SESION 9: Contingencia,

Continuidad y Cumplimiento
 Contingencia, Continuidad y
Cumplimiento
Agenda:
■ Gestión de la Continuidad del Negocio
■ Monitoreo y cumplimiento
9.- Gestión de Contingencia y Continuidad Comercial

Plan de
Plan de
Continuidad
OBJETIVO.- Contrarrestar
Contingencias del
Negocio las interrupciones a las
actividades del negocio y
•Respuestas inmediatas ante eventos •Inventario de Procesos del
que originen pérdida de datos o
interrupción de las operaciones.
Negocio.
•Identificación de Procesos
proteger los procesos
•Especificaciones del Plan de Acción a
tomar de acuerdo al tipo de evento:
Críticos
•Especificaciones de los
críticos de los efectos de los
Grupos de Trabajo y responsabilidades,
definición de Recursos, niveles de
mecanismos de Acción a
seguir para la continuidad principales desastres
Contingencia, escenarios de •Plan de Recuperación de los
Contingencia. Activación de la
Contingencia.
Revisión de
estados de Seguridad
Revisión del
Debe ser implementado
la Estrategia Plan Actual
para reducir las
Mejora
Continua interrupciones causadas por
Revisión de
Programas
Pruebas del
Plan Actual desastres y fallas a la
seguridad

Planes de Contingencia deben ser desarrollados para asegurar que

procesos de negocio pueden ser restaurados dentro de los marcos de
tiempos requeridos
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Plan de Contingencia
■Objetivos del Plan
■Proceso de planeación
■Análisis de Riesgos
■Planeamiento estratégico de
contingencias
■Documentación del Plan
■Pruebas del Plan
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Errores
Humanos
Hardware

AMENAZAS A
LA INTEGRIDAD
Errores de DE DATOS
Desastres
La Red

Problemas de
tipo lógico
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Inexperiencia
Estrés/
Accidentes
Pánico

AMENAZAS
HUMANAS A LA
INTEGRIDAD
Falta de
Comunicación
Avaricia

Venganza
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Disco
Controlador
Alimentación de E/S

AMENAZA POR
ERRORES
HARDWARE Chip y
Memoria
placa base

Medios Dispositivos
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Tarjetas y
dispositivos
de interfaz
de red

AMENAZA A LA
INTEGRIDAD
ERRORES
DE LA RED

Cableado
Radiación
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Errores
Errores del
Corrupción Sistema
De files operativo

AMENAZAS POR
PROBLEMAS DE Requisitos
TIPO LOGICO
Mal
Errores de definidos
intercambio

Errores de
almacenamiento
 Herramientas para mejorar la
Integridad de Datos
 Copias de Seguridad  Correctiva
 Técnicas de espejo  Preventiva
 Archivado  Preventiva
 Custodia  Correctiva
 Chequeo de paridad  Preventiva
 Plan de contingencia  Preventiva
 Análisis de fallos  Preventiva
 Alimentac. Ininterrumpida  Preventiva
 Implementación de  Preventiva
técnicas de Seguridad
Herramientas para reducir las
amenazas contra la seguridad
 Eliminación de puertas traseras  Sistema
 Chequeo de virus  Sistema
 Seguridad Física  Política
 Política de máquinas  Política
desatendidas
 Políticas de eliminación de
basura  Política
 Política de contraseñas  Política
 Cifrado  Sistema
 Obligación de identificación  Sistema
 Uso de Cortafuegos  Sistema
 Trampas para Intrusos  Sistema
9.- Gestión de Contingencia y Continuidad Comercial
9.1 Aspectos de la Gestión de Continuidad: 9.1.1 Debe incorporar:
• Entendimiento de Riesgos en
términos de amenazas y
probabilidad Costo comparativo de Recuperación
• Identificar y priorizar los
procesos críticos del negocio 80
• Entender el impacto en el
60
negocio
• Considerar compra de póliza de 40
seguros
• Documentar una estrategia 20
consistente de la continuidad del 0
negocio con la propia estrategia de 1 2 3
negocio
• Actualización y prueba regular del
1 = Sin PC
plan
• Asegurar que Gestión de 2 = Con PC pobre
Continuidad de Negocio es 3 = Con buen PC
incorporada en proceso y estructura
de la organización
9.- Gestión de Contingencia y Continuidad Comercial
9.1 Aspectos de la Gestión de Continuidad: 9.1.2 Continuidad y Análisis
del impacto: Plan IT Integral Plan IT Host Principal Plan IT Focalizado

• Identificar eventos que pueden incapacidad de incapacidad definitiva incapacidad de

causar interrupción operación total de los y no recuperable de operación específica,
sistemas, equipos y operación ya sea recuperable o
• Determinar probabilidad de servicios de IT exclusivamente de no de algún sistema,
estas interrupciones nuestro servidor
principal AS/400
equipo o servicios de
IT
• Determinar Impacto de estas Escenarios
interrupciones
• Debe considerar todos los Terremoto Incendio Fallas de algún equipo,
procesos no solo facilidades de Atentado Inundación
línea de comun. o sistema

procesamiento de información Incendio Robo

Robo

Inundación
Atentado
Probabilidades
9.1.3 Preparación e Atentado menor

implementación del PCN Baja Baja

Incumplimiento de algún
Alta
proveedor de servicio

• Identificación y acuerdo de responsabilidades y procedimientos de emergencia

• Atención particular a dependencias externas y contratos respectivos
• Plan documentado
• Prueba y actualización del plan
9.- Gestión de Contingencia y Continuidad Comercial
9.1 Aspectos de la Gestión de Continuidad: 9.1.4 Marco del PCN:

• Condiciones para activar Evacuación

• Procedimientos de emergencia
• Procedimientos de evacuación
planes • Organización para emergencia

• Acciones a seguir en incidente

• Centro de emergencia
• Procedimientos de emergencia • Ambientes seguros y de seguridad
Equipo de
para mover procesos esenciales Gestión de • Accidentes
• Evaluación de impacto
a ubicaciones temporales Crisis
• Caja de Acciones
• Procesos de reanudación para
retornar a operaciones normales
• Cronograma de prueba y
Declaración de • Invocar planes de recuperación
mantenimiento Desastre total o parcial
• Actividades de educación y
toma de conciencia de
responsabilidades individuales • Equipos de recuperación del negocio
• Prioridades del negocio
Continuidad del • Control de Gastos
Negocio • Equipos de apoyo a recuperación
• Registros Vitales
• Personal clave y contactos
• Requerimiento de recursos
9.- Gestión de Contingencia y Continuidad Comercial
9.1 Aspectos de la Gestión de Continuidad: 9.1.5 Realización de pruebas,
mantenimiento y reevaluación de PCN:
Prueba de planes:
• Simulaciones
• Prueba de recuperación técnica
• Pruebas de facilidades y
servicios del proveedor
• Ensayos completos

Mantenimiento y reevaluación:
• Personal
• Direcciones o números telefónicos
• Ubicación, facilidades y recusrsos
• Legislación
• Contratistas, proveedores y clientes
claves
• Cambios a procesos
• Riesgos
9.- Gestión de Contingencia y Continuidad Comercial

Porqué invertir en el PCN ?

Proyecciones
9.- Gestión de Contingencia y Continuidad Comercial

Recuperación de Desastres

Requerimientos para RD
10.- Cumplimiento
OBJETIVO.- evitar rupturas de cualquier ley civil o penal, de estatutos,
obligaciones regulatorias o contractuales y de cualquier requerimiento de
seguridad
• Obtener asesoría sobre requerimientos legales de asesores de la
organización
• Identificación de legislación aplicable
• Requerimientos regulatorios deben ser explícitamente definidos y
documentados por cada sistema de información. Controles y
responsabilidades documentadas
10.1 Cumplimiento de Requerimientos Legales
• Derechos de propiedad intelectual y derechos del autor
• Derechos de autor en software y aplicativos
• Publicar política de cumplimiento
• Estándares para adquisición de software
• Mantener registro de activos y pruebas de propiedad
• Llevar a cabo chequeos periódicos de cumplimiento
• Cumplir con términos y condiciones para software obtenido de redes públicas
10.- Cumplimiento
10.1 Cumplimiento de Requerimientos Legales
• Salvaguarda de registros organizacionales (algunos deben cumplir
requerimientos regulatorios)
• Claves criptográficas para archivos encriptados deben ser retenidas en forma
segura
• También considerar:
• Guías para retención, almacenamiento, manipuleo y eliminación de registros
• Cronograma de retención debidamente documentado
• Inventario fuentes de información clave
• Controles para prevenir pérdida, destrucción o falsificación
• Protección de datos y privacía de información personal
• Legislación aprobada respecto a procesamiento y transmisión de información
• Prevención del mal uso de facilidades de procesamiento de información
• Regulación de controles criptográficos (Importación y/o exportación de Hw y Sw
para criptografía
• Sistemas de Información cumplan con evidencia admisible:
• Para documentos de papel: mantener original seguro
• Para medios electrónicos: copias que aseguren disponibilidad
10.- Cumplimiento
10.2 Revisiones de la política de seguridad y cumplimiento técnico: Para
asegurar cumplimiento de los sistemas con políticas de seguridad
organizacional y estándares
“Seguridad de los sistemas de información debe ser revisada
regularmente contra las políticas apropiadas de seguridad y las
plataformas técnicas deben ser auditadas para cumplimiento de
implementación de estándares de seguridad”
• Cumplimiento de política de Seguridad: Todas las áreas de la organización deben
ser consideradas para revisiones regulares
• Chequeo de cumplimiento técnico: Verificar cumplimiento con estándares .
Incluir pruebas periódicas de vulnerabilidad
10.3 Consideraciones de Auditoría del Sistema: requerimientos de auditoría
deben ser acordados en nivel de Gerencia adecuado.
• Alcance de auditorías debe ser convenida y controlada
• Auditoría limitadas a acceso solo de lectura de Sw. y datos
• Accesos distintos a “solo lectura” permitido solo para copias aisladas de
archivos del sistema
• Accesos monitoreados; procesos documentados
• Acceso a herramientas de auditoría restringidos y separados de ambientes de
desarrollo y producción
 Auditoria de Proyectos TI

Ciclo de vida de un proyecto informático

N O
E B
C J
E
Formulación Ejecución Aplicación
E
S Correcciones, T
Desviaciones, retrasos, Cambios, productos
I adiciones, cambios contingencias I
inadecuados, desviaciones
D V
A O
D S
Administración y Control

El proceso es iterativo y de acuerdo a su forma de desarrollo

puede ser recursivo, escalonado o manejarse en espiral
 Auditoria de Proyectos TI
■ Planificación del proyecto:
Formulación, estándares de trabajo,
documentación y administración
■ Organización: personal, equipos e
infraestructura
■ Ejecución: Desarrollo o Parametrización
■ Implementación: Pruebas, migración y
lanzamiento
■ Seguimiento post-implantación
 Auditoria de Proyectos TI
Planificación del proyecto: Formulación
■ Revisión de objetivos, alcance y etapas
■ Alineación del Plan de Sistemas con el Plan
Estratégico de la empresa
■ Revisión del dimensionamiento de recursos
■ Revisión del Presupuesto del proyecto
■ Revisión de la estrategia de ejecución del
proyecto - Términos técnicos
■ Revisión del proceso de inicio del proyecto
 Auditoria de Proyectos TI
Planificación del proyecto: Estándares
■ Normativa de configuración de equipos:
Estructura de equipos, Funciones de los
equipos, perfil de recursos externos, control
de tareas realizadas
■ Normativa de diseño del sistema: Diseño
funcional, diseño de bases de datos, diseño de
procesos, revisión y aprobación del usuario y
de sistemas, diseño de interfases
 Auditoria de Proyectos TI
Planificación del proyecto: Estándares
■ Normativa de desarrollo: Selección de las
herramientas de desarrollo y de apoyo
■ Normativa de mantenimiento: en casa o del
proveedor, gestión de incidencias, prueba y
puesta en marcha de mantenimiento
■ Normativa de documentación técnica: del
diseño funcional, diseño técnico, de
programación y de pruebas
 Auditoria de Proyectos TI
Planificación del proyecto: Administración
■ Establecimiento del calendario por etapas:
tareas, costos, recursos asignados, fecha de
inicio y de término
■ Selección de método de adquisición de
equipos y establecimiento de servicios
■ Contratos: Términos, condiciones y plazos
■ Diseño de la organización de la
administración y ambiente de trabajo
 Auditoria de Proyectos TI
Organización del proyecto:
■ Personal: Perfil técnico, proceso de
selección de personal, contratación,
organización técnica y administrativa
■ Equipos: Definición de requerimientos
de desarrollo y soporte administrativo,
adquisición, servicios conexos
■ Infraestructura: Definición de ambiente
de trabajo, características y condiciones
 Auditoria de Proyectos TI
Ejecución del proyecto:
■ Revisión de metodología: organización
técnica, criterios de selección, asistencia
técnica y entrenamiento
■ Revisión de los procedimientos,
técnicas y herramientas de desarrollo
■ Administración del proyecto y control
de los cambios: seguimiento del
proyecto y coordinación técnica
 Auditoria de Proyectos TI
Ejecución del proyecto:
■ Evaluación de Selección de Paquetes o
sistemas más sofisticados (p.e.:ERP)
■ Evaluación de construcción de
Prototipo
■ Evaluación de pruebas de construcción:
unitarias, proceso y por simulación
■ Evaluación del seguimiento: reuniones
periódicas, avance del proyecto,
desviaciones y ampliaciones
 Auditoria de Proyectos TI
Implantación del proyecto:
■ Evaluación de alternativas de
implementación: Directa, Paralelo,
Piloto, Modular
■ Evaluación de pruebas funcionales y de
perfomance con el usuario
■ Evaluación de conversión, migración
datos
■ Evaluación de la integración de los
sistemas
 Auditoria de Proyectos TI
Post-instalación del proyecto:
■ Evaluación de cambios y justificación:
factores externos o nuevas
disposiciones
■ Evaluación del manejo del sistema y los
controles operativos
■ Evaluación de funcionalidad en función
de expectativas
■ Evaluación del servicio de
mantenimiento establecido
 Auditoria de Proyectos TI
Los riesgos mas comunes son:
■ Alcance inadecuado: revisiones
sucesivas que afecte cronogramas y
actividades
■ Costos y tiempos excesivos: se puede
gastar el presupuesto asignado y perder
el proyecto o desvirtuar el objetivo
■ Necesidades de los usuarios
insatisfechas: el proyecto puede nacer
muerto, o ser abandonado en desarrollo