240 likes | 524 Views
Sistema de Gestión de Seguridad de la Información. ADMINISTRACIÓN DE LA CONTINUIDAD DE LOS NEGOCIOS. Evelyn Aquiño Juan Pinos Julissa Yagual. ADMINISTRACION DE LA CONTINUIDAD DE LOS NEGOCIOS Aspectos de la administración de la continuidad de los negocios.
E N D
Sistema de Gestión de Seguridad de la Información ADMINISTRACIÓN DE LA CONTINUIDAD DE LOS NEGOCIOS Evelyn Aquiño Juan Pinos Julissa Yagual
ADMINISTRACION DE LA CONTINUIDAD DE LOS NEGOCIOSAspectos de la administración de la continuidad de los negocios • Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticas de los negocios de los efectos de fallas significativas o desastres. • Se debe implementar un proceso de administración de la continuidad de los negocios para reducir la discontinuidad ocasionada por desastres y fallas de seguridad • Se deben desarrollar e implementar planes de contingencia para garantizar que los procesos de negocios puedan restablecer dentro de los plazos requeridos.
ADMINISTRACION DE LA CONTINUIDAD DE LOS NEGOCIOSAspectos de la administración de la continuidad de los negocios
PROCESO DE ADMINISTRACIÓN DE LA CONTINUIDAD DE LOS NEGOCIOS • Comprensión de los riesgos que enfrenta la organización en términos de probabilidad de ocurrencia de impacto; • Comprensión del impacto que una interrupción puede tener en los negocios y definición de los objetivos comerciales de las herramientas de procesamiento de información; • Considerar la contratación e seguros que podrían formar del proceso de continuidad de negocio; • Elaboración y documentación de una estrategia de continuidad de los negocios consecuente con los objetivos y prioridades de los negocios acordados; • Elaboración y documentación de planes de continuidad del negocio de conformidad con la estrategia de continuidad acordada; • Pruebas y actualización periódicas de los planes y procesos implementados; • Garantizar que la administración de la continuidad de los negocios esté incorpora a los procesos y estructura de la organización.
CONTINUIDAD DEL NEGOCIO Y ANÁLISIS DEL IMPACTO La continuidad de los negocios debe comenzar por la identificación de eventos que puedan ocasionar interrupciones en los procesos de los negocios.
ELABORACIÓN E IMPLEMENTACIÓN DE PLANES DE CONTINUIDAD DE LOS NEGOCIOS Todo plan se desarrolla con el objetivo de mantener o restablecer las operaciones de los negocios en plazos determinados una vez que ocurra alguna interrupción o falla en los procesos críticos de los negocios.
Identificar y acordar responsabilidades y procedimientos de emergencia Implementar procedimientos de emergencia para recuperación y restablecimiento en plazos requeridos: Especial atención a evaluación de las dependencias de negocios externos y a los contratos vigentes
Documentar los procedimientos y procesos acordados Impartir la instrucción adecuada al personal en lo referente a procedimientos y procesos de emergencia acordados, incluyendo el manejo de crisis Prueba y actualización de los planes
El principal enfoque: objetivos de negocios requeridos. Ej: Restablecimiento de servicios a clientes en un plazo aceptable. Para lograrlo: Considerar servicios y recursos, incluye dotación de personal, recursos que no procesen información, acuerdos para reanudación de emergencia (“fallback”) en sitios alternativos de procesamiento de la información.
MARCO PARA LA PLANIFICACIÓN DE LA CONTINUIDAD DE LOS NEGOCIOS Un marco para los PCN, garantiza uniformidad e identificación de prioridades de prueba y mantenimiento. En los PCN: Condiciones y personas responsables. Nuevos requerimientos: modificar de conformidad los procedimientos de emergencia establecidos. Ej: planes de evaluación o los recursos de emergencia existentes.
El marco para la planificación de la continuidad de los negocios debe tener los siguientes puntos: Condiciones de implementación: describan proceso a seguir (evaluar la situación, personas, etc.) Procedimientos de emergencia: describan acciones a emprender (incidentes: peligro de operaciones y/o la vida humana), incluir disposición (G. RR.PP. y vínculos eficaces a establecer con autoridades públicas). Ej: policía, bomberos, autoridades locales. Procedimientos de emergencia (“fallback”): describan acciones a emprender (traslado actividad esencial o de servicios de soporte a ubicaciones transitorias alternativas, y para el restablecimiento de los procesos de negocio en los plazos requeridos
Procedimientos recuperación: describan acciones a emprender para restablecer operaciones normales de la empresa. Cronograma de mantenimiento: Cómo y cuándo será probado el plan, y el proceso para el mantenimiento del mismo. Actividades de concientización e instrucción: diseñadas para la comprensión de procesos de continuidad del negocio y garantizar procesos eficaces. Responsabilidad: Describir responsables de la ejecución de cada uno de los componentes del plan. Mencionar alternativas cuando corresponda.
Cada plan se tiene: Un propietario específico. Procedimientos de emergencia, planes de reanudación (“fallback”) y planes de recuperación: Contactarse entre las responsabilidades de los propietarios de los recursos o procesos de negocio pertinentes. Las disposiciones de emergencia para servicios técnicos alternativos, como instalaciones de comunicaciones o de procesamiento de información, normalmente se cuenta entre las responsabilidades de los proveedores de servicios.
PRUEBAS DE LOS PLANES DE CONTINUIDAD DE LOS NEGOCIOS El programa de entrenamiento conlleva la información y la capacitación del personal adscrito al plan, se realizarán cursos que deben de contemplar en detalle los siguientes aspectos: • Descripción general del plan. • Funciones y obligaciones del personal adscrito a cada uno de los equipos de emergencias. • Descripción de las posibles emergencias que pueden afectar a organización.
PRUEBAS DE LOS PLANES DE CONTINUIDAD DE LOS NEGOCIOS Para garantizar el funcionamiento del plan en la vida real, se debe utilizar diversas técnicas como: • Pruebas de discusión de diversos. • Simulaciones. • Pruebas de recuperación técnica. • Pruebas de recuperación en un sitio alternativo. • Pruebas de instalaciones y servicios de proveedores. • Ensayos completos
MANTENIMIENTO Y REEVALUACIÓN DEL PLAN Para lograr que el plan se mantenga actualizado y permita la recuperación ante un desastre, es necesario documentar las responsabilidades de su mantenimiento, elaborando una matriz que indique para cada una de las secciones del plan: • El responsable de las revisiones periódicas de cada uno de los planes de continuidad del negocio. • La periodicidad con la que realizará una revisión. • Una descripción con los principales aspectos a revisar. • Identificación de cambios en las disposiciones relativas al negocio aún no reflejadas en los planes de continuidad.