Jornadas sobre Informática y Derecho. Planes de seguridad - Planes de contingencia

Transcripción

1 COLEGIO OFICIAL DE INGENIEROS EN INFORMÁTICA DE LA COMUNIDAD VALENCIANA Jornadas sobre Informática y Derecho Mesa redonda: Planes de contigencia. Planes de seguridad - Planes de contingencia Autor: D. Francisco José García Martínez. Vicepresidente 1º COIICV. franciscoj.garcia@coiicv.org Valencia, octubre de 2004

2 INTRODUCCIÓN norma ISO:17799 Según la norma ISO: (Norma para la gestión de la seguridad de la información) Punto de partida para la seguridad de la información La seguridad se implementa a través de controles de seguridad. Algunos controles pueden considerarse como principios rectores de la seguridad de la información. Están basados en requisitos legales fundamentales, o bien se consideran como buenas prácticas de la seguridad de la información.

3 INTRODUCCIÓN controles de seguridad Los controles considerados esenciales: Desde el punto de vista legal: protección de datos personales protección de registros y documentos de la organización derechos de propiedad intelectual Los controles considerados como buenas prácticas: documentación de la política de seguridad asignación de responsabilidades. formación. comunicación de incidentes de seguridad administración de la continuidad de la empresa Priorizar según los riesgos específicos que afronta la organización.

4 INTRODUCCIÓN Evaluación de riesgos Evaluación metódica de: a) impacto potencial de un fallo de seguridad. b) probabilidad de ocurrencia de dicho fallo tomando en cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente implementados. Pueden aplicarse a toda la organización, o sólo a partes de la misma. Los resultados de esta evaluación determinan las prioridades para la implementación de los controles de seguridad.

5 Introducción. Desarrollo e implantación del plan. Recuperación del un sistema de información

6 Introducción Objetivo: Contrarrestar las interrupciones de las actividades y proteger los procesos críticos de los negocios.... analizar las consecuencias de desastres, fallos de seguridad e interrupciones del servicio.. con un..... alcance: preveer grandes y pequeños incidentes, que generan una imagen negativa de la organización para su personal y clientes... evitar discontinuidad: ocasionada por incidentes (que pueden ser el resultado de, por ej., desastres naturales, accidentes, fallos en el equipamiento, y acciones deliberadas)... como resultado resultado: un nivel aceptable de servicio, mediante una combinación de controles preventivos y de recuperación.... durante vigencia: mantenimiento constante e integración del resto de los procesos de administración y gestión. El plan debe ser aprobado por la gerencia.

7 Desarrollo Se deben contemplar los siguientes aspectos clave: Comprensión de los riesgos en términos de probabilidad de ocurrencia e impacto. Comprensión del impacto que una interrupción puede tener en los negocios: soluciones para los incidentes menos significativos, y para los incidentes graves. considerar la contratación de seguros. elaboración y documentación de una estrategia de continuidad de los negocios priorizada pruebas y actualización periódicas de los planes y procesos implementados La responsabilidad por la coordinación debe ser asignada a un nivel jerárquico alto.

8 Implantación Se deben considerar los siguientes puntos: identificación de la responsabilidades y procedimientos de emergencia; implementación de procedimientos de emergencia para permitir la recuperación y restablecimiento en los plazos requeridos. Esto debe incluir disposiciones con respecto a la gestión de las relaciones públicas y a vínculos eficaces a establecer con las autoridades públicas pertinentes, por ej. policía, bomberos y autoridades locales. documentación de los procedimientos y procesos acordados; instrucción adecuada del personal en materia de procedimientos y procesos de emergencia acordados, incluyendo el manejo de crisis. prueba y actualización de los planes.

9 Recuperación Debe tenerse en cuenta: Los procedimientos de comunicación de incidentes. Los procedimientos de gestión de incidentes: convocatoria de un gabinete de crisis, evaluación de la situación, puesta en marcha de medidas, etc. Los procedimientos de comunicación y vuelta a la normalidad una vez reestablecido el servicio en su estado original. Los objetivos de negocio: por ej. restablecimiento de los servicios a clientes en un plazo aceptable. Deben considerarse los servicios y recursos que, en momentos de crisis, permitirán recuperar la normalidad, entre otros: dotación de personal comunicaciones. sistemas informáticos de emergencia, sitios alternativos de procesamiento de la información.

10 Variable Tiempo Es importante llevar a cabo revisiones periódicas de los riesgos de seguridad y de los controles implementados a fin de: 1.- reflejar los cambios en los requerimientos y prioridades de la empresa; considerar nuevas amenazas y vulnerabilidades; corroborar que los controles siguen siendo eficaces y apropiados. 2.- Las revisiones deben llevarse a cabo con diferentes niveles de profundidad según: los resultados de evaluaciones anteriores y los niveles variables de riesgo que la gerencia está dispuesta a aceptar.

11 Variable Tiempo Prueba de los planes de continuidad de los negocios Los planes de continuidad de los negocios pueden fallar en el curso de las pruebas, frecuentemente debido a: Suposiciones incorrectas. Negligencias. cambios en el equipamiento o el personal. Fallos en la actualización de la documentación y mantenimiento de los recursos para recuperación. Etc. Las pruebas también deben garantizar que todos los miembros del equipo de recuperación y demás personal relevante estén al corriente de los planes.

12 Variable Tiempo Mantenimiento y reevaluación del plan Se deben incluirse en los procedimientos de control de cambios de la organización. Los planes actualizados deben distribuirse. Entre los ejemplos de actualización de los planes: la adquisición de nuevo equipamiento la actualización ( upgrading ) de los sistemas operacionales los cambios de: Personal direcciones o números telefónicos; estrategia de los negocios; ubicación, instalaciones y recursos; legislación; contratistas, proveedores y clientes clave; procesos, o procesos nuevos/eliminados; riesgos (operacionales y financieros).

13 COLEGIO OFICIAL DE INGENIEROS EN INFORMÁTICA DE LA COMUNIDAD VALENCIANA Jornadas sobre Informática y Derecho Mesa redonda: Planes de contigencia Gracias por su tiempo! Más información: formacion@coiicv.org