La TI est direccionada slo al soporte para los procesos de negocio. Direcciona el conjunto de operaciones de la organizacin definidas como mas crticas.
Continuity of Support Plan / IT Contingency Plan
Los mismo que el plan de contingencia de TI; se centra en la interrupcin de los sistemas de TI; no se centra en los procesos del negocio.
13
Tipos de Planes (3) (segn NIST)

PLAN
Crisis Communications Plan Cyber Incident Response Plan
OBJETIVO
Proporciona los procedimientos para comunicarse con el personal y con el pblico en general. Suministra estrategias para detectar, responder, y limitar las consecuencias de incidentes de seguridad que afectan la continuidad. Suministra procedimientos detallados para facilitar la recuperacin de operaciones en un sitio alterno. Suministra procedimientos coordinados para minimizar las perdidas de vidas o daos a la propiedad en respuesta a amenazas fsicas.
ALCANCE
Direcciona las comunicaciones con el personal y el publico; no se centra en la TI Se centra sobre respuestas de seguridad de la informacin a incidentes que afectan los sistemas y / o las redes. A menudo centrado en la TI; limitado a interrupciones mayores con efectos a largo plazo. Se centra en el personal y las instalaciones; no esta diseada para procesos de negocio o funcionalidad de los sistemas de TI.
Disaster Recovery Plan (DRP) Occupant Emergency Plan (OEP)
14
Fases en una Metodologa de Continuidad

Definicin Req. Funcionales Requerimientos Func.
En cualquier momento es posible devolverse a efectuar cambios en una fase previa.
Diseo y Desarrollo
Implementacin Pruebas y ejercicios Mantenimiento Ejecucin
15
Tendencias en BCM
Como administro la informacin es una ventaja competitiva. Mi arquitectura de datos ofrece y entrega informacin cuando y como los clientes la necesitan Los servicios de mi negocio exceden las expectativas de mis clientes
Siempre estoy ah cuando mis Clientes me necesitan

Puedo recuperar mis operaciones crticas en caso de un desastre o interrupcin inesperada Puedo recuperar mi informacin en el evento de un desastre
16
Soluciones que ofrece el mercado

Servidores Cluster, Fault Tolerance, etc. Redundancia en dispositivos de red (fault tolerance) y/o arquitecturas de alta disponibilidad Sitios alternos de procesamiento (hot site, cold site, entre otros) Software de replicacin en Bases de Datos, Sistemas Operativos, Aplicaciones Arquitecturas de almacenamiento (Robots, SAN, NAS, CAS) Procesos de administracin de la continuidad basado en estndares tales como ITIL, COBIT, NIST entre otros
17
A manera de conclusiones
La Administracin de la Continuidad, adems de ser un acto de responsabilidad con los accionistas, la economa y la sociedad, es un requerimiento de los clientes y el mercado:
Las empresas cada da vez son mas dependientes de la TI (ERP, CRM, sistemas integrados). Las reas de TI juegan un papel fundamental en la continuidad de los negocios. Administracin de la continuidad no es un simple plan de contingencias vas mas all. El personal de TI debe ser consciente de la importancia y la necesidad de capacitarse en los temas de continuidad La calidad de los servicios depende mucho de la oportunidad en la solucin de los problemas o incidentes relacionados con la TI. El mercado ofrece soluciones.
18
Bibliografa
El papel de las reas de TI en la Administracin de la Continuidad Juan
Carlos Camargo.
Basilea II Planificacin de la Continuidad del Negocio en el Sector Financiero Jos I. Castro M. El Papel de la Tecnologa en la Habilitacin de los Procesos de TI Alfredo Zayas
19
Pginas Web
http://csrc.nist.gov/ http://www.drii.org/ http://www.thebci.org/
20
Cuestiones legales en la Seguridad de la Informacin

Basado en: Eric Maiwald Fundamentos de Seguridad de Redes, pp 93-113 Ampliado con informacin sobre las leyes vigentes en Chile.
21
Contenido
Legalidad en USA y sus estados, otros pases, Chile Cuestiones relacionadas con accin judicial Cuestiones civiles Privacidad
22
Delitos legislados en USA

Abuso y fraude por computadora (18 US Code 1030) modificado por la Ley Patriota en respuesta al 11 de septiembre. Fraude con tarjetas de crdito (18 US Code 1029). Derechos de autor (18 US Code 2319). Intercepcin (18 US Code 2511). Acceso a la informacin electrnica (18 US Code 2701) Ley de Seguridad Nacional (Cyber Security Enhancement Act 2002)
23
Herramientas en la legislacin chilena

Ley 19.223, Delitos Informticos Ley 17.336, Propiedad Intelectual Ley 19.628, Proteccin Datos Personales Ley 19.799, Firma Electrnica Ley 18.168, General de Telecomunicaciones Cdigo Penal: Ejemplo-> Fraude con tarjetas de crdito Cdigo de Procedimiento Penal Cdigo Procesal Penal
24
Ley 19.223: Delitos informticos (1)

SABOTAJE INFORMTICO :
Destruccin o alteracin de un STI. Destruccin o dao de la informacin contenida en un STI. Alteracin de la informacin contenida en un STI.
Responsabilidad :
Ley 19.223, Art. 1 y 3 Art. 1 : Destruya o inutilice un STI o sus partes o componentes u obstaculice o modifique su funcionamiento. Presidio menor en grado medio a mximo. Art. 3 : Altere, dae o destruya datos contenidos en un STI. Presidio menor en grado medio.
25
Ley 19.223: Delitos informticos (2)

ESPIONAJE INFORMTICO :
Intrusin ilegtima o acceso indebido. Divulgacin indebida o revelacin de datos.
Responsabilidad :
Ley 19.223, Art. 2 y 4 Art. 2 : nimo de apoderarse, usar o conocer indebidamente la informacin contenida en un STI. Intercepte, interfiera o acceda a l. Presidio menor en un grado mnimo a medio. Art. 4 : Maliciosamente revele o difunda datos contenidos en un STI. Presidio menor en grado medio. Responsable del STI, aumenta en un grado.
26
Ley 19.927: Pornografa infantil

1. Produccin de material pornogrfico. 2. Comercializacin, importacin, exportacin, distribucin, difusin, exhibicin, adquisicin o almacenamiento.
27
Otros delitos
Propiedad Intelectual, ley 17.336.
Piratera
Fraudes financieros Evasin de impuestos Trfico y venta de drogas Robo de especies (computadores) Homicidios y suicidios
28
Recopilacin de evidencias
Copias de respaldo de imgenes con evidencia Sumas de control seguras de la informacin para validar cambios Informtica forense
29
Requerimientos de la regla de seguridad

La norma de seguridad expone varias regulaciones generales y luego proporciona detalladas regulaciones en cinco reas especficas: Protecciones administrativas Protecciones fsicas Protecciones tcnicas Requerimientos organizacionales Polticas, procedimientos y documentacin de los requerimientos Informacin de Salud protegida (Protected Health Information PHI)
30
1. 2. 3. 4. 5.
Objetivo global
Asegurar que se mantenga la confidencialidad, integridad y disponibilidad de la informacin protegida. Alientan a la organizacin a utilizar un buen enfoque de administracin de riesgos.
31
Protecciones administrativas
Proceso de administracin de seguridad: Anlisis de riesgos regular, medidas de seguridad para administrar riesgos Responsabilidad de seguridad asignada: Individuo Seguridad del personal fuerza de trabajo Administracin del acceso a la informacin Concientizacin y entrenamiento de la seguridad Polticas y procedimientos para abordar los incidentes de seguridad Planes de contingencia: respaldo de datos, recuperacin de desastres, operacin en modo de emergencia Evaluacin, ante cambios en operaciones en el entorno Contratos de negocios asociados y otros arreglos
32
Protecciones fsicas
Controles de acceso a las instalaciones Uso de estaciones de trabajo Seguridad de las estaciones de trabajo Control de dispositivos y medios
33
Protecciones tcnicas
Control de acceso Controles de auditora Integridad Autentificacin de persona entidad Seguridad en las transmisiones
34
Requerimientos del programa de seguridad

Programa de seguridad de la informacin Participacin del consejo Evaluacin del riesgo:
Control de acceso a la informacin Restricciones de acceso fsico a sistemas y registros Encriptacin de la informacin confidencial en trnsito Procedimientos de cambio de sistema Procedimientos de control duales, separacin de obligaciones y verificaciones de antecedentes Sistemas de deteccin de intrusos para monitorear ataques Procedimientos de respuesta a incidentes para identificar acciones si ocurre un ataque Proteccin ambiental contra la destruccin de registros
35
Reflexiones y preguntas
1. Suponiendo que su organizacin fuera atacada con xito: Identifique cuales son las leyes chilenas violadas de acuerdo con los delitos cometidos. Evale el dao total sufrido por su organizacin. 2. Cmo mostrara y protegera la evidencia del ataque? 3. Puede identificar la fuente del ataque?
36
Bibliografa
Gua Metodolgica 2006 Sistema de Gobierno Electrnico. Programa de Mejoramiento de la Gestin Gobierno de Chile (http://www.modernizacion.cl/ ) Gobierno electrnico en Chile 2000 2005 Estado del Arte II (http://www.modernizacion.cl/ ) Tecnologa de la Informacin Cdigo de prctica para la Seguridad de la Informacin NCh2777.Of2003 (ISO/IEC 17799 : 2000) ''NORMA TECNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRONICO' Decreto 83 Fecha de Publicacin: 12.01.2005; Fecha de Promulgacin: 03.06.2004
37
Bibliografa (2)
Planes para continuidad de negocio ante desastres. Algunos
conceptos (archivo Gestin BCM.ppt) Diplomado en Peritaje
Informtico Universidad de Santiago de Chile. Mejores prcticas y estndares internacionales en gestin de riesgos y control interno Gloria Pea y Lillo (archivo BCM (4742)COSO1.pdf) "Planes de Contingencia TIC y continuidad del negocio" Roberto Moya Quiles, Stefano Zanero Enfoque Integral de BCM Yves Dvila Garantizan las empresas la Continuidad de su Negocio? GOBIERNO DE TI Y CONTINUIDAD DEL NEGOCIO Business continuity planning http://www.iso.org http://www.iec.org http://www.bsi-global.com
38
Pginas complementarias
National Institute for Standards (NIST) National Vulnerabilities Database Common Vulnerabilities and Exposures Business Continuity, Contingency Planning & Disaster Recovery The Business Continuity Planning & Disaster Recovery Planning Directory Business Continuity Planning: Ten Common Mistakes
39
Pginas complementarias (2)

Acuerdo Capital de Basilea II http://www.latinbanking.com/pdf/bas ilea_2.pdf Encuesta de los desafios para los jefes de gerencia en riesgo de instituciones financieras Graham-Leach-Bliley Act (GLBA) Sarbanes-Oxley(SOX).
40
Herramientas adicionales
MAGERIT: Metodologa de anlisis y gestin de riesgos de los sistemas de informacin de las Administraciones Pblicas. http://www.csi.map.es/csi/pg5m20.htm NIST Special Publication SP 800-12: An Introduction to Computer Security.The NIST Handbook. National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-12/ (disponible tambin una versin como libro digital) Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute. Control Objectives for Information and Related Technology (Cobit). http://www.isaca.org/cobit.htm
41
Textos
Sandoval Lpez, Ricardo, Seguridad en el comercio electrnico, Lexisnexis 2004. Kaeo, Merike, Diseo de seguridad en redes, Pearson Educacin 2003. Maiwald, Eric, Fundamentos de seguridad en redes, McGraw-Hill Interamericana 2005. Parte II pp 93-186 Stallings,William Fundamentos de Seguridad en Redes. Aplicaciones y Estndares, Pearson 2004
42
Documentos en CriptoRed
Jorge Rami Aguirre LIBRO ELECTRNICO DE SEGURIDAD INFORMTICA Y CRIPTOGRAFA Documento de libre distribucin en Internet a travs de CriptoRed, Marzo de 2006 (SegInfoCrip_v41.zip) Antonio Villaln Huerta SEGURIDAD DE LOS SISTEMAS DE INFORMACION Julio, 2005 (seguridad_sist_inf.zip)
43
Libros digitales: Seguridad

National Institute of Standards and Technology An Introduction to Computer Security: The NIST Handbook, Special Publication 800-12 ((ebook) computer security handbook.pdf) Simson Garfinkel & Eugene H. Spafford Web Security & Commerce ISBN: 1-56592-269-7 (O'Reilly - Web Security & Commerce.pdf) Mitch Tulloch Microsoft Encyclopedia of Security (eBook.MS.Press..Microsoft.Encyclopedia.of.Security.ShareReactor .pdf)
44

ACI - 425 Clase - 02c Gestión de La Continuidad Del Negocio

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ACI - 425 Clase - 02c Gestión de La Continuidad Del Negocio

Uploaded by

Copyright:

Available Formats

ACI 425 SEGURIDAD INFORMTICA

Evolucin, Enfoque y Lenguaje de Continuidad

Disaster Recovery Institute International Disaster Recovery Institute Canada

Business Continuity Institute

Enfoque de Continuidad- BCI

ADMINISTRACION DE CONTINUIDAD DE NEGOCIO

ADMINITRACION DEL CONOCIMIENTO

SEGURIDAD FISICA Y LGICA

Tipos de Planes (2) (segn NIST)

Continuity of Support Plan / IT Contingency Plan

Tipos de Planes (3) (segn NIST)

Disaster Recovery Plan (DRP) Occupant Emergency Plan (OEP)

Fases en una Metodologa de Continuidad

En cualquier momento es posible devolverse a efectuar cambios en una fase previa.

Siempre estoy ah cuando mis Clientes me necesitan

Soluciones que ofrece el mercado

http://csrc.nist.gov/ http://www.drii.org/ http://www.thebci.org/

Cuestiones legales en la Seguridad de la Informacin

Delitos legislados en USA

Herramientas en la legislacin chilena

Ley 19.223: Delitos informticos (1)

Ley 19.223: Delitos informticos (2)

Ley 19.927: Pornografa infantil

Requerimientos de la regla de seguridad

Requerimientos del programa de seguridad

Pginas complementarias (2)

Libros digitales: Seguridad

You might also like