08/10/2014

2. Administración de la seguridad Leyes de Murfy

2.1 2.2 2.3 2.4 2.5

Administración Administración
de llaves Prevención y Protección de Protocolo SSL
de riesgos y recuperación
públicas sistemas y SSL
continuidad de de incidentes operativos Handshake
actividades

Objetivo:
Explicar los planes de contingencia y procedimientos de
recuperación.

Porque se requiere planear la

Qué puede suceder? continuidad?
• Desastres de grandes dimensiones • Casos de desastres contra la continuidad
• Pequeños incidentes • Sitios WEB atacados mediante Denial
of Service
• Situación terremoto de Armenia
• Atentados terroristas
• Desordenes públicos que impiden el
acceso a las instalaciones
• Centros de cómputo fuera de servicio

Amenazas
Preparación para riesgos de cualquier
• Naturales
dimensión
• Humanas
• Tecnológicas

Controles

Estrategias

Alternativas No se pueden evitar pero

Acciones rápidas se puede mitigar su impacto

1
 08/10/2014

Naturales Humanas
• Atentan contra las instalaciones físicas • Atentados contra las instalaciones físicas
• Inundaciones • Terrorismo
• Temblores o terremotos (Armenia) • Sabotaje
• Incendios • Bombas
• Menor dimensión • Menores dimensiones
• Tormentas eléctricas • Contra las personas
• Contra los equipos o la información

Recuperación VS
Tecnológicas Continuidad
• Pérdida de potencia Continuidad

• Fallas en equipos UPS, plantas, etc. Disponibilidad Supervivencia

• Daños fortuitos
• Fallas en condiciones ambientales
• Denial of Service BIENES

• Casos Yahoo, Amazon, HotMail, etc.

• Virus

Recuperación

Recuperación

Recuperación VS
Recuperación VS Continuidad Continuidad
Normalidad
Transacciones Normalidad
• Inicialmente la planeación se concentraba en la Consultas Transacciones
recuperación de interrupciones sobre sistemas de Nuevos clientes
Interrupción
Consultas
información Requerimientos Nuevos clientes
etc Requerimientos
• Hoy se busca garantizar la continuidad de la etc
funcionalidad del negocio

Tiempo de pérdida Tiempo

2
 08/10/2014

Impactos Impactos

Personas afectadas (tipo, cantidad)

Credibilidad de los clientes
Imagen (área, Organización, País)
Operativos
Nivel de afectación (interno, externo)
Financieros
Imagen
78 1
0%7% 2
1%

Mercado 5%
3
10%
4
5
5%

Consideraciones legales 6
71%
1%

Ecológico/Sociales

Impactos Impactos

• Probabilidades de sobrevivir a un desastre:

Tiempo que permanece fuera el servicio y horarios
críticos “de 5 empresas 2 no vuelven a abrir y de los
3 que permanecen, 1 sale del negocio dentro
Económico (demandas, pérdidas financieras, etc.) de los siguientes 2 años”.[gartner Group
Study-April 1992]
Cie rr e diario

• Desde finales de 1960 se esta trabajando en

Procesos críticos

Ne gocio

el tema, inicialmente solo a nivel de

informática, hoy se involucra toda la
Contable

organización.
Pagos

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Horario (horas)

Impactos
Los desastres han incrementado en la Objetivos y requerimientos
medida en que la industria avanza, es
necesario planear mas que reaccionar  Garantizar que los servicios que provee la
• Globalización organización al exterior y los procesos
• Consolidación y centralización críticos internos operen a un nivel aceptable
• Infraestructura durante un evento de crisis y logren su
• Cambios tecnológicos normalidad después de ésta

3

Objetivos y requerimientos
• Mitigar los efectos causados por un eventual
desastre, mediante la adecuada planeación y
control
• Permitir una respuesta rápida a las
emergencias, y lograr una recuperación
eficaz y efectiva
NIST SP800
La serie 800 del NIST son una serie de
documentos de interés general sobre
Seguridad de la Información. Estas
publicaciones comenzaron en 1990 y
son un esfuerzo de industrias,
gobiernos y organizaciones académicas
para todos los interesados en la
seguridad.
ISO 17799
Estándar internacional de alto nivel para
la administración de la seguridad de la
información.
08/10/2014
Organizaciones especializadas
• Servicios de apoyo a la continuidad:
• Comdisco
www.comdisco.com
• Sungard
www.sungard.com
• A nivel de disciplina:
• Disaster Recovery Institute www.dr.org
http://www.segu-info.com.ar/guias/nist.htm
ISO 17799 Diez áreas de seguridad
1.Políticas de seguridad.
2.Seguridad organizacional.
3.Clasificación y control de activos.
4.Seguridad del personal.
5.Seguridad física y de entorno.
6.Comunicaciones y administración de operaciones. I
7.Control de acceso.
8.Desarrollo de sistemas y mantenimiento.
9.Continuidad de las operaciones de la organización. El
sistema de administración de la seguridad debe integrar los
procedimientos de recuperación en caso de contingencias, los
cuales deberán ser revisados de manera constante y puestos a
prueba con la finalidad de determinar las limitaciones de los
mismos.
10.Requerimientos legales.
4
 08/10/2014

Una metodología para la

planeación Reseña del D.R.I.I.
• Fundado formalmente en 1988
(Washington University St. Louis).
• Propone los lineamientos para los
profesionales en la planeación de
recuperación de negocios mediante la
definición de áreas base del conocimiento.
• Capacitación, asesorías y servicios.
• Certifica profesionales en la materia.

Certificaciones ofrecidas por el

D.R.I.I. D.R.I.
• Actualmente, al menos 1500 empresas aplican los
conceptos y la metodología con personal certificado • Associate Business Continuity Planner
en el D.R.I. • Certified Business Continuity Professional
• Algunas empresas son: • Master Business Continuity Professional
• TEXAS INSTRUMENTS
• AT&T
• BELL SOUTH
• NATIONAL BANK (North Carolina)
• WORLD BANK
• MERRILL LYNCH
• BANCO CENTRAL DE VENEZUELA
• BANCO DE LA REPÚBLICA COLOMBIA

Cursos ofrecidos por el D.R.I.I.
Cursos Básicos:
DRP-111. “Introduction to Business Continuity Planning”
DRP-112. “Managing & developing the B.C.P.”
DRP-113. “Business Communications For C.P.”
DRP-114. “Implementing & testing the B.C.P.”
Cursos Especializados:
DRP-210. “Business Impact Analysis”
DRP-211. “B.C.P. For local area networks”
DRP-212. “Prevention, Control & Mitigation in C.P.”
DRP-213. “Corporate Incident Management”
DRP- 501. “B.C.P. review”
DRP- 601. “Master level case study review”
Áreas del conocimiento base del D.R.I.I.
1. Administración e iniciación del proyecto.
2. Evaluación de riesgos y controles.
3. Análisis del impacto sobre el negocio.
4. Estrategias de recuperación.
5. Respuesta a la emergencia.
6. Desarrollo e implementación del plan.
7. Programas de concientización y
entrenamiento del personal.
8. Pruebas y ejercicios del plan.
9. Mantenimiento y actualización del plan.

5
 08/10/2014

Metodología D.R.I.I.
Situaciones
• Basada en las áreas del conocimiento base de los
profesionales en planeación de la continuidad del Normalidad
negocio. DESASTRE PROBLEMA
• Proporciona un estándar internacional para las “Un evento externo o interno
prácticas en la construcción de “Planes de interrumpe uno o más
Respuesta a la emergencia procesos del negocio”
Continuidad del Negocio”.
• Originada desde antes de 1989. Toma del control
• Revisada permanentemente por expertos en la Toma de decisiones
materia.
Reanudación de operaciones críticas
Restauración
Recuperación de las
capacidades diarias

Fases de la metodología

Definición
En cualquier
momento Requerimientos Func.
es posible
devolverse
a efectuar Diseño y Desarrollo
cambios
en una Implementación
fase previa.

Pruebas y ejercicios

Mantenimiento

EJECUCIÓN