aci - 425 clase_02c gestión de la continuidad del negocio (1)

1 2006Universidad de Las Américas - Escuela de Ingeniería - Seguridad Informática - Dr. Juan José Aranda Aboy

ACI – 425ACI – 425SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA

Unidad 2: Gestión de la continuidad del negocio


ObjetivosObjetivos

• Conocer los estándares internacionales de gestión en la continuidad del negocio de manera de poder planear planes de contingencia frente a incidentes, y estimar la probabilidad que ocurran.


ContenidosContenidos

• Conceptos: continuidad, evento, incidente, siniestro, riesgo, impacto.

• Planificación y planeación de contingencia.

• Recuperación de desastres.• Business Continuity Management (BCM):

definición, y relación con otros modelos de control interno.

• Estándares internacionales.– NIST y DRI.– HB 221:2004 Business Continuity Management.

• Tipos de planes.


Evolución, Enfoque y Lenguaje de Evolución, Enfoque y Lenguaje de ContinuidadContinuidad

B&R

DRP

BRP

BCP

+20 años

Respaldo & Recuperación Software de Mainframe

10-20 Años

Recuperación Infraestructura

de TI

5-10 Años

Recuperación Procesos del

Negocio y Capital Humano

Últimos 5 Años

Continuidad Procesos Críticos

del Negocio

73%

< 5%

13%

BCM


Estándares de TIEstándares de TI

• ITIL

• COBIT

OBJETIVOS DEL NEGOCIOOBJETIVOS DEL NEGOCIO

COBITCOBIT

INFORMACIONINFORMACION

RECURSOS DE TI

••EFECTIVIDADEFECTIVIDAD••EFICIENCIAEFICIENCIA

••CONFIDENCIALIDADCONFIDENCIALIDAD••INTEGRIDADINTEGRIDAD••DISPONIBILIDADDISPONIBILIDAD••CUMPLIMIENTO LEGALCUMPLIMIENTO LEGAL••CONFIABILIDADCONFIABILIDAD

PLANEACION YPLANEACION YORGANIZACIONORGANIZACION

MONITOREOMONITOREO

ADQUISICION E ADQUISICION E IMPLEMENTACIONIMPLEMENTACION

ENTREGA YENTREGA Y SOPORTE SOPORTE

••DATOSDATOS••APLICATIVOSAPLICATIVOS••TECNOLOGIATECNOLOGIA••FACILIDADESFACILIDADES••PERSONASPERSONAS


Estándares de ContinuidadEstándares de Continuidad

www.drii.org

www.thebci.org


NISTNIST

• National Institute of Standards and Technology Computer Security Division Computer Security Resource Center: http://csrc.nist.gov/

• El National Institute of Standards and Technology (NIST) es un organismo de Estados Unidos que se ocupa del control y administración de normas y estándares en ciencia y tecnología.


DRIDRI

• Disaster Recovery Institute International

• Disaster Recovery Institute Canada


Business Continuity InstituteBusiness Continuity Institute

• http://www.thebci.org/


HB 221:2004HB 221:2004

• Normativa australiana referenciada en Handbook Business Continuity Management (BCM)

• Define que entiende por manejo de la continuidad del negocio y bosqueja su evolución desde un enfoque estrecho, basado en tecnología de información hacia una herramienta de planificación que puede ayudar a la organización en su estrategia y planificación del negocio.

• Establece un marco de trabajo para BCM que puede ser desarrollado por cualquier tipo de organización, así como el detalle discutido de los pasos necesarios para implementar prácticamente un adecuado manejo de la continuidad del negocio.

• El libro de trabajo consiste de varias plantillas y suministra un proceso simple de seguir, que puede ser implementado a todos los niveles de la organización, tanto en un área especializada para desarrollo de los planes de recuperación en tecnología de información como para enlazar con el manejo de riesgos, la gerencia corporativa y el programa de BCM.


Enfoque de Continuidad- BCIEnfoque de Continuidad- BCI

ADMINISTRACION DE ADMINISTRACION DE

CONTINUIDAD DE NEGOCIOCONTINUIDAD DE NEGOCIO

AD

MIN

IST

RA

CIO

N

DE

RIE

SG

OS

RE

CU

PE

RA

CIO

N D

E

DE

SA

ST

RE

S

AD

MIN

IST

RA

CIO

N D

E

INS

TA

LA

CIO

NE

S

AD

MIN

IST

RA

CIO

N

CA

DE

NA

SU

MIN

IST

RO

AD

MIN

ITR

AC

ION

D

E L

A C

AL

IDA

D

SA

LU

D

OC

UP

AC

ION

AL

AD

MIN

ITR

AC

ION

DE

L

CO

NO

CIM

IEN

TO

AD

MIN

IST

RA

CIO

N D

E

EM

ER

GE

NC

IAS

SE

GU

RID

AD

F

ISIC

A Y

LÓ

GIC

A

CO

MU

NIC

AC

ION

DE

C

RIS

IS

“La administración de la continuidad y el manejo de crisis son parte integral del Gobierno

Corporativo”

“Las actividades de administración de la continuidad deben estar enfocadas a soportar las estrategias y metas del

negocio”

“Las estrategias, planes y soluciones de continuidad

deben ser apropiadas y dirigidas por la organización ”

“Las implicaciones de la continuidad deben ser consideradas como parte

esencial del proceso de administración del cambio en la organización”


Tipos de PlanesTipos de Planes


Tipos de Planes (2) (según NIST)Tipos de Planes (2) (según NIST)

PLAN OBJETIVO ALCANCEBusiness Continuity Plan (BCP)

Suministra procedimientos para sostener las operaciones esenciales de negocio mientras se recupera de una interrupción significante.

Direcciona los procesos de negocio y la tecnología que los soporta.

Business Recovery (or Resumption) Plan (BRP)

Suministra procedimientos para recuperación de las operaciones de negocio inmediatamente después de un desastre.

Direcciona los procesos de negocio; La TI está direccionada sólo al soporte para los procesos de negocio.

Continuity Of Operations Plan (COOP)

Suministra procedimientos y capacidades para sostener lo esencial de una organización, funciones estratégicas en un sitio alterno por más de 30 días.

Direcciona el conjunto de operaciones de la organización definidas como mas críticas.

Continuity of Support Plan / IT Contingency Plan

Suministra procedimientos y capacidades para recuperar grandes aplicaciones o sistemas de soporte general.

Los mismo que el plan de contingencia de TI; se centra en la interrupción de los sistemas de TI; no se centra en los procesos del negocio.


Tipos de Planes (3) (según NIST)Tipos de Planes (3) (según NIST)

PLAN OBJETIVO ALCANCECrisis Communications Plan

Proporciona los procedimientos para comunicarse con el personal y con el público en general.

Direcciona las comunicaciones con el personal y el publico; no se centra en la TI

Cyber Incident Response Plan

Suministra estrategias para detectar, responder, y limitar las consecuencias de incidentes de seguridad que afectan la continuidad.

Se centra sobre respuestas de seguridad de la información a incidentes que afectan los sistemas y / o las redes.

Disaster Recovery Plan (DRP)

Suministra procedimientos detallados para facilitar la recuperación de operaciones en un sitio alterno.

A menudo centrado en la TI; limitado a interrupciones mayores con efectos a largo plazo.

Occupant Emergency Plan (OEP)

Suministra procedimientos coordinados para minimizar las perdidas de vidas o daños a la propiedad en respuesta a amenazas físicas.

Se centra en el personal y las instalaciones; no esta diseñada para procesos de negocio o funcionalidad de los sistemas de TI.


Fases en una Metodología de Fases en una Metodología de ContinuidadContinuidad

Requerimientos Func.

Ejecución

Mantenimiento

Pruebas y ejercicios

Implementación

Diseño y Desarrollo

Definición

En cualquier momento es posible devolverse a efectuar cambios en una fase previa.

Req. Funcionales


Tendencias en BCMTendencias en BCM

Puedo recuperar mi informaciónen el evento de un desastre

Puedo recuperar mis operacionescríticas en caso de un desastreo interrupción inesperada

Siempre estoy ahí cuando misClientes me necesitan

Los servicios de mi negocio excedenlas expectativas de mis clientes

Mi arquitectura de datos ofrecey entrega información cuandoy como los clientes la necesitan

Como administro la información es una ventaja competitiva.


Soluciones que ofrece el mercadoSoluciones que ofrece el mercado

• Servidores Cluster, Fault Tolerance, etc.• Redundancia en dispositivos de red (fault

tolerance) y/o arquitecturas de alta disponibilidad• Sitios alternos de procesamiento (hot site, cold

site, entre otros)• Software de replicación en Bases de Datos,

Sistemas Operativos, Aplicaciones• Arquitecturas de almacenamiento (Robots, SAN,

NAS, CAS)• Procesos de administración de la continuidad

basado en estándares tales como ITIL, COBIT, NIST entre otros


A manera de conclusiones …A manera de conclusiones …

La Administración de la Continuidad, además de ser un acto de responsabilidad con los accionistas, la economía y la sociedad, es un requerimiento de los clientes y el mercado:– Las empresas cada día vez son mas dependientes de la TI

(ERP, CRM, sistemas integrados).– Las áreas de TI juegan un papel fundamental en la

continuidad de los negocios.– Administración de la continuidad no es un simple plan de

contingencias vas mas allá.– El personal de TI debe ser consciente de la importancia y la

necesidad de capacitarse en los temas de continuidad– La calidad de los servicios depende mucho de la

oportunidad en la solución de los problemas o incidentes relacionados con la TI.

– El mercado ofrece soluciones.


BibliografíaBibliografía

• “El papel de las áreas de TI en la Administración de la Continuidad” Juan Carlos Camargo.

• “Basilea II Planificación de la Continuidad del Negocio en el Sector Financiero” José I. Castro M.

• “El Papel de la Tecnología en la Habilitación de los Procesos de TI” Alfredo Zayas


Páginas WebPáginas Web

• http://csrc.nist.gov/• http://www.drii.org/• http://www.thebci.org/


Cuestiones legales en la Cuestiones legales en la Seguridad de la InformaciónSeguridad de la Información

Basado en: Eric Maiwald “Fundamentos de Seguridad de Redes”, pp 93-113Ampliado con información sobre las

leyes vigentes en Chile.


ContenidoContenido

• Legalidad en USA y sus estados, otros países, Chile

• Cuestiones relacionadas con acción judicial

• Cuestiones civiles• Privacidad


Delitos legislados en USADelitos legislados en USA

• Abuso y fraude por computadora (18 US Code 1030) – modificado por la Ley Patriota en respuesta al 11 de septiembre.

• Fraude con tarjetas de crédito (18 US Code 1029).

• Derechos de autor (18 US Code 2319).• Intercepción (18 US Code 2511).• Acceso a la información electrónica (18 US

Code 2701)• Ley de Seguridad Nacional (Cyber Security

Enhancement Act 2002)


Herramientas en la legislación Herramientas en la legislación chilenachilena

• Ley 19.223, Delitos Informáticos• Ley 17.336, Propiedad Intelectual• Ley 19.628, Protección Datos Personales• Ley 19.799, Firma Electrónica• Ley 18.168, General de Telecomunicaciones• Código Penal: Ejemplo-> Fraude con tarjetas

de crédito• Código de Procedimiento Penal• Código Procesal Penal


Ley 19.223:Ley 19.223: Delitos informáticos (1)Delitos informáticos (1)

• SABOTAJE INFORMÁTICO :– Destrucción o alteración de un STI.– Destrucción o daño de la información contenida

en un STI.– Alteración de la información contenida en un STI.

• Responsabilidad :– Ley 19.223, Art. 1 y 3– Art. 1 : Destruya o inutilice un STI o sus partes o

componentes u obstaculice o modifique su funcionamiento. Presidio menor en grado medio a máximo.

– Art. 3 : Altere, dañe o destruya datos contenidos en un STI. Presidio menor en grado medio.


Ley 19.223:Ley 19.223: Delitos informáticos (2)Delitos informáticos (2)

• ESPIONAJE INFORMÁTICO :– Intrusión ilegítima o acceso indebido.– Divulgación indebida o revelación de datos.

• Responsabilidad :– Ley 19.223, Art. 2 y 4– Art. 2 : Ánimo de apoderarse, usar o conocer

indebidamente la información contenida en un STI. Intercepte, interfiera o acceda a él. Presidio menor en un grado mínimo a medio.

– Art. 4 : Maliciosamente revele o difunda datos contenidos en un STI. Presidio menor en grado medio. Responsable del STI, aumenta en un grado.


Ley 19.927: Ley 19.927: Pornografía infantilPornografía infantil

1. Producción de material pornográfico.

2. Comercialización, importación, exportación, distribución, difusión, exhibición, adquisición o almacenamiento.


Otros delitosOtros delitos

• Propiedad Intelectual, ley 17.336. Piratería

• Fraudes financieros• Evasión de impuestos• Tráfico y venta de drogas• Robo de especies (computadores)• Homicidios y suicidios


Recopilación de evidenciasRecopilación de evidencias

• Copias de respaldo de imágenes con evidencia

• Sumas de control seguras de la información para validar cambios

• Informática forense


Requerimientos de la regla de Requerimientos de la regla de seguridadseguridad

• La norma de seguridad expone varias regulaciones generales y luego proporciona detalladas regulaciones en cinco áreas específicas:

1. Protecciones administrativas2. Protecciones físicas3. Protecciones técnicas4. Requerimientos organizacionales5. Políticas, procedimientos y documentación de

los requerimientos

Información de Salud protegida (Protected Health Information PHI)


Objetivo globalObjetivo global

• Asegurar que se mantenga la confidencialidad, integridad y disponibilidad de la información protegida.

• Alientan a la organización a utilizar un buen enfoque de administración de riesgos.


Protecciones administrativasProtecciones administrativas

• Proceso de administración de seguridad: Análisis de riesgos regular, medidas de seguridad para administrar riesgos

• Responsabilidad de seguridad asignada: Individuo • Seguridad del personal ó fuerza de trabajo• Administración del acceso a la información• Concientización y entrenamiento de la seguridad• Políticas y procedimientos para abordar los

incidentes de seguridad• Planes de contingencia: respaldo de datos,

recuperación de desastres, operación en modo de emergencia

• Evaluación, ante cambios en operaciones ó en el entorno

• Contratos de negocios asociados y otros arreglos


Protecciones físicasProtecciones físicas

• Controles de acceso a las instalaciones

• Uso de estaciones de trabajo• Seguridad de las estaciones de

trabajo• Control de dispositivos y medios


Protecciones técnicasProtecciones técnicas

• Control de acceso• Controles de auditoría• Integridad• Autentificación de persona ó

entidad• Seguridad en las transmisiones


Requerimientos del programa de Requerimientos del programa de seguridadseguridad

• Programa de seguridad de la información• Participación del consejo• Evaluación del riesgo:

– Control de acceso a la información– Restricciones de acceso físico a sistemas y registros– Encriptación de la información confidencial en tránsito– Procedimientos de cambio de sistema– Procedimientos de control duales, separación de

obligaciones y verificaciones de antecedentes– Sistemas de detección de intrusos para monitorear ataques– Procedimientos de respuesta a incidentes para identificar

acciones si ocurre un ataque– Protección ambiental contra la destrucción de registros


Reflexiones y preguntasReflexiones y preguntas

1. Suponiendo que su organización fuera atacada con éxito: Identifique cuales son las leyes chilenas violadas de acuerdo con los delitos cometidos. Evalúe el daño total sufrido por su organización.

2. ¿Cómo mostraría y protegería la evidencia del ataque?

3. ¿Puede identificar la fuente del ataque?


BibliografíaBibliografía

• “Guía Metodológica 2006 – Sistema de Gobierno Electrónico. Programa de Mejoramiento de la Gestión” Gobierno de Chile (http://www.modernizacion.cl/ )

• “Gobierno electrónico en Chile 2000 – 2005” Estado del Arte II (http://www.modernizacion.cl/ )

• “Tecnología de la Información – Código de práctica para la Seguridad de la Información” NCh2777.Of2003 (ISO/IEC 17799 : 2000)

• ''NORMA TECNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRONICO'‘ Decreto 83 Fecha de Publicación: 12.01.2005; Fecha de Promulgación: 03.06.2004


Bibliografía (2)Bibliografía (2)

• “Planes para continuidad de negocio ante desastres. Algunos conceptos” (archivo Gestión BCM.ppt) “Diplomado en Peritaje Informático”– Universidad de Santiago de Chile.

• “Mejores prácticas y estándares internacionales en gestión de riesgos y control interno” Gloria Peña y Lillo (archivo BCM (4742)COSO1.pdf)

• "Planes de Contingencia TIC y continuidad del negocio" Roberto Moya Quiles, Stefano Zanero

• “Enfoque Integral de BCM” Yves Dávila• ¿Garantizan las empresas la Continuidad de su Negocio?

• GOBIERNO DE TI Y CONTINUIDAD DEL NEGOCIO • Business continuity planning• http://www.iso.org• http://www.iec.org• http://www.bsi-global.com


Páginas complementariasPáginas complementarias

• National Institute for Standards (NIST) National Vulnerabilities Database

• Common Vulnerabilities and Exposures• Business Continuity, Contingency

Planning & Disaster Recovery• The Business Continuity Planning &

Disaster Recovery Planning Directory• Business Continuity Planning: Ten

Common Mistakes


Páginas complementarias (2)Páginas complementarias (2)

• Acuerdo Capital de Basilea II • http://www.latinbanking.com/pdf/

basilea_2.pdf• Encuesta de los desafios para los

jefes de gerencia en riesgo de instituciones financieras

• Graham-Leach-Bliley Act (GLBA)• Sarbanes-Oxley(SOX).


Herramientas adicionalesHerramientas adicionales

• MAGERIT: Metodología de análisis y gestión de riesgos de

los sistemas de información de las Administraciones

Públicas. http://www.csi.map.es/csi/pg5m20.htm

• NIST Special Publication SP 800-12: An Introduction to

Computer Security.The NIST Handbook. National Institute

of Standards and Technology.

http://csrc.nist.gov/publications/nistpubs/800-12/ (disponible

también una versión como libro digital)• Information Security Governance: Guidance for Boards

of Directors and Executive Management. IT Governance Institute.

• Control Objectives for Information and Related Technology (Cobit). http://www.isaca.org/cobit.htm


TextosTextos

• Sandoval López, Ricardo, “Seguridad en el comercio electrónico”, Lexisnexis 2004.

• Kaeo, Merike, “Diseño de seguridad en redes”, Pearson Educación 2003.

• Maiwald, Eric, “Fundamentos de seguridad en redes”, McGraw-Hill Interamericana 2005. Parte II pp 93-186

• Stallings,William “Fundamentos de Seguridad en Redes. Aplicaciones y Estándares”, Pearson 2004


Documentos en CriptoRedDocumentos en CriptoRed

• Jorge Ramió AguirreJorge Ramió Aguirre “LIBRO ELECTRÓNICO DE SEGURIDAD INFORMÁTICA Y CRIPTOGRAFÍA” Documento de libre distribución en Internet a través de CriptoRed, Marzo de 2006 (SegInfoCrip_v41.zip)

• Antonio Villalón Huerta “SEGURIDAD DE LOS SISTEMAS DE INFORMACION” Julio, 2005 (seguridad_sist_inf.zip)


Libros digitales: SeguridadLibros digitales: Seguridad

• National Institute of Standards and Technology “An Introduction to Computer Security: The NIST Handbook”, Special Publication 800-12 ((ebook) computer security handbook.pdf)

• Simson Garfinkel & Eugene H. Spafford “Web Security & Commerce” ISBN: 1-56592-269-7 (O'Reilly - Web Security & Commerce.pdf)

• Mitch Tulloch ”Microsoft Encyclopedia of Security” (eBook.MS.Press.-.Microsoft.Encyclopedia.of.Security.ShareReactor.pdf)

aci - 425 clase_02c gestión de la continuidad del negocio (1)

Documents