Estrategias de continuidad de negocio
Gestión de seguridad de información
Maestría en Tecnologías de la Información, mención Gestión y Administración de TI
1. Introducción
Mantener la continuidad del negocio resulta ser mucha importancia para una organización o empresa con el fin de poder seguir prestando sus servicios a los usuarios. La estrategia de continuidad de negocios es conocida también como Business Continuity Plan (BCP). Esta estrategia brinda los procedimientos sustentables de operaciones mientras lleva acabo recuperación del sistema de información luego de que este fue afectado por una amenaza.
Pero, en determinados casos el BCP no asegura la recuperación del negocio debido a que cubre requisitos provisionales y básicos.
Es por lo tanto, que en el presente tema se tratan aspectos relacionados al análisis del impacto del negocio.
2. Resultado de aprendizaje
Al finalizar conéxito este tema los estudiantes serán capaces de:
- Planificar escenarios que impacten la confidencialidad, integridad y disponibilidad de los activos de información dentro de la organización.
- Diseñar planes ideales para el análisis de impacto comprometan la infraestructura tecnológica de la organización.
3. Análisis de impacto
Aquí se identifican y clasifican, de acuerdo con la importancia para el negocio de la organización, las funciones, los sistemas y recursos disponibles, teniendo en cuenta, las posibles amenazas a las que están expuestos. Dicho análisis es un elemento clave para que los encargados puedan tomar decisiones con respecto a las inversiones aplicadas en medidas de seguridad para la continuidad del negocio.Las estrategias de recuperación de negocios comprenden todas las medidas que son necesarias para recuperar los servicios de un sistema de información y comunicación después de que se generó una emergencia en las operaciones normales del sistema.
En el proceso de análisis de impacto, es importante llevar acabo entrevistas con los diferentes gerentes de los sectores específicos y críticos para los negocios de la organización, equipos de soporte y usuarios de sistemas.
El análisis de impacto se puede dividir en tres sub-fases: identificación de recursos, funciones y sistemas críticos, definición del tiempo para la recuperación y elaboración de informes.
Las salvaguardas pueden agruparse en los siguientes aspectos:
- Planificación de contingencias.
- Medidas de contingencia para el manejo de la información y/o comunicación
.
- Preparación de la emergencia.
- Implementación de las medidas planificadas luego de una emergencia.
Planificación de contingencias
También de recuperación de desastres o de continuación de negocios, es la definición de medidas a ejecutar, recursos y personal a emplear en caso de producirse un evento intencionado o accidental que inutilice los recursos informáticos o de transmisión de datos de una organización.
Es decir, es la determinación precisa del quién, qué, cómo, cuándo y dónde en caso de producirse una falla en el sistema de información.
Medidas de contingencia para el manejo de la información y/o comunicación
Deben contener todas las medidas de contingencia que prevengan una situación de emergencia. De esta manera, permite una recuperación del sistema de información y/o comunicación de forma rentable.
Preparación de la emergencia Capacita al personal de la organización o empresa en implementación de medidas específicas en el manual de emergencia, mejorando la eficiencia del sistema de información y/o comunicación.
Implementación de las medidas planificadas luego de una emergencia
Analiza el costo-beneficio cuando se requiere mitigar o resolver la emergencia.
Estos costos a considerar son:
- Costos de ejecución del plan de contingencia.
- Costos de implementación y mantenimiento de las salvaguardas de protección del funcionamiento de la información y/o comunicación.
- Costos de la instrucción para emergencias.
- Costos de la restauración de operaciones.
Metodología del análisis de impacto
Consiste en definir una serie de pasos interactivos con el objeto de identificar claramente los impactos de las interrupciones y tomar decisiones respecto a aquellos procesos que se consideran críticos para la organización y que afectan directamente el negocio ante la ocurrencia de un desastre.
Identificación de funciones y procesos
Evaluación de impactos operacionales
Identificación de procesos críticos
Establecimiento de tiempos de recuperación
Identificación de recursos
Disposición del RTO/RPO
Identificación de procesos alterno
Generación de informe de impacto del negocio
Identificación de funciones y procesos
En este paso se identifican las funciones del negocio útiles para apoyar la misión y los objetivos a alcanzar en el Sistema de Gestión de Seguridad de Información de la organización.
Este punto tiene como resultado generar un listado de roles y procesos, que sirven de análisis para el cumplimiento de los siguientes pasos del análisis de impacto del negocio.
Evaluación de impactos operacionales Teniendo en cuenta los elementos operacionales de la organización, se requiere evaluar el nivel de impacto de una interrupción dentro de ella. El impacto operacional permite evaluar el nivel negativo de una interrupción en varios aspectos de las operaciones del negocio; el impacto se puede medir utilizando un esquema de valoración, con los siguientes niveles: Nivel A: La operación es crítica para el negocio. Una operación es crítica cuando al no contar con ésta, la función del negocio no puede realizarse.
Nivel B: La operación es una parte integral del negocio, sin ésta el negocio no podría operar normalmente, pero la función no escrítica.
Nivel C: La operación no es una parte integral del negocio.
Evaluación de impactos operacionales
Identificación de procesos críticos
Establecimiento de tiempos de recuperación Una vez identificados los procesos críticos del negocio, se deben establecer los tiempos de recuperación que son una serie de componentes correspondientes al tiempo disponible para recuperarse de una alteración o falla de los servicios.
Establecimiento de tiempos de recuperación
Establecimiento de tiempos de recuperación
Identificación de recursos Las diferentes actividades contempladas en la función crítica del negocio deben considerarse de vital importancia cuando apoyan los procesos críticos del negocio.
Establecimiento de tiempos de recuperación
Disposición de los RTO/RPO (Recovery Time Objective / Recovery Point Objective) RTO: Tiempo de Recuperación Objetivo: Asociado con la restauración de los recursos que han sido alterados de las Tecnologías de la Información; comprende el tiempo disponible para recuperar recursos alterados.
Adicionalmente, se aplica el WRT, es decir el tiempo que es requerido para completar el trabajo que ha estado interrumpido con el propósito de volverlo a la normalidad.
Disposición de los RTO/RPO (Recovery Time Objective / Recovery Point Objective)
Disposición de los RTO/RPO (Recovery Time Objective / Recovery Point Objective) RPO: Punto de Recuperación Objetivo: Este punto es importante para determinar por cada uno de los procesos críticos (servicios), el rango de tolerancia que una Entidad puede tener sobre la pérdida de información y el
evento de desastre.
Identificación de procesos alternos
La identificación de procesos alternos hace posible que los procesos del negocio puedan continuar operando en caso de presentarse una interrupción; para ello es oportuno que las Entidades tengan métodos alternativos de manera temporal que ayuden a superar la crisis que ha generado una interrupción; por lo tanto para cada proceso crítico que se establezca (en los servicios), se debe poseer un procedimiento manual de continuidad del servicio.
4. Bibliografía
Bertolín, J.A. (2008). Seguridad de la información. Redes, informática y sistemas de información. Madrid. España: Editorial Paraninfo.
López,P.A (2010). Seguridad informática. Madrid. España: Editex. Alexander, A (2007). Diseño de un Sistema de Gestión de Seguridad de Información, óptica ISO 27001:2005, Alfaomega. Dirección de Estándares y Arquitectura de Tecnologías de la Información y la Subdirección de Seguridad y Privacidad de TI (2015). Guía para realizar el Análisis de Impacto de Negocios BIA. Ministerio de Tecnologías de la Información y las Comunicaciones. Colombia ISO22301:2012, SistemasdeGestiónyContinuidaddelNegocio
MTI-5-M5-R1
PUCE
Created on September 20, 2020
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Winter Presentation
View
Hanukkah Presentation
View
Vintage Photo Album
View
Nature Presentation
View
Halloween Presentation
View
Tarot Presentation
View
Vaporwave presentation
Explore all templates
Transcript
Estrategias de continuidad de negocio
Gestión de seguridad de información
Maestría en Tecnologías de la Información, mención Gestión y Administración de TI
1. Introducción
Mantener la continuidad del negocio resulta ser mucha importancia para una organización o empresa con el fin de poder seguir prestando sus servicios a los usuarios. La estrategia de continuidad de negocios es conocida también como Business Continuity Plan (BCP). Esta estrategia brinda los procedimientos sustentables de operaciones mientras lleva acabo recuperación del sistema de información luego de que este fue afectado por una amenaza. Pero, en determinados casos el BCP no asegura la recuperación del negocio debido a que cubre requisitos provisionales y básicos. Es por lo tanto, que en el presente tema se tratan aspectos relacionados al análisis del impacto del negocio.
2. Resultado de aprendizaje
Al finalizar conéxito este tema los estudiantes serán capaces de:
3. Análisis de impacto
Aquí se identifican y clasifican, de acuerdo con la importancia para el negocio de la organización, las funciones, los sistemas y recursos disponibles, teniendo en cuenta, las posibles amenazas a las que están expuestos. Dicho análisis es un elemento clave para que los encargados puedan tomar decisiones con respecto a las inversiones aplicadas en medidas de seguridad para la continuidad del negocio.Las estrategias de recuperación de negocios comprenden todas las medidas que son necesarias para recuperar los servicios de un sistema de información y comunicación después de que se generó una emergencia en las operaciones normales del sistema.
En el proceso de análisis de impacto, es importante llevar acabo entrevistas con los diferentes gerentes de los sectores específicos y críticos para los negocios de la organización, equipos de soporte y usuarios de sistemas.
El análisis de impacto se puede dividir en tres sub-fases: identificación de recursos, funciones y sistemas críticos, definición del tiempo para la recuperación y elaboración de informes.
Las salvaguardas pueden agruparse en los siguientes aspectos:
Planificación de contingencias También de recuperación de desastres o de continuación de negocios, es la definición de medidas a ejecutar, recursos y personal a emplear en caso de producirse un evento intencionado o accidental que inutilice los recursos informáticos o de transmisión de datos de una organización. Es decir, es la determinación precisa del quién, qué, cómo, cuándo y dónde en caso de producirse una falla en el sistema de información.
Medidas de contingencia para el manejo de la información y/o comunicación Deben contener todas las medidas de contingencia que prevengan una situación de emergencia. De esta manera, permite una recuperación del sistema de información y/o comunicación de forma rentable.
Preparación de la emergencia Capacita al personal de la organización o empresa en implementación de medidas específicas en el manual de emergencia, mejorando la eficiencia del sistema de información y/o comunicación.
Implementación de las medidas planificadas luego de una emergencia Analiza el costo-beneficio cuando se requiere mitigar o resolver la emergencia.
Estos costos a considerar son:
Metodología del análisis de impacto Consiste en definir una serie de pasos interactivos con el objeto de identificar claramente los impactos de las interrupciones y tomar decisiones respecto a aquellos procesos que se consideran críticos para la organización y que afectan directamente el negocio ante la ocurrencia de un desastre.
Identificación de funciones y procesos
Evaluación de impactos operacionales
Identificación de procesos críticos
Establecimiento de tiempos de recuperación
Identificación de recursos
Disposición del RTO/RPO
Identificación de procesos alterno
Generación de informe de impacto del negocio
Identificación de funciones y procesos En este paso se identifican las funciones del negocio útiles para apoyar la misión y los objetivos a alcanzar en el Sistema de Gestión de Seguridad de Información de la organización. Este punto tiene como resultado generar un listado de roles y procesos, que sirven de análisis para el cumplimiento de los siguientes pasos del análisis de impacto del negocio.
Evaluación de impactos operacionales Teniendo en cuenta los elementos operacionales de la organización, se requiere evaluar el nivel de impacto de una interrupción dentro de ella. El impacto operacional permite evaluar el nivel negativo de una interrupción en varios aspectos de las operaciones del negocio; el impacto se puede medir utilizando un esquema de valoración, con los siguientes niveles: Nivel A: La operación es crítica para el negocio. Una operación es crítica cuando al no contar con ésta, la función del negocio no puede realizarse. Nivel B: La operación es una parte integral del negocio, sin ésta el negocio no podría operar normalmente, pero la función no escrítica. Nivel C: La operación no es una parte integral del negocio.
Evaluación de impactos operacionales
Identificación de procesos críticos
Establecimiento de tiempos de recuperación Una vez identificados los procesos críticos del negocio, se deben establecer los tiempos de recuperación que son una serie de componentes correspondientes al tiempo disponible para recuperarse de una alteración o falla de los servicios.
Establecimiento de tiempos de recuperación
Establecimiento de tiempos de recuperación
Identificación de recursos Las diferentes actividades contempladas en la función crítica del negocio deben considerarse de vital importancia cuando apoyan los procesos críticos del negocio.
Establecimiento de tiempos de recuperación
Disposición de los RTO/RPO (Recovery Time Objective / Recovery Point Objective) RTO: Tiempo de Recuperación Objetivo: Asociado con la restauración de los recursos que han sido alterados de las Tecnologías de la Información; comprende el tiempo disponible para recuperar recursos alterados. Adicionalmente, se aplica el WRT, es decir el tiempo que es requerido para completar el trabajo que ha estado interrumpido con el propósito de volverlo a la normalidad.
Disposición de los RTO/RPO (Recovery Time Objective / Recovery Point Objective)
Disposición de los RTO/RPO (Recovery Time Objective / Recovery Point Objective) RPO: Punto de Recuperación Objetivo: Este punto es importante para determinar por cada uno de los procesos críticos (servicios), el rango de tolerancia que una Entidad puede tener sobre la pérdida de información y el evento de desastre.
Identificación de procesos alternos La identificación de procesos alternos hace posible que los procesos del negocio puedan continuar operando en caso de presentarse una interrupción; para ello es oportuno que las Entidades tengan métodos alternativos de manera temporal que ayuden a superar la crisis que ha generado una interrupción; por lo tanto para cada proceso crítico que se establezca (en los servicios), se debe poseer un procedimiento manual de continuidad del servicio.
4. Bibliografía
Bertolín, J.A. (2008). Seguridad de la información. Redes, informática y sistemas de información. Madrid. España: Editorial Paraninfo. López,P.A (2010). Seguridad informática. Madrid. España: Editex. Alexander, A (2007). Diseño de un Sistema de Gestión de Seguridad de Información, óptica ISO 27001:2005, Alfaomega. Dirección de Estándares y Arquitectura de Tecnologías de la Información y la Subdirección de Seguridad y Privacidad de TI (2015). Guía para realizar el Análisis de Impacto de Negocios BIA. Ministerio de Tecnologías de la Información y las Comunicaciones. Colombia ISO22301:2012, SistemasdeGestiónyContinuidaddelNegocio