dit-upm Continuidad de Negocio

Documentos relacionados
CONTINUIDAD DE NEGOCIO

Cómo plantear un PCN Presentación

Clase 29: 24 de mayo de Business Continuity Planning. Luis León Cárdenas Graide lcardena [at] nic. cl

FOROFAST- Dintel Gestión de la continuidad de negocio Externalización de los servicios de seguridad

SISTEMA DE GESTIÓN DE CONTINUIDAD DEL. Gerencia Transporte de Energía Dirección Gestión Integral del Negocio

Programa de Continuidad Gubernamental

Administración Datacenter 1

Qué es DRS? Disaster Recovery as a Service de CAS-CHILE

TENDENCIAS EN CONTINUIDAD DEL NEGOCIO

The concept of IT (BCDR) IT Business Continuity and Disaster Recovery

Sistema de Gestión de Continuidad de Negocio. Gestión 2017

Jornadas de Auditoria Interna Septiembre 8, Plan de Continuidad del Negocio

Noviembre Continuidad de Negocio Business Continuity Management (BCM)

POLÍTICA DEL SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIOS

Curso: Plan de Continuidad al Negocio y Resiliencia Organizacional. Instructor: Eduardo Jiménez Granados

Los cambios del borrador ISO 14001:2015

Sistema DRP fuera de sitio mediante Oracle DataGuard. Soluciones ORACLE

ISI-MGP-ABCP INGENIERO EN SISTEMAS DE INFORMACION (ISI) MAESTRIA EN GESTION DE PROYECTOS (MGP) PROFESIONAL ASOCIADO CONTINUIDAD NEGOCIOS DRII (ABCP)

Management s Assertion

Gerenciando la Continuidad del Negocio

UNIVERSIDAD ANDINA DEL CUSCO FACULTAD DE INGENIERIA Y ARQUITECTURA

Curso Especializado Seguridad Informática GNU/LINUX

ISO Anti Bribery Management Systems Requirement with guidance for use. El valor de la confianza

INTERNA Y EL PLAN DE CONTINUIDAD

Respaldo y Recuperación de Datos. Ing. Albino Goncalves

SGCN-POL-01 POLÍTICA CORPORATIVA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO

Unidad 1: Fundamentos de BCM

Los Planes de Continuidad del Negocio

ESCUELA POLITÉCNICA DEL EJÉRCITO

APPENDIX 2 - FACTORY INSPECTION REPORT Apéndice 2 - Reporte de inspección de fabrica Additional Quality System Requirements

Planes de Gestión de Crisis Aprendiendo de los errores en su implementación

Diplomado Gestión de la Seguridad de la Información

GECI Y EL MEDIO AMBIENTE

Guideline to apply the ISO 90003:2004 Standard to SMEs of software development

Lecciones aprendidas en auditorías BCP

Una visión incremental de los riesgos: de la metodología MAGERIT al modelo CMMI. Ramiro Carballo

Mrs. Paulina Román International Payment Systems, Central Bank of Ecuador

Introducción al curso

Gestión de Continuidad de Negocios. Enero de 2011

RAI Visión de Auditoría Interna en la Continuidad de Negocios. 23 Marzo 200

LUIS GERARDO RUIZ AGUDELO

REPORT ON THE RESERVE FUND OF THE REGIONAL CONFERENCE ON MIGRATION FOR THE ASSISTED VOLUNTARY RETURN OF HIGHLY VULNERABLE INTRA-REGIONAL MIGRANTS

Sistema de Gestión de Continuidad del Negocio

Training workshop on public information and awareness programmes focusing on safety aspects

Servicios en la Nube Pública SaaS de Oracle (Oracle SaaS Public Cloud Services) D O C U M E N T A C I Ó N D E L P I L A R J U L I O D E

Genre Expository Thinking Guide and Activities

SIHI México, S. de R.L. de C.V. Pricing Guide

Preparándose para la continuidad de negocio y la seguridad de la información en El Salvador

CURSO TALLER EL BIA Y LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO

CONTINUIDAD DE NEGOCIO

EN CONTINUIDAD DEL NEGOCIO ISO 22301:2012

Resistir lo extraordinario

Plan de Continuidad del Negocio de una Sociedad Financiera en el Área de Cartera de Créditos para el período 2009 en la ciudad de Guayaquil E.

Analítica de datos e Inteligencia de Negocios. Manuel Terán

TALLER. 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC Seguridad de la Información orientada al Negocio

Gestión de continuidad del negocio un enfoque resilente basado en el estándar ISO 22301

TALLER. BIA- Análisis de impacto en el negocio 2016 Riesgo Operativo, TI y Continuidad del Negocio

Normalización internacional del Ecodiseño

Computer Science. Support Guide First Term Fourth Grade. Agustiniano Ciudad Salitre School. Designed by Mary Luz Roa M.

Certificación Internacional

ISO , por dónde empezamos?

IX CONGRESO ISACA COSTA RICA Gestión de riesgos de Continuidad de Negocio en función del negocio

IBM Resiliency Orchestration. Recuperación ante desastres y Ciber Resiliencia

ComBanc - Ejes Estratégicos

Genre Biography Thinking Guide and Activities

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Basados en ISO #1: PRACTICAS DE GESTIÓN #2: PRACTICAS TÉCNICAS

CONTINUIDAD DE NEGOCIOS Y MANEJO DE CRISIS. Resiliencia: Capitalizando las crisis a favor de la seguridad

Normas ISO relativas a Six Sigma

Recomendaciones en materia de Seguridad de Datos Personales

DESARROLLO DE UN PLAN DE CONTINUIDAD DEL NEGOCIO PARA LA EMPRESA YELLOW PEPPER

Metodología para la Gestión de la Continuidad del Negocio

Ventajas de un Modelo de Madurez en Ciberseguridad

Behavior Modeling State Diagrams

ESTUDIO Y PLANIFICACIÓN DE LOS FLUJOS DE INFORMACIÓN EN UNA EMPRESA PARA SU ALINEAMIENTO ESTRATÉGICO

Planes de Acción. Aspecto Relevantes:

Oscar M. Chombo Bernal VP General Control Officer CISSP, CISA, L.A. ISO/IEC 27001:2013 e ITIL Foundation

CASO PRÁCTICO PARA LA EJECUCIÓN DE UN BIA

Plan de Continuidad de Negocio

PATRÓN DE CALIDAD DE SUMINISTRO ELÉCTRICO.

ISO GAP ANALYSIS

Normas de Seguridad. Normativa de generación de copias de seguridad y recuperación de información

Servicios en Seguridad de la información.

PLENARIA: - RIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL. -

Agenda de Acción / Action Agenda

ARIS Solution for Governance, Risk & Compliance Management. Ensure Business Compliance

INTERNA Y EL PLAN DE CONTINUIDAD DEL NEGOCIO

Sistema de gestión de la continuidad empresarial Una práctica de la Autoridad Pública del Seguro Social

INFORMACIÓN SOBRE LA PARTICIPACIÓN DE AEMET EN EL SIMULACRO POWER OUTAGE 17

ICAO State Safety Programme (SSP) and Safety Management Systems (SMS)

Principios de la Seguridad Informática

ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL INSTITUTO DE CIENCIAS MATEMÁTICAS INSTITUTO DE CIENCIAS MATEMÁTICAS

Genre Expository Thinking Guide and Activities

Continuidad. Más que sólo una palabra. Junio 2014

SEGURIDAD INFORMATICA. Vulnerabilidades

PROYECTO ISO SISTESEG

Managment Voucher EPI

ORGANIZACIÓN DE RIESGOS Y GESTION DE LA SEGURIDAD EN LA REPUBLICA ARGENTINA. Congreso técnico CAS CAMARA ARGENTINA DE SEGURIDAD INTERSEC 2016

ISO 22301: Resumen del proceso de implementación de GCN. Ponente: Antonio Segovia

Transcripción:

-upm Continuidad de Negocio José A. Mañas < http://www.dit.upm.es/~pepe/> Dep. de Ingeniería de Sistemas Telemáticos E.T.S. Ingenieros de Telecomunicación Universidad Politécnica de Madrid 24.2.2018

cada día más importante Es improbable un desastre; pero somos muy vulnerables 1. dependencia creciente de la tecnología 2. interdependencia de los proveedores su problema es mi problema 3. un acto individual puede tener consecuencias planetarias 4. la competencia [feroz] no perdona detenciones prolongadas o, simplemente, apreciables por los usuarios REPUTACIÓN 5. por obligación legal o por regulación sectorial sectores regulados operan con licencia administrativa

windsor 13.2.2005

terms incident situation that might be, or could lead to, a disruption, loss, emergency or crisis disaster situation where widespread human, material, economic or environmental losses have occurred which exceeded the ability of the affected organization, community or society to respond and recover using its own resources ISO 22301:2012

tiempos último backup medios alternativos RTO sin servicio RPO información defectuosa

MTPD / RTO nivel de servicio nivel estándar MTPD RTO nivel mínimo tolerable tiempo

terms MTPD - maximum tolerable period of disruption time it would take for adverse impacts, which might arise as a result of not providing a product/service or performing an activity, to become unacceptable RTO - recovery time objective period of time following an incident within which product or service must be resumed, or activity must be resumed, or resources must be recovered. RPO - recovery point objective point to which information used by an activity must be restored to enable the activity to operate on resumption NOTE Can also be referred to as maximum data loss.

definiciones resiliencia Capacidad de los sistemas para seguir operando pese a estar sometidos a un ciberataque, aunque sea en un estado degradado o debilitado. Así mismo, incluye la capacidad de restaurar con presteza sus funciones esenciales después de un ataque. resiliencia Capacidad de adaptación de una organización en un entorno complejo y cambiante.[une Guía 73:2010]

nivel de servicio nivel nominal métricas de impacto nivel mínimo tolerable t0 tf tiempo resiliencia = t0 tf nivel dt target: 1

nivel de servicio Nn métricas de resolución nivel nominal N 90 Nm nivel mínimo tolerable t0 tf tiempo t 90 tiempo para recuperar el 90% de servicio

terms BC - business continuity capability of the organization to continue delivery of products or services at acceptable predefined levels following disruptive incident BCM - business continuity management holistic management process that identifies potential threats to an organization and the impacts to business operations those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability of an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities

interdependencias e-government financial services transportation telecommunications energy

interdependencias

terms BCP - business continuity plan documented procedures that guide organizations to respond, recover, resume, and restore to a pre-defined level of operation following disruption invocation act of declaring that an organization s business continuity arrangements need to be put into effect in order to continue delivery of key products or services DRP - Disaster Recovery Plan A written plan for processing critical applications in the event of a major hardware or software failure or destruction of facilities. [NIST-SP800-34:2002]

terms BIA - business impact analysis process of analyzing activities and the effect that a business disruption might have upon them

coste de la interrupción coste de la interrupción duración de la interrupción

impacto residual T0 time to recover backup madurez L0 L1 L2 L3 L4 L5

continuidad del servicio NIST, SP800-34

desastres Puede tenerse miedo de diferentes desastres incendio del CPD incendio de las instalaciones accidente que afecta al parque empresarial indisponibilidad de las personas huelga, epidemia, amenaza de bomba, indisponibilidad de las comunicaciones ante cada supuesto hay que tener un plan de actuación

plan estructurado (1/2)... de emergencia (OEP) salvar a las personas frenar el incidente hacer acopio de información informar (personal, prensa, familias,...)... de continuidad de operaciones (COOP) alternativas para seguir trabajando pese a no disponer de los medios habituales crítico

plan estructurado (2/2)... de recuperación tras el desastre (DRP) equipamiento alternativo informática comunicaciones instalaciones personal crítico... de retorno a la normalidad (BRP) para regresar a las condiciones anteriores

9/11 sin edificios sin personal sin transporte sin comunicaciones acceso restringido

planes preparatorios Equipo humano de emergencia personal, personal de guardia, director(es) y proveedores turnos, equipos rotatorios,... medios de localización y entrada en juego: escalado teléfonos de contacto empleados, medios de comunicación, servicios de emergencia Precauciones técnicas información: copias de respaldo periodicidad, ubicación,... procedimiento de recuperación: transporte, claves,... equipamiento alternativo: hw + sw + com + local + personas ubicación, pre-configuración, activación,...

DRP - recuperación Medios informáticos: back up información, al día? consistente? sw: programas y configuraciones tradicionales: papel personal técnico y directivo dónde se sienta? cómo habla? Procedimientos Pruebas regulares y mantenimiento

planes COMPROBAR, COMPROBAR y COMPROBAR en una emergencia no hay tiempo para experimentar Verificar que funciona la comunicación de activación que se entienden los planes (corto y claro) que cada uno sabe lo que tiene que hacer, sin dudar que no hay puntos de dependencia crítica que no nos pisamos unos a otros que no quedan tareas sin asignar que los proveedores responden Tras cada prueba evaluar cualitativa y cuantitativamente actualizar los planes

terms exercise process to train for, assess, practice, and improve performance in an organization NOTE 1 Exercises can be used for: validating policies, plans, procedures, training, equipment, and inter-organizational agreements; clarifying and training personnel in roles and responsibilities; improving inter-organizational coordination and communications; identifying gaps in resources; improving individual performance; and identifying opportunities for improvement, and controlled opportunity to practice improvisation. NOTE 2 A test is a unique and particular type of exercise, which incorporates an expectation of a pass or fail element within the goal or objectives of the exercise being planned.

ejercicios Cuando no hay incidentes, hay que provocarlos 3. mejora en los procesos 2. educación y terminología uniforme 1. visibilidad

BRP - plan de retorno Configuración del sistema recuperado Traslado de información Conmutación Terminación de los medios alternativos borrado, destrucción, devolución,... Informes PDCA: consecuencias sobre los planes preparatorios

desarrollo de un plan 1. Definir una política (formal) 2. BIA análisis del impacto en el negocio 3. Identificación de medidas preventivas (agr) 4. Selección de medios alternativos 5. Escribir un plan 6. Auditoría, pruebas, entrenamiento 7. Mantenimiento regular tenemos más sabemos más

BIA: business impact analysis 1. Determinación de las funciones críticas de producción de responsabilidad legal y contractual 2. Determinación de recursos críticos para funciones críticas 3. Determinación del coste por hora de indisponibilidad 4. Identificación de activos que requieren una alternativa tiempo crítico de puesta en marcha

BIA

BIA

propagación del valor servicios + datos software equipamiento [hw + com + si + aux] instalaciones personal

propagación del valor procesos de negocio servicios prestados por la organización servicios + datos software equipamiento [hw + com + si + aux] instalaciones personal

estrategias de supervivencia... de los servicios... de la información... de las aplicaciones... de los equipos... de las instalaciones... del personal criterios impacto a tratar coste tiempo de entrada en acción localización

una decisión política

otros riesgos Confidencialidad de la información protección de las copias de seguridad protección de los procesos de copia, transporte y restauración protección de las claves de cifra y autenticación disponibilidad de las claves Integridad de la información ídem Actualidad de la información (RPO)

BSI 25999 BS 25999-1:2006 Business Continuity Management. Code of Practice práctica BS 25999-2:2007 Specification for Business Continuity Management certificable reemplazada por ISO 22301

conclusiones 1. Cuando ocurre el desastre no hay tiempo para pensar antes hay que entender el negocio y marcar objetivos antes hay que analizar posibles escenarios antes hay que asignar roles y escribirlo todo 2. Hay que ejecutar [ciegamente] un plan para tontos comité de crisis: activación y comunicación DRP pueden no estar disponibles las personas 3. No hay que esperar al desastre para probar el plan proveedores

para acabar 1. Cuando ocurre el desastre no hay tiempo para pensar antes hay que entender el negocio y marcar objetivos antes hay que analizar posibles escenarios antes hay que asignar roles y escribirlo todo 2. Hay que ejecutar [ciegamente] un plan para tontos comité de crisis: activación y comunicación DRP pueden no estar disponibles las personas 3. No hay que esperar al desastre para probar el plan In theory, theory and practice are the same. In practice, they are not.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback