SESION 9: Contingencia, Continuidad y Cumplimiento
Contingencia, Continuidad y Cumplimiento Agenda: Gestión de la Continuidad del Negocio ■ Monitoreo y cumplimiento ■
9.- Gestión de Contingencia y Continuidad Comercial Plan de Continuidad del Negocio
Plan de Contingencias
•Respuestas inmediatas ante eventos que originen pérdida de datos o interrupción de las operaciones. •Especificaciones del Plan de Acción a tomar de acuerdo al tipo de evento: Grupos de Trabajo y responsabilidades, definición de Recursos, niveles de Contingencia, escenarios de Contingencia. Activación de la Contingencia. Revisión de la Estrategia
•Inventario de Procesos del Negocio. •Identificación de Procesos Críticos •Especificaciones de los mecanismos de Acción a seguir para la continuidad •Plan de Recuperación de los estados de Seguridad
Revisión del Plan Actual
Mejora Continua Revisión de Programas
Pruebas del Plan Actual
OBJETIVO.- Contrarrestar las interrupciones a las actividades del negocio y proteger los procesos críticos de los efectos de los principales desastres Debe ser implementado para reducir las interrupciones causadas por desastres y fallas a la seguridad
Planes de Contingencia deben ser desarrollados para asegurar que procesos de negocio pueden ser restaurados dentro de los marcos de tiempos requeridos
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Plan de Contingencia ■Objetivos del Plan ■Proceso de planeación ■Análisis de Riesgos ■Planeamiento estratégico de contingencias ■Documentación del Plan ■Pruebas del Plan
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Errores Hardware
Errores de La Red
Humanos
AMENAZAS A LA INTEGRIDAD DE DATOS
Problemas de tipo lógico
Desastres
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Inexperiencia Estrés/ Pánico
Accidentes AMENAZAS HUMANAS A LA INTEGRIDAD
Falta de Comunicación
Avaricia Venganza
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Disco Alimentación AMENAZA POR ERRORES HARDWARE
Memoria
Medios
Dispositivos
Controlador de E/S
Chip y placa base
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Tarjetas y dispositivos de interfaz de red
AMENAZA A LA INTEGRIDAD ERRORES DE LA RED
Cableado
Radiación
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Errores Corrupción De files AMENAZAS POR PROBLEMAS DE TIPO LOGICO
Errores de intercambio Errores de almacenamiento
Errores del Sistema operativo
Requisitos Mal definidos
Herramientas para mejorar la Integridad de Datos
Copias de Seguridad Técnicas de espejo Archivado Custodia Chequeo de paridad Plan de contingencia Análisis de fallos Alimentac. Ininterrumpida Implementación de técnicas de Seguridad
Correctiva Preventiva Preventiva Correctiva Preventiva Preventiva Preventiva Preventiva Preventiva
Herramientas para reducir las amenazas contra la seguridad
Eliminación de puertas traseras Chequeo de virus Seguridad Física Política de máquinas desatendidas Políticas de eliminación de basura Política de contraseñas Cifrado Obligación de identificación Uso de Cortafuegos Trampas para Intrusos
Sistema Sistema Política Política Política Política Sistema Sistema Sistema Sistema
9.- Gestión de Contingencia y Continuidad Comercial 9.1 Aspectos de la Gestión de Continuidad: 9.1.1 Debe incorporar:
• Entendimiento de Riesgos en términos de amenazas y probabilidad • Identificar y priorizar los procesos críticos del negocio • Entender el impacto en el negocio • Considerar compra de póliza de seguros • Documentar una estrategia consistente de la continuidad del negocio con la propia estrategia de negocio • Actualización y prueba regular del plan • Asegurar que Gestión de Continuidad de Negocio es incorporada en proceso y estructura de la organización
Costo comparativo de Recuperación 80 60 40 20 0 1
2
3
1 = Sin PC 2 = Con PC pobre 3 = Con buen PC
9.- Gestión de Contingencia y Continuidad Comercial 9.1 Aspectos de la Gestión de Continuidad: 9.1.2 Continuidad y Análisis Plan IT Integral Plan IT Host Principal Plan IT Focalizado del impacto:
• Identificar eventos que pueden causar interrupción • Determinar probabilidad de estas interrupciones • Determinar Impacto de estas interrupciones • Debe considerar todos los procesos no solo facilidades de procesamiento de información
incapacidad de operación total de los sistemas, equipos y servicios de IT
incapacidad definitiva y no recuperable de operación exclusivamente de nuestro servidor principal AS/400
incapacidad de operación específica, ya sea recuperable o no de algún sistema, equipo o servicios de IT
Escenarios
Terremoto
Incendio
Atentado
Inundación
Incendio
Robo
Fallas de algún equipo, línea de comun. o sistema Robo Inundación
9.1.3 Preparación e implementación del PCN
Atentado
Probabilidades
Baja
Baja
Atentado menor Incumplimiento de algún Alta proveedor de servicio
• Identificación y acuerdo de responsabilidades y procedimientos de emergencia • Atención particular a dependencias externas y contratos respectivos • Plan documentado • Prueba y actualización del plan
9.- Gestión de Contingencia y Continuidad Comercial 9.1 Aspectos de la Gestión de Continuidad: 9.1.4 Marco del PCN:
• Condiciones para activar planes • Acciones a seguir en incidente • Procedimientos de emergencia para mover procesos esenciales a ubicaciones temporales • Procesos de reanudación para retornar a operaciones normales • Cronograma de prueba y mantenimiento • Actividades de educación y toma de conciencia de responsabilidades individuales
• Procedimientos de emergencia Evacuación
• Procedimientos de evacuación • Organización para emergencia • Centro de emergencia
Equipo de Gestión de Crisis
Declaración de Desastre
• Ambientes seguros y de seguridad • Accidentes • Evaluación de impacto • Caja de Acciones
• Invocar planes de recuperación
total o parcial
• Equipos de recuperación del negocio Continuidad del Negocio
• Prioridades del negocio • Control de Gastos • Equipos de apoyo a recuperación • Registros Vitales • Personal clave y contactos • Requerimiento de recursos
9.- Gestión de Contingencia y Continuidad Comercial 9.1 Aspectos de la Gestión de Continuidad: 9.1.5 Realización de pruebas, mantenimiento y reevaluación de PCN:
Prueba de planes: • Simulaciones • Prueba de recuperación técnica • Pruebas de facilidades y servicios del proveedor • Ensayos completos
Mantenimiento y reevaluación: • Personal • Direcciones o números telefónicos • Ubicación, facilidades y recusrsos • Legislación • Contratistas, proveedores y clientes claves • Cambios a procesos • Riesgos
9.- Gestión de Contingencia y Continuidad Comercial
Porqué invertir en el PCN ?
Proyecciones
9.- Gestión de Contingencia y Continuidad Comercial
Recuperación de Desastres
Requerimientos para RD
10.- Cumplimiento OBJETIVO.- evitar rupturas de cualquier ley civil o penal, de estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad • Obtener asesoría sobre requerimientos legales de asesores de la organización • Identificación de legislación aplicable • Requerimientos regulatorios deben ser explícitamente definidos y documentados por cada sistema de información. Controles y responsabilidades documentadas
10.1 Cumplimiento de Requerimientos Legales • Derechos de propiedad intelectual y derechos del autor
• Derechos de autor en software y aplicativos • Publicar política de cumplimiento • Estándares para adquisición de software • Mantener registro de activos y pruebas de propiedad • Llevar a cabo chequeos periódicos de cumplimiento • Cumplir con términos y condiciones para software obtenido de redes públicas
10.- Cumplimiento 10.1 Cumplimiento de Requerimientos Legales • Salvaguarda de registros organizacionales (algunos deben cumplir
requerimientos regulatorios) • Claves criptográficas para archivos encriptados deben ser retenidas en forma segura • También considerar: • Guías para retención, almacenamiento, manipuleo y eliminación de registros • Cronograma de retención debidamente documentado • Inventario fuentes de información clave • Controles para prevenir pérdida, destrucción o falsificación • Protección de datos y privacía de información personal • Legislación aprobada respecto a procesamiento y transmisión de información • Prevención del mal uso de facilidades de procesamiento de información
• Regulación de controles criptográficos (Importación y/o exportación de Hw y Sw para criptografía • Sistemas de Información cumplan con evidencia admisible: • Para documentos de papel: mantener original seguro • Para medios electrónicos: copias que aseguren disponibilidad
10.- Cumplimiento
10.2 Revisiones de la política de seguridad y cumplimiento técnico: Para asegurar cumplimiento de los sistemas con políticas de seguridad organizacional y estándares “Seguridad de los sistemas de información debe ser revisada regularmente contra las políticas apropiadas de seguridad y las plataformas técnicas deben ser auditadas para cumplimiento de implementación de estándares de seguridad” • Cumplimiento de política de Seguridad: Todas las áreas de la organización deben ser consideradas para revisiones regulares • Chequeo de cumplimiento técnico: Verificar cumplimiento con estándares . Incluir pruebas periódicas de vulnerabilidad 10.3 Consideraciones de Auditoría del Sistema: requerimientos de auditoría deben ser acordados en nivel de Gerencia adecuado. • Alcance de auditorías debe ser convenida y controlada • Auditoría limitadas a acceso solo de lectura de Sw. y datos • Accesos distintos a “solo lectura” permitido solo para copias aisladas de archivos del sistema • Accesos monitoreados; procesos documentados • Acceso a herramientas de auditoría restringidos y separados de ambientes de desarrollo y producción
Auditoria de Proyectos TI Ciclo de vida de un proyecto informático N E C E S I D A D
Formulación Correcciones, adiciones, cambios
Ejecución
Aplicación
Desviaciones, retrasos, Cambios, productos contingencias inadecuados, desviaciones
Administración y Control
El proceso es iterativo y de acuerdo a su forma de desarrollo puede ser recursivo, escalonado o manejarse en espiral
O B J E T I V O S
Auditoria de Proyectos TI Planificación del proyecto: Formulación, estándares de trabajo, documentación y administración ■ Organización: personal, equipos e infraestructura ■ Ejecución: Desarrollo o Parametrización ■ Implementación: Pruebas, migración y lanzamiento ■ Seguimiento post-implantación ■
Auditoria de Proyectos TI
Planificación del proyecto: Formulación ■ Revisión de objetivos, alcance y etapas ■ Alineación del Plan de Sistemas con el Plan Estratégico de la empresa ■ Revisión del dimensionamiento de recursos ■ Revisión del Presupuesto del proyecto ■ Revisión de la estrategia de ejecución del proyecto - Términos técnicos ■ Revisión del proceso de inicio del proyecto
Auditoria de Proyectos TI Planificación del proyecto: Estándares ■ Normativa de configuración de equipos: Estructura de equipos, Funciones de los equipos, perfil de recursos externos, control de tareas realizadas ■ Normativa de diseño del sistema: Diseño funcional, diseño de bases de datos, diseño de procesos, revisión y aprobación del usuario y de sistemas, diseño de interfases
Auditoria de Proyectos TI Planificación del proyecto: Estándares ■ Normativa de desarrollo: Selección de las herramientas de desarrollo y de apoyo ■ Normativa de mantenimiento: en casa o del proveedor, gestión de incidencias, prueba y puesta en marcha de mantenimiento ■ Normativa de documentación técnica: del diseño funcional, diseño técnico, de programación y de pruebas
Auditoria de Proyectos TI Planificación del proyecto: Administración ■ Establecimiento del calendario por etapas: tareas, costos, recursos asignados, fecha de inicio y de término ■ Selección de método de adquisición de equipos y establecimiento de servicios ■ Contratos: Términos, condiciones y plazos ■ Diseño de la organización de la administración y ambiente de trabajo
Auditoria de Proyectos TI Organización del proyecto: ■ Personal: Perfil técnico, proceso de selección de personal, contratación, organización técnica y administrativa ■ Equipos: Definición de requerimientos de desarrollo y soporte administrativo, adquisición, servicios conexos ■ Infraestructura: Definición de ambiente de trabajo, características y condiciones
Auditoria de Proyectos TI Ejecución del proyecto: ■ Revisión de metodología: organización técnica, criterios de selección, asistencia técnica y entrenamiento ■ Revisión de los procedimientos, técnicas y herramientas de desarrollo ■ Administración del proyecto y control de los cambios: seguimiento del proyecto y coordinación técnica
Auditoria de Proyectos TI Ejecución del proyecto: ■ Evaluación de Selección de Paquetes o sistemas más sofisticados (p.e.:ERP) ■ Evaluación de construcción de Prototipo ■ Evaluación de pruebas de construcción: unitarias, proceso y por simulación ■ Evaluación del seguimiento: reuniones periódicas, avance del proyecto, desviaciones y ampliaciones
Auditoria de Proyectos TI Implantación del proyecto: ■ Evaluación de alternativas de implementación: Directa, Paralelo, Piloto, Modular ■ Evaluación de pruebas funcionales y de perfomance con el usuario ■ Evaluación de conversión, migración datos ■ Evaluación de la integración de los sistemas
Auditoria de Proyectos TI Post-instalación del proyecto: ■ Evaluación de cambios y justificación: factores externos o nuevas disposiciones ■ Evaluación del manejo del sistema y los controles operativos ■ Evaluación de funcionalidad en función de expectativas ■ Evaluación del servicio de mantenimiento establecido
Auditoria de Proyectos TI Los riesgos mas comunes son: ■ Alcance inadecuado: revisiones sucesivas que afecte cronogramas y actividades ■ Costos y tiempos excesivos: se puede gastar el presupuesto asignado y perder el proyecto o desvirtuar el objetivo ■ Necesidades de los usuarios insatisfechas: el proyecto puede nacer muerto, o ser abandonado en desarrollo