Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información. Continuidad de Negocios y Planificación de. Recuperación de Desastre

Transcripción

1 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Continuidad de Negocios y Planificación de Recuperación de Desastre (Business Continuity and Disaster Recovery Planning) Agenda Introducción Risk Assessment (RIA) Business Impact Analysis (BIA) Metodología Disaster Recovery Plan (DRP) Metodología Business continuity Program (BCP) Metodología Business Continuity Management (BCM) Ejercicio de los Planes de Continuidad Curso de Seguridad de la Información - Módulo X Página 1 Preocupaciones del CIO Qué es lo que no le permite dormir al CIO desde el 2006? En orden de las 10 primeras preocupaciones: 1. La Seguridad Informática 2. La Continuidad del Negocio 3. La Recuperación en casos de Desastre Fuente- Information Week Curso de Seguridad de la Información - Módulo X Página 2

2 El dinero no es la única preocupación La pérdida de productividad de los empleados Una ruptura en el servicio del cliente La pérdida de confianza del cliente y buena voluntad El incremento en los costos de asistencia técnica Los niveles de servicio acordados con terceros Las Obligaciones legales adquiridas con terceros o con el gobierno Curso de Seguridad de la Información - Módulo X Página 3 El dinero no es la única preocupación n (Cont.) Risk Management A changing framework Value of Tangible assets Knowledge Reputation Management Image Value of Intangible assets Traditional Asset Protection 1970 s Production based economy Mainly National/Local Founded on Plant, Labour etc Knowledge based economy Curso de Seguridad de la Información - Módulo X Página 4 Recuperación ante Contingencias Tareas a definir para Antes de que ocurra una interrupción Durante la ocurrencia de la interrupción Después de que ocurrió la interrupción Toda la Planificación de la Recuperación ante Contingencias debe ser realizada antes de la ocurrencia de los eventos. Proactivo en lugar de Reactivo La prioridad Número 1 de la recuperación ante contingencias es LA GENTE SIEMPRE ESTA PRIMERO Curso de Seguridad de la Información - Módulo X Página 5

3 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Risk Assessment (RIA) Risk Assessment Seguridad de las redes y de la información: la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización Activos: Son los recursos del sistema de información, o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección Curso de Seguridad de la Información - Módulo X Página 7 Valoración de Activos Coste que supondría la ocurrencia de una amenaza valor de reposición valor de reconstrucción horas perdidas de trabajo lucro cesante daños y perjuicios No sólo importa lo que cuesta, importa más para qué vale Para un estudio comparativo basta alguna escala sencilla: 0, 1, 2,..., 10 es más importante saber el valor relativo que el absoluto Para un estudio de costes se requiere una estimación ajustada Curso de Seguridad de la Información - Módulo X Página 8

4 Dimensiones de Valoración de activos Disponibilidad Qué importancia tendría que el activo no estuviera disponible? Integridad Qué importancia tendría que el activo fuera modificado fuera de control? Confidencialidad Qué importancia tendría que el activo fuera conocido por personas no autorizadas? Autenticidad Qué importancia tendría que quien accede al activo no sea realmente quien se cree? Trazabilidad (accountability) Qué importancia tendría que no quedara constancia del uso del activo? Curso de Seguridad de la Información - Módulo X Página 9 Amenazas Son los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales Tipos de Amenazas: Accidentales: Naturales Terremotos, huracanes Humanos errores operativos Técnicos fallas de Hardware Deliberadas: (intencionales) Humanas terrorismo, robo Técnicas espionaje, hacking Curso de Seguridad de la Información - Módulo X Página 10 Cuantificación de Amenazas Se trata de estimar la vulnerabilidad de los activos frente a las amenazas Las amenazas se cuantifican por su efecto sobre los activos afectados frecuencia de ocurrencia cuántas veces por año? ARO = annual rate of occurrence Degradación daño causado porcentaje del valor del activo que costará... Curso de Seguridad de la Información - Módulo X Página 11

5 Impacto Consecuencia que sobre un activo tiene la materialización de una amenaza pérdida posible Curso de Seguridad de la Información - Módulo X Página 12 Riesgo Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización pérdida probable Valoración cualitativa / subjetiva irrelevante grave intolerable cuantitativa / económica coste dinerario Métodos cualitativos: tabulares cuantitativos: impacto frecuencia Curso de Seguridad de la Información - Módulo X Página 13 Análisis de riesgos Curso de Seguridad de la Información - Módulo X Página 14

6 Estimación Tabular del riesgo Curso de Seguridad de la Información - Módulo X Página 15 Resumiendo Gestión del Riesgo Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a que estáexpuesta una organización Evaluación de los riesgos: proceso en el que se coteja el riesgo estimado contra los criterios de la organización para determinar la importancia del riesgo Tratamiento de riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados Curso de Seguridad de la Información - Módulo X Página 16 Risk Assessment Metodología orientada a determinar la vulnerabilidades que puede padecer una organización. Con base en los diversos riesgos encontrados, se les asigna un valor específico, según la probabilidad de ocurrencia y de la cobertura del seguro contratado, con el fin de proponer alternativas para reducir el riesgo. Identificamos: Identificacion de escenarios de fallas potenciales. Probabilidad de Ocurrencia de la Falla. Costo de la falla (análisis de impacto). Costo monetario. Gastos operativos adicionales. Violación de contratos o requerimientos legales. Pérdida de ventaja competitiva, confianza del público. Assumed maximum downtime (tiempo marco de recuperación). Balance del impacto vs. costo de los controles/ contramedidas. Curso de Seguridad de la Información - Módulo X Página 17

7 Algunos Datos Estadísticos 67% de las compañías que tienen un desastre por más de dos semanas, están fuera del negocio dentro de los dos años siguientes. Sun Systems Gartner Group estima que, de cinco empresas que sufren una contingencia dos de ellas saldrán del negocio dentro de los cinco siguientes años. Gartner Group, September 2001 El 40 % de las empresas dicen que tomará mas de un día regresar o poner en línea los sistemas en caso de que el desastre destruya una localidad principal. Information Week Research, Nov 26, 2001 El porcentaje de estar fuera de servicio por una hora es de $84,000 dólares en un Call Center. IDC El costo estimado por una hora de un empleado por no operar en caso de contingencia de acuerdo a información de la Industria Aseguradora es de $ 370 USD. Meta Group El 45% de las contingencias de los centros de cómputo en EUA es debido a fallas de energía eléctrica. Contingency Planning Research Las Funciones del Negocio no pueden continuar operando después de 4.8 días sin la recuperción de la Infraestructura tecnológica. Info Security News EL 68% de los negocios RECLAMAN Planes de Contingencia. Disaster Recovery Journal El 60% de las empresas tienen información crítica de los usuarios en sus laptos o desktops. Network World, November 26, 2001 Curso de Seguridad de la Información - Módulo X Página 18 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Business Impact Analysis (BIA) Business Impact Analysis Análisis de Impactos al Negocio. A través de esta metodología se hace un análisis de todos los procesos y aplicaciones dentro de la Empresa a través de un CUESTIONARIO que se aplica en diversos niveles. Como resultado se llega a determinar el portafolio de PROCESOS Y APLICACIONES CRITICAS, así como los Requerimientos Mínimos y las características de cada uno de ellos. Curso de Seguridad de la Información - Módulo X Página 20

8 BIA Consiste en identificar los impactos de las interrupciones y escenarios de desastre que pueden afectar la organización: - Establecer el proyecto - Evaluar los efectos de las interrupciones, daños e impactos al negocio - Establezca la metodología BIA (cuestionarios, talleres, entrevistas..) - Defina y categorice las funciones y registros críticos - Determine las franjas de tiempo de recuperación y requerimientos de recursos mínimos - Identifique y categorice procesos del negocio - Determine tiempos de reemplazo - Administre los registros vitales Curso de Seguridad de la Información - Módulo X Página 21 BIA Consiste en realizar una evaluación de los procesos y sistemas del negocio, con el objetivo de identificar: Áreas, funciones y/o procesos sensibles a interrupciones Interdependencia entre procesos internos y externos Impactos financieros de las interrupciones Impactos Operacionales de las interrupciones Sistemas de información críticos para la operación Tiempos objetivo de recuperación (RTO) Puntos Objetivo de recuperación (RPO) Clientes y proveedores críticos de la organización Recursos necesarios para la recuperación de operaciones Épocas críticas para la operación del negocio Curso de Seguridad de la Información - Módulo X Página 22 BIA Resultados: Inventario de los procesos críticos del negocio. Secuencia de recuperación de procesos y sistemas críticos Estimación del impacto financiero de una interrupción en los procesos críticos del negocio. Estimación del impacto operacional de una interrupción en los procesos críticos del negocio. Identificación de los tiempos de recuperación para cada proceso crítico del negocio. Identificación de los requerimientos mínimos de los procesos o aplicaciones críticas del negocio durante las operaciones de recuperación. Curso de Seguridad de la Información - Módulo X Página 23

9 Cuestionario BIA Datos básicos del proceso y de su dueño Frecuencia del proceso Períodos de tiempo críticos Tiempo máximo de interrupción Volumen de trabajo del proceso Indicadores y medidas de desempeño existentes Impactos: Financiero, cliente interno, cliente externo, eficiencia operativa, aspectos legales, imagen - reputación y en general para la organización como negocio. Dependencias internas y externas Aplicaciones informáticas que lo soportan Procedimientos alternos existentes o sugeridos Efectividad de los procedimientos alternos Registros vitales de cada proceso Complejidad de recuperación de las dependencias evaluadas Recursos mínimos para la recuperación de cada dependencia. Curso de Seguridad de la Información - Módulo X Página 24 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Metodología DRP Disaster recovery plan Plan de Recuperación en Caso de Desastre. Está orientado a recuperar en el menor tiempo posible la operación de las APLICACIONES CRITICAS, utilizando para ello un equipo de cómputo alterno u otro plan alternativo, minimizando el impacto y el costo de un desastre. Permite recuperar las operaciones críticas definidas de IT. Responsable: Área de Sistemas Curso de Seguridad de la Información - Módulo X Página 26

10 DRP: Disaster Recovery Plan Objetivos Proteger a la organización de fallas generales de los servicios de información Minimizar el riesgo generado por la demora en la provisión de servicios de información Garantizar la confianza de los sistemas de backup a través de pruebas y simulaciones Minimizar la toma de decisiones del personal durante una contingencia Curso de Seguridad de la Información - Módulo X Página DRP: Disaster Recovery Plan Continuidad del procesamiento de datos Acuerdos de ayuda mutua Servicios de suscripción Hot Site Warm Site Cold Site Centros Múltiples Service Bureaus Centros Móviles Servicios de provisión de Hardware / Software Curso de Seguridad de la Información - Módulo X Página DRP: Disaster Recovery Plan Mantenimiento del Plan El plan es un documento vivo Asegurar que solo la copia más reciente del plan sea distribuida. Evitar la existencia de múltiples versiones Asegurar que la información de contactos esté actualizada Asegurar que ante la adquisición o modificación o eliminación de elementos críticos, estos serán incorporados al plan Curso de Seguridad de la Información - Módulo X Página 29 29

11 Metodología DRP Fase I Fase II Fase III Fase IV Fase IV Análisis de Amenazas Análisis de Impacto Aplicativo Determinar los servicios críticos de soporte Definir estrategia de recu- procesos de Definir peración recuperación Refinar Determinar estrategia de viabilidad recuperaciónde estrategia Finalizar estrategia de recuperación Definición de Recursos Documentación del Plan Capacitación Pruebas Mantenimiento Curso de Seguridad de la Información - Módulo X Página 30 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Metodología BCP Business Continuity Plan A diferencia del DRP, el Plan de Continuidad del Negocio (BCP) está orientado a recuperar en el menor tiempo posible la operación de las FUNCIONES CRITICAS del negocio, estén o no automatizadas. Responsable: Dirección Curso de Seguridad de la Información - Módulo X Página 32

12 BCP y DRP Conceptos Generales Business Continuity Plan (BCP) Define las acciones a tomar en los casos en que una determinada contingencia inhabilite algún área de operaciones o tecnología. Permite recuperar las operaciones críticas definidas del negocio. Incluye el DRP. El objetivo de un BCP es establecer las estrategias y procedimientos que deben ser implementados por un equipo de individuos que provee direccionamiento, soporte, equipamiento, metodologías y estándares para garantizar la continuidad de las operaciones del negocio Curso de Seguridad de la Información - Módulo X Página Objetivos del BCP Proteger al personal y los activos corporativos Asegurar la continuidad de las operaciones Garantizar la reanudación de los procesos críticos dentro de los margenes de tiempo tolerables Minimizar el proceso de toma de decisiones durante una contingencia Reducir los efectos negativos ocasionados por el caos Mantener el servicio al cliente Responder a los Inversionistas Cumplir con requerimientos Legales / Contractuales /Gubernamentales Reducir al máximo los niveles de dependencia sobre personas o grupos específicos en el proceso de continuidad. Eliminar la necesidad de desarrollar nuevos procedimientos durante la contingencia. Minimizar la posibilidad de pérdida de información crítica para el negocio. Cumplir con requerimientos de auditoria Curso de Seguridad de la Información - Módulo X Página 34 Metodología BCP Planeación del Proyecto Análisis de Impacto al Negocio Estudio de Riesgos Estrategias de Continuidad Desarrollo del Plan Pruebas del Plan Requerimientos Críticos Evaluación de Seguridad Recuperación Técnica Estructura de Plan Programación de la Prueba Dependencia entre Sistemas Análisis de Amenazas Recuperación de Usuarios Procedimientos documentados Procedimientos de la Prueba Tiempos / Periódos críticos Mitigación del Desastre Instalaciones de Recuperación Equipos de Recuperación Métodos de la Prueba Impactos sin servicio Recuperación del Negocio Mantenimiento a Procedimientos Evaluación de la Prueba Curso de Seguridad de la Información - Módulo X Página 35

13 Definición histórica Realidad Business Business Continuity Continuity Planning Planning Business Continuity Planning (BCP) es un todo que engloba los terminos que describen el proceso de planeación para asegurar que una organización puede sobrevivir ante un evento que cause la interrupción del proceso normal del negocio. El Business Continuity está limitado, es enfocado con TI, relacionados con activos y normalmente ligados con unidades especificas de negocio o departamento. Con frecuencia son planeados pero no probados o ejecutados. Disaster Disaster Recovery Recovery Disaster Recovery (DR) es una habilidad de la compañía para recuperar en un periodo aceptable de tiempo (basado en el tiempo de recuperación y la recuperación basada en ciertos objetivos) por un incidente mayor o desastre y que asegure que los usuarios, sistemas críticos del negocio son eficientemente restaurados en forma completa y accesible. La recuperación de datos y el Centro de Cómputo TI con buenos mecanismos ambientales y de protección pero pobre apalancamiento de la Infraestructura de TI. No se recuperan totalmente los activos de TI. Curso de Seguridad de la Información - Módulo X Página 36 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Metodología BCM Programa de Continuidad de Negocios Programa funcional determinado por los requerimientos del negocio Dirigido por un equipo directivo con autoridad para responder a las interrupciones. Modifica las consecuencias de una interrupción a un nivel aceptable por la Dirección. Proporciona un medio probado para enfrentar las crisis. Curso de Seguridad de la Información - Módulo X Página 38

14 Objetivos del plan de continuidad del negocio Garantizar una reanudación oportuna y eficiente de las operaciones de la Empresa, cuando se presente una interrupción mayor Asegurar la continuidad del negocio Curso de Seguridad de la Información - Módulo X Página 39 Objetivos del plan Reducir las decisiones que se toman durante una contingencia Reducir los efectos negativos ocasionados por el CAOS Evitar la dependencia sobre una persona o grupo de personas en el proceso de recuperación Eliminar la necesidad de desarrollar nuevos procedimientos durante la recuperación Minimizar la pérdida de Información que se considere CRITICA Curso de Seguridad de la Información - Módulo X Página 40 BCP: Business Continuity Management Roles y Responsabilidades Alta Gerencia Inicia el proyecto, da la aprobación final y apoya la iniciativa a lo largo de todo su ciclo de vida. Gerencia de Unidades de Negocio Identifican y priorizan los sistemas / operaciones críticas del negocio. Comité de BCP Dirige los procesos de planificación, implementación y prueba del BCP. Unidades Funcionales Participan en la implementación y las pruebas del plan. Curso de Seguridad de la Información - Módulo X Página 41 41

15 Ciclo de Vida de la Administración de la Continuidad del Negocio Prueba, Mantenimiento y Plan de Auditoría Entendimiento del Negocio 1 Administración de la Estrategia de Continuidad del Negocio Estructura y Difusión de la cultura del BCM 4 BCM Programa de Administración del BCM 3 Desarrollo e Implementación de Respuesta del BCM Curso de Seguridad de la Información - Módulo X Página 42 Administración de la Continuidad del Negocio Fase 1: Entendimiento del Negocio Estrategia Organizacional y Objetivos del Negocio Factores Críticos del Negocio (Misión de las Actividades Críticas) Productos de Negocio y Servicios (Core del Negocio) Fase 2: Administración de la Estrategia de Continuidad del Negocio Estrategia Organizacional del BCM (Corporativo) Niveles de los Procesos de la Estrategia del BCM Recursos de Recuperación para la Estrategia del BCM Fase 3: Desarrollo e Implementación de Respuesta del BCM Plan(es) de Continuidad del Negocio Planes de los Recursos de Recuperación Plan de Manejo de Crisis Fase 4: Estructura y Difusión de la cultura del BCM Cultura de BCM y Programa de Concientización Educación y Creación de las Actividades de Cultura Programa de Entrenamiento del BCM Fase 5: Prueba, Mantenimiento y Plan de Auditoría. Pruebas del BCM Mantenimiento del BCM Auditoría al BCM Fase 6: Administración del programa del BCM Definición del Programa Política del BCM Aseguramiento del BCM Curso de Seguridad de la Información - Módulo X Página 43 Mejores Prácticas de BCM El comité directivo revisa anualmente el programa La alta gerencia es responsable del BCM Personal de BC con presupuesto La función de BCM abarca todos los aspectos de la empresa BCM es un proceso continuo Política comprensible de respaldo de registrosvitales Existencia de estrategias de recuperación basadas en prioridades, momento e impacto en la empresa (BIA) Existencia de un programa de concientización, capacitación, pruebas y ejercicios El plan de continuidad está actualizado y disponible Un programa de continuidad de negocios NO es un proyecto, NO es una tarea de una sola vez, NO es por un período fijo de tiempo. Debe ser un programa permanente, vivo, consistente en varios proyectos interdependientes y reiterativos Curso de Seguridad de la Información - Módulo X Página 44

16 Beneficios del BCM Prever y mitigar el desastre de forma positiva, logrando mantener la continuidad de la empresa su reputación, credibilidad y lealtad del cliente. Recuperar en forma efectiva en el tiempo a la organización, reduciendo los impactos por el evento de la contingencia. Identificar las prioridades del negocio, alineándolas al BCM con la sinergia de la arquitectura de TI proporcionando a la organización elementos de competitividad en el ambiente de los negocios y de la industria. Contar con voto de confianza por parte de los accionistas de la organización. Delimitar las severidad del daño y riesgos hacia la salud y bienestar de los empleados. Minimizar la magnitud de la interrupción sobre los procesos críticos ante eventos inesperados. Contar con los elementos regulatorios y jurídicos para enfrentar juicios o demandas de terceros o gubernamentales. Contar con un BCM alineado a los estándares internacionales que permita cubrir los lineamientos solicitados por cada uno de ellos. Contar con personal entrenado para el manejo de crisis y recuperación de las operaciones. Asegurar que los registros vitales estén disponibles ante el evento de contingencia. Contar con la mayoría de los procedimientos probados. Minimizar la dependencia de los servicios informáticos ante el evento de la contingencia. Curso de Seguridad de la Información - Módulo X Página 45 Curva de Madurez del BCM A Fully tested effective BCM Level of business B No BCM lucky escape C No BCM usual outcome Time Critical recovery point Curso de Seguridad de la Información - Módulo X Página 46 Contexto BCM BCP - DRP BCM (Business Continuity Management) Considera la administración de la continuidad del negocio como parte de un proceso BCP (Business Continuity Plan) Plan dirigido a los procesos del Negocio DRP (Disaster Recovery Plan) Plan específico a tecnología de la Información Curso de Seguridad de la Información - Módulo X Página 47

17 Análisis de Impacto al Negocio Estudio de Riesgos Estrategias de Desarrollo del Continuidad Plan Pruebas del Plan Evolución en el Tiempo BCM BCM BCP BRP BRS DRP Resp. de Información DRP = Disaster Recovery Plan BRS = Business Recovery Services BRP = Business Recovery Plan BCP = Business Continuity Plan BCM = Business Continuity Management Curso de Seguridad de la Información - Módulo X Página 48 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Ejercicio de los Planes de Continuidad Objetivo de los Planes de Continuidad Planificar y coordinar el plan de ejercicios y evaluar y documentar los resultados de los mismos: Establecer un programa de ejercicios (pruebas) Determinar requerimientos de los ejercicios Definir escenarios de desastre Establecer criterios de evaluación y documentar los hallazgos Crear un cronograma de ejercicios Crear un plan de control y reporte de los ejercicios Facilitar la realización de los ejercicios Reporte post-ejercicios Retroalimentar y monitorear los resultados de los ejercicios Definir un cronograma de mantenimiento de los planes Formular los procedimientos de control de cambios Establecer procedimientos para informar el estado de los planes Objetivos de auditoria Curso de Seguridad de la Información - Módulo X Página 50

18 Prueba del Plan Objetivos Definición de un Plan de Pruebas Definición de los Procedimientos de Prueba Planificación de las Pruebas Ejecución de las Pruebas Evaluación de los resultados Ejecución de las modificaciones necesarias Excusas frecuentes para no probar el plan Tiempo - Falta de presupuestos (costos de la prueba) - Si hago las pruebas del Plan debo suspender el servicio a mis clientes Curso de Seguridad de la Información - Módulo X Página 51 Testeo de los Planes Checklist (Lista de Verificación) Copias del plan son distribuidas a las gerencias para su revisión Seguimiento estructurado (structured walk-through) Gerentes de las áreas afectadas se reúnen para revisar el plan Simulación Todo el personal de soporte se reúne en una sesión de práctica Prueba en Paralelo Los sistemas críticos son ejecutados en el sitio alternativo Interrupción completa Todos los sistemas en producción son interrumpidos. Se procede a ejecutar el plan en condiciones reales. Las pruebas del plan deben realizarse alternando el personal a cargo No es absolutamente necesario efectuar siempre pruebas completas La periodicidad de las pruebas dependerá del grado de movilidad del plan y/o del personal a cargo Toda prueba que haya sido 100% exitosa fue mal realizada Todo resultado de una prueba debe servir como feedback para mejorar el plan Curso de Seguridad de la Información - Módulo X Página Regulaciones vigentes sobre Business Continuity US - Securities and Exchange Commission - NASD Rules 3510 & 3520 and the NYSE Rule 446 Basilea II & E-banking Sarbanes Oxley UK FSA BCM Guidance BS 7799 (I7799), Apartado 10 PAS 56 and from Summer 2006 BSI King II - South Africa Singapore - MAS BCM Standard Australian Standard for BCM US - NFPA 1600 Curso de Seguridad de la Información - Módulo X Página 53

19 Websites de utilidad Disaster Recovery International Institute: Disaster Recovery Journal: Contingency Planning Management: Continuity Insights: - NIST Curso de Seguridad de la Información - Módulo X Página Preguntas? Curso de Seguridad de la Información - Módulo X Página 55 Curso de Seguridad de la Información - Módulo VIII Seguridad en A li i 5