Controles en la Administración de Seguridad Dra. Elsa Estévez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010
T. 2 Contenido Plan de Recuperación de Desastres Seguros
T. 3 Controles de Último Recurso A pesar de los resguardos que se puedan tomar, la función de los SI puede sufrir un desastre. En estas situaciones, quedan dos controles como último recurso: 1)Plan de Recuperación de Desastre 2)Seguros
T. 4 Plan de Recuperación de Desastre Propósito: permitir restaurar las operaciones de la función de los SI, en el evento de algún tipo de desastre. El impacto puede ser: 1) localizado: daño en una BD 2) generalizado: incendio en la instalación Periódicamente se deben hacer ensayos para evaluar si los planes de recuperación de desastre son adecuados. Estos planes son muy caros, difíciles de preparar, mantener y testear.
T. 5 Plan de Recuperación de Desastre Los auditores deben evaluar que estos planes existan, estén en su lugar y sean adecuados. Los auditores externos están especialmente interesados en la habilidad del cliente de retomar sus operaciones en el caso que suceda un desastre y la recuperación no pueda ser efectuada rápidamente. El auditor debe poner especial cuidado en demandas que puedan surgir por no cumplimientos de contratos con otras partes. Los auditores internos tienen los mismos intereses.
T. 6 Plan de Recuperación de Desastre El plan incluye cuatro partes: Plan de Emergencia Plan de Testeo Plan de Recuperación de Desastre Plan de Backup Plan de Recuperación
T. 7 Plan de Recuperación de Desastre El plan debe proveer las políticas, guías y procedimientos a seguir para todo el personal que tiene responsabilidad en la función de los sistemas de información. Ejemplo: procedimientos de backup a ejecutar diariamente.
T. 8 Plan de Emergencia Plan de Emergencia (PE): especifica las acciones a realizar inmediatamente luego de producido el desastre. La gerencia debe identificar las situaciones que requieren que se invoque el plan. Ejemplo: incendio, daño estructural, ataque terrorista. Las acciones que se inicien, dependerán de la naturaleza del desastre. Ejemplo: algunas requieren que todo el personal evacue el edificio, otras pueden requerir que algunas personas permanezcan hasta apagar equipos, o disparar alarmas.
T. 9 Plan de Emergencia Primero, identificar las situaciones en las cuales se necesita invocar al PE. En el PE se debe incluir, para cada situación: 1) quién debe ser notificado inmediatamente cuando ocurre el desastre. Ejemplo: policía, bomberos, médicos, etc. 2) acciones a tomar. Ejemplo: apagar equipos, cortar llaves, remover archivos, etc. 3) procedimientos de evacuación, 4) procedimientos para retornar - cuáles son las condiciones de seguridad que se deben cumplir para retornar. Se debe especificar el responsable para cada tarea, y el procedimiento a seguir.
T. 10 Plan de Backup - Contenido El Plan de Back Up (PB) especifica: 1) los tipos de backup que se deben mantener, 2) la frecuencia de ejecución, 3) los procedimientos, 4) la ubicación de los recursos, 5) el sitio donde estos recursos pueden restaurarse, 6) las operaciones para restaurar, 7) el personal responsable de recolectar los recursos de back up y las operaciones de recupero, 8) las prioridades a asignar para recuperar los sistemas, 9) un cronograma que muestre cuando cada sistema puede ser recuperado.
T. 11 Plan de Backup - Controles El plan necesita actualización permanente. Ejemplo: 1) personal que no trabaja más en la empresa, con tareas de responsabilidad dentro del plan 2) actualización del inventario de hardware y software disponible. La mayor dificultad radica en asegurar que todos los recursos críticos están backupeados.
T. 12 Plan de Backup Recursos 1 Se deben considerar los siguientes recursos: 1) personal: entrenamiento y rotación de obligaciones entre el personal de SI, para facilitar reemplazos. Acuerdos con otras empresas para proveer personal. 2) hardware: acuerdo con otra empresa para provisión del hardware 3) facilidades: acuerdo con otra empresa para provisión de facilidades 4) documentación: inventario de documentación almacenada de manera segura en el sitio y fuera del sitio.
T. 13 Plan de Backup Recursos 2 5) insumos: inventario de insumos críticos almacenados de manera segura en el sitio y fuera del sitio, con listas de vendedores que provean los insumos 6) datos/información: inventario de archivos almacenados de manera segura dentro y fuera del sitio 7) software de aplicación: inventario del software de aplicación almacenado de manera segura dentro y fuera del sitio 8) software de sistemas: inventario del software de sistemas almacenado de manera segura dentro y fuera del sitio.
T. 14 Plan de Backup - Sitios Un tema importante es la selección del sitio de backup. Se pueden estudiar las siguientes alternativas: 1) cold site 2) hot site 3) warm site 4) acuerdo recíproco
T. 15 Plan de Backup Cold Site Si la organización tolera un tiempo sin sistema, ésta alternativa podría ser adecuada. El lugar tiene todas las facilidades para instalar los equipos necesarios. La organización puede tener su propio sitio o firmar un contrato con otra empresa.
T. 16 Plan de Backup Hot Site Todo el hardware y las facilidades de operación deben estar disponibles en el sitio. En algunos casos, se guarda acá el software, los datos, e insumos. Son caros de mantener. Se comparte entre varias organizaciones.
T. 17 Plan de Backup Warm Site Provee un nivel de backup intermedio. Tiene todas las facilidades del cold site, más el hardware que podría ser difícil de conseguir o instalar.
T. 18 Plan de Backup Acuerdo Recíproco Dos o más organizaciones pueden tener un acuerdo de proveerse mutuamente facilidades de backup en caso de sufrir un desastre alguna de ellas. Es una alternativa barata. Se debe tener suficiente capacidad de procesamiento. A menudo es informal.
T. 19 Plan de Backup - Contratos Si se usa un sitio de backup de otra empresa, los administradores de seguridad deben asegurar que los contratos incluyan: 1) en qué tiempo estará disponible el sitio de backup, 2) el número de organizaciones que simultáneamente pueden usar el sitio de backup, 3) la prioridad que se asignará a usuarios concurrentes en el caso de un desastre común, 4) el período por el cual se puede usar el sitio, 5) las condiciones bajo las cuales se puede usar el sitio, 6) las facilidades y servicios que se comprometen a proveer en el sitio, 7) qué controles se implementarán en el sitio.
T. 20 Plan de Recuperación Plan de Recuperación (PR): define los procedimientos para restaurar las capacidades completas de los SI. Es específico y depende de las circunstancias del desastre. El plan debería identificar un comité de recuperación, especificar las responsabilidades del comité, y proveer guías y prioridades a seguir. El plan también debería indicar qué aplicaciones recuperar primero.
T. 21 Plan de Testeo Plan de Testeo (PT): identifica las deficiencias en los PE, PB, PR, o en la preparación de la organización y del personal para un caso de desastre. Debe permitir simular desastres, y especificar el criterio por los cuales los PE, PB, y PR pueden considerarse satisfactorios. Se deben ejecutar periódicamente, esto es simular los desastres y requerir al personal que cumpla con los procedimientos estipulados en los planes.
T. 22 Plan de Testeo Inconvenientes: 1) interrumpir las operaciones diarias 2) que ocurra un desastre como resultado del testeo de procedimientos. Soluciones: que se testee mediante inspecciones formales, y no en la práctica. Planificar el testeo en un horario de poca carga - día y hora no conflictivos.
T. 23 Seguros Qué asegurar 1 Se usan para mitigar las pérdidas producidas por un desastre. Se pueden tener seguros para proteger los siguientes recursos: 1) equipamiento: cubre la reparación o adquisición de hardware - depende si el equipo es comprado o en leasing 2) facilidades: cubre ítems como reconstrucción de la sala de cómputos, amoblamiento, etc. 3) medios de almacenamientos: cubre el reemplazo de medios de almacenamiento más sus contenidos (datos, programas, documentación)
T. 24 Seguros Qué asegurar 2 4) interrupción de negocios: cubre las pérdidas en las ganancias, debido a que la organización está imposibilitada de operar 5) expensas extra: cubre costos adicionales incurridos porque la organización no está operando con sus facilidades normales 6) papeles y registros valiosos: cubre documentos fuente, informes preimpresos, documentación y otros papeles valiosos 7) transporte de medios: cubre el daño a los medios en tránsito 8) errores, mala praxis, y omisiones: cubre los reclamos de los clientes. Ejemplo: seguros de una empresa que presta servicios de outsourcing.
T. 25 Seguros - Controles Es difícil conseguir cobertura para algunos tipos de pérdidas: seguros por pérdida de información por virus. Los seguros de SI son un área nueva y están evolucionando. El administrador de seguridad debe verificar que la El administrador de seguridad debe verificar que la organización cumple con todas las claúsulas del contrato de seguro.
T. 26 Seguros Con empresas que prestan servicios tipo outsourcing, se debe poner especial cuidado para establecer la responsabilidad de salvaguarda. Se debe considerar: 1) qué responsabilidad tiene el vendedor de outsourcing por mala praxis, errores u omisiones 2) qué responsabilidad tiene el prestador por no cumplir con los servicios prometidos 3) quién es el dueño de los datos y programas que están mantenidos por el prestador 4) cuáles son las responsabilidades del prestador con respecto a backups y recuperaciones. Estas consideraciones deben definirse en un contrato.
T. 27 Ubicación de la Función La ubicación de la función de administrar la seguridad, depende del tamaño de la organización y de la dependencia en los SI. Puede ser ejercida por: 1) el contador, o un asesor externo, 2) el gerente de operaciones, 3) un responsable de seguridad o 4) un área especial dedicada a la seguridad.
T. 28 Resumen Plan y Programa de Seguridad Amenazas Plan de Recuperación de Desastres Seguros