Professional Documents
Culture Documents
Unidad 2:
Gestin de la continuidad del negocio
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Objetivos
Conocer los estndares internacionales de gestin en la continuidad del negocio de manera de poder planear planes de contingencia frente a incidentes, y estimar la probabilidad que ocurran.
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Contenidos
Conceptos: continuidad, evento, incidente, siniestro, riesgo, impacto. Planificacin y planeacin de contingencia. Recuperacin de desastres. Business Continuity Management (BCM): definicin, y relacin con otros modelos de control interno. Estndares internacionales.
NIST y DRI. HB 221:2004 Business Continuity Management.
Tipos de planes.
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
3
B&R
73%
5-10 Aos Recuperacin Procesos del Negocio y Capital Humano 13% < 5%
ltimos 5 Aos
Continuidad Procesos Crticos del Negocio
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Estndares de TI
OBJETIVOS DEL NEGOCIO
ITIL
COBIT
INFORMACION
EFECTIVIDAD EFECTIVIDA D EFICIENCIA CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CUMPLIMIENTO LEGAL CONFIABILIDAD
MONITOREO
PLANEACION Y ORGANIZACION
COBIT
RECURSOS DE TI ENTREGA Y SOPORTE DATOS APLICATIVOS TECNOLOGIA FACILIDADES PERSONAS ADQUISICION E IMPLEMENTACION
5
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Estndares de Continuidad
www.drii.org
www.thebci.org
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
NIST
National Institute of Standards and Technology Computer Security Division Computer Security Resource Center: http://csrc.nist.gov/ El National Institute of Standards and Technology (NIST) es un organismo de Estados Unidos que se ocupa del control y administracin de normas y estndares en ciencia y tecnologa.
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
7
DRI
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
http://www.thebci.org/
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
HB 221:2004
Normativa australiana referenciada en Handbook Business Continuity Management (BCM) Define que entiende por manejo de la continuidad del negocio y bosqueja su evolucin desde un enfoque estrecho, basado en tecnologa de informacin hacia una herramienta de planificacin que puede ayudar a la organizacin en su estrategia y planificacin del negocio. Establece un marco de trabajo para BCM que puede ser desarrollado por cualquier tipo de organizacin, as como el detalle discutido de los pasos necesarios para implementar prcticamente un adecuado manejo de la continuidad del negocio. El libro de trabajo consiste de varias plantillas y suministra un proceso simple de seguir, que puede ser implementado a todos los niveles de la organizacin, tanto en un rea especializada para desarrollo de los planes de recuperacin en tecnologa de informacin como para enlazar con el manejo de riesgos, la gerencia corporativa y el programa de BCM.
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
10
La administracin de la continuidad y el manejo de crisis son parte integral del Gobierno Corporativo
CADENA SUMINISTRO
ADMINISTRACION DE INSTALACIONES
ADMINISTRACION DE EMERGENCIAS
RECUPERACION DE DESASTRES
Las implicaciones de la continuidad deben ser consideradas como parte esencial del proceso de administracin del cambio en la organizacin
Las actividades de administracin de la continuidad deben estar enfocadas a soportar las estrategias y metas del negocio
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
COMUNICACION DE CRISIS
ADMINISTRACION DE RIESGOS
ADMINITRACION DE LA CALIDAD
ADMINISTRACION
SALUD OCUPACIONAL
11
Tipos de Planes
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
12
PLAN
Business Continuity Plan (BCP) Business Recovery (or Resumption) Plan (BRP) Continuity Of Operations Plan (COOP)
OBJETIVO
Suministra procedimientos para sostener las operaciones esenciales de negocio mientras se recupera de una interrupcin significante. Suministra procedimientos para recuperacin de las operaciones de negocio inmediatamente despus de un desastre. Suministra procedimientos y capacidades para sostener lo esencial de una organizacin, funciones estratgicas en un sitio alterno por ms de 30 das. Suministra procedimientos y capacidades para recuperar grandes aplicaciones o sistemas de soporte general.
ALCANCE
Direcciona los procesos de negocio y la tecnologa que los soporta.
Direcciona los procesos de negocio; La TI est direccionada slo al soporte para los procesos de negocio. Direcciona el conjunto de operaciones de la organizacin definidas como mas crticas.
Los mismo que el plan de contingencia de TI; se centra en la interrupcin de los sistemas de TI; no se centra en los procesos del negocio.
13
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
OBJETIVO
Proporciona los procedimientos para comunicarse con el personal y con el pblico en general. Suministra estrategias para detectar, responder, y limitar las consecuencias de incidentes de seguridad que afectan la continuidad. Suministra procedimientos detallados para facilitar la recuperacin de operaciones en un sitio alterno. Suministra procedimientos coordinados para minimizar las perdidas de vidas o daos a la propiedad en respuesta a amenazas fsicas.
ALCANCE
Direcciona las comunicaciones con el personal y el publico; no se centra en la TI Se centra sobre respuestas de seguridad de la informacin a incidentes que afectan los sistemas y / o las redes. A menudo centrado en la TI; limitado a interrupciones mayores con efectos a largo plazo. Se centra en el personal y las instalaciones; no esta diseada para procesos de negocio o funcionalidad de los sistemas de TI.
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
14
Diseo y Desarrollo
Implementacin Pruebas y ejercicios Mantenimiento Ejecucin
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
15
Tendencias en BCM
Como administro la informacin es una ventaja competitiva. Mi arquitectura de datos ofrece y entrega informacin cuando y como los clientes la necesitan Los servicios de mi negocio exceden las expectativas de mis clientes
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
16
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
17
A manera de conclusiones
La Administracin de la Continuidad, adems de ser un acto de responsabilidad con los accionistas, la economa y la sociedad, es un requerimiento de los clientes y el mercado:
Las empresas cada da vez son mas dependientes de la TI (ERP, CRM, sistemas integrados). Las reas de TI juegan un papel fundamental en la continuidad de los negocios. Administracin de la continuidad no es un simple plan de contingencias vas mas all. El personal de TI debe ser consciente de la importancia y la necesidad de capacitarse en los temas de continuidad La calidad de los servicios depende mucho de la oportunidad en la solucin de los problemas o incidentes relacionados con la TI. El mercado ofrece soluciones.
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
18
Bibliografa
El papel de las reas de TI en la Administracin de la Continuidad Juan
Carlos Camargo.
Basilea II Planificacin de la Continuidad del Negocio en el Sector Financiero Jos I. Castro M. El Papel de la Tecnologa en la Habilitacin de los Procesos de TI Alfredo Zayas
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
19
Pginas Web
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
20
Contenido
Legalidad en USA y sus estados, otros pases, Chile Cuestiones relacionadas con accin judicial Cuestiones civiles Privacidad
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
22
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
23
Responsabilidad :
Ley 19.223, Art. 1 y 3 Art. 1 : Destruya o inutilice un STI o sus partes o componentes u obstaculice o modifique su funcionamiento. Presidio menor en grado medio a mximo. Art. 3 : Altere, dae o destruya datos contenidos en un STI. Presidio menor en grado medio.
25
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Responsabilidad :
Ley 19.223, Art. 2 y 4 Art. 2 : nimo de apoderarse, usar o conocer indebidamente la informacin contenida en un STI. Intercepte, interfiera o acceda a l. Presidio menor en un grado mnimo a medio. Art. 4 : Maliciosamente revele o difunda datos contenidos en un STI. Presidio menor en grado medio. Responsable del STI, aumenta en un grado.
26
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
27
Otros delitos
Propiedad Intelectual, ley 17.336.
Piratera
Fraudes financieros Evasin de impuestos Trfico y venta de drogas Robo de especies (computadores) Homicidios y suicidios
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
28
Recopilacin de evidencias
Copias de respaldo de imgenes con evidencia Sumas de control seguras de la informacin para validar cambios Informtica forense
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
29
1. 2. 3. 4. 5.
Objetivo global
Asegurar que se mantenga la confidencialidad, integridad y disponibilidad de la informacin protegida. Alientan a la organizacin a utilizar un buen enfoque de administracin de riesgos.
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
31
Protecciones administrativas
Proceso de administracin de seguridad: Anlisis de riesgos regular, medidas de seguridad para administrar riesgos Responsabilidad de seguridad asignada: Individuo Seguridad del personal fuerza de trabajo Administracin del acceso a la informacin Concientizacin y entrenamiento de la seguridad Polticas y procedimientos para abordar los incidentes de seguridad Planes de contingencia: respaldo de datos, recuperacin de desastres, operacin en modo de emergencia Evaluacin, ante cambios en operaciones en el entorno Contratos de negocios asociados y otros arreglos
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
32
Protecciones fsicas
Controles de acceso a las instalaciones Uso de estaciones de trabajo Seguridad de las estaciones de trabajo Control de dispositivos y medios
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
33
Protecciones tcnicas
Control de acceso Controles de auditora Integridad Autentificacin de persona entidad Seguridad en las transmisiones
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
34
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
35
Reflexiones y preguntas
1. Suponiendo que su organizacin fuera atacada con xito: Identifique cuales son las leyes chilenas violadas de acuerdo con los delitos cometidos. Evale el dao total sufrido por su organizacin. 2. Cmo mostrara y protegera la evidencia del ataque? 3. Puede identificar la fuente del ataque?
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
36
Bibliografa
Gua Metodolgica 2006 Sistema de Gobierno Electrnico. Programa de Mejoramiento de la Gestin Gobierno de Chile (http://www.modernizacion.cl/ ) Gobierno electrnico en Chile 2000 2005 Estado del Arte II (http://www.modernizacion.cl/ ) Tecnologa de la Informacin Cdigo de prctica para la Seguridad de la Informacin NCh2777.Of2003 (ISO/IEC 17799 : 2000) ''NORMA TECNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRONICO' Decreto 83 Fecha de Publicacin: 12.01.2005; Fecha de Promulgacin: 03.06.2004
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
37
Bibliografa (2)
Planes para continuidad de negocio ante desastres. Algunos
conceptos (archivo Gestin BCM.ppt) Diplomado en Peritaje
Informtico Universidad de Santiago de Chile. Mejores prcticas y estndares internacionales en gestin de riesgos y control interno Gloria Pea y Lillo (archivo BCM (4742)COSO1.pdf) "Planes de Contingencia TIC y continuidad del negocio" Roberto Moya Quiles, Stefano Zanero Enfoque Integral de BCM Yves Dvila Garantizan las empresas la Continuidad de su Negocio? GOBIERNO DE TI Y CONTINUIDAD DEL NEGOCIO Business continuity planning http://www.iso.org http://www.iec.org http://www.bsi-global.com
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
38
Pginas complementarias
National Institute for Standards (NIST) National Vulnerabilities Database Common Vulnerabilities and Exposures Business Continuity, Contingency Planning & Disaster Recovery The Business Continuity Planning & Disaster Recovery Planning Directory Business Continuity Planning: Ten Common Mistakes
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
39
Herramientas adicionales
MAGERIT: Metodologa de anlisis y gestin de riesgos de los sistemas de informacin de las Administraciones Pblicas. http://www.csi.map.es/csi/pg5m20.htm NIST Special Publication SP 800-12: An Introduction to Computer Security.The NIST Handbook. National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-12/ (disponible tambin una versin como libro digital) Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute. Control Objectives for Information and Related Technology (Cobit). http://www.isaca.org/cobit.htm
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
41
Textos
Sandoval Lpez, Ricardo, Seguridad en el comercio electrnico, Lexisnexis 2004. Kaeo, Merike, Diseo de seguridad en redes, Pearson Educacin 2003. Maiwald, Eric, Fundamentos de seguridad en redes, McGraw-Hill Interamericana 2005. Parte II pp 93-186 Stallings,William Fundamentos de Seguridad en Redes. Aplicaciones y Estndares, Pearson 2004
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
42
Documentos en CriptoRed
Jorge Rami Aguirre LIBRO ELECTRNICO DE SEGURIDAD INFORMTICA Y CRIPTOGRAFA Documento de libre distribucin en Internet a travs de CriptoRed, Marzo de 2006 (SegInfoCrip_v41.zip) Antonio Villaln Huerta SEGURIDAD DE LOS SISTEMAS DE INFORMACION Julio, 2005 (seguridad_sist_inf.zip)
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
43
2006Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
44