capitulo_5_cisa_sfp
TRANSCRIPT
ISACA ®
Capítulo 5Recuperación de Desastres y Continuidad del Negocio
(DRP / BCP)Juan Antonio Segura González, CISA, CISM
Vicepresidente ISACA Capítulo Ciudad de Mé[email protected]
Tel. 5528.5101Cel. (04455) 1850.8747
Capítulo 5 – página 22005 CISA Review Course© 2005 ISACA All Rights Reserved
Capítulo 5
(Aproximadamente 20 preguntas)
Capítulo 5
10%11%
13%
25%10%
16%
15%
Capítulo 5 – página 32005 CISA Review Course© 2005 ISACA All Rights Reserved
Objetivo
Asegurar que el candidato CISAAsegurar que el candidato CISA……““tientiene el conocimiento para evaluar la e el conocimiento para evaluar la
capacidad de la organizacicapacidad de la organizacióón para n para restaurar el servicio al nivel de calidad restaurar el servicio al nivel de calidad
acordado, y el proceso para acordado, y el proceso para desarrollar, comunicar y mantener desarrollar, comunicar y mantener
planes documentados y probados para planes documentados y probados para la continuidad de las operaciones del la continuidad de las operaciones del negocio y del procesamiento de SInegocio y del procesamiento de SI””
Capítulo 5 – página 42005 CISA Review Course© 2005 ISACA All Rights Reserved
Tareas del Capítulo
• Esta área contiene tres (3) tareas principales:– Evalúar si las provisiones de respaldos y
recuperación son las adecuadas para asegurar el reinicio normal del procesamiento de información en el caso de una interrupcion de corto plazo y/o la necesidad de re-ejecutar o reiniciar el proceso.
– Evalúar la habilidad de la organización para continuar supliendo capacidades de procesamiento de sistemas de información en caso de que las facilidades de procesamiento de información primarias no esten disponibles por un período de tiempo significativo.
Capítulo 5 – página 52005 CISA Review Course© 2005 ISACA All Rights Reserved
Tareas del Capítulo
• Esta área contiene tres (3) tareas principales:– Evalúar la capacidad de la organización para
asegurar la continuidad del negocio en caso de una interrupción.
Capítulo 5 – página 62005 CISA Review Course© 2005 ISACA All Rights Reserved
• Introducción• Planeación de continuidad del negocio /
recuperación de desastres SI• Casos de desastre y otras Interrupciones• Análisis del Impacto sobre el Negocio (BIA)• Desarrollando estrategias de recuperación• Alternativas de recuperación
Contenido …
Capítulo 5 – página 72005 CISA Review Course© 2005 ISACA All Rights Reserved
• Desarrollar un plan detallado• Organización y asignación de
responsabilidades • Componentes de un plan efectivo de
continuidad del negocio• Prueba del plan de recuperación /
continuidad• Bibliotecas fuera del sitio (off-site)• Auditoría del DRP / BCP• Conclusiones
Contenido
ISACA ®
Introducción
Capítulo 5 – página 92005 CISA Review Course© 2005 ISACA All Rights Reserved
Marco Contextual
DS1 Definición de Niveles de ServicioDS2 Administración de Servicios prestados por TercerosDS3 Administración de Desempeño y CapacidadDS4 Aseguramiento de Servicio ContinuoDS5 Garantizar la Seguridad de SistemasDS6 Identificación y Asignación de CostosDS7 Educación y Entrenamiento de UsuariosDS8 Apoyo y Asistencia a los Clientes de Tecnología de InformaciónDS9 Administración de la ConfiguraciónDS10 Administración de Problemas e IncidentesDS11 Administración de DatosDS12 Administración de InstalacionesDS13 Administración de Operaciones
AI1 Identificación de Soluciones AutomatizadasAI2 Adquisición y Mantenimiento de Software de AplicaciónAI3 Adquisición y Mantenimiento de Infraestructura de TecnologíaAI4 Desarrollo y Mantenimiento de Procedimientos AI5 Instalación y Acreditación de SistemasAI6 Administración de Cambios
M1 Monitoreo de los procesosM2 Evaluar la adecuación del Control InternoM3 Obtener garantía independienteM4 Proveer auditoría independiente
ADQUISICION E IMPLEMENTACION
ENTREGA Y SOPORTE
MONITOREO
PO1 Definición de un Plan Estratégico de Tecnología de Información PO2 Definición de la Arquitectura de InformaciónPO3 Determinación de la dirección tecnológicaPO4 Definición de la Organización y de las Relaciones de TIPO5 Administración de la Inversión en Tecnología de InformaciónPO6 Comunicación la dirección y aspiraciones de la gerenciaPO7 Administración de Recursos HumanosPO8 Aseguramiento del Cumplimiento de Requerimientos ExternosPO9 Evaluación de RiesgosPO10 Administración de proyectosPO11 Administración de Calidad
PLANEACION Y ORGANIZACION
Capítulo 5 – página 102005 CISA Review Course© 2005 ISACA All Rights Reserved
Componentes de un BCP
BCP
BRP
COOP
DRP
ITCP
CIRPOEP
CCP
Instalaciones TI Negocio Impacto Mayor
Capítulo 5 – página 112005 CISA Review Course© 2005 ISACA All Rights Reserved
• Propósito. Proporciona procedimientos para mantener las operaciones esenciales del negocio mientras se realiza la recuperación (continuidad).
• Alcance. Orientado a procesos de negocio, solamente se orienta a TI en caso de que se requiera soporte de sistemas para procesos de negocio.
BCP (Business Continuity Plan)
Capítulo 5 – página 122005 CISA Review Course© 2005 ISACA All Rights Reserved
• Propósito. Procedimientos para la recuperación de las operaciones del negocio inmediatamente después de que ocurre un desastre (en el sitio primario).
• Alcance. Orientado a procesos de negocio, no está enfocado en la tecnología, solamente se orienta a TI en caso de que se requiera soporte de sistemas para procesos de negocio.
BRP (Business Resumption Plan)
Capítulo 5 – página 132005 CISA Review Course© 2005 ISACA All Rights Reserved
• Propósito. Procedimientos y capacidades para mantener las funciones de negocio esenciales y estratégicas de una organización en un sitio alterno (Alta Dirección).
• Alcance. Orientado a el subconjunto más crítico de procesos de la empresa, no estáenfocado en la TI, generalmente se redacta a los más altos niveles de la organización.
COOP (Continuity of OperacionsPlan)
Capítulo 5 – página 142005 CISA Review Course© 2005 ISACA All Rights Reserved
• Propósito. Procedimientos y capacidades para recuperar una aplicación mayor o un sistema general de soporte.
• Alcance. Orientado a fallas en los sistemas de TI, no está enfocado en los procesos de negocio.
ITCP (IT Contingency Plan)
Capítulo 5 – página 152005 CISA Review Course© 2005 ISACA All Rights Reserved
• Propósito. Procedimientos para la diseminación de reportes de estado al cliente, al público y al personal.
• Alcance. Orientado a comunicación en general, no enfocado a TI.
CCP (Crisis Communications Plan)
Capítulo 5 – página 162005 CISA Review Course© 2005 ISACA All Rights Reserved
• Propósito. Estrategias para detectar, responder a, y limitar las consecuencias de un incidente malicioso.
• Alcance. Enfocado a la respuesta de sistemas de seguridad a incidentes que afectan el funcionamiento de los sistemas o las redes.
CIRP (Cyber Incident Response Plan)
Capítulo 5 – página 172005 CISA Review Course© 2005 ISACA All Rights Reserved
• Propósito. Procedimientos detallados para facilitar la recuperación de capacidades en un Centro Alterno.
• Alcance. Enfocado a TI, enfocado a daños mayores con efectos de largo plazo.
DRP (Disaster Recovery Plan)
Capítulo 5 – página 182005 CISA Review Course© 2005 ISACA All Rights Reserved
• Propósito. Procedimientos coordinados para minimizar el daño a personas o la pérdida de vidas, así como a la protección de propiedades en el caso de una amenaza física.
• Alcance. Enfocado en el personal y edificios principalmente, no a los procesos de negocios ni a TI.
OEP (Occupant Emergency Plan)
Capítulo 5 – página 192005 CISA Review Course© 2005 ISACA All Rights Reserved
Responsabilidades
• BCP, BRP, COOP – El Cliente, usuario
• DRP, ITCP, CIRP – El área de Sistemas
• CCP – Relaciones públicas y Sistemas
• OEP – Area de Seguridad
ISACA ®
Capítulo 5
“Proceso diseñado para reducir riesgos ante interrupción inesperada de funciones críticas (manuales o
automatizadas) y garantizar continuidad del nivel mínimo de operaciones
críticas”
Capítulo 5 – página 212005 CISA Review Course© 2005 ISACA All Rights Reserved
Planeación del (BCP) y (DRP)
• Considerar a toda la organización, no sólo a la TI• Responsabilidad de ALTA GERENCIA (Salvaguarda activos
y viabilidad de empresa)• Responsables de recursos críticos son quienes
reaccionarán ante un desastre mientras se lleva a cabo la recuperación
• Participación de Gerencia y Usuarios ... Vital para éxito del plan
• Gerencia Usuarios identificará procesos, tiempos críticos de recuperación y recursos necesarios para recuperación
Capítulo 5 – página 222005 CISA Review Course© 2005 ISACA All Rights Reserved
Casos de Desastre y Otras Interrupciones
• Desastre– Interrupción que hace, que los recursos
críticos de TI, queden inoperantes por un tiempo que impacte adversamente al negocio
– Obligan a tomar acciones para recuperar estado operativo
– En el peor de los casos, se usará instalación alterna, se restaurará software y datos resguardados en sitio alterno
Capítulo 5 – página 232005 CISA Review Course© 2005 ISACA All Rights Reserved
Casos de Desastre
• Causados por Desastres Naturales– Terremotos– Inundaciones– Tornados– Tormentas Eléctricas Severas– Incendios
Capítulo 5 – página 242005 CISA Review Course© 2005 ISACA All Rights Reserved
Casos de Desastre
Tormenta en Panama City Beach, Florida.Fuente: AP / Fecha de publicación: 30/03/2004
Choque de dos tormentas causan olas enormesen Manila, Filipinas.
Fuente: AP / Fecha de publicación: 30/03/2004
Capítulo 5 – página 252005 CISA Review Course© 2005 ISACA All Rights Reserved
Casos de Desastre
Vientos de más de 90 millas por hora azotan el puerto de Key West, Florida.
Fuente: AP / Fecha de publicación: 30/03/2004
Enorme tormenta de arena ataca la ciudad de Phoenix, EU.
Fuente: AP / Fecha de publicación: 30/03/2004
Capítulo 5 – página 262005 CISA Review Course© 2005 ISACA All Rights Reserved
Casos de Desastre
El terremoto de magnitud 6 ocasionó severos daños en la población de Armenia, Colombia.
Fuente: AP / Fecha de publicación: 30/03/2004
Terremoto ocurrido en la población de Wan-FoTaiwan destruyendo el templo de la localidad.Fuente: AP / Fecha de publicación: 30/03/2004
Capítulo 5 – página 272005 CISA Review Course© 2005 ISACA All Rights Reserved
Casos de Desastre
• Causados por Seres Humanos– Terrorismo– Hackers– Ataques
Capítulo 5 – página 282005 CISA Review Course© 2005 ISACA All Rights Reserved
Casos de Desastre
Capítulo 5 – página 292005 CISA Review Course© 2005 ISACA All Rights Reserved
Casos de Desastre
Capítulo 5 – página 302005 CISA Review Course© 2005 ISACA All Rights Reserved
Casos de Desastre
Capítulo 5 – página 312005 CISA Review Course© 2005 ISACA All Rights Reserved
Otras Interrupciones
• Interrupción de servicios que pueden provocar eventos desastrosos– Suministro Energía Eléctrica– Telecomunicaciones– Gas Natural
“La interrupción del servicio de SI causada por un mal funcionamiento, puede no generar desastres, pero si
eventos de alto riesgo””(Errores, eliminación de archivos accidental, ataques de negación del
servicio, intrusión, virus)
Capítulo 5 – página 322005 CISA Review Course© 2005 ISACA All Rights Reserved
Otras Interrupciones
La gente hace llamadas a sus familiares trasregistrarse el apagón en Nueva York.Fuente: AP / Fecha de publicación:
Capítulo 5 – página 332005 CISA Review Course© 2005 ISACA All Rights Reserved
Un BCP deberá considerar …
• Un sistema de clasificación de riesgos que apoye la toma de decisiones.
• Todos los acontecimientos que impacten instalaciones TI críticas y funciones operativas normales.
• Estrategias de marcha atrás de corto y largo plazo (Ejemplo: Instalación alterna o nueva permanente, respectivamente)
Capítulo 5 – página 342005 CISA Review Course© 2005 ISACA All Rights Reserved
• Seguridad del personal• Rentabilidad y posicionamiento de la
empresa en el mercado• Obligaciones contractuales• Cumplimientos de leyes y regulaciones• Imagen y percepción pública• Impacto Social• Atención a clientes• Seguridad y confiabilidad de la información
Un BCP deberá considerar
Capítulo 5 – página 352005 CISA Review Course© 2005 ISACA All Rights Reserved
4. Programa de 4. Programa de Entrenamiento y Entrenamiento y
de de ConcientizaciConcientizacióónn
Etapas del Proceso de Planeación del BCP
1. An1. Anáálisis del lisis del Impacto sobre el Impacto sobre el
NegocioNegocio2. Clasificaci2. Clasificacióón n
de Operaciones y de Operaciones y AnAnáálisis de lisis de CriticidadCriticidad
3. Desarrollar el 3. Desarrollar el BCP y BCP y
procedimientos procedimientos de recuperacide recuperacióón n
de desastresde desastres
5. Prueba e 5. Prueba e ImplementaciImplementacióón n
del Plandel Plan
6. Monitoreo6. Monitoreo
Capítulo 5 – página 362005 CISA Review Course© 2005 ISACA All Rights Reserved
Análisis del Impacto Sobre el Negocio
• Para desarrollar el BIA es importante entender la organización, sus procesos clave y los recursos de TI que los soportan (Aplicaciones, Datos, Redes, SW del sistema, Instalaciones, Equipos, Centros de proceso)
1 2 3 4 5 6
Marco Filosófico
Modelo Estratégico
Modelo de Operaciones
Procesos de Soporte
Capítulo 5 – página 372005 CISA Review Course© 2005 ISACA All Rights Reserved
• Implica identificar eventos que podrían impactar la continuidad de operaciones e impactar en recurso humano, imagen y financieramente
• Respaldo de Alta Gerencia y participación de SI y usuarios … indispensable
• Además de los tradicionales (mainframe), incluir redes y recursos implementados por usuarios
Análisis del Impacto Sobre el Negocio1 2 3 4 5 6
Capítulo 5 – página 382005 CISA Review Course© 2005 ISACA All Rights Reserved
Análisis del Impacto Sobre el Negocio1 2 3 4 5 6
Servicios de TI (Sistemas Operativos, Telecomunicaciones, Red, Etc.)
Procesos de
Negocio
(Finanzas)
Procesos de
Negocio
(Manufactura)
Procesos de
Negocio
(Logística)
Procesos de
Negocio
(Etc.)
Administración Corporativa
• Estructura• Políticas
Corporativas• Gobierno de TI• Colaboración
• Estructura• Políticas
Corporativas• Gobierno de TI• Colaboración
Controles a Nivel Corporativo
Controles a Nivel Corporativo
Controles GeneralesControles Generales
• Desarrollo y cambios a programas
• Desarrollo e Implementación
• Operación de cómputo
• Acceso a Programas y Datos
• Desarrollo y cambios a programas
• Desarrollo e Implementación
• Operación de cómputo
• Acceso a Programas y Datos
Controles de Aplicación
Controles de Aplicación
(Controles incorporados en aplicaciones que brindan soporte a los procesos de negocio)•Completes•Exactitud•Validación•Autorización•Separación de funciones
(Controles incorporados en aplicaciones que brindan soporte a los procesos de negocio)•Completes•Exactitud•Validación•Autorización•Separación de funciones
CONTROLES GENERALES
CONTROLES DE APLICACIÓN
Capítulo 5 – página 392005 CISA Review Course© 2005 ISACA All Rights Reserved
Clasificación de las operaciones y análisis de criticidad
• Clasificación de los sistemas• CRITICOS
–VITALES• SENSITIVOS
–NO CRITICOS
1 2 3 4 5 6
Capítulo 5 – página 402005 CISA Review Course© 2005 ISACA All Rights Reserved
Clasificación de las operaciones y análisis de criticidad
• CRITICOS– Funciones pueden realizarse sólo si las capacidades
se reemplazan por otras idénticas– No pueden reemplazarse por métodos manuales– Muy baja tolerancia a interrupciones– Muy ALTO COSTO de interrupción
• VITALES– Pueden realizarse manualmente por periodo breve– Un poco más de tolerancia a interrupciones vs
Críticos– Costo de interrupción un poco más bajos, sólo si son
restaurados dentro de un tiempo determinado (5 ómenos días)
1 2 3 4 5 6
Capítulo 5 – página 412005 CISA Review Course© 2005 ISACA All Rights Reserved
Clasificación de las operaciones y análisis de criticidad
• SENSITIVOS– Funciones pueden realizarse manualmente por un
periodo prolongado, a un costo tolerable– Proceso manual difícil, requiriendo personal adicional
• NO CRITICOS– Funciones pueden interrumpirse por tiempos
prolongados a un costo pequeño o nulo– No requiere de esfuerzos para ponerse al día
1 2 3 4 5 6
Capítulo 5 – página 422005 CISA Review Course© 2005 ISACA All Rights Reserved
Desarrollar Estrategias de Recuperación
1 2 3 4 5 6
• Desarrollar y presentar diferentes estrategias y seleccionar la + apropiada para recuperarse de un desastre
• La selección depende de:– Criticidad del proceso y aplicaciones que lo soportan– Costo– Tiempo requerido para recuperarse– Seguridad
• Estrategia + Apropiada = Aquella con costo aceptable y razonable para el tiempo de recuperación, impacto y probabilidad de ocurrencia determinada en el BIA
• Costo de Recuperación = Costos de prepararse para interrupciones + Costos de funcionamiento de lo planeado
Capítulo 5 – página 432005 CISA Review Course© 2005 ISACA All Rights Reserved
Desarrollar Estrategias de Recuperación
1 2 3 4 5 6
• Para cualquier amenaza, la acción + efectiva debe estar orientada a:– Eliminar las amenazas completamente– Minimizar la probabilidad de ocurrencia– Minimizar el efecto de ocurrencia
(Las primas de seguro pueden reducirse si hay un BCP adecuado)
Capítulo 5 – página 442005 CISA Review Course© 2005 ISACA All Rights Reserved
Desarrollar Estrategias de Recuperación
1 2 3 4 5 6
• Cada plataforma TI que soporte una función crítica del negocio, deberá contar con una estrategia de recuperación.
• Para instalaciones de Mainframes y Redes, considerar:– Hot Sites– Warm Sites– Cold Sites– Instalaciones duplicadas– Acuerdos Recíprocos con otras compañías
Capítulo 5 – página 452005 CISA Review Course© 2005 ISACA All Rights Reserved
Hot Hot SitesSites• Totalmente configurados y listos para operar en algunas horas• Equipo y Sw del sistema debe ser compatible con instalación
primaria• Sólo se necesita: personal, programas, datos y documentación• Costos asociados altos, pero las aplicaciones críticas lo justifican• La cobertura del seguro puede compensar los costos incurridos• Los montos incluyen:
– Costo básico de suscripción– Costo mensual– Costo pruebas– Costo de activación– Cargos de uso por hora o día
Desarrollar Estrategias de Recuperación
1 2 3 4 5 6
Capítulo 5 – página 462005 CISA Review Course© 2005 ISACA All Rights Reserved
Hot Hot SitesSites• Algunos proveedores imponen costo elevado de
activación para desalentar uso innecesario
• Otros promueven su uso para casos no relacionados con desastres (sobrecarga de procesamiento)
• Limitado para operaciones de emergencia por un tiempo limitado no prolongado (varias semanas), para proteger a otros abonados
• Incluir aspectos como redundancia y capacidad suficiente en diferentes vìas para redireccionar en caso necesario
Desarrollar Estrategias de Recuperación
1 2 3 4 5 6
Capítulo 5 – página 472005 CISA Review Course© 2005 ISACA All Rights Reserved
WarmWarm SitesSites• Configurados parcialmente, con conexiones de red y
ciertos equipos periféricos seleccionados (discos, cartuchos, controladores), pero sin la computadora principal
• A veces equipado con un computador menos potente
• Se basa en el supuesto de que una computadora puede ser conseguida e instalada ¨rápidamente¨ (siempre y cuando sea un modelo usado ampliamente).
• Esto reduce un poco los costos
Desarrollar Estrategias de Recuperación
1 2 3 4 5 6
Capítulo 5 – página 482005 CISA Review Course© 2005 ISACA All Rights Reserved
Cold Cold SiteSite
• Sólo tiene el ambiente básico (cableado eléctrico, aire acondicionado, etc.)
• Listo para recibir equipo
• La activación del sitio puede demorar varias semanas
Desarrollar Estrategias de Recuperación
1 2 3 4 5 6
Capítulo 5 – página 492005 CISA Review Course© 2005 ISACA All Rights Reserved
Instalaciones DuplicadasInstalaciones Duplicadas• Sitios de recuperación que pueden respaldar las
aplicaciones críticas
• Desde un Hot-site hasta un Acuerdo Recíproco con otras compañías
• Se basan en el supuesto de que en esta opción habría menos problemas para coordinar la compatibilidad y disponibilidad
Desarrollar Estrategias de Recuperación
1 2 3 4 5 6
Capítulo 5 – página 502005 CISA Review Course© 2005 ISACA All Rights Reserved
Instalaciones DuplicadasInstalaciones Duplicadas• Para asegurar la viabilidad de esta opción considerar:
– Sitio alterno no estar sujeto a mismos desastres naturales que el primario
– Haber una coordinación estratégica de Hw y Sw, para lograr una compatibilidad razonable
– Garantizar disponibilidad de los recursos. Evitar que las cargasde trabajo afecten su disponibilidad
– Efectuar pruebas regularmente (copias de respaldo)
Desarrollar Estrategias de Recuperación
1 2 3 4 5 6
Capítulo 5 – página 512005 CISA Review Course© 2005 ISACA All Rights Reserved
Acuerdos RecAcuerdos Recííprocosprocos• Celebrados entre 2 o más empresas con equipos o aplicaciones
similares
• Bajo acuerdo, los participantes prometen proveerse mutuamente de tiempo de procesamiento en caso de emergencia
• Ventajas … Bajo costo, Puede ser la única opción en caso de proveedor único
• Desventajas– No se puede exigir el servicio
– Las diferencias en las configuraciones de los equipos requieren de modificaciones en los programas para que operen efectivamente
– Los cambios en las cargas de trabajo o en las configuraciones, que no se notifican, hacen limitado o inútil el acuerdo
Desarrollar Estrategias de Recuperación
1 2 3 4 5 6
Capítulo 5 – página 522005 CISA Review Course© 2005 ISACA All Rights Reserved
Acuerdos RecAcuerdos Recííprocosprocos• Preguntas críticas que se deben incluir:
– ¿ Cuánto tiempo se tendrá disponible en el sitio anfitrión ?– ¿ Qué instalaciones y equipos se tendrá a disposición ?– ¿ Se proveerá asistencia el personal ?– ¿ Con qué velocidad se podrá acceder a la instalación anfitriona de recuperación ?– ¿ Pueden establecerse enlaces de comunicación de datos y voz en el sitio anfitrión ?– ¿ Por cuánto tiempo puede continuar la operación de emergencia ?– ¿ Con qué frecuencia se puede probar la compatibilidad del sistema ?– ¿ Cómo se mantendrá la confidencialidad de los datos ?– ¿ Qué tipo de seguridad se podrá tener para las operaciones y los datos de los SI ?– ¿ Con cuánta anticipación se requiere dar aviso para usar el sitio anfitrión ?– ¿ Hay alguna fecha del año en que la instalación no está disponible ?
Desarrollar Estrategias de Recuperación
1 2 3 4 5 6
Capítulo 5 – página 532005 CISA Review Course© 2005 ISACA All Rights Reserved
• Contratos con Hot, Warm y Cold Sites debe incluir:– Configuraciones– Desastres– Velocidad de disponibilidad– Abonados por sitio– Abonados por área– Preferencia– Seguros– Período de uso– Comunicaciones– Garantías– Auditoría– Pruebas– Confiabilidad
Desarrollar Estrategias de Recuperación
1 2 3 4 5 6
Capítulo 5 – página 542005 CISA Review Course© 2005 ISACA All Rights Reserved
• Basado en una política multiriesgo diseñada para proveer diversos tipos de cobertura de SI
• (Las compañías de seguros) Deben construirlo de manera modular para que se adapte al ambiente de SI de la empresa
• Los tipos de cobertura pueden ser:– Equipo e Instalaciones de SI– Reconstrucción de medios (Sw)– Gastos adicionales– Interrupción del Negocio– Documentos y registros valiosos– Errores y omisiones– Cobertura de fidelidad– Transporte de medios
Seguros1 2 3 4 5 6
Capítulo 5 – página 552005 CISA Review Course© 2005 ISACA All Rights Reserved
•• Equipo e Instalaciones de SIEquipo e Instalaciones de SI– Cobertura de daños físicos– Cuidar seguros equipo rentado ¿ de quién es responsabilidad ?
y tipo de reemplazo para que se entreguen equipos nuevos idénticos al dañado y no “otros de clase y calidad similares”
•• ReconstrucciReconstruccióón de Medios (n de Medios (SwSw))– Cobertura de daños a los medios tanto en el sitio de
procesamiento normal, como en el alterno o tránsito de un sitio al otro
– Cubre costo real de reproducción– Los costos para reproducirlos, gastos de respaldos y reemplazo
físico de dispositivos, son la consideraciones para determinar el valor de la cobertura
Seguros1 2 3 4 5 6
Capítulo 5 – página 562005 CISA Review Course© 2005 ISACA All Rights Reserved
•• Gastos AdicionalesGastos Adicionales– Cubir los gastos adicionales que ocasionan la continuidad, luego
de los daños o destrucción del sitio– El valor se basa en la disponibilidad y costo de las instalaciones
y operaciones de respaldo alternativo– Pueden cubrir la pérdida de las ganancias causadas por los
daños o suspensión de operaciones (aunque no haya daños en equipos e instalaciones)
•• InterrupciInterrupcióón del Negocion del Negocio– Cubre pérdidas financieras debido a la interrupción de la
actividad de la compañía por causa de un mal funcionamiento de SI
Seguros1 2 3 4 5 6
Capítulo 5 – página 572005 CISA Review Course© 2005 ISACA All Rights Reserved
•• Documentos y Registro VitalesDocumentos y Registro Vitales– Cubre valor real efectivo de documentos y registro valiosos (no
definidos como medios)
•• Errores y OmisionesErrores y Omisiones– Protección legal de responsabilidad en caso de que el
profesional cometa un acto, error u omisión que tenga como consecuencia la pérdida financiera para un cliente
– Protegen a analistasa, diseñadores, programadores, consultores, etc.
Seguros1 2 3 4 5 6
Capítulo 5 – página 582005 CISA Review Course© 2005 ISACA All Rights Reserved
•• Cobertura de FidelidadCobertura de Fidelidad– Fianzas– Cubre pérdidas por actos deshonestos o fraudulentos– Muy usada por empresas del sector financiero
•• Transporte de MediosTransporte de Medios– Pérdida o daño potencial a los medios en tránsito hacia sitios
fuera del primario– Como precaución, estos deben ser filmados o copiados antes de
ser transportados
Seguros1 2 3 4 5 6
Capítulo 5 – página 592005 CISA Review Course© 2005 ISACA All Rights Reserved
• Los factores que deben considerarse son:– Estar preparados ante un desastre– Procedimientos de evacuación– Como declarar un desastre– Identificar los Procesos de Negocio y los Recursos TI que
deberán ser recuperados– Identificar claramente:
• Las responsabilidades en el Plan• Las personas responsables de cada función• La información de los contratos
– Explicación paso a paso de la recuperación– Identificar claramente los recursos requeridos para la
recuperación y continuidad de las operaciones– Aplicación paso-paso de la fase de construcción– Documentarlo y redactarlo con un lenguaje claro
Desarrollo de BCP y DRP1 2 3 4 5 6
Capítulo 5 – página 602005 CISA Review Course© 2005 ISACA All Rights Reserved
• El Plan debe contemplar Equipos de Trabajo con responsabilidades asignadas en caso de desastre
• Identificar personal clave de SI y usuarios para toma de decisiones
• La participación de los equipos depende de la interrupción y del tipo de activos afectados
• Matriz correlación Equipos que van a participar y Esfuerzo estimado para recuperar la interrupción … recomendable
Organización y Asignación de Responsabilidades
1 2 3 4 5 6
Capítulo 5 – página 612005 CISA Review Course© 2005 ISACA All Rights Reserved
• De acuerdo a las funciones que realizarían, los EQUIPOS que pueden conformarse son:
Organización y Asignación de Responsabilidades
1 2 3 4 5 6
– Respuesta a Incidentes– Acción ante Emergencias– Evaluación de Daños– Administración de Emergencia– Almacenamiento alterno (Offsite)– Software– Aplicaciones– Seguridad– Operaciones de Emergencia– Recuperación de Red
– Comunicaciones– Transporte– Hardware del Usuario– Preparación de Datos y Archivos– Soporte Administrativo– Suministros– Salvamento– Reubicación– Coordinación–Asuntos Legales– Entrenamiento
Capítulo 5 – página 622005 CISA Review Course© 2005 ISACA All Rights Reserved
•• Equipo de Respuesta a IncidentesEquipo de Respuesta a Incidentes– Esta orientado a recibir la información sobre todo
incidente que pueda ser considerado como una amenaza a los activos / procesos.
– Coordinar incidentes en curso y/o para un análisis post-mortem.
– Genera conocimiento para actualizar los planes de recuperación
Organización y Asignación de Responsabilidades
1 2 3 4 5 6
Capítulo 5 – página 632005 CISA Review Course© 2005 ISACA All Rights Reserved
•• Equipo de AcciEquipo de Accióón ante Emergenciasn ante Emergencias– Dará la primera respuesta– Bomberos designados o personal asistente– Su función ... Tratar con incendios u otros escenarios de emergencia
que requieran respuesta– Evacuación ordenada del personal y garantizar vidas humanas
•• Equipo de evaluaciEquipo de evaluacióón de dan de daññosos– Conformado por personal que tengan capacidad de hacer apreciación
de daños, identificación de causas e impactos y estimación del tiempo de recuperación
– Personal experimentado y familiarizado con equipos de pruebas, sistemas y redes
– Entrenado en reglamentaciones y procedimientos de seguridad
Organización y Asignación de Responsabilidades
1 2 3 4 5 6
Capítulo 5 – página 642005 CISA Review Course© 2005 ISACA All Rights Reserved
•• Equipo de AdministraciEquipo de Administracióón de Emergencian de Emergencia– Coordinar y supervisar actividades de todos los equipos– Tomar decisiones clave– Determinan la activación del plan– Organizar las finanzas de la recuperación, manejo de asuntos legales,
relaciones públicas y medios de comunicación– Coordinarán entre otras actividades:
• Recuperación de datos críticos y vitales a partir de almacenamiento alterno• Instalación y prueba Sw del sistema y aplicaciones en sitio de recuperación• Identificación, compra e instalación de Hw en sitio de recuperación• Operación desde el sitio de recuperación• Redirección del tráfico de comunicación de la red• Restablecimiento de la red de usuarios y sistemas• Transportación de usuarios al sitio alterno• Reconstrucción de bases de datos• Proveer de mobiliario, formularios y suministros• Programa de actividades para usar sistemas y trabajo de empleados
Organización y Asignación de Responsabilidades
1 2 3 4 5 6
Capítulo 5 – página 652005 CISA Review Course© 2005 ISACA All Rights Reserved
Organización y Asignación de Responsabilidades
1 2 3 4 5 6
–Almacenamiento alterno (Offsite)– Software– Aplicaciones– Seguridad– Operaciones de Emergencia– Recuperación de Red– Comunicaciones– Transporte– Hardware del Usuario
– Preparación de Datos y Archivos– Soporte Administrativo– Suministros– Salvamento– Reubicación– Coordinación– Asuntos Legales– Entrenamiento
Equipo de Respuesta a Incidentes
Equipo de Acción de Emergencia
Equipo de Evaluación de
Daños
Equipo Administrador de
la Emergencia
Capítulo 5 – página 662005 CISA Review Course© 2005 ISACA All Rights Reserved
• Muchos BCP carecen de pruebas totales con todas las áreas
• Realizarlas, total o parcialmente, ayuda a saber si funciona bien o qué partes necesitan mejorarse
• Hacerlas cuando las interrupciones afecten menos la operación (fines de semana, vacacionales forzosas)
• Participar personal clave del equipo y poner esfuerzo
• Considerar componentes críticos y simular condiciones reales de procesamiento de horas principales
Prueba e Implementación del Plan1 2 3 4 5 6
Capítulo 5 – página 672005 CISA Review Course© 2005 ISACA All Rights Reserved
Prueba e Implementación del Plan1 2 3 4 5 6
Especificaciones Ejecución de la Prueba
DocumentaciónDe
ResultadosAA
Capítulo 5 – página 682005 CISA Review Course© 2005 ISACA All Rights Reserved
Prueba e Implementación del Plan1 2 3 4 5 6
Análisis de Resultados
Mantenimientodel
PlanAA
Capítulo 5 – página 692005 CISA Review Course© 2005 ISACA All Rights Reserved
• EspecificacionesTratar de realizar las tareas siguientes:– Verificar que el BCP esté completo y sea preciso– Evaluar el desempeño del personal que participó– Evaluar entrenamiento y conciencia de continuidad de Externos– Evaluar coordinación entre el equipo de continuidad y
proveedores– Medir posibilidad y capacidad del sitio alterno– Determinar capacidad de recuperar registros vitales– Evaluar estado y cantidad de equipos y suministros reubicados
en el sitio de recuperación– Medir desempeño general de actividades operativas y
procesamiento de SI, relacionadas con el mantenimiento del negocio
Prueba e Implementación del Plan1 2 3 4 5 6
Capítulo 5 – página 702005 CISA Review Course© 2005 ISACA All Rights Reserved
Ejecución de la Prueba• Prueba Previa
– Acciones para establecer escenario para prueba real– Colocar mobiliario en área de recuperación de operaciones– Transportar e instalar equipos de apoyo
• Prueba– Acción real y prueba del estado de preparación para responder a emergencias– Ejecutar verdaderas actividades operativas para probar objetivos del BCP– Ocurrir: entrada de datos, realizar llamadas, procesamiento de SI, manejo de órdenes,
movimiento del personal, equipos y proveedores– Se evalúa al personal realizando tareas designadas
• Prueba Posterior– Limpieza de actividades de grupo– Devolver todos los recursos y personal a donde pertenecen, desconectar equipos,
eliminar datos en sistemas de terceros, evaluar el plan e implementar mejoras
Prueba e Implementación del Plan1 2 3 4 5 6
Capítulo 5 – página 712005 CISA Review Course© 2005 ISACA All Rights Reserved
Tipos de Pruebas• Prueba en Papel
– Repaso total o parcial sobre papel– Principales involucrados razonan sobre lo que ocurriría en ciertas interrupciones– Precede a la prueba del estado de preparación
• Prueba de Preparación– Se realiza sobre diversos aspectos localizados del plan– Forma eficiente (costos) de saber si el plan es bueno e irlo mejorando– Se gastan recursos en simular un colapso del sistema
• Prueba Operativa Total– Prácticamente un desastre– Primero hay que hacer las dos anteriores
Prueba e Implementación del Plan1 2 3 4 5 6
Capítulo 5 – página 722005 CISA Review Course© 2005 ISACA All Rights Reserved
Documentación de los Resultados
• Observaciones, problemas y resoluciones de cada etapa
• Información histórica que puede facilitar la recuperación de un desastre
• Ayuda a analizar puntos fuertes y débiles
Prueba e Implementación del Plan1 2 3 4 5 6
Capítulo 5 – página 732005 CISA Review Course© 2005 ISACA All Rights Reserved
Análisis de los Resultados• Medir éxito del plan y probarlo vs objetivos predefinidos• Calibrar resultados observando• Tiempo. El transcurrido para completar tareas, entrega de equipos,
reunir personal y arribar al sitio de recuperación
• Cantidad. De trabajo realizado en el sitio de recuperación
• Conteo. Registros vitales llevados exitosamente al sitio de recuperación vs el requerido. Suministros y equipos solicitados vs recibidos. Sistemas críticos recuperados con éxito.
• Exactitud. Exactitud de datos de entrada vs operación normal. Resultados vs procesados mismo periodo en condiciones normales
Prueba e Implementación del Plan1 2 3 4 5 6
Capítulo 5 – página 742005 CISA Review Course© 2005 ISACA All Rights Reserved
Mantenimiento• Revisar y actualizar planes y estrategias
reconociendo requerimientos cambiantes– Una estrategia apropiada puede no serlo a medida que cambian
las necesidades de la organización
– Desarrollar o adquirir nuevas aplicaciones
– Cambios en estrategia del negocio pueden alterar importancia de aplicaciones críticas o adicionar otras
– Obsolescencia por cambios en ambiente de Hw y Sw
Prueba e Implementación del Plan1 2 3 4 5 6
Capítulo 5 – página 752005 CISA Review Course© 2005 ISACA All Rights Reserved
Mantenimiento• Responsabilidades del Coordinador del Plan (responsable de
mantenerlo)– Cronograma para revisión y mantenimiento periódico, comunicando roles y
fechas compromiso para entregar comentarios y revisiones– Revisar comentarios y revisión (30 días dentro de fecha de revisión)– Hacer arreglos y coordinar pruebas programadas y no programadas– Pruebas programadas al menos 1 vez al año– Evaluar e integrar resultados– Cronograma para entrenamiento en procedimientos de emergencia y
recuperación– Mantener registros de actividades, pruebas, entrenamiento y revisiones– Actualizar directorio con cambios de personal, teléfonos, responsabilidades (al
menos cada 3 meses)
Prueba e Implementación del Plan1 2 3 4 5 6
Capítulo 5 – página 762005 CISA Review Course© 2005 ISACA All Rights Reserved
(Medios de almacenamiento secundario para guardar programas y datos y ayudar a la continuidad de las actividades del negocio)
• Almacenarlos en una o más instalaciones físicas
• Considerar disponibilidad de uso y riesgos de interrupción
• Bibliotecario debe mantener inventario perpetuo, controlar accesos y rotar medios
Bibliotecas fuera del Sitio (Off-SiteLibraries)
1 2 3 4 5 6
Capítulo 5 – página 772005 CISA Review Course© 2005 ISACA All Rights Reserved
• Riesgo:– “Accesos no autorizados puede generar pérdida o cambios no
autorizados a datos e impactos en capacidad para proveer continuidad de servicios”.
• Controles:– Garantizar acceso físico a contenido de bibliotecas– Construcción con resistencia al fuego/calor (al menos 2 horas)– Ubicar biblioteca lejos de sala de computadoras– Sólo personal autorizado tendrá acceso– Inventario perpetuo de medios y archivos almacenados– Mantener registros de traslados, contenidos, versiones y ubicación
Riesgo / Controles de la Biblioteca en el Sitio Alterno
1 2 3 4 5 6
Capítulo 5 – página 782005 CISA Review Course© 2005 ISACA All Rights Reserved
•
• Piso falso
Seguridad / Controles de la Biblioteca en el Sitio Alterno
1 2 3 4 5 6
Capítulo 5 – página 792005 CISA Review Course© 2005 ISACA All Rights Reserved
Seguridad / Controles de la Biblioteca en el Sitio Alterno
1 2 3 4 5 6
•Tan segura y controlada como el sitio primario
Capítulo 5 – página 802005 CISA Review Course© 2005 ISACA All Rights Reserved
Seguridad / Controles de la Biblioteca en el Sitio Alterno
1 2 3 4 5 6
•Accesos físicos (cerrojos en puertas, no ventanas, vigilancia humana)•No identificarse desde el exterior y sin letreros de ubicación
Capítulo 5 – página 812005 CISA Review Course© 2005 ISACA All Rights Reserved
Seguridad / Controles de la Biblioteca en el Sitio Alterno
1 2 3 4 5 6
•No estar sujeta al mismo desastre del sitio primario•Detectores de humo, agua
Capítulo 5 – página 822005 CISA Review Course© 2005 ISACA All Rights Reserved
Seguridad / Controles de la Biblioteca en el Sitio Alterno
1 2 3 4 5 6
•Monitoreo y control ambiental (humedad, temperatura, aire) para óptimas condiciones para medios, papelería, equipos y dispositivos
Capítulo 5 – página 832005 CISA Review Course© 2005 ISACA All Rights Reserved
Seguridad / Controles de la Biblioteca en el Sitio Alterno
1 2 3 4 5 6
•Suministro ininterrumpido de energía
Capítulo 5 – página 842005 CISA Review Course© 2005 ISACA All Rights Reserved
Seguridad / Controles de la Biblioteca en el Sitio Alterno
1 2 3 4 5 6
•Piso Falso
Capítulo 5 – página 852005 CISA Review Course© 2005 ISACA All Rights Reserved
Seguridad / Controles de la Biblioteca en el Sitio Alterno
1 2 3 4 5 6
•Sistema de extinción operando y probado
Capítulo 5 – página 862005 CISA Review Course© 2005 ISACA All Rights Reserved
Tareas del Auditor de SI:
• ¿ El BCP es adecuado y actualizado ? Evaluar y comparar con estándares y reglamentaciones de gobierno
• ¿ El BCP es efectivo para asegurar que las capacidades de procesamiento sean reanudadas prontamente ? Revisar resultados de pruebas
• ¿ El Almacenamiento Fuera del Sitio es adecuado ? Revisar contenido, controles de seguridad y ambientales
• ¿ El personal de SI y Usuarios responderán con eficacia a una emergencia ? Evaluar personal, procedimientos de emergencia, entrenamiento, resultados de pruebas y ejercicios
Monitoreo1 2 3 4 5 6
Capítulo 5 – página 872005 CISA Review Course© 2005 ISACA All Rights Reserved
Revisar el Plan de Continuidad del Negocio• Obtener copia vigente
• Obtener muestra de copias distribuidas y verificar que estén al día
• Evaluar efectividad de procedimientos documentados para iniciar ejecución
Evaluar y determinar:
• Si todas la aplicaciones críticas fueron identificadas
• Apoyo planeado para aplicaciones críticas, incluyendo aquellas desarrolladas en PC y por el propio usuario
• Si se revisó el nivel de tolerancia de las aplicaciones
Monitoreo1 2 3 4 5 6
Capítulo 5 – página 882005 CISA Review Course© 2005 ISACA All Rights Reserved
Revisar el Plan de Continuidad del NegocioEvaluar, revisar y determinar:• Si el Sitio de Recuperación tiene las versiones correctas de todo el Sw y
que sean compatibles• Lista de personal de continuidad del negocio, contactos en Sitio de
Recuperación, vendedores, para que sean apropiados y completos• Teléfonos, direcciones y que tengan copia del plan, en una muestra del
personal asignado. Entrevistarlos para ver que entienden las responsabilidades asignadas
• Procedimiento para actualizar el manual y ver si los cambios se aplican y distribuyen a tiempo
• Responsabilidades de mantenimiento están documentadas
Monitoreo1 2 3 4 5 6
Capítulo 5 – página 892005 CISA Review Course© 2005 ISACA All Rights Reserved
ReferenciasReferencias
BCP/ DRPBCP/ DRP
INTRODUCCIINTRODUCCIÓÓNN
AplicaciAplicacióónn
AlcanceAlcance
PropPropóósitosito
CONCEPTOS CONCEPTOS DE DE
OPERACIOPERACIÓÓNNACTIVACIACTIVACIÓÓN Y N Y NOTIFICACIONNOTIFICACION
RECUPERACIRECUPERACIÓÓN N DE DE
OPERACIONESOPERACIONES
RETORNO A RETORNO A OPERACIONES OPERACIONES
NORMALESNORMALES
RequerimientosRequerimientos
Registros de Registros de CambiosCambios
Portafolio de Portafolio de aplicacionesaplicaciones
ResponsabilidadesResponsabilidades
ArquitecturaArquitectura
ANEXOSANEXOS
Procedimientos del Procedimientos del Plan de Plan de
desactivacidesactivacióónn
Procedimientos de Procedimientos de Pruebas en Pruebas en
ParaleloParalelo
Planes de Planes de ContinuidadContinuidad
Especificaciones y Especificaciones y EquipoEquipo
ContactosContactos
Marco LegalMarco Legal
Procedimientos de Procedimientos de TITI
AnAnáálisis de lisis de Impacto en el Impacto en el
negocionegocio
Procedimientos de Procedimientos de ActivaciActivacióón y n y NotificaciNotificacióónn
Procedimientos de Procedimientos de EvaluaciEvaluacióón de n de
DaDaññosos
Procedimientos de Procedimientos de EvaluaciEvaluacióón de n de AlternativasAlternativas
Procedimientos de Procedimientos de recuperacirecuperacióón en n en
sitio alternositio alterno
ISACA ®
Conclusiones
Capítulo 5 – página 912005 CISA Review Course© 2005 ISACA All Rights Reserved
BCP / BCP / DRPDRP
ANANÁÁLISIS IMPACTO LISIS IMPACTO NEGOCIONEGOCIO
DESARROLLAR
DESARROLLAR
ESTRATEGIAS
ESTRATEGIAS
RECUPERACI
RECUPERACIÓÓNN
ORGANIZACIORGANIZACIÓÓN Y N Y RESPONSABILIDADESRESPONSABILIDADES
COMP
ONEN
TES
COMP
ONEN
TES
DE UN
BCP
DE UN
BCP
EFEC
TIVO
EFEC
TIVO
BIBLIOTECAS BIBLIOTECAS FUERA DEL FUERA DEL
SITIOSITIO
PRUEBAS DEL PRUEBAS DEL BCPBCP
AUDITORIA AUDITORIA AL BCPAL BCP
Para Recordar
Capítulo 5 – página 922005 CISA Review Course© 2005 ISACA All Rights Reserved
Periodos de Recuper
ación Críticos
PRUEBAS DEL PRUEBAS DEL BCPBCP
BCP / BCP / DRPDRP
ANANÁÁLISIS LISIS IMPACTO IMPACTO NEGOCIONEGOCIO
SELECCI
SELECCIÓÓN N
ESTRATEGIAS
ESTRATEGIAS
RECUPERACI
RECUPERACIÓÓNNORGANIZACIORGANIZACIÓÓN Y N Y RESPONSABILIDADESRESPONSABILIDADES
COM
PONEN
TES
COM
PONEN
TES
DE U
N BCP
DE U
N BCP
EFEC
TIVO
EFEC
TIVO
BIBLIOTECAS BIBLIOTECAS FUERA DEL FUERA DEL
SITIOSITIOAUDITORIA AUDITORIA AL BCPAL BCP
Recursos Crítico
s p/ Procesos C
ríticos
Clasificación de Sistemas
Capítulo 5 – página 932005 CISA Review Course© 2005 ISACA All Rights Reserved
BCP / BCP / DRPDRP
ANANÁÁLISIS IMPACTO LISIS IMPACTO NEGOCIONEGOCIO
ORGANIZACIORGANIZACIÓÓN Y N Y RESPONSABILIDADESRESPONSABILIDADES
COM
PONEN
TES
COM
PONEN
TES
DE U
N BCP
DE U
N BCP
EFEC
TIVO
EFEC
TIVO
BIBLIOTECAS BIBLIOTECAS FUERA DEL FUERA DEL
SITIOSITIO
PRUEBAS DEL PRUEBAS DEL BCPBCP
AUDITORIA AUDITORIA AL BCPAL BCP
Telecomunicaciones
Mainfra
me
Redes
IPF Duplicada Hot Site
Warm Site
Cold Site
Acuerdos Recíprocos
Redundancia
Red
Decisiones
Direccionamiento
Alternativo
Direccionamiento Diversificado
Diversidad Red Largo Alcance
Protección Loop Local
Recuperación
Voz
No hacer nada
Proced. ManualesCtes./Prov./Prod. + importantes
Usar Sist.
en PC
DESARROLLAR DESARROLLAR ESTRATEGIAS ESTRATEGIAS RECUPERACIRECUPERACIÓÓNN
HwAlt
ernati
vo
Vendedores
En Existencia
Capítulo 5 – página 942005 CISA Review Course© 2005 ISACA All Rights Reserved
BCP / BCP / DRPDRP
ANANÁÁLISIS LISIS IMPACTO IMPACTO NEGOCIONEGOCIO
COM
PONEN
TE
COM
PONEN
TE
S DE
UN B
CP
S DE
UN B
CP
EFEC
TIVO
EFEC
TIVO
BIBLIOTECAS BIBLIOTECAS FUERA DEL FUERA DEL
SITIOSITIO
PRUEBAS DEL PRUEBAS DEL BCPBCP
AUDITORIA AUDITORIA AL BCPAL BCP
DESARROLLAR DESARROLLAR ESTRATEGIAS ESTRATEGIAS RECUPERACIRECUPERACIÓÓNN
ORGANIZACIORGANIZACIÓÓN Y N Y RESPONSABILIDADESRESPONSABILIDADES
Eq. A
cción
ante
Emerg
enica
Eq. D
eterminació
n de
Daños
Eq. A
dmon.
Emerg
encia
Eq. Alm
ac. Alt
erno
Eq. Software
Eq. Aplicaciones
Eq. SeguridadEq. Operaciones Emergencia
Eq. Recup. Red
Eq. Comunicaciones
Eq. Transporte
Eq. Hardware U
suario
Eq. Pr
ep. Da
tos /
Arch
ivos
Eq. So
p. A
dmtvo.
Eq. Su
minis
tros
Eq. Sa
lvame
nto
Eq. R
eubic
ación
Capítulo 5 – página 952005 CISA Review Course© 2005 ISACA All Rights Reserved
BCP / BCP / DRPDRP
ANANÁÁLISIS LISIS IMPACTO IMPACTO NEGOCIONEGOCIO
SELECCI
SELECCIÓÓN N
ESTRATEGIAS
ESTRATEGIAS
RECUPERACI
RECUPERACIÓÓNNORGANIZACIORGANIZACIÓÓN Y N Y RESPONSABILIDADESRESPONSABILIDADES
COMPONENTES COMPONENTES DE UN BCP DE UN BCP EFECTIVOEFECTIVO
BIBLIOTECAS BIBLIOTECAS FUERA DEL FUERA DEL
SITIOSITIO
PRUEBAS DEL PRUEBAS DEL BCPBCP
AUDITORIA AUDITORIA AL BCPAL BCP
Personal Cve. P/Toma Decisiones
Respaldos de Suministros Requeridos
Metodos Recup. Desastres en Redes
Arreglo Redundante de Discos
Tolerancia Fallas en Servidores
SegurosMetodos Recup
. Desastres e
n Servidores
Capítulo 5 – página 962005 CISA Review Course© 2005 ISACA All Rights Reserved
BCP / BCP / DRPDRP
ANANÁÁLISIS LISIS IMPACTO IMPACTO NEGOCIONEGOCIO
SELECCI
SELECCIÓÓN N
ESTRATEGIAS
ESTRATEGIAS
RECUPERACI
RECUPERACIÓÓNNORGANIZACIORGANIZACIÓÓN Y N Y RESPONSABILIDADESRESPONSABILIDADES
COMPONENTES COMPONENTES DE UN BCP DE UN BCP EFECTIVOEFECTIVO
BIBLIOTECAS BIBLIOTECAS FUERA DEL FUERA DEL
SITIOSITIO
PRUEBAS PRUEBAS DEL BCPDEL BCP
AUDITORIA AUDITORIA AL BCPAL BCP
Especificaciones
Ejecución
Documentar Resultados
Analizar Resultado
s
Mantenimiento
Capítulo 5 – página 972005 CISA Review Course© 2005 ISACA All Rights Reserved
BCP / BCP / DRPDRP
ANANÁÁLISIS LISIS IMPACTO IMPACTO NEGOCIONEGOCIO
SELECCI
SELECCIÓÓN N
ESTRATEGIAS
ESTRATEGIAS
RECUPERACI
RECUPERACIÓÓNNORGANIZACIORGANIZACIÓÓN Y N Y RESPONSABILIDADESRESPONSABILIDADES
COMPONENTES DE UN COMPONENTES DE UN BCP EFECTIVOBCP EFECTIVO
BIBLIOTECAS BIBLIOTECAS FUERA DEL SITIOFUERA DEL SITIO
PRUEBAS PRUEBAS DEL BCPDEL BCP
AUDITORIA AUDITORIA AL BCPAL BCP
Controles
Seguridad
Respaldo de Medios y
Documentación
Procedimientos Periodicos de
RespaldoFre
cuencia
de Ro
tación
Tipos de
Medios y
Documenta
ción Rota
da
Mantener regis
tros del Almacenam
iento
Fuera del Sitio
Capítulo 5 – página 982005 CISA Review Course© 2005 ISACA All Rights Reserved
Revisar
Contrato
s del
Procesam
iento Altern
o
BCP / BCP / DRPDRP
ANANÁÁLISIS LISIS IMPACTO IMPACTO NEGOCIONEGOCIO
SELECCI
SELECCIÓÓN N
ESTRATEGIAS
ESTRATEGIAS
RECUPERACI
RECUPERACIÓÓNNORGANIZACIORGANIZACIÓÓN Y N Y RESPONSABILIDADESRESPONSABILIDADES
COMPONENTES COMPONENTES DE UN BCP DE UN BCP EFECTIVOEFECTIVO
BIBLIOTECAS BIBLIOTECAS FUERA DEL FUERA DEL
SITIOSITIO
PRUEBAS PRUEBAS DEL BCPDEL BCP
AUDITORIA AUDITORIA AL BCPAL BCP
Revisar BCP
Evaluar Pruebas Anteriores
Evaluar Almacenamiento
Fuera del Sitio
Entrevistar Personal Clave Eval
uar Segu
ridad
Almacenamiento
Fuera d
el Sitio
Revisar Cobertura de Seguros
ISACA ®
Bibliografía
Capítulo 5 – página 1002005 CISA Review Course© 2005 ISACA All Rights Reserved
Instituto de continuidad del negocio
Capítulo 5 – página 1012005 CISA Review Course© 2005 ISACA All Rights Reserved
Planeación y Administración de Contingencias
Capítulo 5 – página 1022005 CISA Review Course© 2005 ISACA All Rights Reserved
Janco Associates, Inc
Capítulo 5 – página 1032005 CISA Review Course© 2005 ISACA All Rights Reserved
Instituto Internacional para la Recuperación de Desastres
Capítulo 5 – página 1042005 CISA Review Course© 2005 ISACA All Rights Reserved
Archivo
Capítulo 5 – página 1052005 CISA Review Course© 2005 ISACA All Rights Reserved
Agencia Federal de Administración de Emergencias
Capítulo 5 – página 1062005 CISA Review Course© 2005 ISACA All Rights Reserved
Capítulo 5 – página 1072005 CISA Review Course© 2005 ISACA All Rights Reserved
Information Systems Control Journal
• Volumen 1, 2002, “Business Continuity: A Business SurvivalStrategy,” Pags. 28-36
• Volumen 1, 2002, “Disaster Recovery and BusinessContinuity Planning: Testing an Organization´s Plans,” Pags. 49-55
• Volumen 2, 2003, “Business Continuity ManagementStandards – A Side-by-Side Comparison,” Pags. 26-28
• Volumen 2, 2003, “The Changing Realities od Recovery, How Onsite and Mobile Options ….,” Pags. 30-32
ISACA ®
Capítulo 5Recuperación de Desastres y Continuidad del Negocio
(DRP / BCP)Juan Antonio Segura González, CISA, CISM
Socio DirectorINNOVATI CONSULTING GROUP, S.A. de C.V.
[email protected]. 5528.5101
Cel. (04455) 1850.8747