AUDITORIA DE SISTEMAS

Transcripción

1 2011 AUDITORIA DE SISTEMAS AN INTRODUCTION TO ICT CONTINUITY BASED ON BS ALUMNOS: BASAURI QUISPE, ENRIQUE MARTIN MUÑOZ ROSAS, CHRISTIAN ALEXANDER PONCE DE LA CRUZ, JORGE DOCENTE ING. NELLY HUARCAYA UNIVERSIDAD NACIONAL DE INGENIERÍA

2 Haris Hamidovic, CIA, ISMS, IA, ITIL-F, es director de seguridad de la información en Microcrédito Fundación EKI Sarajevo, Bosnia y Herzegovina. Antes de su asignación actual, Hamidovic sirvió como especialista de TI en América del Norte Organización del Tratado del Atlántico Norte (OTAN) liderada por la Fuerza de Estabilización (SFOR) en Bosnia y Herzegovina. Es autor de cinco libros y más de 60 artículos para los negocios y las publicaciones relacionadas con la TI. Hamidovic es una certificación IT experto designado por el Ministerio Federal de Justicia de Bosnia y Herzegovina y el Ministerio Federal de Planificación Física de Bosnia y Herzegovina. Tiene algo que decir sobre este artículo? Visite las páginas de Diario del sitio web de ISACA ( encontrar el artículo, y seleccione la ficha Comentarios para compartir sus pensamientos. Una Introducción a La Continuidad De Las TIC Basadas En BS Las organizaciones tienen diferentes maneras de juzgar el éxito del negocio. En el sector público, un criterio de éxito es la calidad del servicio a los ciudadanos. En el sector privado, el crecimiento de la cuota de mercado es una medida de éxito. En todos los sectores, una condición del éxito es que las empresas deben seguir funcionando en el rostro de incendios, inundaciones y otros desastres. La disciplina que asegura que la empresa puede continuar es la Gestión De La Continuidad Del Negocio (BCM). En la mayoría de las organizaciones, los procesos que proporcionan productos y servicios dependen de la información y la comunicación (TIC). Interrupciones en las TIC pueden, por tanto, constituyen un riesgo estratégico, dañando la capacidad del organismo para operar y socavar su reputación. Las consecuencias de un incidente perturbador varían y pueden ser de largo alcance, y que pueden no ser inmediatamente evidentes en el momento del incidente. En 2008, la British Standards Institution (BSI) publicó BS 25777:2008, Gestión de la Continuidad de las TIC: Código de buenas prácticas, para ayudar a las organizaciones de planificar e implementar una estrategia de continuidad de las TIC. BS proporciona recomendaciones para la gestión de continuidad de las TIC en el marco de BCM de BS :2006, Gestión de la Continuidad del Negocio: Código de buenas prácticas.

3 Este artículo proporciona una introducción a los elementos clave de la continuidad de las TIC basadas en BS EL CONCEPTO DE CONTINUIDAD DE NEGOCIO BCM es una disciplina relativamente nueva gestión que se ha convertido cada vez más importante dado el turbulento entorno en que las organizaciones se encuentran ahora. El concepto de continuidad de negocio se desarrolló en la década de 1980 como nueva forma de gestionar los riesgos del negocio. La base de BCM es que la responsabilidad fundamental de los directores de la empresa es asegurar la continuidad de la funcionalidad del negocio en todo momento y bajo cualquier circunstancia. BCM surgió de las necesidades en la década de 1970 para proveer de recuperación de datos de desastres para los sistemas de información (IS). La planificación de desastres tradicionales se había concentrado en la restauración de las instalaciones después de un incidente grave, como la pérdida de un edificio o planta a través de un incendio o una inundación o la pérdida de la informática o de telecomunicaciones en toda la empresa. Planes de recuperación de desastres, en general, se escriben en la base de la recuperación después de un evento. BCM es acerca de la prevención - no es sólo una cura. No se trata sólo de ser capaz de hacer frente a incidentes que se producen y, por tanto, prevenir las crisis y los desastres posteriores, también se trata de establecer una cultura dentro de las organizaciones que busca construir una mayor resistencia para asegurar la continuidad de la prestación de productos y servicios a los clientes y los customers. BCM se centra en los procesos de negocio toda vez que en determinados activos, tales como los sistemas de TI, ya que, con el fin de operar, una organización debe seguir para ejecutar sus procesos de negocio críticos. Estos procesos pueden ser contenidos dentro de una función de negocio, o se pueden integrar o afectan a un número de ellos. Recuperación de los sistemas de TI por sí sola no mantener los procesos de negocio en funcionamiento como si el personal no tienen condiciones de trabajo adecuadas, si los registros críticos de papel han sido destruidos, o si la organización no puede comunicarse con sus clientes y proveedores.

4 EL CONCEPTO DE CONTINUIDAD DE LAS TIC Históricamente, la Planificación De La Continuidad Del Negocio (BCP) ha residido en el departamento de TI de la mayoría de las organizaciones. Por esta razón, la mayoría de las empresas tienen algunas de las alternativas de recuperación de desastres en el plano de sus sistemas de TI. La alternativa de recuperación de desastres más común es el almacenamiento de datos fuera del sitio, en el que los datos son regularmente copias de seguridad en cinta o disco y se mantiene a una ubicación remota. Aunque varias otras alternativas tecnológicas para la recuperación de TI están disponibles, especialmente para las grandes empresas, como los sitios hot and could, electronic vaulting, shadowing, mirroring, y disk-to-disk remote copy, que no son utilizados por muchas empresas. En este entorno económico difícil, es muy tentador para reducir los recursos para el BCP. Muchas empresas equivocadamente ven BCP como una póliza de seguro para los que probablemente nunca se tiene que poner una reclamación. Continuidad de las TIC apoya el proceso de BCM general de una organización. BCM busca asegurar que los procesos de la organización están protegidos contra interrupciones y que la organización es capaz de responder de manera positiva y eficaz cuando se produce la interrupción. La organización establece sus prioridades BCM, y dentro de ese contexto, las actividades TIC tienen lugar. Continuidad de las TIC se asegura de que requiere los servicios de las TIC son resistentes y se pueden recuperar a los niveles predeterminados en los plazos requeridos y acordados por la alta dirección. Por lo tanto, BCM eficaz depende de la continuidad de las TIC para garantizar que la organización pueda cumplir sus objetivos en todo momento (ver figura 1), particularmente durante los tiempos de interrupción.

5 Determinar estrategias de continuidad de TIC Desarrollo e implementación de la respuesta de las TIC continuidad Comprensión de la organización Continuidad Programa de Gestión de las TIC El ejercicio de mantenimiento y revisión BCM Gestión de Programas Determinar las opciones de BCM Comprensión de los Requerimientos de Continuidad de las TIC El ejercicio, mantenimiento y revisión de pruebas Desarrollo e implementación de una respuesta de BCM En la cultura de la Organización Incorporación de BCM Fuente: British Standards Institution, BS 25777:2008 Información y Gestión de Tecnologías de la Comunicación de continuidad: Repertorio de recomendaciones prácticas, Reino Unido, 2008 EL ENFOQUE DE CONTINUIDAD DE LAS TIC La continuidad de las TIC no solo se centra en la probabilidad e impacto de incidentes destructivos, sino también en la habilidad de la organización para detectar y responder a tales incidentes. Esto requiere las organizaciones para supervisar sus servicios TIC, para asegurar eso: Ellos son residentes y recuperables al nivel apropiado. Ningún evento inesperado dentro de un servicio es detectado, dirigido y investigado en una manera oportuna. Dependencias entre servicios TIC y factores externos son conocidos y usados en evaluación de riesgos y el impacto de un cambio. Dependencias en los componentes técnicos son conocidos y usados en evaluación de riesgos y el impacto de un cambio.

6 Procesos y soluciones de continuidad TIC son también destinados para asegurar estas obligaciones legales (así como protección personal y otra manera como datos confidenciales) no son infringidos. PRINCIPIOS DE CONTINUIDAD DE LAS TIC La continuidad de las TIC está basada en seis principales principios: 1. Protección Protegiendo el entorno de las TIC desde fallos del entorno, fallos de hardware, errores de operaciones, ataques maliciosos y desastres naturales son crítico principalmente para los niveles deseados de sistemas habilitados para una organización. 2. Detección La detección de incidentes en las primeras oportunidades de minimizar el impacto para servicios, reduciendo los efectos de la recuperación y preservando la calidad de servicio. 3. Reacción Reacción para una incidencia en la manera más apropiada lleva hacia una recuperación más eficiente y todo tiempo de inactividad. Una mala reacción puede resultar en una incidencia de menor escala dentro de alguno más serio. 4. Recuperación Identificación y implementación de la estrategia de recuperación apropiada que va a asegurar la oportuna reactivación de servicios y mantenimiento de la integridad de datos. La compresión de las prioridades de recuperación permiten el servicio más crítico para ser reinstalado primero. Servicios de una naturaleza menos crítica quizás sean reinstalados en un segundo tiempo o, in algunas circunstancias, no del todo. 5. Operación Operación en modo recuperación hasta retornar a la normalidad es posible requerir algo de tiempo y necesitar ampliar las operaciones de recuperación para apoyar con los incrementos de volumen de negocio que se necesitan para estar sirviendo con el tiempo. 6. Retorno La elaboración de una estrategia por cada plan de continuidad TI permite una organización para migrar desde modo de recuperación hasta una posición en la cual esto pueda apoyar negocios normales.

7 AMENAZAS A LAS EVALUACIONES DE LAS ACTIVIDADES CRÍTICAS En un contexto BCM, el nivel de riesgo debe ser entendido en concreto con respecto a las actividades críticas de la organización y el riesgo de una interrupción de esta. Actividades críticas se basan en recursos tales como personas, locales, ecología, información, suministros y partes interesadas. La organización debe entender las amenazas para estos recursos, la vulnerabilidad de estos recursos, y el impacto de una amenaza si este se convierte en un incidente y cause una interrupción en el negocio. El método de evaluación para el riesgo es totalmente decisión de la organización, pero es importante que el enfoque este apropiado y adecuado para afrontar todos los requerimientos de la organización. Como un resultado de un Análisis de Impacto de Negocio (BIA) y la valoración del riesgo, la organización debe identificar estas medidas: Reducir la probabilidad de una interrupción. Acortar el periodo de interrupción. Limitar el impacto de una interrupción en los principales productos y servicios de la organización. Estas medidas se conocen como la mitigación de pérdidas y tratamiento de riesgos. Mitigación de pérdidas pueden ser usadas in conjuntos con otras opciones, ya que todos los riesgos no pueden ser prevenidos o reducidos para un nivel aceptable. ENTENDIENDO LOS REQUERIMIENTO DE LAS TIC PARA LA CONTINUIDAD DEL NEGOCIO Como parte de estos programas BCM, la organización debe categorizar estas actividades de acuerdo a sus prioridades para recuperarlas. La alta dirección debe acordar los requerimientos en la continuidad del negocio de la organización. Para cada proceso critico, la organización tiene que determinar la cantidad de tiempo que el proceso puede estar disponible antes de la falta de disponibilidad que amenaza la continuidad del negocio. Esta figura se conoce como el Tipo de Inactividad Máximo Tolerable (MTD).

8 Después la organización establece las MTD para cada proceso crítico, esto se necesita para establecer algunos objetivos de recuperación objetivos para cada proceso. Los dos principales objetivos de recuperación que las organizaciones establecen en un BIA son las siguientes. 1. Objetivos de Tiempo de Recuperación (RTO) El tiempo objetivo es fijado para la reanudación de entrega de productos, servicios o actividades después de un incidente. 2. Objetivos de Punto de Recuperación (RPO) Momento en que los datos deben ser recuperados para reanudar los servicios. La organización debe definir estos servicios TIC, y los nombre de servicios TIC deben ser significativos para la organización. Los servicios TIC que se requieren para apoyar los logros del RTO para actividad crítica, como priorizado por el programa BCM, deben ser identificados. La organización debe documentar la lista de servicios TIC críticos, juntos con un RTO y RPO para casa servicio. Algunas indicaciones de la capacidad mínima necesarias de servicios de TIC en el restablecimiento y la rapidez con esta capacidad puede ser necesario para aumentar que también podría ser necesario. Los servicios RTO de la TIC deben generalmente ser menos que el RTO por la actividad critica está apoyada. (Esto no puede ser el caso cuando la estrategia de la continuidad del negocio llama por una medida interna, tal como un procedimiento manual, en lugar de depender totalmente del servicio de las TIC. La alta gerencia debe acordar en la lista crítica de servicios TIC y sus requerimientos asociados con la continuidad de las TIC. Por cada servicio TIC critico listado y agregado por la alta gerencia, la organización debe describir y documentar los componentes de TIC que estos servicios hacen de fin a fin y que ellos son configurados o vinculados para entregar cada servicio. IDENTIFICANDO DEFICIENCIAS Por cada servicio crítico de TIC, la continuidad actual de las TIC (con su configuración) debe ser comparada con un entorno normal de servicios de TIC, desde esta perspectiva se identificaran

9 deficiencias o desajustes que puedan comprometer la recuperación del servicio de TIC, tales como la falta de capacidad de almacenamiento de la fecha. DETERMINAR OPCIONES La organización debería considerar una amplia gama de opciones para cada servicio crítico de ITC. Las organizaciones pueden incluir una o varias o todas las siguientes estrategias: Continuidad del Negocio Buscar estrategias de continuidad para mejorar la resistencia de la organización frente a una interrupción de alguna actividad crítica, asegurando la continuidad, o recuperación del negocio con un nivel mínimo aceptable y en los plazos estipulados en el BIA. Aceptación Un riesgo puede ser aceptable a pesar de que no se esté adoptando una acción. Incluso si no es aceptable, la capacidad de hacer algo al respecto podría ser desproporcionada en relación con el posible beneficio obtenido. En estos casos, la respuesta puede ser de tolerar el nivel actual del riesgo considerando que el riesgo es aceptable y que está dentro del límite por la gestión de riesgo de la organización. En algunas circunstancias, el impacto de un riesgo puede estar fuera de la los límites de la organización, pero debido a la baja probabilidad de que ocurra el riesgo y / o que el costo no es demasiado, la alta dirección puede aceptar el riesgo. Transferencia Para algunos riesgos, la mejor respuesta puede ser su transferencia. Esto se puede hacer por un seguro convencional o acuerdos contractuales, o se puede hacer mediante el pago de un tercero para asumir el riesgo de otra manera. El riesgo puede ser transferido a otra organización que es capaz de gestionar eficazmente el riesgo y de esa manera se reduce la exposición al riesgo.

10 Es importante señalar que algunos riesgos no son completamente transferibles, en particular y en general no es posible transferir el riesgo de reputación, aunque la prestación de un servicio se subcontrata. Cambiar, Suspender o Terminar En algunas circunstancias, puede ser apropiado cambiar, suspender o interrumpir el servicio, producto, actividad, función o proceso de las TIC. Esta opción sólo debería considerarse cuando no hay conflicto con los objetivos de la organización, cumplimiento con los estatutos o la expectativa de los interesados. Ejercer y Pruebas Los planes de la organización con respecto a la continuidad de las TIC no pueden considerarse fiable hasta que se ejerce. Ejercer un programa puede implicar una serie de pruebas. La organización debe ejercer no sólo la recuperación de los servicios de TIC, sino también la protección de servicio y la resistencia de los elementos, para eso: El servicio puede ser protegido, mantenido y recuperado, independientemente de la gravedad de incidentes. Los acuerdos de continuidad puede minimizar el impacto en el negocio. El ejercicio es una actividad comercial amplia y no sólo el dominio del departamento de TIC. El departamento de TIC puede tener los aspectos de planificación y ejecución del ejercicio, pero la organización sigue teniendo el papel clave.

11 CONCLUSIÓN: Toda actividad es susceptible al impacto de los eventos internos y externos, como la insuficiencia de tecnología, incendios, inundaciones, falta de servicios públicos, las enfermedades y ataques maliciosos. Continuidad de TIC ofrece la posibilidad de reaccionar antes de que ocurra una interrupción, o la detección de uno o una serie de eventos relacionados que pueden impactar negativamente, y asimismo permite responder y recuperarse cuando la interrupción incide en los resultados. Continuidad de las TIC es fundamental para la Estrategia de las TIC y la Gestión de Servicios de la TIC, los cuales se alinean con la estrategia organizacional. La Estrategia de las TIC y la Gestión de Servicios permiten que la organización siga cumpliendo con sus objetivos, ofreciendo sus productos y servicios cuando las condiciones son adversas. Continuidad de las TIC apoya generalmente el proceso BCM de una organización. DCM tiene por objetivo garantizar que los procesos de la organización están protegidos contra interrupciones y que la organización sea capaz de responder de manera positiva y eficaz cuando se produce la interrupción. La organización establece sus prioridades BCM, y es en este contexto las actividades de las TIC tienen lugar. Gestión de continuidad de TIC y el formulario BCM son una parte importante de una gestión eficaz, el buen gobierno y la prudencia de la organización. La alta dirección es responsable de mantener la capacidad de la organización para continuar funcionando frente a la interrupción.