en Educación Especialista en Seguridad Informática Especialista en Networking +15 años de experiencia TUX I <3 U …y otras cosas http://antoniogalvezhorna.blogspot.com
Roles & Responsabilidades Concientización, Entrenamiento y Educación Empleo de Herramientas Mantenimiento del DRP Pruebas y Auditorías Conclusiones
conmutadores de telecomunicación 10 torres del sistema de telefonía celular 300.000 líneas de voz 3.6 millones de circuitos ubicados en el área Los centros de conmutación de AT&T y Sprint en el WTC fueron destruidos Impacto en Verizon Communications
noche del 11 de septiembre: 6 torres de celular temporales preparadas (3 fuera del área de Manhattan). 1 conmutador móvil preparado. Trabajos con proveedores de larga distancia para reenrutar el tráfico Contactos con sus proveedores principales para el despacho de equipos críticos (conmutadores, fibra óptica, etc.).
después: 70% de la capacidad restaurada. Transferencia de llamadas activas para mediados de esa semana. 3 semanas después: 80% de la capacidad nuevamente en servicio Virtualmente todos los servicios han sido restaurados hasta la fecha
de líneas telefónicas en hospitales, estaciones de policía y centros de servicios temporales Brindó servicio gratuito de los 4.000 teléfonos públicos en Manhattan durante la emergencia Prestó 1.000 teléfonos celulares a los socorristas y voluntarios Donó más de US$5 millones a fondos y entidades de caridad Ofreció servicios gratuitos a empresas medianas y pequeñas Redujo significativamente el costo de llamadas aéreas (air-phone) durante la emergencia.
Terroristas Sep 2001 NY, PA and Wash DC $27 Billones Hurricane Andrew Ago 92 Florida, Gulf Coast $24 Billones Earthquake Ene 94 Los Angeles, CA $11 Billones Floods Abr 92 Midwest $10 Billones Riots May 92 Los Angeles $2 Billones Blizzard Mar 93 24 States $1.8 Billones Wildfires Oct 91 Oakland, CA $1.7 Billones Bombing Feb 93 NY WTC $540 Billones Heavy Rains Ene 93 Arizona $56 Billones Tornados Abr 91 Andover, KS $50 Billones Power Outages Ago 2003 US and Canada $ N/A NOTA: Los datos reflejan costos de infraestructura y limpieza – no las pérdidas de ingresos de negocio
(alineamiento) Logro de beneficios Sobrevivencia corporativa Mayor impacto en el valor de las acciones Impacto en la Reputación Presiones externas Exigencias o demandas Por mensajes del mercado (… moda) Por cumplimiento de regulaciones
90% de los incendios“ La utilización de materiales no adecuados, un cálculo erróneo del sistema o contratar electricistas sin formación técnica. "El 43% de las empresas que sufren un desastre no se recuperan" De ellas el 51% sobreviven pero tardan un promedio de 2 años en reinsertarse en el mercado y sólo el 6% mantiene su negocio a largo plazo "Fallan el 30% de las copias de seguridad” Ojo: Y el 50% de las restauraciones Según informe Enteprise Strategy Group
tácticas, preaprobadas por la dirección de una entidad, para responder a incidentes e interrupciones del servicio con el fin de poder continuar con sus operaciones a un nivel aceptable previamente definido ¿Qué implica la continuidad del Servicio? Antes BSI, BS-25999, pag. 6. **Ahora norma ISO 22301**
base de normalización para el planeamiento y operaciones de manejo de desastres/ emergencias al brindar elementos comunes del programa, técnicas, y procedimientos enfocados en su totalidad en el programa.
Planes de Seguridad ANTES • Responsable de Incidentes • Asegurar vs. Proteger • Damage Assessment DURANTE • Plan de Manejo de Crisis • Plan de Unidades del Negocio • Planes por Departamento DESPUES “Crisis Management Planning”, Crisis en la Organización -Lawrence Barton. PLANES DE PREVENCIÓN PLANES DE EMERGENCIA PLANES DE RECUPERACIÓN
Evaluar la Criticidad de los Procesos en c/Instalación Evaluar el Impacto para el Negocio de c/proceso en c/inst. Determinar el RTO de c/proceso en c/instalación Definir procesos críticos en c/instalación Definir recursos para c/proceso crítico en c/instalación Determinar RTOs para c/recurso en c/proceso crítico de c/inst. BUSINESS IMPACT ANALYSIS (BIA)
Time Location Cold Site Low None None Long Fixed Warm Site Medium Partial Partial/Full Medium Fixed Hot Site Medium / High Full Full Short Fixed Mobile Site High Dependent Dependent Dependent Not Fixed Mirrored Site High Full Full None Fixed
Inherente Identificar Controles Existentes Valorar el Riesgo Residual Recomendar Controles BUSINESS IMPACT ANALYSIS (BIA) MATRIZ DE RIESGOS Y CONTROLES
la Organización 20% Control y Clasificación de Activos 33% Aspectos de Seguridad relacionados con el capital humano 40% Seguridad Física 60% Administración en las operaciones de cómputo y comunicaciones 28% Control de Acceso 40% Desarrollo y Mantenimiento de Sistemas 45% Continuidad de Negocio 30% Cumplimiento de Leyes 20% PROMEDIO 31.6%
Inundaciones Pandemias Causadas por el hombre Terrorismo Robo Ciberincidentes ‘Las crisis causadas por los humanos pueden ahora rivalizar con los desastres naturales en alcance y magnitud’
somos inmunes a desastres …Eso nunca pasará aquí …Nosotros tenemos una política de seguros, eso es suficiente …Nosotros nunca hemos tenido problemas antes
al personal en sus roles y responsabilidades relacionadas al Plan Así como el entrenamiento en habilidades especificas que necesitarán para llevar a cabo sus roles efectivamente Certificaciones
Framework de Continuidad de TI La Gerencia de TI, en cooperación con los propietarios de los procesos de negocio, debe: - Establecer un Framework de continuidad
Framework de Continuidad de TI La Gerencia de TI, en cooperación con los propietarios de los procesos de negocio, debe: Establecer un Framework de continuidad el cual define: Roles, tareas y responsabilidades (estructura organizacional) Proyecto vs. Proceso Personal interno y externo (usuarios y proveedores de servicios)
Pruebas al Plan de Continuidad de TI Para contar con un Plan de Continuidad efectivo, la gerencia necesita evaluar su adecuación de manera regular o cuando se presenten cambios mayores en el negocio o en la infraestructura de TI Esto requiere una preparación cuidadosa, documentación, reporte de los resultados de las pruebas e implementar un plan de acción de acuerdo con los resultados Considerar la extensión de las pruebas de recuperación de aplicaciones individuales, escenarios punto a punto e integradas
Certificarse en estos temas Consultor Contribuir a la sensibilización y concientización sobre estos temas Durante la definición o establecimiento del Framework Durante el Proyecto Inicial de Construcción de Planes Sugiriendo innovaciones al Framework – Aporte de buenas prácticas Evaluador Durante la elaboración de los Planes Revisiones posteriores a los Procesos de Construcción de Planes Revisiones posteriores a los Planes
que no tenerlo Debido cuidado – Diligencia profesional Actuar con responsabilidad disminuye la responsabilidad Un Plan disminuye la confusión durante un evento “Proactivo” Vs “Reactivo” Tomar las acciones correctivas cuando sea necesario Se deben establecer controles que mitiguen el riesgo Respuesta ordenada ante un desastre BCP-DRP-SGSI COBIT 4.1, ITIL V3