Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio Adela Garzón Bejarano Septiembre 1 de 2010
Agenda 1. Riesgo en la banca electrónica Contexto Gestión de Riesgo en la banca electrónica Riesgo informático - metodologías aplicables 2. Continuidad del Negocio Por qué? Antecedentes y tendencias Conceptos generales Mejores prácticas y estándares aplicables Proceso metodológico según BS25999
1. Riesgo en la banca electrónica - Contexto Ubicuidad de la información Globalización Naturaleza impersonal Uso de tecnologías emergentes (movilidad) Interoperabilidad (dependencia de terceros) Escalabilidad
Gestión de riesgo en la banca electrónica Debida diligencia con la clientela de los bancos (BIS Oct.2001) Política de aceptación de clientes Identificación de clientes Seguimiento de cuentas y transacciones Gestión de riesgos Principios de administración de riesgo en la banca electrónica (BIS Jul.2003) Vigilancia de la junta directiva y admon.(p.1-3) Controles de seguridad (p.4-10) Administración de riesgo legal y de reputación (p.11-14)
Gestión de riesgo en la banca electrónica principios BIS Vigilancia de la junta directiva y admon. Vigilancia de las act. de banca electrónica Establecer proceso de control de seguridad Vigilancia y debida diligencia para contratación externa Controles de seguridad Autenticación No repudiación Segregación de funciones Controles de autorización en bases de datos y sistemas de inf. Integridad de datos de transacciones Pistas de auditoría para transacciones Confidencialidad de info. sensible Administración de riesgo legal y de reputación Divulgación apropiada de servicios Privacidad de información Planes de continuidad para asegurar disponibilidad de servicios Planes de respuesta a incidentes
Comunicar y consultar Monitorizar y Revisar Metodologías Estándar AS/NZS 4360 1. Establecer el Contexto 2. Identificar Riesgos 3. Analizar Riesgos 4. Evaluar Riesgos 5.Tratar Riesgos
Metodologías Octave (Operationally Critical Threat, Asset and Vulnerability Evaluation)
Metodologías Magerit (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) Análisis de riesgo: 1. Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación 2. Determinar a qué amenazas están expuestos aquellos activos 3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo 4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza 5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza Tomado de: MAGERIT-versión 2 Ministerio de Administraciones públicas, Madrid, p.16
Metodologías Magerit (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) Tomado de: MAGERIT-versión 2 Ministerio de Administraciones públicas, Madrid, p.17
Riesgo en la banca electrónica En síntesis. Establecer contexto Qué activos se quieren proteger? Cuáles son los riesgos reales de esos activos? Qué tan bien se mitigan esos riesgos con las medidas de control actuales? Qué nuevos riesgos se introducen? Cuál es el riesgo residual? Cómo se realizará seguimiento e implementación de acciones de mejora?
Referencias http://www.bis.org/ http://www.cert.org/octave/ http://www.csae.map.es/csi/pg5m20.htm
Agenda 1. Riesgo en la banca electrónica Contexto Gestión de Riesgo en la banca electrónica Riesgo informático - metodologías aplicables 2. Continuidad del Negocio Por qué? Antecedentes y tendencias Conceptos generales Mejores prácticas y estándares aplicables Proceso metodológico según BS25999
2. Continuidad del Negocio Por qué? Política de la dirección Reacción ante un desastre Requerimiento regulatorio Observaciones de auditoría Buena práctica de negocios Orientación a la planeación Concientización personal Motivación personal
2. Continuidad del Negocio Antecedentes Desastres Naturales Humanos Pandemias Amenazas Ciberterrrorismo Terrorismo y conflictos armados Virus informáticos
2. Continuidad del Negocio Tendencias Los clientes conocen sus problemas de TI y de Negocio al mismo tiempo que usted Antes Protección del centro de cómputo Ahora Protección de los procesos críticos del negocio Múltiples causas de interrupciones (operacionales, técnicas, naturales...) Surgimiento de nuevas tecnologías Exigen mayor disponibilidad Tiempo sin servicio reducido Múltiples proveedores externos Todos los procesos de negocio involucran tecnología
2. Continuidad del Negocio Conceptos DRP PLAN DE RECUPERACION DE DESASTRES: Estrategias definidas para asegurar la reanudación oportuna y ordenada de los servicios informáticos críticos en caso de contingencia. BCP BCM PLAN DE CONTINUIDAD DEL NEGOCIO: Conjunto de procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los procesos de negocio generando un impacto mínimo ante un incidente. ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO: Proceso administrativo completo que identifica impactos potenciales que puedan afectar a la organización. Provee la estructura para dar flexibilidad y respuestas efectivas para salvaguardar los intereses de la organización.
2. Continuidad del Negocio Conceptos
2. Continuidad del Negocio Lineamientos, metodologías y estándares País origen Metodología Estándar Guía Desarrollada por: Propósito Fecha USA Professional Practices for Businesss Continuity Management Disaster Recovery Institute (DRII) Lineamientos. 10 Prácticas Profesionales para gestionar la continuidad del negocio. 2003 USA NFPA-1600. Standard on Disaster/Emergency Management and Business Continuity Programs National Fire Protection Association (NFPA) Lineamientos para manejo de programas de atención de emergencias, atención de desastres y programas de continuidad del negocio. 2004 Basilea BASEL - High level principles for business continuity Bank for International Settlements (BIS) Principios para apoyar entidades del sector financiero en la gestión de continuidad del negocio con miras a mejorar la resiliencia del sector financiero. 2006 UK BS25999 Business Continuity Management British Standards Institute (BSI) Estándares para desarrolar y gestionar programas de continuidad de negocios. Parte 1: Código de práctica Parte 2: Especificaciones 2006 2007 Colom bia GTC 176. Guía técnica colombiana. Sistema de Continuidad de Negocio ICONTEC Lineamientos para la gestión de continuidad del negocio. Enfocada bajo gestión de procesos. 2008
Regulaciones que incluyen BCP País origen UK UK Metodología Estándar Guía ISO27001. Information Security Management ITIL. IT Infrastructure Library s Service Delivery Management practices Desarrollada por: British Standards Institute (BSI) Office of Governement Commerce Colombia SARO SuperFinanciera Colombia Circular 052 SuperFinanciera Propósito Estándares para el desarrollo, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI). A.14 Gestión de la Continuidad del Negocio Lineamientos para mantener la continuidad de servicios de tecnología. Reglas relativas a la administración del riesgo operativo. 3.1.3.1 Administración de la continuidad del negocio 3.2.3 Exigir que los terceros dispongan de planes de contingencia y continuidad debidamente documentados Fecha 2005 2007 2006 2007
2. Continuidad del Negocio Proceso metodológico según BS25999 Cultura organizacional Entender la organización Probar, mantener y revisar Administración de Continuidad del Negocio Estrategias de contingencia Desarrollo e implementación de respuestas
Proceso metodológico según BS25999 Entender la organización Administración de Continuidad del Negocio Probar, mantener y revisar Desarr ollo e imple menta ción de respue stas Estrategias de continuidad Política de continuidad Gobernabilidad Implementación del programa Gestión del programa
Proceso metodológico según BS25999 Entender la organización Identificar: Objetivos organizacionales Factores ambientales Procesos críticos (interdependencias) Análisis de riesgos Análisis de impacto del Negocio (BIA) Tiempos de Recuperación (RTO) Pérdida de información (RPO) Acuerdos de servicio Recursos mínimos para operar
Proceso metodológico según BS25999 Entender la organización Punto Objetivo de Recuperación (RPO) Qué tan actualizados necesitan estar los datos? Tiempo Objetivo de Recuperación (RTO) Cuál es la tolerancia a la no disponibilidad? Sem Días Hrs Min Seg Seg Min Hrs Días Sem Punto de Recuperación Tiempo de Recuperación
Proceso metodológico según BS25999 Entender la organización Requerimientos mínimos aceptables Ventanas de recuperación Información Recurso humano Documentos Instalaciones
Proceso metodológico según BS25999 Estrategias de contingencia Recurso humano Tecnología Información vital Proveedores
Proceso metodológico según BS25999 Estrategias de contingencia Recurso Humano Mantener conocimiento Segregación de actividades críticas Sitios alternos / Acceso remoto Tecnología Hardware, software, telecomunicaciones, backup y recuperación Centros de cómputo alternos Información vital Almacenamiento y recuperación Confidencialidad, Integridad, Disponibilidad Actualizada (medios físico y digital) Proveedores Dependencias Coordinación de planes Pruebas
Proceso metodológico según BS25999 Implementación de respuestas Implementación de planes de continuidad Equipos de trabajo Reanudación Recuperación Controles Seguridad Inventarios Recursos Respuesta a la emergencia Respuesta a incidentes de seguridad
Proceso metodológico según BS25999 Probar, mantener y revisar Pruebas Notificación Salvamento Coordinación con autoridades Estrategias Tecnológicas Operativas Mantenimiento y revisión Planes Programa Actualización Registro Distribución
Proceso metodológico según BS25999 Probar, mantener y revisar Complejidad Prueba Objetivo Variantes Frecuencia Simple Escritorio - simulación Revisión contenido BCP Act./Validar Auditoria Verificación Involucrar roles Trimestral Semestral Anual Media Ejercicio parcial Situación controlada que no impacte la operación normal Operaciones críticas en sitio alterno (anunciadassorpresa) Semestral Alta Ejercicio de todo el plan Evacuación Activación de contingencias tecnológicas y operativas Involucrar proveedores (anunciadassorpresa) Semestral Adaptado de: Types and methods of execising BCM strategies BS25999-1:2006, p.37
Proceso metodológico según BS25999 Probar, mantener y revisar Tipos de pruebas Horarios no hábiles. Horarios no hábiles con grupos de clientes. Horarios hábiles con grupos de clientes. Horarios hábiles todos los clientes. Día Semana Varias semanas. Alternar producción & contingencia.
2. Continuidad del Negocio En síntesis. Planeación de la Continuidad del Negocio Pruebas Mejora continua Entrenamiento Mantenimiento Aseguramiento de la Calidad Planes Equipos Tareas BIA Responsabilidades Estrategias Alcance Políticas Propósito Objetivos Supuestos Compromiso y soporte de la Alta Gerencia
Referencias www.drii.org www.thebci.org www.nfpa.org
Muchas Gracias