Continuidad y Cumplimiento
Contingencia, Continuidad y
Cumplimiento
Agenda:
■ Gestión de la Continuidad del Negocio
■ Monitoreo y cumplimiento
9.- Gestión de Contingencia y Continuidad Comercial
Plan de
Plan de
Continuidad
OBJETIVO.- Contrarrestar
Contingencias del
Negocio las interrupciones a las
actividades del negocio y
•Respuestas inmediatas ante eventos •Inventario de Procesos del
que originen pérdida de datos o
interrupción de las operaciones.
Negocio.
•Identificación de Procesos
proteger los procesos
•Especificaciones del Plan de Acción a
tomar de acuerdo al tipo de evento:
Críticos
•Especificaciones de los
críticos de los efectos de los
Grupos de Trabajo y responsabilidades,
definición de Recursos, niveles de
mecanismos de Acción a
seguir para la continuidad principales desastres
Contingencia, escenarios de •Plan de Recuperación de los
Contingencia. Activación de la
Contingencia.
Revisión de
estados de Seguridad
Revisión del
Debe ser implementado
la Estrategia Plan Actual
para reducir las
Mejora
Continua interrupciones causadas por
Revisión de
Programas
Pruebas del
Plan Actual desastres y fallas a la
seguridad
AMENAZAS A
LA INTEGRIDAD
Errores de DE DATOS
Desastres
La Red
Problemas de
tipo lógico
AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Inexperiencia
Estrés/
Accidentes
Pánico
AMENAZAS
HUMANAS A LA
INTEGRIDAD
Falta de
Comunicación
Avaricia
Venganza
AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Disco
Controlador
Alimentación de E/S
AMENAZA POR
ERRORES
HARDWARE Chip y
Memoria
placa base
Medios Dispositivos
AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Tarjetas y
dispositivos
de interfaz
de red
AMENAZA A LA
INTEGRIDAD
ERRORES
DE LA RED
Cableado
Radiación
AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Errores
Errores del
Corrupción Sistema
De files operativo
AMENAZAS POR
PROBLEMAS DE Requisitos
TIPO LOGICO
Mal
Errores de definidos
intercambio
Errores de
almacenamiento
Herramientas para mejorar la
Integridad de Datos
Copias de Seguridad Correctiva
Técnicas de espejo Preventiva
Archivado Preventiva
Custodia Correctiva
Chequeo de paridad Preventiva
Plan de contingencia Preventiva
Análisis de fallos Preventiva
Alimentac. Ininterrumpida Preventiva
Implementación de Preventiva
técnicas de Seguridad
Herramientas para reducir las
amenazas contra la seguridad
Eliminación de puertas traseras Sistema
Chequeo de virus Sistema
Seguridad Física Política
Política de máquinas Política
desatendidas
Políticas de eliminación de
basura Política
Política de contraseñas Política
Cifrado Sistema
Obligación de identificación Sistema
Uso de Cortafuegos Sistema
Trampas para Intrusos Sistema
9.- Gestión de Contingencia y Continuidad Comercial
9.1 Aspectos de la Gestión de Continuidad: 9.1.1 Debe incorporar:
• Entendimiento de Riesgos en
términos de amenazas y
probabilidad Costo comparativo de Recuperación
• Identificar y priorizar los
procesos críticos del negocio 80
• Entender el impacto en el
60
negocio
• Considerar compra de póliza de 40
seguros
• Documentar una estrategia 20
consistente de la continuidad del 0
negocio con la propia estrategia de 1 2 3
negocio
• Actualización y prueba regular del
1 = Sin PC
plan
• Asegurar que Gestión de 2 = Con PC pobre
Continuidad de Negocio es 3 = Con buen PC
incorporada en proceso y estructura
de la organización
9.- Gestión de Contingencia y Continuidad Comercial
9.1 Aspectos de la Gestión de Continuidad: 9.1.2 Continuidad y Análisis
del impacto: Plan IT Integral Plan IT Host Principal Plan IT Focalizado
Inundación
Atentado
Probabilidades
9.1.3 Preparación e Atentado menor
Mantenimiento y reevaluación:
• Personal
• Direcciones o números telefónicos
• Ubicación, facilidades y recusrsos
• Legislación
• Contratistas, proveedores y clientes
claves
• Cambios a procesos
• Riesgos
9.- Gestión de Contingencia y Continuidad Comercial
Proyecciones
9.- Gestión de Contingencia y Continuidad Comercial
Recuperación de Desastres
Requerimientos para RD
10.- Cumplimiento
OBJETIVO.- evitar rupturas de cualquier ley civil o penal, de estatutos,
obligaciones regulatorias o contractuales y de cualquier requerimiento de
seguridad
• Obtener asesoría sobre requerimientos legales de asesores de la
organización
• Identificación de legislación aplicable
• Requerimientos regulatorios deben ser explícitamente definidos y
documentados por cada sistema de información. Controles y
responsabilidades documentadas
10.1 Cumplimiento de Requerimientos Legales
• Derechos de propiedad intelectual y derechos del autor
• Derechos de autor en software y aplicativos
• Publicar política de cumplimiento
• Estándares para adquisición de software
• Mantener registro de activos y pruebas de propiedad
• Llevar a cabo chequeos periódicos de cumplimiento
• Cumplir con términos y condiciones para software obtenido de redes públicas
10.- Cumplimiento
10.1 Cumplimiento de Requerimientos Legales
• Salvaguarda de registros organizacionales (algunos deben cumplir
requerimientos regulatorios)
• Claves criptográficas para archivos encriptados deben ser retenidas en forma
segura
• También considerar:
• Guías para retención, almacenamiento, manipuleo y eliminación de registros
• Cronograma de retención debidamente documentado
• Inventario fuentes de información clave
• Controles para prevenir pérdida, destrucción o falsificación
• Protección de datos y privacía de información personal
• Legislación aprobada respecto a procesamiento y transmisión de información
• Prevención del mal uso de facilidades de procesamiento de información
• Regulación de controles criptográficos (Importación y/o exportación de Hw y Sw
para criptografía
• Sistemas de Información cumplan con evidencia admisible:
• Para documentos de papel: mantener original seguro
• Para medios electrónicos: copias que aseguren disponibilidad
10.- Cumplimiento
10.2 Revisiones de la política de seguridad y cumplimiento técnico: Para
asegurar cumplimiento de los sistemas con políticas de seguridad
organizacional y estándares
“Seguridad de los sistemas de información debe ser revisada
regularmente contra las políticas apropiadas de seguridad y las
plataformas técnicas deben ser auditadas para cumplimiento de
implementación de estándares de seguridad”
• Cumplimiento de política de Seguridad: Todas las áreas de la organización deben
ser consideradas para revisiones regulares
• Chequeo de cumplimiento técnico: Verificar cumplimiento con estándares .
Incluir pruebas periódicas de vulnerabilidad
10.3 Consideraciones de Auditoría del Sistema: requerimientos de auditoría
deben ser acordados en nivel de Gerencia adecuado.
• Alcance de auditorías debe ser convenida y controlada
• Auditoría limitadas a acceso solo de lectura de Sw. y datos
• Accesos distintos a “solo lectura” permitido solo para copias aisladas de
archivos del sistema
• Accesos monitoreados; procesos documentados
• Acceso a herramientas de auditoría restringidos y separados de ambientes de
desarrollo y producción
Auditoria de Proyectos TI