MDULO 8: Planes de contingencia

y recuperacin frente a desastres

Diplomado bsico de
Seguridad Informtica
Coordinacin de la Red de Seguridad en Cmputo
del Noroeste
ANUIES

Diplomado bsico de Seguridad Informtica 2014

Introduccin
Objetivo (s):
Analizar los riesgos existentes para una organizacin, as
como desarrollar planes de recuperacin ante desastres, con
el objetivo de reducir el efecto de alguna contingencia.

Descripcin del mdulo

En este mdulo se definirn los planes y acciones que
ayudarn a mitigar cualquier desastre que afecte la
continuidad del negocio.

Coordinacin de la Red de Seguridad en Cmputo del Noroeste - ANUIES

Diplomado bsico de Seguridad Informtica 2014

ndice
Principios de Recuperacin de desastres
Planeacin para la recuperacin de desastres
Anlisis de Riesgos

Planeacin de Continuidad de Negocios

Coordinacin de la Red de Seguridad en Cmputo del Noroeste - ANUIES

Diplomado bsico de Seguridad Informtica 2014

Terminologa
Desastre: Es un evento inesperado, repentino o no planeado
que provoca daos o prdidas.
Recuperacin de desastres: Es la realizacin de actividades
que permiten enfrentar un desastre en caso de que este se
presente.
DRP: Procedimientos de respuesta a emergencias, incluye por
ejemplo detalles de operaciones de respaldo y recuperacin
post-desastre cuando se sufre una falla en los recursos
informticos y las instalaciones fsicas. Se centra principalmente
en la recuperacin de datos y sistemas TI.

Coordinacin de la Red de Seguridad en Cmputo del Noroeste - ANUIES

Diplomado bsico de Seguridad Informtica 2014

Terminologa
Continuidad de Negocios: Es un conjunto de procedimientos
que permiten a una organizacin mantener su funcionamiento
durante y despus de un evento o incidente.
BCP: Planificacin proactiva que facilita la recuperacin rpida
de las operaciones del negocio para reducir el impacto global
de la catstrofe, mientras se asegura la continuidad de las
funciones crticas del negocio durante y despus de un
desastre

Coordinacin de la Red de Seguridad en Cmputo del Noroeste - ANUIES

Que es recuperacin de
desastres?
Recuperacin de desastres es el proceso de restaurar
operaciones crticas para continuar la operacin del negocio
despus de un desastre.
Se debe tener un plan definido para reducir las prdidas en la
medida de lo posible.
Un plan de recuperacin de desastres involucra el diseo,
documentacin, implementacin, pruebas y mantenimiento de
procedimientos que mitiguen las prdidas despus de un
desastre.
Diplomado de Seguridad en Cmputo 2012

Tipos de Desastres

Naturales
Tecnolgicos
Intencionales

Diplomado de Seguridad en Cmputo 2012

Proposito de un programa
BC/DR
Prioridad: Proteger la vida humana!
Objetivo: reducir el riesgo de prdida financiera
Mejorar la capacidad de recuperar y restaurar
Mitigar los efectos del desastre
Mejorar la capacidad de respuesta ante eventos
inesperados

Evitar la confusin durante la crisis

Restaurar la rutina normal de trabajo

Diplomado de Seguridad en Cmputo 2012

Ley de Rudins

Cuando una crisis permite elegir entre

varias alternativas, la mayora escoger
la peor posible

Diplomado de Seguridad en Cmputo 2012

10

La realidad
Una minora de empresas tienen un plan de
continuidad de negocio o recuperacin de
desastres
Muchos de los planes no son realistas ni
realizables

Las personas no apoyarn un plan en el que no

creen

Diplomado de Seguridad en Cmputo 2012

11

Procedimientos inciales

Diplomado de Seguridad en Cmputo 2012

12

Identificar la necesidad de
un BCP
Desastres naturales
Amenazas existentes, las vulnerabilidades y los
riesgos para la organizacin
Los servicios crticos y activos asociados debern
permanecer disponibles para asegurar el
funcionamiento eficaz de la organizacin.

Diplomado de Seguridad en Cmputo 2012

13

Obtener apoyo de la
Direccin Ejecutiva
Presentacin a los ejecutivos de por qu es
necesario un BCP
Promover los beneficios de tener un programa
de BC/DR
Presentar el Plan de gobierno y trabajo
Minimizar la posible resistencia de
departamentos dentro de la Organizacin

Diplomado de Seguridad en Cmputo 2012

14

Establecer una estructura

de gobernabilidad del BCP
Establecer lneas claras de autoridad y
responsabilidad
Establecer el comit de direccin del BCP
Desarrollar las polticas
Declaracin de la misin

Plan de desarrollo, estrategias de recuperacin,

notificacin, servicios crticos
Estrategia de comunicacin
Diplomado de Seguridad en Cmputo 2012

15

Crear un plan de trabajo

Responsabilidades del equipo de planificacin
Identificar necesidades de recursos de alto nivel
del proyecto para el programa BC/DR
Personal, consultores, formacin, tiempo,
software, otros requisitos
Desarrollar un presupuesto para el programa de
BC/DR
Plan de desarrollo y planificacin de gastos

Diplomado de Seguridad en Cmputo 2012

16

Informar a la gerencia para

obtener la aprobacin
La gobernanza del BCP y resultados del plan de
trabajo tienen que ser presentado al ejecutivo,
buscando su aprobacin.
Los costos de BC/DR son evaluados en base a
valores percibidos para la Organizacin
BC/DR puede causar cambios no deseados a las
operaciones del negocio y sus agendas

Diplomado de Seguridad en Cmputo 2012

17

Gestionar el programa de
BC/DR
Con el apoyo de la direccin ejecutiva, el lder del
equipo de planificacin puede sostener una reunin
con:
El equipo de planificacin, direccin de Comit de
Direccin Ejecutiva, el resto de los miembros del BCP

El equipo de planificacin responsable de:

Desarrollar una agenda para:
Reportar el progreso y/o cambios requeridos
Producir informes sobre la situacin de los elementos
claves para enviar a la direccin
Diplomado de Seguridad en Cmputo 2012

Ciclo de vida de un
programa BC/DR

Diplomado de Seguridad en Cmputo 2012

18

Estrategias de Recuperacin

Diplomado de Seguridad en Cmputo 2012

Anlisis del Impacto sobre el

Negocio (BIA)

Criticidad de los recursos de informacin

Participacin del personal de SI y los usuarios finales

Anlisis de todos los tipos de recursos de informacin

Tres aspectos claves para el anlisis:

Criticidad de los recursos de informacin relacionados
con los procesos crticos del negocio
Perodo de tiempo de recuperacin crtico antes de
incurrir en prdidas significativas
Sistema de clasificacin de riesgos

Diplomado de Seguridad en Cmputo 2012

Anlisis del Impacto sobre

el Negocio (BIA)

Diplomado de Seguridad en Cmputo 2012

Clasificacin de Operaciones,
Anlisis Criticidad

Diplomado de Seguridad en Cmputo 2012

23

Anlisis de Riesgos
Que s un Riesgo?
Es la posibilidad de que se que un dao
potencial afecte de manera adversa las
operaciones de una organizacin.

Gestin de riesgos es el proceso de identificar y

erradicar cualquier dao o impacto antes de
que provoquen un resultado indeseado.

Diplomado de Seguridad en Cmputo 2012

24

Procesos para gestin de

riesgos

Diplomado de Seguridad en Cmputo 2012

25

Mejores practices para la

gestin de riesgos
Desarrollar una estructura organizacional donde
cada individuo es un identificador de riesgo
Involucrar a todos los miembros de un Empresa
en el soporte al plan de Riesgos
Crear canales de comunicacin directas entre
cada unidad de negocio
Crear equipos para la gestin de riesgos
Mantener, monitorear y actualizar los planes de
riesgos
Diplomado de Seguridad en Cmputo 2012

Punto Recuperacin (RPO) y

Tiempo de Recuperacin (RTO)

Diplomado de Seguridad en Cmputo 2012

Componentes de un Plan
Efectivo de Continuidad del
Negocio (BCP)

Diplomado de Seguridad en Cmputo 2012

Componentes de un Plan
Efectivo de Continuidad del
Negocio (BCP)

Diplomado de Seguridad en Cmputo 2012

Alternativas de Recuperacin
Tipos de instalaciones de respaldo Hardware
alternativos

Hot Sites
Warm Sites
Cold Sites
Instalaciones de procesamiento duplicados
Sitios Mviles
Acuerdos recprocos con otras
organizaciones

Diplomado de Seguridad en Cmputo 2012

Alternativas de Recuperacin

Diplomado de Seguridad en Cmputo 2012

Pruebas del Plan

Diplomado de Seguridad en Cmputo 2012

RESUMEN
- Preparar anlisis de impacto del negocio
- Identificar y clasificar sistemas y recursos (crticos)
- Escoger estrategias apropiadas para la recuperacin
- Desarrollar un plan detallado para recuperar
instalaciones (TIC)
- Desarrollar un plan detallado para las funciones crticas
- Probar los planes
- Mantener actualizados los planes
Diplomado de Seguridad en Cmputo 2012

33

Ejercicios Prcticos: Casos

de Estudio

Diplomado de Seguridad en Cmputo 2012

Diplomado bsico de Seguridad Informtica 2014

34

Anexo (s)
Security_Assessment_Template
Critical Assets Identification Cards
Business Continuity Plan Template
Risk Management Case Study
Security Risk Management Guide Tools and Templates
An Approach for Small Medium Sized Organizations
Disaster Recovery Plan Template

Coordinacin de la Red de Seguridad en Cmputo del Noroeste - ANUIES