Continuidad del Negocio y Recuperación de Desastres

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Continuidad del Negocio y Recuperación de Desastres"

Transcripción

1 Continuidad del Negocio y Recuperación de Desastres 1.- Introducción La planificación de la continuidad del negocio BCP y la planificación de la contingencia para los sistemas de información son elementos de un sistema de control interno que se establece para gestionar la disponibilidad de los procesos críticos en el caso de una interrupción. La parte más importante de ese plan trata con el soporte rentable del sistema de información. La disponibilidad de los datos del negocio es vital para el desarrollo sostenible y/o incluso para la supervivencia de cualquier organización. La BCP es un proceso continuo más que un proyecto. Los planes que el planificador desarrolla como parte de este proceso dirigirán la respuesta a incidentes desde simples emergencias hasta desastres totales. La meta última del proceso es poder responder a incidentes que puedan impactar en la gente, las operaciones y la capacidad de entregar bienes y servicios al mercado. Esta área presenta una visión general de los principios de continuidad del negocio y recuperación de desastres y específicamente las siguientes áreas: - Los procesos de BCP y planeación de recuperación ante desastres DRP. - Análisis de impacto al negocio BIA. - Estrategias y Alternativas de Recuperación. - Pruebas de Plan. - Respaldo y Restauración. - Consideraciones de Auditoría. 1

2 2.- Relación de las tareas con los conocimientos relacionados Las tareas son lo que se espera que el candidato CISA sepa cómo hacer. Los conocimientos relacionados delinean lo que se espera que el candidato CISA sepa para realizar las tareas. 3.- Plan de la Continuidad del Negocio/ Recuperación de Desastres (BCP/DRP) BCP es un proceso diseñado para reducir el riesgo del negocio de la organización que surja de una interrupción no esperada de las funciones/operaciones críticas (manuales o automáticas) necesarias para la supervivencia de la misma. Esto incluye recursos humanos/materiales que soportan estas funciones/operaciones críticas y garantía de la continuidad de por lo menos el nivel mínimo de los servicios necesarios para al menos las operaciones críticas. El primer enfoque para afrontar cualquier riesgo debe ser eliminar la amenaza considerando las ubicaciones de negocios materiales para la construcción y la duplicación de funciones clave en ubicaciones remotas. Un objetivo realista es asegurar la supervivencia de una organización estableciendo una cultura que identificará y gestionará esos riesgos que podrían causarle que sufra. Algunos ejemplos de estos riesgos corporativos incluyen: -Incapacidad de mantener los servicios críticos al cliente. - Daño en la participación de mercado, la imagen, reputación o marca. - No poder proteger los activos de la compañía, incluyendo propiedad intelectual y personal. - Falla de control de negocio. - No poder cumplir los requerimientos legales o regulatorios. El objetivo de la Continuidad del Negocio/ Recuperación ante Desastres es permitir que un negocio continúe brindando sus servicios críticos en caso de una interrupción y que pueda sobrevivir a una interrupción desastrosa de sus sistemas de información. Es necesaria una 2

3 planificación rigurosa y una asignación de recursos para planear adecuadamente para un evento semejante. Lo primero que hay que hacer para desarrollar un BCP es identificar los procesos de negocio de importancia estratégica, que son los procesos clave que son responsables tanto del crecimiento permanente del negocio como del cumplimiento de las metas del negocio. Idealmente el BCP/DRP debe ser respaldado por una política ejecutiva formal que establezca el objetivo general de la organización y asigna poder a las personas que están involucradas en el desarrollo, prueba y mantenimiento del plan. Teniendo presente los procesos clave, el proceso de gestión de riesgos debe comenzar con una valoración de riesgos. El riesgo es directamente proporcional al impacto a la organización y la probabilidad de que ocurra la amenaza percibida. El resultado de la valoración de riesgos debe ser la identificación de lo siguiente: - Aquellos recursos humanos, datos, elementos de infraestructura y otros recursos, incluyendo aquellos suministrados por terceros que soportan los procesos clave. - Una lista de las vulnerabilidades potenciales, los peligros o amenazas a la organización. - La probabilidad estimada de que ocurran estas amenazas. La parte de operaciones del BCP debe tratar todas las funciones y activos requeridos para continuar como una organización viable. Aprovisionar al negocio con instalaciones externas, algo que debería ser perseguido, es en última instancia una decisión de negocio basada en la gestión de riesgos. El centro de atención está en la disponibilidad de los procesos clave del negocio para continuar operaciones si surgiera algún tipo de interrupción. BCP es principalmente una responsabilidad de alta dirección, ya que ella es la encargada de salvaguardar tanto los activos como la viabilidad de la organización, como se define en la política de BCP/DRP. El BCP es generalmente ejecutad0ppor las unidades de negocio y de soporte por igual, para proveer un nivel reducido pero suficiente de funcionalidad de las operaciones del negocio, inmediatamente después de que se 3

4 produzca una interrupción, mientras se está llevando a cabo la recuperación. Este plan debe tratar todas las funciones y los activos que se requieren para continuar como una organización viable. Esto incluye los procedimientos de continuidad calificados como necesarios para sobrevivir y para minimizar las consecuencias de la interrupción del negocio. El BCP toma en consideración: Las operaciones críticas que son más necesarias para la supervivencia de la organización. Los recursos humanos/material que las soportan. Además del plan de continuidad de las operaciones, el BCP incluye: - El DRP que se usa para recuperar una instalación que se tornó inoperable, incluyendo la reubicación de las operaciones en un nuevo lugar. - El plan de restauración que se usa para regresar las operaciones a la normalidad, ya sea en una instalación recuperada o en una nueva. Dependiendo de la complejidad de la organización, podría haber uno o más planes para tratar los diversos aspectos de la continuidad del negocio y recuperación ante desastres. Estos planes no tienen necesariamente que ser integrados en un solo plan. Sin embargo, cada uno tiene que ser consiente con otros planes para tener una estrategia viable de BCP. Es aconsejable tener un plan integrado para asegurar que: - Todos los aspectos se cubran. - Todos los recursos comprometidos se utilicen de la manera más efectiva y existía la confianza de que, a través de su aplicación, la organización sobreviva a una interrupción. 4.- Planeación de la continuidad del negocio/ recuperación ante desastres de SI Para el caso de la planeación de continuidad del negocio de SI, el método es el mismo que en BCP, con la diferencia de que este caso los sistemas de procesamiento de SI están 4

5 amenazados. El procesamiento de SI es de importancia estratégica. Es un componente crítico ya que la mayoría de los procesos clave del negocio depende de la disponibilidad de sistemas clave y componente de infraestructura. La planeación de la continuidad del negocio/recuperación ante desastres de SI es un componente importante de la estrategia general de continuidad del negocio y recuperación ante desastres de una organización. Por lo tanto, debería haber una instalación reservada y lista para soportar estas operaciones clave en caso de una interrupción en que el negocio no pudiera funcionar sin el procesamiento continuo de información. En caso de que fuera un plan respaldo, el plan de SI deberá ser consistente con y soportar el BCP corporativo. El plan de continuidad del negocio del SI debe también estar alineado con la estrategia de la organización. De ese modo, la clasificación con respecto a la criticidad de los diversos sistemas de aplicación desplegados en la organización depende de la naturaleza del negocio así como también del valor de cada aplicación del negocio. Una vez que la valoración de riesgos identifica el valor de los componentes de SI para la organización, se puede desarrollar un plan para establecer la criticidad de los sistemas y los métodos más apropiados para la restauración. Un plan de continuidad del negocio de SI es mucho más que sólo un plan para los sistemas de información. Un BCP identifica lo que el negocio hará en el caso de un desastre. Un subcomponente del plan de continuidad del negocio es el plan de recuperación ante desastres de TI. Éste, típicamente detalla el proceso que el personal de TI utilizará para restablecer los sistemas de cómputo. Los DRPs pueden estar incluidos en el BCP como un documento completamente separado, dependiendo de las necesidades del negocio. No todos los sistemas requerirán de una estrategia de recuperación. Basada en los resultados del análisis de riesgo, la gerencia puede no ver una relación costo-beneficio favorable para restablecer ciertas aplicaciones en el caso de un desastre. Un factor que se debe tener siempre presente para determinar las opciones de recuperación es que el costo nunca debe exceder el beneficio. 5

6 La calidad de los elementos de SI es esencial para la recuperación ante desastres de SI. Por lo tanto, se recomienda que la organización implemente un sistema de gestión de seguridad de la información para mantener la integridad, confidencialidad y disponibilidad de SI. 5. Desastres y otras interrupciones Los desastres son interrupciones que ocasionan que los recursos críticos de información queden inoperantes por un período de tiempo, impactando adversamente las operaciones organizacionales. La interrupción podría durar desde varios minutos hasta algunos meses, dependiendo de la extensión de daño a los recursos de información. Más importante aún, los desastres requieren esfuerzos de recuperación para restaurar el estado operativo. Un desastre puede ser causado por calamidades naturales, como por ejemplo, terremotos, inundaciones, tornados, tormentas eléctricas severas, incendios, etc. los cuales causan daños importantes a las instalaciones de procesamiento y a la localidad en general. Otros eventos desastrosos que causan interrupciones pueden ocurrir cuando los servicios esperados ya no son proporcionados a la compañía, por ejemplo, el suministro de energía eléctrica, las telecomunicaciones, el suministro de gas natural u otros servicios provistos por externos (que pueden o no estar relacionados con un desastre natural). Un desastre podría también ser causado por eventos precipitados por seres humanos tales como ataques terroristas, de hackers, virus o error humano. No todas las interrupciones críticas del servicio son causadas por un desastre. Por ejemplo, la interrupción del servicio es causada a veces por mal funcionamiento del sistema, eliminación accidental de archivos, ataques de negación de servicio (DoS), intrusiones y virus. Un buen plan de continuidad del negocio tomará en cuenta todos los tipos de acontecimientos que impacten tanto en las instalaciones de procesamiento de los sistemas de información críticos como las funciones organizacionales normales de operación del usuario final. Para escenarios de peor caso, se requieren estrategias de marcha atrás de corto y largo plazo. Para el corto plazo, se puede necesitar una 6

7 instalación del procesamiento alterno para satisfacer las necesidades operativas inmediatas, como en el caso de un desastre natural mayor. En el largo plazo, para recuperación ante desastres, se debe considerar una nueva instalación permanente, equipada para proveer la continuidad del servicio de procesamiento de los sistemas de información de manera regular. Tratando con Daños a la Imagen, la Reputación o la Marca Los rumores dañinos pueden surgir de muchas fuentes (incluso internas). Pueden o no estar asociados con un incidente serio o con una crisis. Una de las peores consecuencias de las crisis es la pérdida de la confianza. Toda organización que experimente un incidente mayor deberá considerar y aplicar algunas mejoras prácticas básicas. Independiente de las consecuencias de un incidente (demora o interrupción del servicio, pérdidas económicas, etc.), de darse alguno, cualquier opinión pública o rumores negativos pueden ser muy costosos. Reaccionar de manera apropiada en público (o para con los medios) durante una crisis no es sencillo. Se debe nombrar y preparar de antemano un portavoz debidamente entrenado. Normalmente, el asesor legal o un director de relaciones públicas es la mejor elección. Nadie, independientemente de su rango en la jerarquía de la organización, con excepción del portavoz, debe hacer declaraciones públicas. 6. Proceso de planificación de continuidad del negocio El proceso de BCP puede dividirse en las etapas del ciclo de vida siguientes: Creación de una política de continuidad del negocio. BIA. Análisis de Impacto del negocio. Clasificación de las operaciones y análisis de criticidad. Identificación de los procesos de SI que soportan funciones organizacionales críticas. Desarrollo de un BCP y procedimientos de recuperación ante desastres de SI. Desarrollo de procedimientos de reanudación. 7

8 Programa de capacitación y concientización. Prueba e implementación del plan. Monitoreo. 7. Política de continuidad del negocio Una política de continuidad del negocio debe ser proactiva y abarcar controles preventivos, de detección y correctivos. El BCP es el control correctivo más crítico. Depende de que otros controles sean efectivos, en particular la gestión de incidentes y respaldo de medios. 8. Gestión de incidentes dentro de la planeación de continuidad del negocio Los incidentes y crisis son dinámicos por naturaleza. Evolucionan, cambian con el tiempo y las circunstancias, y a menudo son rápidos e imprevisibles. Dependiendo de una estimación del nivel de daños resultantes a la organización, todos los tipos de incidentes deben ser clasificados. Un sistema de clasificación podría incluir las siguientes categorías: sin importancia, menor, mayor y crisis. La clasificación puede cambiar dinámicamente mientras se resuelve el incidente. Estos niveles pueden describirse como sigue: Incidentes sin importancia son los que no causan daños perceptibles o significativos, como por ejemplo, caídas del sistema operativo (OS) muy breves con recuperación total de la información o cortes de energía momentáneos con respaldo de suministro ininterrumpido de energía (UPS). Eventos menores, son los que, aunque no insignificantes, no producen un impacto material (de relativa importancia) o financiero negativo. Incidentes mayores que causan un impacto material negativo sobre los procesos de negocio y pueden afectar otros sistemas, departamentos o incluso clientes externos. La crisis es un incidente mayor que puede tener un impacto material (de relativa importancia) serio sobre el funcionamiento continuo del negocio y que puede también 8

9 tener un impacto adverso sobre otros sistemas o terceros. La seriedad de ellos depende de la industria y de las circunstancias, pero la severidad es generalmente directamente proporcional al tiempo transcurrido desde el inicio del incidente hasta su resolución. En general el criterio principal para la severidad (nivel) de los incidentes es el tiempo sin servicio. Otros criterios pueden incluir el impacto sobre los datos o sobre las plataformas. El servicio puede definirse como la inclusión de compromisos con clientes que pueden ser tanto clientes externos como departamentos internos. En la mayoría de los ambientes, la severidad es proporcional al tiempo improductivo. Otros criterios pueden incluir el impacto sobre los datos o sobre las plataformas 9.- Análisis del impacto al negocio El BIA es un paso crítico para desarrollar el BCP. Esta etapa implica identificar los diversos eventos que podrían tener un impacto sobre la continuidad de las operaciones y su impacto financiero, humano, legal y de reputación sobre la organización. Se debe establecer la criticidad de los recursos de información de: Sistemas. Datos. Redes. Software de sistemas. Instalaciones. Hay diferentes métodos para efectuar un análisis del impacto sobre el negocio (BIA). Uno de los más populares es el método del cuestionario. Este enfoque implica desarrollar un cuestionario detallado y circularlo a los usuarios clave tanto en las áreas de TI como de los usuarios finales. La información recopilada es tabulada y analizada. Otro método popular es entrevistar a grupos de usuarios clave. La información recopilada durante estas sesiones de entrevistas es tabulada y analizada para desarrollar un plan y una estrategia detallada de BIA. Un tercer método es reunir al personal de TI y usuarios 9

10 relevantes para llegar a una conclusión respecto al impacto potencial sobre el negocio de diversos niveles de interrupción. Los auditores de SI deben analizar el volumen de transacciones pasadas para determinar el impacto sobre el negocio si el sistema no estuviera disponible por un período prolongado de tiempo. Las tres principales preguntas que deben ser consideradas durante la etapa de BIA incluyen las siguientes: 1.- Cuáles son los diferentes procesos de negocio? 2.- Cuáles son los recursos de información críticos relacionados con los procesos críticos del negocio de la organización? Recepción de pagos. Producción. Pago de empleados. Publicidad. Despacho de productos terminados. Cumplimiento de leyes y regulaciones. 3.- cuál es el período crítico de tiempo de recuperación para los recursos de información en el cual se debe restablecer el procesamiento del negocio antes de que se experimenten las pérdidas significativas o inaceptables? Para tomar esta decisión, hay dos factores independientes de costo a considerar: uno es el costo de tiempo producto del desastre, cuyo componente principal se deriva del tiempo improductivo y de la falta de servicio. El otro factor es el costo de las estrategias de corrección alternativas (la activación del BCP), que disminuye con el objetivo escogido para el tiempo de recuperación. 10

11 Al identificar estos costos, se suman los costos totales (interrupciones y recuperación) donde una organización querrían encontrar el punto en el cual el costo total minimizado. Cada estrategia posible tiene un costo fijo (es decir, no cambia con el tiempo). Tenga en cuenta que el costo fijo de cada estrategia posible puede ser diferente, normalmente, cuanto más es el tiempo de recuperación que se pretende, más elevado será el costo fijo. La organización paga por la estrategia, aún si no ocurriera ningún accidente. Si hubiera un accidente, los costos variables aumentarán de manera significativa (por ejemplo, su contrato de warm site puede proveer un costo anual fijo más un costo diario de ocupación efectiva) debido a la necesidad del personal adicional, horas adicionales, transporte adicional y otra logística (por ejemplo, comunicación). viáticos diarios, nuevas líneas de Clasificación de las operaciones y análisis de la criticidad Clasificación D Descripción Crítico Estas funciones no pueden realizarse a menos que sean reemplazadas por capacidades idénticas. Las aplicaciones críticas no pueden ser reemplazadas por métodos manuales. La tolerancia a la interrupción es muy baja. Por lo tanto, el costo de interrupción es muy alto. Vital Estas funciones pueden realizarse manualmente por sólo por un período breve de tiempo. Hay mayor tolerancia a la interrupción que con los sistemas críticos, por lo tanto, los costos de interrupción son un poco más bajos considerando que las funciones son restauradas dentro de un marco de tiempo determinado (por lo general 5 días o menos). Sensible Estas funciones se pueden realizar manualmente, a un costo tolerable y por un período prolongado de tiempo. Aun cuando se pueden realizar manualmente, por lo general es un proceso difícil y requiere de personal adicional para 11

12 llevarlas a cabo. No Sensible Estas funciones pueden ser interrumpidas por un período prolongado de tiempo, a un costo muy pequeño o nulo para la compañía que requiere de poco o ningún esfuerzo para ponerse al día cuando son restauradas. La etapa siguiente en la gestión de la continuidad es identificar las diversas estrategias de recuperación y las alternativas disponibles para recuperarse de una interrupción y/o un desastre Punto de recuperación objetivo y tiempo de recuperación objetivo El RPO se determina sobre la base de la pérdida de datos aceptable en caso de una interrupción de operaciones. Ello indica el punto más anticipado en el tiempo al cual es aceptable recuperar los datos. Por ejemplo, si el proceso puede permitirse perder los datos hasta cuatro horas antes del desastre, entonces la última copia de respaldo debería ser hasta cuatro horas antes del desastre o de la interrupción y por tanto, las transacciones durante RPO y la interrupción deberán ser ingresadas después de la recuperación (conocido como catch-up data o puesta al día de los datos). RPO cuantifica efectivamente la cantidad permitida de pérdida de datos en el caso de interrupción. Es casi imposible recuperar la totalidad de los datos. Incluso después de ingresar los datos faltantes, algunos todavía se perderán y a ellos se hace referencia como datos huérfanos. El RTO (tiempo objetivo de recuperación) se determina sobre la base del tiempo de inactividad aceptable en caso de una interrupción de operaciones. Ello indica el punto más anticipado en el tiempo en el que las operaciones de negocio deben retomarse después del desastre. La siguiente figura, muestra la relación entre RTO y RPO. 12

13 Cuanto más bajo sea el tiempo de recuperación requerido, más elevado será el costo de las estrategias de recuperación, es decir, si el RPO está en minutos (pérdida de datos aceptable más baja posible), entonces el MIRROGING o la duplicación de datos debe implementarse como la estrategia de recuperación. Si el RTO alternativo podría preferirse a un contrato de hot site. es menor, entonces el sitio Además de RTO y RPO, existen algunos parámetros que son importantes para definir las estrategias de recuperación. Estos incluyen: Ventana de Interrupción: El tiempo que una organización puede esperar, desde el punto de falla, hasta la restauración de servicios/aplicaciones críticas. Después de ese tiempo, las pérdidas progresivas causadas por la interrupción no son aceptables. Objetivo de prestación de servicios (SDO): El nivel de servicios a proveer durante el modo de proceso alterno, hasta que se restaure la situación normal. Esto está directamente relacionado con las necesidades del negocio. Cortes máximos tolerables: El tiempo máximo que la organización puede soportar procesar en modo alterno. 13

14 11.- Estrategias de Recuperación Una estrategia de recuperación identifica la mejor forma de recuperar un sistema en caso de interrupción, incluyendo desastre y provee orientación basada en qué procedimientos detallados de recuperación se pueden desarrollar. La estrategia apropiada es la que tiene un costo para un tiempo aceptable de recuperación que también es razonable con el impacto y la probabilidad de ocurrencia. Las acciones más efectivas serían: - Eliminar la amenaza completamente. - Minimizar la probabilidad y el efecto de la ocurrencia. Una estrategia de recuperación es una combinación de medidas preventivas, detectivas y correctivas. La selección de una estrategia de recuperación dependería de: - La criticidad del proceso del negocio y las aplicaciones que soportan los procesos. - Costo. - El tiempo requerido para recuperarse. - Seguridad. En general, cada plataforma TI en la que corra una aplicación que soporte una función crítica del negocio necesitará una estrategia de recuperación. Lo que se trata es de firmar un acuerdo con otra organización que tenga equipos y sistemas similares. Lo que se transa son horas de procesamiento. Ventajas: - Bajo Costo. 14

15 - Recuperación rápida. Desventajas: - Por lo general no son obligatorias. - Política divergente debido a que las organizaciones difieren en procedimientos, personal y habilidades. - Puede que las instalaciones no estén disponibles cuando se desean Alternativas de Recuperación Las interrupciones más prolongadas y más costosas, en particular los desastres que afectan la instalación física primaria, requieren alternativas de recuperación en un sitio distinto a la ubicación primaria (offsite). Los tipos de instalaciones de respaldo de hardware en sitio alternativo que existen son: Hot Sites: Se configuran totalmente y están listos para operar dentro de varias horas. El equipo, red y software del sistema deben ser compatibles con la instalación primaria que está siendo respaldada. Las únicas necesidades adicionales son personal, programas, archivos de datos y documentación. Los costos asociados con el uso de un hot site de terceros por lo general son elevados, pero más bajos que crear un sitio redundante y con frecuencia son costos justificables para aplicaciones críticas. El hot site está destinado para operaciones de limitado de tiempo y no para uso prolongado. emergencia durante un período Warm Sites: Están parcialmente configurados, por lo general con conexiones de red y equipo periférico seleccionado, como por ejemplo, unidades de discos y otros controladores, pero sin la computadora principal. Algunas veces un warm site está equipado con una CPU menos potente que la que se usa generalmente. El supuesto detrás del concepto warm site es que la computadora puede por lo general obtenerse rápidamente para una instalación de emergencia y como la 15

16 computadora es la unidad más cara, dicho acuerdo es menos costoso que un hot site. Cold Sites. Instalaciones de Procesamiento de Información Duplicadas. Sitios móviles: Especie de remolque especialmente diseñado para ser transportado rápidamente a un lugar de negocio o a un sitio alterno para proveer una instalación acondicionada y lista para el procesamiento de información. Acuerdos recíprocos con otras organizaciones: Este es un método usado con menos frecuencia entre dos o más organizaciones con equipos o aplicaciones similares. Bajo el acuerdo típico, los participantes prometen proveerse mutuamente tiempos de computadoras cuando surja una emergencia Disposiciones contractuales Configuraciones: Son las configuraciones de hardware y software adecuadas para satisfacer las necesidades de la compañía, a medida que éstas varían con el tiempo? Desastre: Es la definición de desastre lo suficientemente amplia para satisfacer las necesidades anticipadamente? Velocidad de disponibilidad: Con qué rapidez después de un desastre estarán disponibles las instalaciones? Suscripciones por sitio: El contrato limita el número de suscriptores por sitio? Suscriptores por área: El contrato limita el número de suscriptores en un edificio o área? Preferencia: Quién obtiene preferencia si hay desastres comunes o regionales? Existe copia de respaldo para instalaciones de respaldo? Es el uso de la instalación exclusivo o el cliente tiene que compartir el espacio disponible si múltiples 16

17 clientes declaran desastres de manera simultánea? Tiene el proveedor más de una instalación disponible para el uso del suscriptor? Períodos de uso: Cuánto tiempo está disponible la instalación para su uso? Es este período adecuado? Qué soporte técnico proveerá el operador del sitio? Es adecuado? Comunicaciones: Son las comunicaciones adecuadas? Son suficientes las conexiones de comunicación con el sitio de respaldo, permitirá la comunicación ilimitada si fuera necesario? Garantías: Qué garantías dará el proveedor respecto a la disponibilidad del sitio y lo adecuado de las instalaciones? Hay limitaciones de responsabilidad y está la compañía dispuesta a vivir con éstas? Auditoría: Hay una cláusula de derecho a auditar, que permite la auditoría del sitio para evaluar la seguridad física y ambiental? Pruebas: Qué derechos de prueba están incluidos en el contrato? Verificar con la compañía de seguros para determinar cualquier reducción de primas que puedan obtenerse debido a la disponibilidad del lugar de respaldo. Confiabilidad: El proveedor debe poder dar fe de la confiabilidad del o de los sitios que se están ofreciendo. Idealmente, el proveedor debe tener una UPS, suscriptores limitados, una gestión técnica adecuada garantías de compatibilidad de hardware y software Obtención de Hardware Alternativo Hay varias alternativas disponibles para asegurar físicas de respaldo, incluyendo: el hardware y las instalaciones Un proveedor o tercero: Los proveedores de hardware son por lo general, la mejor fuente para el reemplazo de equipo. Sin embargo, esto implica a menudo un período de espera que no es aceptable para las operaciones críticas. 17

18 Fuera de inventario: Dichos componentes están rápidamente a disposición provenientes del inventario de los proveedores, previo aviso, no muy anticipado, y con una necesidad mínima de acuerdos especiales. Contrato de crédito o tarjetas de crédito de emergencia: Asegurar los planes de recuperación incluye instrucciones sobre cómo se va a pagar dicho equipo. Dado que se requieren datos y software para estas estrategias, es necesario considerar acuerdos especiales para su respaldo en medios removibles y para su almacenamiento seguro y a salvo fuera del sitio. Adicionalmente, parte de la recuperación de las instalaciones de TI involucrarán las telecomunicaciones, para las cuales las estrategias que se consideran usualmente incluyen: Prevención de desastres en red: -Direccionamiento alternativo. - Direccionamiento diversificado. - Diversidad de red de largo alcance. - Protección del loop local. - Recuperación de voz. - Disponibilidad de circuitos apropiados y ancho de banda adecuado. Planes de recuperación ante desastres de servidor. Habiendo desarrollado una estrategia para la recuperación de las instalaciones de TI, suficiente para soportar los procesos críticos del negocio, es esencial que las estrategias para estas actividades puedan funcionar hasta que todas las instalaciones sean restauradas. Por lo tanto pueden incluir: No hacer nada hasta que las instalaciones de recuperación estén listas. 18

19 Usar los procedimientos manuales. Cumplir solamente con los requerimientos regulatorios y legales. Concentrarse en los clientes, proveedores, productos, sistemas, etc. más importantes. Usar sistemas basados en PC para capturar datos para realizar procesamiento local simple Desarrollo de planes de continuidad del negocio y recuperación de desastres Basado en la información recibida del BIA, el análisis de criticidad y la estrategia de recuperación seleccionada por la gerencia, se debe desarrollar o revisar un plan detallado de continuidad del negocio y recuperación ante desastres. Los diversos factores que se deben considerar mientras se desarrolla/ revisa el plan son: - Estar preparado antes de un desastre cubriendo el manejo de respuestas a incidentes para tratar todos los incidentes que afecten los procesos del negocio. - Procedimientos de evacuación. - Procedimientos para declarar un desastre. - Las circunstancias bajo las cuales se debe declarar un desastre. Todas las interrupciones no son desastres, pero un pequeño incidente, si no es tratado a su debido tiempo o de manera apropiada, puede conducir a un desastre. Por ejemplo, un ataque de virus no reconocido y contenido a tiempo puede hacer colapsar toda la instalación de TI. - La clara identificación de las responsabilidades en el plan. - La clara identificación de información de los contratos. - La explicación paso por paso de la opción de recuperación. 19

20 - La clara identificación de los diversos recursos requeridos para la recuperación y operación continua de la organización. El plan debe estar documentado y escrito en un lenguaje sencillo y comprensible para todos Organización y Asignación de Responsabilidades El plan debe identificar los equipos con sus responsabilidades asignadas en el caso de un incidente / desastre. Para implementar las estrategias que se han desarrollado para la recuperación del negocio, se debe identificar el personal de tomas de decisiones de SI y del usuario final. Es una buena idea desarrollar una matriz sobre la correlación entre los equipos que se necesitan para participar y el esfuerzo de recuperación/ nivel de interrupción estimado. Los equipos de recuperación/ continuidad/ respuesta pueden incluir cualquiera de los siguientes: - Equipo de respuesta a incidentes. - Equipo de acción de emergencia. - Equipo de evaluación de daños. - Equipo de administración de la emergencia. - Equipo de almacenamiento de offsite. - Equipo del software. - Equipo de las aplicaciones. - Equipo de seguridad. - Equipo de operaciones de emergencia. - Equipo de recuperación de la red. - Equipo de comunicaciones. 20

puede interrumpir la operación Administración de la Continuidad del Negocio.

puede interrumpir la operación Administración de la Continuidad del Negocio. Contenido: Antecedentes Marco Metodológico ISO 17799 Análisis de Impacto al Negocio Estrategias de Recuperación Plan de Recuperación de Desastres Pruebas y Actualización del Plan Conclusiones Contenido:

Más detalles

Unidad 6: Protección Sistemas de Información

Unidad 6: Protección Sistemas de Información Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información U.N.Sa. Facultad de Cs.Económicas SIG 2015 UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad

Más detalles

Qué pasa si el entorno de seguridad falla?

Qué pasa si el entorno de seguridad falla? Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad e Integralidad: Objetivos de la seguridad

Más detalles

Controles en la. Dra. Elsa Estévez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Controles en la. Dra. Elsa Estévez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Controles en la Administración de Seguridad Dra. Elsa Estévez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Plan de Recuperación

Más detalles

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para

Más detalles

PLAN DE CONTINGENCIAS SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION

PLAN DE CONTINGENCIAS SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION RESUMEN DEL DOCUMETO TITULO DEL DOCUMENTO SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION Autor del Documento: Ing. Tomas Trejo/Carlos Diosdado Aprobación del Documento: Ing. Gustavo Licona Jiménez

Más detalles

Riesgo Tecnológico Cómo Desarrollar un Plan de Continuidad de Negocios y un Plan de Recuperación Contra Desastres

Riesgo Tecnológico Cómo Desarrollar un Plan de Continuidad de Negocios y un Plan de Recuperación Contra Desastres Riesgo Tecnológico Cómo Desarrollar un Plan de Continuidad de Negocios y un Plan de Recuperación Contra Desastres Roberto Carlos Arienti Banco de la Nación Argentina Argentina Banco de la Nación Argentina:

Más detalles

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERÍA Ingeniería en Sistemas y Computación Manizales, Noviembre 2010 BCP DATA CENTER VIVIANA GOMEZ

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

SUBDIRECCIÓN DE ADMINISTRACIÓN

SUBDIRECCIÓN DE ADMINISTRACIÓN SUBDIRECCIÓN DE ADMINISTRACIÓN DEPARTAMENTO DE INFORMÁTICA Plan de Contingencia El objetivo del Plan de Contingencia es proporcionar la continuidad y recuperación de los servicios de Tecnologías de la

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Política de Continuidad del Negocio de BME Clearing

Política de Continuidad del Negocio de BME Clearing Política de Continuidad del Negocio de BME Clearing Contenido 1. Introducción 1 2. Objetivos globales de la Política de Continuidad 1 3. Alcance de la Política de Continuidad del Negocio de BME CLEARING

Más detalles

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP La metodología recomendada en este documento para el desarrollo de un plan de recuperación ante desastres o DRP para los sistemas

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Redes de Almacenamiento

Redes de Almacenamiento Redes de Almacenamiento Las redes de respaldo o backend se utilizan para interconectar grandes sistemas tales como computadores centrales y dispositivos de almacenamiento masivo, el requisito principal

Más detalles

[TECNOLOGÍA RAID] Documentos de formación de SM Data: http://www.smdata.com/formacion.php

[TECNOLOGÍA RAID] Documentos de formación de SM Data: http://www.smdata.com/formacion.php 2011 Documentos de formación de SM Data: http://www.smdata.com/formacion.php [] Introducción a la tecnología RAID; Qué es RAID?; ventajas de RAID; definición de los más populares niveles de RAID y diferentes

Más detalles

DRP y BCP: Continuidad Operativa

DRP y BCP: Continuidad Operativa La capacidad para reestablecer las operaciones de TI y de negocio, ante eventos que pudieran interrumpir la habilidad de lograr sus objetivos estratégicos, es un elemento clave para las organizaciones

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C.

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C. Manual de Seguridad Informática Centro de Cómputo (Políticas, Controles) Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C. Contenido Introducción 3 Objetivos 4 Alcances 4 Equipo

Más detalles

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos Páginas 1 de 7 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios

Más detalles

10 PLANIFICACIÓN Y PRUEBA DE LA CONTINUIDAD DEL NEGOCIO

10 PLANIFICACIÓN Y PRUEBA DE LA CONTINUIDAD DEL NEGOCIO 10 PLANIFICACIÓN Y PRUEBA DE LA CONTINUIDAD DEL NEGOCIO 10.1 PLANIFICACIÓN DE LA CONTINUIDAD DEL NEGOCIO Y DE LA RECUPERACIÓN DE DESASTRES 10.1.1 Planificación de la continuidad de Sistemas de Información/Plan

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

No se requiere que los discos sean del mismo tamaño ya que el objetivo es solamente adjuntar discos.

No se requiere que los discos sean del mismo tamaño ya que el objetivo es solamente adjuntar discos. RAIDS MODO LINEAL Es un tipo de raid que muestra lógicamente un disco pero se compone de 2 o más discos. Solamente llena el disco 0 y cuando este está lleno sigue con el disco 1 y así sucesivamente. Este

Más detalles

13º Unidad Didáctica. RAID (Redundant Array of Independent Disks) Eduard Lara

13º Unidad Didáctica. RAID (Redundant Array of Independent Disks) Eduard Lara 13º Unidad Didáctica RAID (Redundant Array of Independent Disks) Eduard Lara 1 RAID: INTRODUCCIÓN Sistema de almacenamiento que usa múltiples discos duros entre los que distribuye o replica los datos.

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

Descripción de las posiciones del área de sistemas

Descripción de las posiciones del área de sistemas Descripción de posiciones del área de Sistemas Operador/Data Entry Entrar y verificar datos provenientes de distintas vías de ingreso. Monitorear procesos, programas y resultados. Seguir los formatos apropiados

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Abril 2014. Jorge A. Portales

Abril 2014. Jorge A. Portales Por qué Crear un Plan de Contingencias para mi Empresa? Y Que pasos seguir para Desarrollarlo, sin Morir en el Intento. Primer punto, Qué es un Plan de Contingencias? Un Plan de Contingencias es un modo

Más detalles

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS MINISTERIO DE SANIDAD Y CONSUMO APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS DOCUMENTO Nº 6 1ª Versión Noviembre 20021 AGENCIA ESPAÑOLA DEL MEDICAMENTO

Más detalles

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones

Más detalles

Escenario Uno. Escenario Dos

Escenario Uno. Escenario Dos Escenario Uno Una compañía global desarrolla sus propias aplicaciones para dar soporte al negocio. La compañía ha implementado la transición del servicio y utiliza validación y pruebas del servicio para

Más detalles

SEMANA 12 SEGURIDAD EN UNA RED

SEMANA 12 SEGURIDAD EN UNA RED SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de

Más detalles

Medidas de Nivel Medio

Medidas de Nivel Medio Capítulo 6 Medidas de Nivel Medio Medidas de seguridad especiales Para los sistemas de información que traten, almacenen o transmitan datos de carácter personal clasificados dentro de los datos de nivel

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Tabla de Contenidos DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) ETAP Versión 18.1 Calificación Data Centers Código: DC-XXX

Tabla de Contenidos DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) ETAP Versión 18.1 Calificación Data Centers Código: DC-XXX CONDICIONES MÍNIMAS DE SERVICIO PARA DATA CENTERS DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) Tabla de Contenidos CONDICIONES MÍNIMAS DE SERVICIO PARA DATA CENTERS 1 DE LA ADMINISTRACIÓN PÚBLICA NACIONAL

Más detalles

INTERNET DATA CENTER COLOCATION

INTERNET DATA CENTER COLOCATION COLOCATION Entrega en el Internet Data Center UNE el entorno físico, ambiental y de seguridad ideal para el correcto funcionamiento de las plataformas tecnológicas que soportan los procesos de negocio

Más detalles

4 CAPITULO IV MARCO LÓGICO

4 CAPITULO IV MARCO LÓGICO 4 CAPITULO IV MARCO LÓGICO 4.1 Generalidades El marco lógico es una herramienta de trabajo para facilitar el proceso de conceptualización, diseño, ejecución y evaluación de proyectos. Su propósito es brindar

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

ADMINISTRACIÓN CENTRALIZADA DELL POWERVAULT DL2000 CON TECNOLOGÍA SYMANTEC

ADMINISTRACIÓN CENTRALIZADA DELL POWERVAULT DL2000 CON TECNOLOGÍA SYMANTEC ADMINISTRACIÓN CENTRALIZADA DELL POWERVAULT DL2000 CON TECNOLOGÍA SYMANTEC RESUMEN EJECUTIVO Es un método ideal para que cualquier departamento de TI logre realizar respaldos y restauraciones más rápidas

Más detalles

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN DICIEMBRE DE 2009 PR-DCTYP-13 ÁREA: Dirección de Planeación

Más detalles

Para los efectos de esta normativa se deberán considerar las siguientes definiciones:

Para los efectos de esta normativa se deberán considerar las siguientes definiciones: RECOPILACION ACTUALIZADA DE NORMAS Capítulo 20-7 Documento para Comentarios CAPÍTULO 20-7 PROCESAMIENTO EXTERNO DE ACTIVIDADES I. ÁMBITO DE APLICACIÓN El presente Capítulo trata de las contrataciones de

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

RECOMENDACIONES PARA EL RESGUARDO DE INFORMACIÓN BACKUP Versión 1.0

RECOMENDACIONES PARA EL RESGUARDO DE INFORMACIÓN BACKUP Versión 1.0 RECOMENDACIONES PARA EL RESGUARDO DE INFORMACIÓN BACKUP Versión 1.0 OBJETIVO ALCANCE Las presentes recomendaciones tienen por objetivo definir pautas que permitan cumplir en tiempo, forma y calidad con

Más detalles

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management Jornadas Rioplatenses de Auditoría Interna 2010 Agenda / Contenido Motivación Visión Moderna de BCM Aspectos Relevantes para Auditores Introducción a la Norma BS25999 Motivación Visión Moderna de BCM Aspectos

Más detalles

Infraestructura Tecnológica

Infraestructura Tecnológica Infraestructura Tecnológica 1 Sesión No. 12 Nombre: Niveles de confiabilidad Contextualización La confianza es un factor determinante y muy importante, con ésta se pueden dar o rechazar peticiones de negocio,

Más detalles

ADMINISTRACION DE CENTROS DE COMPUTO

ADMINISTRACION DE CENTROS DE COMPUTO ADMINISTRACION DE CENTROS DE COMPUTO 1.1 Datos Informativos 1.2 Tutor: Ing. Jorge Miranda 1.3 Nombre: Iván Guadalupe 1.4 Facultad: Ciencias de la Computación y Electrónica 1.5 Nivel: Decimo Informática

Más detalles

La estrategia inteligente de recuperación ante desastres para escritorios: escritorios como servicio (DaaS) CASO DE USO DEL PRODUCTO

La estrategia inteligente de recuperación ante desastres para escritorios: escritorios como servicio (DaaS) CASO DE USO DEL PRODUCTO La estrategia inteligente de recuperación ante desastres para escritorios: escritorios como servicio (DaaS) CASO DE USO DEL PRODUCTO Índice Resumen ejecutivo.... 3 Lo improbable parece más probable que

Más detalles

MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN EN CASO DE DESASTRE)

MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN EN CASO DE DESASTRE) MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN EN CASO DE DESASTRE) Manual de Políticas y Estándares de Seguridad Informática para recuperación de

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

Procedimiento de Sistemas de Información

Procedimiento de Sistemas de Información Procedimiento de Sistemas de Información DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN VIEMBRE DE 2009 PR-DCTYP-08 Índice. 1. INTRODUCCIÓN.... 3 2. OBJETIVO.... 4 3. ALCANCE.... 4 4. MARCO LEGAL.... 4

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

ISO 9001 Auditing Practices Group Guidance on:

ISO 9001 Auditing Practices Group Guidance on: International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS CÓDIGO: APO4-P-001 FECHA DE VIGENCIA 25/Nov/2013 1. OBJETIVO Gestionar, brindar soporte y

Más detalles

El Comité de Auditoría (en adelante el Comité) apoya al Directorio en revisar:

El Comité de Auditoría (en adelante el Comité) apoya al Directorio en revisar: COMITÉ DE AUDITORÍA ESTATUTO DEL COMITÉ DE AUDITORÍA 1. Marco referencia. La aplicación de cualquier otro tema no incluido en el presente Estatuto, se realizará con sujeción al Marco Internacional para

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

Anexo Q. Procesos y Procedimientos

Anexo Q. Procesos y Procedimientos Anexo Q Procesos y Procedimientos ÌNDICE. 1. Introducción... 3 2. Proceso de Directorio Activo... 4 3. Proceso de Correo Electrónico... 5 4. Proceso de Mensajería Instantánea... 6 5. Proceso de Sharepoint

Más detalles

Antes de imprimir este documento piense en el medio ambiente!

Antes de imprimir este documento piense en el medio ambiente! Versión 2.0 Página 1 de 8 1. OBJETIVO Establecer el procedimiento y parametrización de la toma de copias de respaldo, a través de la definición de las actividades que se deben surtir, para garantizar la

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

REGLAMENTO SOBRE SEGURIDAD INFORMATICA

REGLAMENTO SOBRE SEGURIDAD INFORMATICA REGLAMENTO SOBRE SEGURIDAD INFORMATICA TITULO I OBJETIVOS Y ALCANCE ARTICULO 1: El presente Reglamento tiene por objeto establecer los principios, criterios y requerimientos de Seguridad Informática que

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Ministerio de Economía y Producción Secretaría de Hacienda NORMAS DE RESGUARDO Y RECUPERACION DE SISTEMAS (BACKUPS/RECOVERY)

Ministerio de Economía y Producción Secretaría de Hacienda NORMAS DE RESGUARDO Y RECUPERACION DE SISTEMAS (BACKUPS/RECOVERY) NORMAS DE RESGUARDO Y RECUPERACION DE SISTEMAS (BACKUPS/RECOVERY) DOCUMENTO NORMATIVO NORMAS DE RESGUARDO Y RECUPERACION DE SISTEMAS CRONOGRAMA DE REVISIONES Versión Fecha Area/Sector de Elaborado por

Más detalles

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos)

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos) Secretaría General Dirección de Informática Manual de Seguridad Informática Centro de Cómputo (Políticas y lineamientos) C O N T E N I D O Introducción. 3 Objetivos. 4 Alcances. 5 Equipo de Cómputo. De

Más detalles

Capítulo XII. Continuidad de los Servicios de TI

Capítulo XII. Continuidad de los Servicios de TI Continuidad de los Servicios de TI Continuidad de los servicios de TI Tabla de contenido 1.- Qué es administración de la continuidad?...167 1.1.- Ventajas...169 1.2.- Barreras...169 2.- El plan de continuidad

Más detalles

Recuperación y Continuidad del Negocio

Recuperación y Continuidad del Negocio Recuperación y Continuidad del Negocio CONTENIDO ANTECEDENTES ALGUNAS EXPERIENCIAS REVISION DE CONCEPTOS GENERALES METODOLOGIA CONCLUSIONES QUE ES UN DESASTRE? Cualquier EVENTO MAYOR que afecte el funcionamiento

Más detalles

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL I. Datos Generales de la Calificación CTEL0450.01 Propósito Título Operación y mantenimiento de sistemas de conmutación por paquetes en redes de área local (LAN) Ofertar al sector un referente que permita

Más detalles

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006 Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva

Más detalles

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL I. Datos Generales de la Calificación CINF0283.01 Título Análisis y diseño de centro de datos Propósito Proporcionar un referente para la evaluación de la competencia en el análisis y diseño de centro

Más detalles

Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA

Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA Agenda Antecedentes Situaciones que no se consideran regularmente Factores críticos de éxito Sistema de Gestión de

Más detalles

SERVICIOS EN TECNOLOGÍA

SERVICIOS EN TECNOLOGÍA Sobre NOSOTROS Somos un experto grupo de desarrolladores, ingenieros, especialistas y profesionales en el área de la informática, lo que nos permite ofrecer una diversa gama de servicios de calidad para

Más detalles

CAPITULO 2. MARCO CONCEPTUAL

CAPITULO 2. MARCO CONCEPTUAL CAPITULO 2. MARCO CONCEPTUAL 2.1 Método análisis ABC. El análisis ABC, denominado también curva 80-20, se fundamenta en el aporte del economista Wilfredo Pareto, tras un estudio de la distribución de los

Más detalles

Figura 3.1 Implementación de ITIL

Figura 3.1 Implementación de ITIL C apí t u l o III IMPLEMENTACIÓN DE ITIL Existen distintos métodos para la implementación de ITIL, sin embargo cualquier organización puede alinearse a este marco de trabajo sin importar su tamaño o complejidad.

Más detalles

PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP)

PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) Página 1 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) BOGOTÁ D.C., DICIEMBRE DE 2013 Página 2 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Capítulo III. Manejo de Incidentes

Capítulo III. Manejo de Incidentes Manejo de Incidentes Manejo de Incidentes Tabla de contenido 1.- En qué consiste el manejo de incidentes?...45 1.1.- Ventajas...47 1.2.- Barreras...47 2.- Requerimientos...48 3.- Clasificación de los incidentes...48

Más detalles

Plan de Continuidad de Operaciones

Plan de Continuidad de Operaciones Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma

Más detalles

Servicios Administrados de Infraestructura

Servicios Administrados de Infraestructura Son las actividades diarias relacionadas a la tecnología de información que mantienen los recursos de infraestructura de TI actualizados, seguros, productivos, consistentes y disponibles para el beneficio

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

ESTÁNDAR CERTFOR CERTIFICACION EN GRUPO (DN-02-08)

ESTÁNDAR CERTFOR CERTIFICACION EN GRUPO (DN-02-08) ESTÁNDAR CERTFOR CERTIFICACION EN GRUPO (DN-02-08) INDICE 1. INTRODUCCIÓN...... 2 2. OBJETIVO... 3 3. ALCANCE...... 3 PRINCIPLIO 1 Constitución del Grupo...... 4 PRINCIPIO 2 Funcionamiento del Grupo.........

Más detalles

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN Lineamientos y normativas para el respaldo de la información de los usuarios de Opus Software Publicado por Sector PMO & Gestión Documental de Opus

Más detalles

Business Continuity Plan. Barcelona, febrero de 2008

Business Continuity Plan. Barcelona, febrero de 2008 . Barcelona, febrero de 2008 Porqué un? Una buena definición de la continuidad del negocio ayuda a identificar los productos y servicios clave y como gestionarlos. Una mala gestión de la continuidad del

Más detalles

RAID. Los detalles de las características segunda y tercera, cambian según los distintos niveles RAID. RAID 0 no soporta la tercera característica.

RAID. Los detalles de las características segunda y tercera, cambian según los distintos niveles RAID. RAID 0 no soporta la tercera característica. RAID Como se dijo anteriormente, el ritmo de mejora de prestaciones en memoria secundaria ha sido considerablemente menor que en procesadores y en memoria principal. Esta desigualdad ha hecho, quizás,

Más detalles

4. Trasladar a las diferentes oficinas, los equipos dañados, reparados, nuevos y otros que requieran reubicación.

4. Trasladar a las diferentes oficinas, los equipos dañados, reparados, nuevos y otros que requieran reubicación. Página 1/5 TÉCNICO EN SOFTWARE Y EQUIPO Naturaleza del puesto Ejecución de mantenimiento técnico preventivo y correctivo de equipos de cómputo, equipo de transmisión de datos, suministros de energía eléctrica

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS 1. Introducción

Más detalles

RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO

RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO MC-pr-01 MANEJO DEL REGISTRO NACIONAL DE Septiembre 2012 PROFESIONALES Pág.1/27 RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO Pág.2/27 1. OBJETIVO Y ALCANCE 1.1. Objetivo Establecer los controles para

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

POLÍTICA DE SEGURIDAD FÍSICA N-10 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN

POLÍTICA DE SEGURIDAD FÍSICA N-10 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN POLÍTICA DE SEGURIDAD FÍSICA N-10 2011 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva de MINSAL y su uso debe estar ceñido a lo dispuesto en la clasificación

Más detalles

Infraestructura Tecnológica. Sesión 11: Data center

Infraestructura Tecnológica. Sesión 11: Data center Infraestructura Tecnológica Sesión 11: Data center Contextualización La tecnología y sus avances nos han dado la oportunidad de facilitar el tipo de vida que llevamos, nos permite mantenernos siempre informados

Más detalles

Soporte. Los programas anuales de soporte y mantenimiento Estándar y Extendido están diseñados para proteger

Soporte. Los programas anuales de soporte y mantenimiento Estándar y Extendido están diseñados para proteger Esta guía le proporcionará la información necesaria para conseguir el máximo valor de su inversión en programas técnicos de soporte ECM Solutions para las soluciones de gestión de contenidos y productos

Más detalles