SlideShare une entreprise Scribd logo

Continuidad de Negocio (UNE 71599 / BS 25999)

S
S2 Grupo · Security Art Work

Un repaso rápido a la Continuidad de Negocio según la BS 25999 y la nueva UNE 71599. Pueden descargar el PDF desde http://www.s2grupo.es/jornadas_presentaciones.shtml

Technologie
1  sur  44
Continuidad de Negocio UNE 71599 / BS 25999 Manuel Benet Consultor de Seguridad. S2 Grupo 12 de Mayo, 2011
Prólogo Prólogo Existen varios caminos a la Continuidad de Negocio: a. El directo. b. El indirecto. c. El doloroso. 2
Prólogo a. El directo o “momento revelación” “Hoy podría morir calcinado en este salón de actos. ¿Sobreviviría mi organización a tan trágica pérdida?“ I. No. Tienen (tenemos) un problema. II. Sí. ¿A qué coste? 3
Prólogo b. El indirecto o “momento certificación ISO 27001” 4
Prólogo c. El doloroso Suele llegar demasiado tarde y quizá no haya negocio que continuar. Puede conllevar no sólo pérdidas económicas sino también humanas. 5
Prólogo Los tres caminos suelen compartir las mismas fases, aunque su duración es variable. 6
Acto I “Eso no me puede pasar a mí” 7
“Eso no me puede pasar a mí” 1. Polonia El 10 de abril de 2010 el avión Tupolev 154 en el que viajaba el presidente de Polonia, Lech Kaczynski, se estrelló en la ciudad rusa de Smolensk. Además del presidente y su esposa fallecieron el gobernador del Banco Central, el jefe de Estado Mayor, el viceministro de Exteriores y decenas de diputados. 8
“Eso no me puede pasar a mí” 2. Edificio Windsor 9
“Eso no me puede pasar a mí” 3. Fukushima 10
Acto II “Quizá sí, pero es poco probable” 11
“Quizá sí, pero es poco probable” Ejemplos más “mundanos” 1. Manolo, su excavadora y las líneas de datos. 2. Los grupos electrógenos: a veces funcionan, a veces no. 3. Esa afición por colocar tuberías en los CPDs. 4. La diversión de abrir adjuntos ejecutables. 5. ¿La clave del fichero de claves? Sólo la sabía Pepe. 6. ¿Copias? ¿Qué copias? 7. Los AACC se van de vacaciones en agosto. 12
Acto III “De acuerdo, hagámoslo” 13
“De acuerdo, hagámoslo” 14
“De acuerdo, hagámoslo” El camino fácil (que no el correcto) Una vez planteada la necesidad/obligatoriedad del proyecto, es habitual optar por un enfoque “simplificado” que... 15
“De acuerdo, hagámoslo” … se limita a las copias de seguridad y poco más. … ignora la problemática asociada a las personas. … ignora las necesidades del negocio. … ignora las capacidades reales de TI. … no es mantenido regularmente. … no es probado en condiciones. … no incluye los planes operativos correspondientes. 16
“De acuerdo, hagámoslo” Ese planteamiento, menos exhaustivo y costoso, puede ser parcialmente válido, pero debemos ser conscientes de sus limitaciones y de que no es un Sistema de Gestión de Continuidad de Negocio. Lo que fácil viene, fácil se va 17
“De acuerdo, hagámoslo” El camino correcto (que no el fácil) 1. Implica un proceso de a) desarrollo, b) implantación, c) mantenimiento y d) posible certificación. 2. Requiere pruebas periódicas. 3. Necesita tiempo, recursos económicos y humanos. 4. Exige implicación de la Dirección. 5. Es un Sistema de Gestión. 6. Sigue un estándar probado: UNE 71599 / BS 25999. 18
La Continuidad de Negocio según UNE 71599 / BS 25999 19
UNE 71599 / BS 25999 La Continuidad de Negocio es un sistema de Gestión que identifica las amenazas que pueden poner en riesgo la continuidad de la organización y proporciona los medios para hacerles frente y proteger el negocio. 20
UNE 71599 / BS 25999 Seis pasos básicos 1. Colocar los cimientos. 2. Entender la Organización. 3. Determinar la Estrategia de Continuidad de Negocio. 4. Desarrollar e implantar la Continuidad de Negocio. 5. Probar, mantener, revisar y auditar. 6. Asentar la Continuidad de Negocio en la cultura de la organización. 21
UNE 71599 / BS 25999 Seis pasos básicos 22
1. Asegurar los cimientos 1. Colocar los cimientos • Definición del alcance • Asignar recursos. • Implicar a la Dirección y a la organización. • Asignar las responsabilidades. 23
1. Asegurar los cimientos Errores típicos • El alcance no está claramente definido. • Hay proyecto, pero no hay recursos. • No hay implicación (“es un proyecto de TI”). • ¿Responsabilidades? ¿Qué responsabilidades? (también conocido como “TI se lo guisa, TI se lo come.”) 24
2. Entender la organización 2. Entender la organización • El Análisis de Impacto sobre el Negocio. • El Análisis de Riesgos. 25
2. Entender la organización El Análisis de Impacto sobre el Negocio (AIN o BIA): I. Procesos del negocio. • Activos y personal implicado. • Dependencias (proveedores, servicios internos, etc.). • Periodos críticos. • Impactos. • Tiempo máximo de interrupción tolerable. • Niveles mínimos de calidad de servicio aceptables tras la recuperación del proceso. • Tiempo máximo para volver a la operación normalizada. 26
2. Entender la organización El Análisis de Riesgos: I. Amenazas. II. Impactos. III. Probabilidades. IV. Riesgos inherentes y residuales. V. Política de gestión de riesgos (aceptar / mitigar / transferir / eliminar). El resultado proporciona los riesgos no aceptables para las necesidades del negocio y los procesos más vulnerables a los riesgos detectados. 27
2. Entender la organización Errores comunes • Tener una visión demasiado “aérea”. • Obtener tiempos no “razonables”. • Omitir dependencias internas. • Omitir personal crítico. • Basarse únicamente en la visión de TI. • No consensuar/contrastar los resultados obtenidos con el resto de la organización. 28
3. La estrategia 3. La estrategia Para cada potencial incidente, deben desarrollarse alternativas a adoptar en cada uno de los aspectos controlables. Recursos necesarios para cada alternativa propuesta. 29
3. La estrategia Posibles alternativas y factores • Personal. Necesidades de formación, externalización, gestión del conocimiento… • Ubicaciones físicas. Alquiler, compra, teletrabajo… • Tecnología. Sedes alternativas, replicación, acceso remoto, virtualización, copias de seguridad,… • Información. Ubicación digital, papel, datos de carácter personal, registros críticos,… • Suministros. Proveedores críticos y tiempos de respuesta, contratos de servicio, almacenes y proveedores alternativos… • Terceras partes. Aspectos legales (p.ej. LOPD, presentación de tributos), comunicación con clientes, partners,… 30
3. La estrategia Errores comunes • Las estrategias no están en línea con el risk appettite (o nivel de riesgo aceptable por la organización). • No tener en cuenta las actividades críticas. • No tener en cuenta los periodos críticos. • Proponer estrategias “a futuro” o irreales por coste o ejecución. No ser realista. • No tener el apoyo y visto bueno de Dirección. 31
4. Desarrollo e implantación 4. Desarrollo e Implantación Tomando como base la información del BIA, el AR y las estrategias seleccionadas, determina: • El plan de respuesta a incidentes (o Plan de Crisis). • Planes de gestión de incidentes. 32
4. Desarrollo e implantación El plan de respuesta a incidentes: • Gestiona el momento inicial de la incidencia. • Garantiza una respuesta rápida al incidente. • Simplifica la toma de decisiones. • Identifica al personal responsable de la gestión del incidente. • Especifica las condiciones de disparo de los planes específicos. Si algo puede salir mal, saldrá mal, y lo hará en el peor momento posible. 33
4. Desarrollo e implantación Los planes de gestión de incidentes: • Documentos que permiten la recuperación de las diferentes actividades afectadas por un incidente. • Identifican al personal responsable del plan. • Contienen los recursos necesarios afectados por el plan (personal, locales, tecnología, información, suministros y terceras partes). • Contienen los procedimientos de toma de decisiones (quién, cómo, y a quién informar). • Identifican procedimientos operativos concretos. 34
4. Desarrollo e implantación Errores comunes • La documentación está obsoleta. • La documentación está ilocalizable. • ¿Documentación? ¿Qué documentación? • Las responsabilidades no están definidas. • No se contemplan dependencias. • El escalado de incidencias no está claramente definido. • No existen planes operativos. 35
5. Pruebas 5. Pruebas • Verificar que el sistema “no olvida nada”. • Comprobar que TI puede soportar al negocio. • Anticipar problemas concretos en situaciones controladas. • Mejorar la capacidad de la organización para enfrentarse a situaciones de crisis. • Propagar la cultura de la continuidad de negocio entre los participantes. • Generar confianza entre los participantes de las pruebas. 36
5. Pruebas Errores comunes • No se realizan pruebas. • Las pruebas olvidan al usuario final u omiten personal relevante. • Las pruebas no son comunicadas a la organización. • Las pruebas no son realistas. • El resultado de las pruebas se “maquilla”. • El resultado de las pruebas no tiene continuidad (¿planes de acción?). 37
6. Cultura de la organización 6. Cultura de la organización Como todo Sistema de Gestión, debe desarrollarse un programa de concienciación que: • Mejore la eficacia del sistema. • Prepare al personal implicado. • Difunda entre clientes y proveedores las ventajas del sistema implantado. • Mejore la receptividad de la organización hacia las pruebas. 38
6. Cultura de la organización Algunas medidas • Utilización de los medios internos: Intranet, e- mail, circulares internas. • Sesiones de formación entre el personal. • Encuestas y grupos de trabajo. • Incluir la Continuidad de Negocio en las reuniones de los departamentos. 39
6. Cultura de la organización Errores comunes • No desarrollar un programa de concienciación. • Incluir en el programa únicamente a personal técnico. • Tener un programa demasiado disperso en el tiempo. 40
Conclusiones Un Sistema de Gestión de la Continuidad de Negocio es como una rueda de repuesto: Se ve poco, no se usa, pero hay que revisarla de vez en cuando. Ojalá no tengamos que utilizarla nunca, pero… …mejor que esté ahí, por si acaso. 41
Conclusiones Principales problemas • No tener el apoyo de Dirección. • No dedicar recursos, tiempo y personal asignado. • Olvidar las necesidades del negocio. • No desarrollar o mantener la documentación. • Obviar las pruebas y la comunicación a usuarios. 42
Conclusiones Primero llegó ISO 9001. Luego vino ISO 27001. La Continuidad de Negocio es el próximo hito. 43
44

Recommandé

Niveles de conflictos
Niveles de conflictosNiveles de conflictos
Niveles de conflictosMonica Galdos
 
Metodologia sistemas-blandos
Metodologia sistemas-blandosMetodologia sistemas-blandos
Metodologia sistemas-blandosCecilia Lara
 
Plantilla ers
Plantilla ersPlantilla ers
Plantilla ersMiguel Angel
 
metodologia para resolver problemas
metodologia para resolver problemas metodologia para resolver problemas
metodologia para resolver problemas nelson0007
 
TOMA DE DECISIONES
TOMA DE DECISIONESTOMA DE DECISIONES
TOMA DE DECISIONESVideoconferencias UTPL
 
02 captura de requisitos
02 captura de requisitos02 captura de requisitos
02 captura de requisitosMariana Fajardo Estudillo
 
Conflicto y equipos de trabajo.
Conflicto y equipos de trabajo.Conflicto y equipos de trabajo.
Conflicto y equipos de trabajo.estudianteudg
 
Presentacion clase mediacion familiar
Presentacion clase mediacion familiarPresentacion clase mediacion familiar
Presentacion clase mediacion familiarAndrea Martin Prunotto
 

Recommandé

Niveles de conflictos
Niveles de conflictosNiveles de conflictos
Niveles de conflictosMonica Galdos
 
Metodologia sistemas-blandos
Metodologia sistemas-blandosMetodologia sistemas-blandos
Metodologia sistemas-blandosCecilia Lara
 
Plantilla ers
Plantilla ersPlantilla ers
Plantilla ersMiguel Angel
 
metodologia para resolver problemas
metodologia para resolver problemas metodologia para resolver problemas
metodologia para resolver problemas nelson0007
 
TOMA DE DECISIONES
TOMA DE DECISIONESTOMA DE DECISIONES
TOMA DE DECISIONESVideoconferencias UTPL
 
02 captura de requisitos
02 captura de requisitos02 captura de requisitos
02 captura de requisitosMariana Fajardo Estudillo
 
Conflicto y equipos de trabajo.
Conflicto y equipos de trabajo.Conflicto y equipos de trabajo.
Conflicto y equipos de trabajo.estudianteudg
 
Presentacion clase mediacion familiar
Presentacion clase mediacion familiarPresentacion clase mediacion familiar
Presentacion clase mediacion familiarAndrea Martin Prunotto
 
Módulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosMódulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosFrancisco Medina
 
Uml
UmlUml
Umlkarlalopezbello
 
Tema N° 6 Técnicas para el Levantamiento y Recolección de Requisitos
Tema N° 6 Técnicas para el Levantamiento y Recolección de RequisitosTema N° 6 Técnicas para el Levantamiento y Recolección de Requisitos
Tema N° 6 Técnicas para el Levantamiento y Recolección de RequisitosSaraEAlcntaraR
 
Estrategias prueba de software
Estrategias prueba de softwareEstrategias prueba de software
Estrategias prueba de softwareCentro Líbano
 
Primeros artefactos de análisis. casos de uso
Primeros artefactos de análisis. casos de usoPrimeros artefactos de análisis. casos de uso
Primeros artefactos de análisis. casos de usoJuan Pablo Bustos Thames
 
¿Qué es un conflicto?
¿Qué es un conflicto?¿Qué es un conflicto?
¿Qué es un conflicto?Josune Escaso Rodríguez
 
Dinámica De Sistemas
Dinámica De SistemasDinámica De Sistemas
Dinámica De SistemasDinasi∫
 
Unidad 6 seguridad informatica
Unidad 6 seguridad informaticaUnidad 6 seguridad informatica
Unidad 6 seguridad informaticaFrancisco Hernandez
 
Manejo de conflictos
Manejo de conflictosManejo de conflictos
Manejo de conflictosMelisa Chavez
 
Aplicación de-msb-final
Aplicación de-msb-finalAplicación de-msb-final
Aplicación de-msb-finalJorge Luis Severino Vicharra
 
Modelos de analisis forense
Modelos de analisis forenseModelos de analisis forense
Modelos de analisis forenseEmilyHernndez15
 
Continuidad de negocio usando Software libre
Continuidad de negocio usando Software libreContinuidad de negocio usando Software libre
Continuidad de negocio usando Software libreEOI Escuela de Organización Industrial
 
17 Continuidad De Negocio Neurowork Why Floss
17 Continuidad De Negocio Neurowork Why Floss17 Continuidad De Negocio Neurowork Why Floss
17 Continuidad De Negocio Neurowork Why FlossNeurowork
 
Metodo evita
Metodo evitaMetodo evita
Metodo evitaGustavo Calquin
 
2 método evita
2 método evita2 método evita
2 método evitaJohan Herrera Cuello
 
Es common-errors
Es common-errorsEs common-errors
Es common-errorsMiguel Angel Rico de la Rosa
 
Relaciones públicas y manejo de crisis
Relaciones públicas y manejo de crisisRelaciones públicas y manejo de crisis
Relaciones públicas y manejo de crisisLourdes López Ayala
 
Entre Creer Que Se Sabe Y Saber De Verdad
Entre Creer Que Se Sabe Y Saber De VerdadEntre Creer Que Se Sabe Y Saber De Verdad
Entre Creer Que Se Sabe Y Saber De VerdadAdmin UCI
 
Investigacion efectiva de incidente
Investigacion efectiva de incidente Investigacion efectiva de incidente
Investigacion efectiva de incidente ENARSAHI
 
Plan de continuidad de negocio
Plan de continuidad de negocioPlan de continuidad de negocio
Plan de continuidad de negocioAndres Ldño
 
16-Unidad 4: Manejo de archivos y seguimiento del proyecto
16-Unidad 4: Manejo de archivos y seguimiento del proyecto16-Unidad 4: Manejo de archivos y seguimiento del proyecto
16-Unidad 4: Manejo de archivos y seguimiento del proyectoLuis Fernando Aguas Bucheli
 
ciclovida.pdf
ciclovida.pdfciclovida.pdf
ciclovida.pdfJuanPelaez46
 

Contenu connexe

Tendances

Módulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosMódulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosFrancisco Medina
 
Tema N° 6 Técnicas para el Levantamiento y Recolección de Requisitos
Tema N° 6 Técnicas para el Levantamiento y Recolección de RequisitosTema N° 6 Técnicas para el Levantamiento y Recolección de Requisitos
Tema N° 6 Técnicas para el Levantamiento y Recolección de RequisitosSaraEAlcntaraR
 
Estrategias prueba de software
Estrategias prueba de softwareEstrategias prueba de software
Estrategias prueba de softwareCentro Líbano
 
Primeros artefactos de análisis. casos de uso
Primeros artefactos de análisis. casos de usoPrimeros artefactos de análisis. casos de uso
Primeros artefactos de análisis. casos de usoJuan Pablo Bustos Thames
 
Dinámica De Sistemas
Dinámica De SistemasDinámica De Sistemas
Dinámica De SistemasDinasi∫
 
Manejo de conflictos
Manejo de conflictosManejo de conflictos
Manejo de conflictosMelisa Chavez
 
Modelos de analisis forense
Modelos de analisis forenseModelos de analisis forense
Modelos de analisis forenseEmilyHernndez15
 

Tendances (11)

Módulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosMódulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de Datos
 
Uml
UmlUml
Uml
 
Tema N° 6 Técnicas para el Levantamiento y Recolección de Requisitos
Tema N° 6 Técnicas para el Levantamiento y Recolección de RequisitosTema N° 6 Técnicas para el Levantamiento y Recolección de Requisitos
Tema N° 6 Técnicas para el Levantamiento y Recolección de Requisitos
 
Estrategias prueba de software
Estrategias prueba de softwareEstrategias prueba de software
Estrategias prueba de software
 
Primeros artefactos de análisis. casos de uso
Primeros artefactos de análisis. casos de usoPrimeros artefactos de análisis. casos de uso
Primeros artefactos de análisis. casos de uso
 
¿Qué es un conflicto?
¿Qué es un conflicto?¿Qué es un conflicto?
¿Qué es un conflicto?
 
Dinámica De Sistemas
Dinámica De SistemasDinámica De Sistemas
Dinámica De Sistemas
 
Unidad 6 seguridad informatica
Unidad 6 seguridad informaticaUnidad 6 seguridad informatica
Unidad 6 seguridad informatica
 
Manejo de conflictos
Manejo de conflictosManejo de conflictos
Manejo de conflictos
 
Aplicación de-msb-final
Aplicación de-msb-finalAplicación de-msb-final
Aplicación de-msb-final
 
Modelos de analisis forense
Modelos de analisis forenseModelos de analisis forense
Modelos de analisis forense
 

Similaire à Continuidad de Negocio (UNE 71599 / BS 25999)

17 Continuidad De Negocio Neurowork Why Floss
17 Continuidad De Negocio Neurowork Why Floss17 Continuidad De Negocio Neurowork Why Floss
17 Continuidad De Negocio Neurowork Why FlossNeurowork
 
Relaciones públicas y manejo de crisis
Relaciones públicas y manejo de crisisRelaciones públicas y manejo de crisis
Relaciones públicas y manejo de crisisLourdes López Ayala
 
Entre Creer Que Se Sabe Y Saber De Verdad
Entre Creer Que Se Sabe Y Saber De VerdadEntre Creer Que Se Sabe Y Saber De Verdad
Entre Creer Que Se Sabe Y Saber De VerdadAdmin UCI
 
Investigacion efectiva de incidente
Investigacion efectiva de incidente Investigacion efectiva de incidente
Investigacion efectiva de incidente ENARSAHI
 
Plan de continuidad de negocio
Plan de continuidad de negocioPlan de continuidad de negocio
Plan de continuidad de negocioAndres Ldño
 
16-Unidad 4: Manejo de archivos y seguimiento del proyecto
16-Unidad 4: Manejo de archivos y seguimiento del proyecto16-Unidad 4: Manejo de archivos y seguimiento del proyecto
16-Unidad 4: Manejo de archivos y seguimiento del proyectoLuis Fernando Aguas Bucheli
 
Ernesto planescontingencia
Ernesto planescontingenciaErnesto planescontingencia
Ernesto planescontingenciafrancisnieto
 
Metodologias de investigacion Ingenieria de software
Metodologias de investigacion Ingenieria de software Metodologias de investigacion Ingenieria de software
Metodologias de investigacion Ingenieria de software kisx1212
 
Planes contingencia
Planes contingenciaPlanes contingencia
Planes contingenciaPatricia
 

Similaire à Continuidad de Negocio (UNE 71599 / BS 25999) (20)

Continuidad de negocio usando Software libre
Continuidad de negocio usando Software libreContinuidad de negocio usando Software libre
Continuidad de negocio usando Software libre
 
17 Continuidad De Negocio Neurowork Why Floss
17 Continuidad De Negocio Neurowork Why Floss17 Continuidad De Negocio Neurowork Why Floss
17 Continuidad De Negocio Neurowork Why Floss
 
Metodo evita
Metodo evitaMetodo evita
Metodo evita
 
2 método evita
2 método evita2 método evita
2 método evita
 
Es common-errors
Es common-errorsEs common-errors
Es common-errors
 
Relaciones públicas y manejo de crisis
Relaciones públicas y manejo de crisisRelaciones públicas y manejo de crisis
Relaciones públicas y manejo de crisis
 
Entre Creer Que Se Sabe Y Saber De Verdad
Entre Creer Que Se Sabe Y Saber De VerdadEntre Creer Que Se Sabe Y Saber De Verdad
Entre Creer Que Se Sabe Y Saber De Verdad
 
Investigacion efectiva de incidente
Investigacion efectiva de incidente Investigacion efectiva de incidente
Investigacion efectiva de incidente
 
Plan de continuidad de negocio
Plan de continuidad de negocioPlan de continuidad de negocio
Plan de continuidad de negocio
 
16-Unidad 4: Manejo de archivos y seguimiento del proyecto
16-Unidad 4: Manejo de archivos y seguimiento del proyecto16-Unidad 4: Manejo de archivos y seguimiento del proyecto
16-Unidad 4: Manejo de archivos y seguimiento del proyecto
 
ciclovida.pdf
ciclovida.pdfciclovida.pdf
ciclovida.pdf
 
Ernesto planescontingencia
Ernesto planescontingenciaErnesto planescontingencia
Ernesto planescontingencia
 
Ciclovida
CiclovidaCiclovida
Ciclovida
 
Ciclovida sistemas
Ciclovida sistemasCiclovida sistemas
Ciclovida sistemas
 
Ciclovida
CiclovidaCiclovida
Ciclovida
 
Ciclovida
CiclovidaCiclovida
Ciclovida
 
Ciclo de vida de un sistema
Ciclo de vida de un sistemaCiclo de vida de un sistema
Ciclo de vida de un sistema
 
Metodologias de investigacion Ingenieria de software
Metodologias de investigacion Ingenieria de software Metodologias de investigacion Ingenieria de software
Metodologias de investigacion Ingenieria de software
 
Ciclovida
CiclovidaCiclovida
Ciclovida
 
Planes contingencia
Planes contingenciaPlanes contingencia
Planes contingencia
 

Plus de S2 Grupo · Security Art Work

Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasIntroducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasS2 Grupo · Security Art Work
 

Plus de S2 Grupo · Security Art Work (10)

LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15
 
Hardening murcia lan party 2013
Hardening murcia lan party 2013Hardening murcia lan party 2013
Hardening murcia lan party 2013
 
Facebook to whatsapp
Facebook to whatsappFacebook to whatsapp
Facebook to whatsapp
 
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasIntroducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
 
Protección de Infraestructuras Críticas
Protección de Infraestructuras CríticasProtección de Infraestructuras Críticas
Protección de Infraestructuras Críticas
 
Facebook to whatsapp
Facebook to whatsappFacebook to whatsapp
Facebook to whatsapp
 
Seguridad dentro y fuera de la Nube
Seguridad dentro y fuera de la NubeSeguridad dentro y fuera de la Nube
Seguridad dentro y fuera de la Nube
 
Gestión de Incidencias
Gestión de IncidenciasGestión de Incidencias
Gestión de Incidencias
 
El nuevo director de seguridad
El nuevo director de seguridadEl nuevo director de seguridad
El nuevo director de seguridad
 
Convergencia de la Seguridad
Convergencia de la SeguridadConvergencia de la Seguridad
Convergencia de la Seguridad
 

Dernier

Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilJuanGallardo438714
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxlosdiosesmanzaneros
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 

Dernier (15)

Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 

Continuidad de Negocio (UNE 71599 / BS 25999)

  • 1. Continuidad de Negocio UNE 71599 / BS 25999 Manuel Benet Consultor de Seguridad. S2 Grupo 12 de Mayo, 2011
  • 2. Prólogo Prólogo Existen varios caminos a la Continuidad de Negocio: a. El directo. b. El indirecto. c. El doloroso. 2
  • 3. Prólogo a. El directo o “momento revelación” “Hoy podría morir calcinado en este salón de actos. ¿Sobreviviría mi organización a tan trágica pérdida?“ I. No. Tienen (tenemos) un problema. II. Sí. ¿A qué coste? 3
  • 4. Prólogo b. El indirecto o “momento certificación ISO 27001” 4
  • 5. Prólogo c. El doloroso Suele llegar demasiado tarde y quizá no haya negocio que continuar. Puede conllevar no sólo pérdidas económicas sino también humanas. 5
  • 6. Prólogo Los tres caminos suelen compartir las mismas fases, aunque su duración es variable. 6
  • 7. Acto I “Eso no me puede pasar a mí” 7
  • 8. “Eso no me puede pasar a mí” 1. Polonia El 10 de abril de 2010 el avión Tupolev 154 en el que viajaba el presidente de Polonia, Lech Kaczynski, se estrelló en la ciudad rusa de Smolensk. Además del presidente y su esposa fallecieron el gobernador del Banco Central, el jefe de Estado Mayor, el viceministro de Exteriores y decenas de diputados. 8
  • 9. “Eso no me puede pasar a mí” 2. Edificio Windsor 9
  • 10. “Eso no me puede pasar a mí” 3. Fukushima 10
  • 11. Acto II “Quizá sí, pero es poco probable” 11
  • 12. “Quizá sí, pero es poco probable” Ejemplos más “mundanos” 1. Manolo, su excavadora y las líneas de datos. 2. Los grupos electrógenos: a veces funcionan, a veces no. 3. Esa afición por colocar tuberías en los CPDs. 4. La diversión de abrir adjuntos ejecutables. 5. ¿La clave del fichero de claves? Sólo la sabía Pepe. 6. ¿Copias? ¿Qué copias? 7. Los AACC se van de vacaciones en agosto. 12
  • 13. Acto III “De acuerdo, hagámoslo” 13
  • 15. “De acuerdo, hagámoslo” El camino fácil (que no el correcto) Una vez planteada la necesidad/obligatoriedad del proyecto, es habitual optar por un enfoque “simplificado” que... 15
  • 16. “De acuerdo, hagámoslo” … se limita a las copias de seguridad y poco más. … ignora la problemática asociada a las personas. … ignora las necesidades del negocio. … ignora las capacidades reales de TI. … no es mantenido regularmente. … no es probado en condiciones. … no incluye los planes operativos correspondientes. 16
  • 17. “De acuerdo, hagámoslo” Ese planteamiento, menos exhaustivo y costoso, puede ser parcialmente válido, pero debemos ser conscientes de sus limitaciones y de que no es un Sistema de Gestión de Continuidad de Negocio. Lo que fácil viene, fácil se va 17
  • 18. “De acuerdo, hagámoslo” El camino correcto (que no el fácil) 1. Implica un proceso de a) desarrollo, b) implantación, c) mantenimiento y d) posible certificación. 2. Requiere pruebas periódicas. 3. Necesita tiempo, recursos económicos y humanos. 4. Exige implicación de la Dirección. 5. Es un Sistema de Gestión. 6. Sigue un estándar probado: UNE 71599 / BS 25999. 18
  • 19. La Continuidad de Negocio según UNE 71599 / BS 25999 19
  • 20. UNE 71599 / BS 25999 La Continuidad de Negocio es un sistema de Gestión que identifica las amenazas que pueden poner en riesgo la continuidad de la organización y proporciona los medios para hacerles frente y proteger el negocio. 20
  • 21. UNE 71599 / BS 25999 Seis pasos básicos 1. Colocar los cimientos. 2. Entender la Organización. 3. Determinar la Estrategia de Continuidad de Negocio. 4. Desarrollar e implantar la Continuidad de Negocio. 5. Probar, mantener, revisar y auditar. 6. Asentar la Continuidad de Negocio en la cultura de la organización. 21
  • 22. UNE 71599 / BS 25999 Seis pasos básicos 22
  • 23. 1. Asegurar los cimientos 1. Colocar los cimientos • Definición del alcance • Asignar recursos. • Implicar a la Dirección y a la organización. • Asignar las responsabilidades. 23
  • 24. 1. Asegurar los cimientos Errores típicos • El alcance no está claramente definido. • Hay proyecto, pero no hay recursos. • No hay implicación (“es un proyecto de TI”). • ¿Responsabilidades? ¿Qué responsabilidades? (también conocido como “TI se lo guisa, TI se lo come.”) 24
  • 25. 2. Entender la organización 2. Entender la organización • El Análisis de Impacto sobre el Negocio. • El Análisis de Riesgos. 25
  • 26. 2. Entender la organización El Análisis de Impacto sobre el Negocio (AIN o BIA): I. Procesos del negocio. • Activos y personal implicado. • Dependencias (proveedores, servicios internos, etc.). • Periodos críticos. • Impactos. • Tiempo máximo de interrupción tolerable. • Niveles mínimos de calidad de servicio aceptables tras la recuperación del proceso. • Tiempo máximo para volver a la operación normalizada. 26
  • 27. 2. Entender la organización El Análisis de Riesgos: I. Amenazas. II. Impactos. III. Probabilidades. IV. Riesgos inherentes y residuales. V. Política de gestión de riesgos (aceptar / mitigar / transferir / eliminar). El resultado proporciona los riesgos no aceptables para las necesidades del negocio y los procesos más vulnerables a los riesgos detectados. 27
  • 28. 2. Entender la organización Errores comunes • Tener una visión demasiado “aérea”. • Obtener tiempos no “razonables”. • Omitir dependencias internas. • Omitir personal crítico. • Basarse únicamente en la visión de TI. • No consensuar/contrastar los resultados obtenidos con el resto de la organización. 28
  • 29. 3. La estrategia 3. La estrategia Para cada potencial incidente, deben desarrollarse alternativas a adoptar en cada uno de los aspectos controlables. Recursos necesarios para cada alternativa propuesta. 29
  • 30. 3. La estrategia Posibles alternativas y factores • Personal. Necesidades de formación, externalización, gestión del conocimiento… • Ubicaciones físicas. Alquiler, compra, teletrabajo… • Tecnología. Sedes alternativas, replicación, acceso remoto, virtualización, copias de seguridad,… • Información. Ubicación digital, papel, datos de carácter personal, registros críticos,… • Suministros. Proveedores críticos y tiempos de respuesta, contratos de servicio, almacenes y proveedores alternativos… • Terceras partes. Aspectos legales (p.ej. LOPD, presentación de tributos), comunicación con clientes, partners,… 30
  • 31. 3. La estrategia Errores comunes • Las estrategias no están en línea con el risk appettite (o nivel de riesgo aceptable por la organización). • No tener en cuenta las actividades críticas. • No tener en cuenta los periodos críticos. • Proponer estrategias “a futuro” o irreales por coste o ejecución. No ser realista. • No tener el apoyo y visto bueno de Dirección. 31
  • 32. 4. Desarrollo e implantación 4. Desarrollo e Implantación Tomando como base la información del BIA, el AR y las estrategias seleccionadas, determina: • El plan de respuesta a incidentes (o Plan de Crisis). • Planes de gestión de incidentes. 32
  • 33. 4. Desarrollo e implantación El plan de respuesta a incidentes: • Gestiona el momento inicial de la incidencia. • Garantiza una respuesta rápida al incidente. • Simplifica la toma de decisiones. • Identifica al personal responsable de la gestión del incidente. • Especifica las condiciones de disparo de los planes específicos. Si algo puede salir mal, saldrá mal, y lo hará en el peor momento posible. 33
  • 34. 4. Desarrollo e implantación Los planes de gestión de incidentes: • Documentos que permiten la recuperación de las diferentes actividades afectadas por un incidente. • Identifican al personal responsable del plan. • Contienen los recursos necesarios afectados por el plan (personal, locales, tecnología, información, suministros y terceras partes). • Contienen los procedimientos de toma de decisiones (quién, cómo, y a quién informar). • Identifican procedimientos operativos concretos. 34
  • 35. 4. Desarrollo e implantación Errores comunes • La documentación está obsoleta. • La documentación está ilocalizable. • ¿Documentación? ¿Qué documentación? • Las responsabilidades no están definidas. • No se contemplan dependencias. • El escalado de incidencias no está claramente definido. • No existen planes operativos. 35
  • 36. 5. Pruebas 5. Pruebas • Verificar que el sistema “no olvida nada”. • Comprobar que TI puede soportar al negocio. • Anticipar problemas concretos en situaciones controladas. • Mejorar la capacidad de la organización para enfrentarse a situaciones de crisis. • Propagar la cultura de la continuidad de negocio entre los participantes. • Generar confianza entre los participantes de las pruebas. 36
  • 37. 5. Pruebas Errores comunes • No se realizan pruebas. • Las pruebas olvidan al usuario final u omiten personal relevante. • Las pruebas no son comunicadas a la organización. • Las pruebas no son realistas. • El resultado de las pruebas se “maquilla”. • El resultado de las pruebas no tiene continuidad (¿planes de acción?). 37
  • 38. 6. Cultura de la organización 6. Cultura de la organización Como todo Sistema de Gestión, debe desarrollarse un programa de concienciación que: • Mejore la eficacia del sistema. • Prepare al personal implicado. • Difunda entre clientes y proveedores las ventajas del sistema implantado. • Mejore la receptividad de la organización hacia las pruebas. 38
  • 39. 6. Cultura de la organización Algunas medidas • Utilización de los medios internos: Intranet, e- mail, circulares internas. • Sesiones de formación entre el personal. • Encuestas y grupos de trabajo. • Incluir la Continuidad de Negocio en las reuniones de los departamentos. 39
  • 40. 6. Cultura de la organización Errores comunes • No desarrollar un programa de concienciación. • Incluir en el programa únicamente a personal técnico. • Tener un programa demasiado disperso en el tiempo. 40
  • 41. Conclusiones Un Sistema de Gestión de la Continuidad de Negocio es como una rueda de repuesto: Se ve poco, no se usa, pero hay que revisarla de vez en cuando. Ojalá no tengamos que utilizarla nunca, pero… …mejor que esté ahí, por si acaso. 41
  • 42. Conclusiones Principales problemas • No tener el apoyo de Dirección. • No dedicar recursos, tiempo y personal asignado. • Olvidar las necesidades del negocio. • No desarrollar o mantener la documentación. • Obviar las pruebas y la comunicación a usuarios. 42
  • 43. Conclusiones Primero llegó ISO 9001. Luego vino ISO 27001. La Continuidad de Negocio es el próximo hito. 43
  • 44. 44