Diapositiva 1

1
UNIVERSIDAD LATINA.
VII.RECUPERACION DE DESASTRES Y CONTINUIDAD
DEL NEGOCIO.
2

• Condiciones de seguridad en el negocio.
• Un negocio es seguro si
• Se puede confiar en él
• Si su software se comporta como se espera que lo
  haga, y
• Si la información almacenada en él se mantiene
  inalterada y accesible durante tanto tiempo como
  su dueño lo desee.

3

• Sobre este aspecto, la seguridad busca
  consolidar la confidencialidad, integridad,
  autenticidad y disponibilidad de la información.
• De igual forma, la seguridad informática busca
  mantener y conservar la operatividad de la
  organización y de su sistema a partir del
  resguardo de sus recursos.

4

• Qué se quiere proteger?
• Es muy importante determinar el valor del
  hardware y las tareas que realiza (qué tan
  importante es para la organización en que se está
  trabajando).
• Esta valoración debe hacerse de forma
  individual, pues lo que es valioso para algunos
  no lo es para otros.

5

• Contra qué se quiere proteger?
• Para no incurrir en gastos innecesarios, es
  importante determinar cuáles son los riesgos
  reales a los que está expuesto el equipo de
  cómputo.

6

• Contra qué se quiere proteger?
• La seguridad efectiva debe garantizar la
  prevención y detección de accidentes, ataques,
  daños por causas naturales, así como la
  existencia de medidas definidas para afrontar los
  desastres y lograr el restablecimiento de las
  actividades.

7

• Cuánto tiempo, dinero y esfuerzo se está
  dispuesto a invertir?
• Se refiere a la cantidad de recursos que dispone
  o que está dispuesta a invertir la organización,
  lo que determinará en última instancia las
  medidas que se van a tomar.

8

• Estos recursos son
• Tiempo. Para tener un nivel de seguridad alto es
  necesario que alguien dedique tiempo a configurar
  los parámetros de seguridad del sistema, el
  ambiente de trabajo de los usuarios, revisar y
  fijar los permisos de acceso a los archivos,
  ejecutar programas de monitoreo de seguridad,
  revisar las bitácoras del sistema, etc.

9
Seguridad en Centros de Cómputo

• Esfuerzo. Establecer y mantener un nivel
  adecuado de seguridad puede significar un
  esfuerzo considerable por parte del encargado,
  sobre todo si ocurren problemas de seguridad.

10

• Dinero. El tener a alguien que se encargue de la
  seguridad en forma responsable cuesta dinero. De
  igual forma cuesta dinero adquirir los productos
  de seguridad que se vayan a utilizar, ya sean
  programas o equipos.

11

• ELEMENTOS ADMINISTRATIVOS EN SEGURIDAD
• Para garantizar el más alto nivel de seguridad
  computacional o seguridad de la información,
  varios elementos deben estar continuamente
  activos y trabajar en conjunto.
• Política definida sobre seguridad en computación.
• Organización y división de las responsabilidades.
• Política hacia el personal.
• Seguros.
• Clasificación de los datos.
• Auditoria y Control

12

• Control de riesgos
• Plan de contingencia.
• Son un conjunto de procedimientos para tomar
  acciones especificas cuando surja un evento o
  condicion inesperada. Es un plan formal que
  describe pasos apropiados que se deben seguir en
  caso de un desastre o emergencia.
• Debe considerar
• 1) antes.- como plan de respaldo
• 2) durante.- Como plan de emergencia
• 3) despúes.- Como plan de recuperación tras un
  desastre.

13

• Control de riesgos
• Plan de recuperación en caso de desastres.
• Son medidas previsoras que tienen como objetivo
  establecer la metodología y los recursos
  necesarios con la finalidad de restablecer los
  servicios de cómputo en forma oportuna, al
  presentarse cualquier contingencia.

14
Evaluación de Seguridad

• La evaluación de la seguridad permite a una
  organización contar con una valoración de la
  madurez de los controles de seguridad y orientar
  sus esfuerzos y sus recursos a la mitigación de
  los riesgos y el incremento de la seguridad en
  las áreas de cómputo.

15
Evaluación de Seguridad

• La evaluación de la seguridad de la información
  se desarrolla en tres etapas o fases
• 1.Análisis de apego a las mejores prácticas,
• 2.Análisis técnico de vulnerabilidades y
• 3.Plan de remediación. (contingencia y
  recuperación)

16
Casos de desastre .
La información es considerada el principal activo
de las empresas, sin importar su actividad o
número de empleados. Contar con un respaldo de
información o back-up es una inversión segura en
caso de desastre, si se considera que la pérdida
de datos clave puede repercutir en la estabilidad
y continuidad de la empresa. Para superar un
desastre informático, existen planes a seguir que
deben partir del análisis de los siguientes
puntos Identificar servicios y recursos
críticos. Entender los riesgos e impactos de
sufrir un desastre informático. Establecer la
relación costo-beneficio. Definir estrategias y
planes de recuperación.
17
Casos de desastre .

• Actualmente los dos planes más importantes que
  existen para continuar las operaciones de la
  empresa ante un desastre informático son
• Plan de Recuperación de Desastres
• y Plan de Continuidad de Negocios

18
Plan de Recuperación de Desastres .

• Este plan (también llamado DRP por sus siglas en
  inglés) consiste en contar con respaldos de
  información crítica del negocio ante
  contingencias como ataques informáticos, robo,
  incendio, inundación u otro desastre.
• La información es respaldada en un servidor
  alterno, propiedad de una empresa proveedora de
  este servicio. Al contratar un respaldo, la
  empresa firma un convenio de confidencialidad con
  su cliente para asegurarle que la información
  albergada en los servidores alternos estará
  segura.
• Un Plan de Recuperación de Desastres debe
  adecuarse a la operación cotidiana de la empresa
  y no a la inversa, pues cada negocio tiene
  necesidades y requerimientos diferentes.

19
Plan de Continuidad de Negocios

• Cuando una empresa sufre daños físicos por
  vandalismo, incendios o desastres naturales, es
  común que, aunque la información se tenga
  respaldada, esto no asegure la continuidad
  inmediata de las operaciones, debido al daño
  sufrido en el personal, las instalaciones y los
  equipos de cómputo.
• Por esta razón es importante implementar un Plan
  de Continuidad de Negocios (BCP por sus siglas en
  inglés), que además de incluir el back up, debe
  contemplar una estrategia que incluya acciones de
  los colaboradores y una ubicación física alterna
  equipada con lo necesario para que la empresa
  pueda empezar a operar prácticamente de
  inmediato.

20
Plan de Continuidad de Negocios
Entre las ventajas de implementar un Plan de
Continuidad de Negocios se encuentran -
Asegurar el futuro de la empresa. Existen
estudios que demuestran que tras sufrir una
pérdida importante de información, las empresas
quiebran en un tiempo promedio de tres años. -
Cuidar sus recursos. Implementar un plan de
respaldo y de continuidad de operaciones, es una
inversión segura si se considera que perder
información clave le significará gastos no
previstos que desestabilizarán sus finanzas. -
Mantener su reputación. Al continuar casi
ininterrumpidamente con las actividades, sus
clientes reconocerán en su empresa valores como
el compromiso y la responsabilidad, lo que les
dará la confianza de continuar adquiriendo sus
servicios.
21
Plan de Continuidad de Negocios

• Un factor muy importante al implementar el DRP y
  el BCP es su constante actualización, la cual
  debe ir a la par de la detección de nuevas
  amenazas, cambios en la estrategia de negocios,
  creación o eliminación de áreas dentro de su
  empresa, etc.
• Invertir en estas herramientas asegura la
  continuidad de las operaciones, lo cual es un
  elemento clave para el éxito de cualquier
  negocio.
• Un Plan de Continuidad de Negocio tiene como
  objetivo el mantenimiento de estos servicios y
  procesos críticos, así como la reducción de
  impactos ante imprevistos de indisponibilidad o
  desastres para en un plazo razonable y con un
  coste acotado.
• Este servicio está orientado a la obtención de un
  plan global que garantice la cobertura técnica y
  organizativa adecuada de las áreas críticas de
  negocio.

22
Los objetivos del plan de continuidad de negocio
son

• Salvaguardar los intereses de sus clientes y
  socios además del negocio y la imagen de la
  organización.
• Identificar los puntos débiles en los sistemas
  de la organización.
• Analizar las comunicaciones e infraestructuras.
  
• Conocer la logística para restablecer los
  servicios, independientemente de los sistemas.
• Ofrecer alternativas viables a todos los
  procesos críticos de negocio.

23
Alternativas de recuperación
El plan de continuidad de negocio abarca todos
los sectores de negocio, dado con más énfasis en
aquellos donde la disponibilidad de la
información es su mayor activo. No hay
importancia del tamaño de la empresa o
institución, un plan de continuidad puede ser
aplicado tanto a empresas grandes, medianas,
pequeñas e incluso micro empresas. Como todo
proceso, la aplicación de un plan de continuidad
involucra determinados pasos obligatorios para
garantizar la funcionalidad del mismo, estas
fases son 1.Fase de análisis y evaluación de
riesgos 2.Selección de estrategias 3.Desarrollo
del plan 4.Pruebas y mantenimiento del plan
24
Bibliotecas fuera del sitio .

• El plan de recuperación debe incluir información
  sobre cómo proteger y restaurar los sistemas y
  software.
• Recuperar contra cualquier tipo de pérdida,
  incluyendo datos de inventario, medios de
  instalación y pérdida de prueba de propiedad.
• Determinar cómo mantener el sistema actualizado.
• Decidir cuáles pasos tomará para restaurar medios
  en el sitio e información a su estado previo en
  caso de un desastre.
• Establecer un conjunto centralizado de copias de
  seguridad de todos los medios de instalación.
  Crear y mantener un segundo conjunto de copias
  fuera del sitio y actualizarlo regularmente.
  Almacenar las copias en un gabinete contra
  incendios, contra agua y con seguro.

25
Bibliotecas fuera del sitio .

• Establecer un conjunto centralizado de copias de
  seguridad de todos los medios de instalación.
• Crear y mantener un segundo conjunto de copias
  fuera del sitio y actualizarlo regularmente.
  Almacenar las copias en un gabinete contra
  incendios, contra agua y con seguro.
• Crear una biblioteca centralizada de todos los
  documentos de prueba de propiedad de todos sus
  títulos de software.
• Mantener un segundo conjunto de copias de toda la
  documentación fuera del sitio, y hacer
  actualizaciones frecuentes.
• Mantener esta documentación en un gabinete contra
  incendios, contra agua y con seguro.
• Realice copias de seguridad regulares del
  sistema, y envíe copias de las cintas de las
  copias de seguridad fuera del sitio.

26
Prueba del plan

• Retirar y conservar toda la documentación de
  prueba de propiedad antes de instalar cualquier
  software.
• Todos los originales deben ser enviados a un
  depósito fuera del sitio, y las copias se deben
  conservar a la mano para su referencia diaria.
• Esta documentación puede consistir en cualquiera
  o todos los siguientes
• Términos de Licencia de software de menudeo
  (también conocidos End User License Agreements),
  o registros similares
• Certificados de autenticidad
• Órdenes y facturas de compra (incluyendo
  cualquier devolución), cajas de software
• Registro de transferencia (donde se permita)
• Las cajas de software y toda la documentación
  original deberá conservarse en su instalación de
  almacenamiento fuera del sitio. Como siempre,
  haga copias de la documentación, y manténgalas
  disponibles en el sitio.

27
Revisión integral del plan

• Es la evaluación y revisión del plan por parte
  del comité de seguridad de la empresa ya que este
  plan es la respuesta prevista por la empresa ante
  aquellas situaciones de riesgo que le pueden
  afectar de forma crítica .
• No importa el tamaño de la empresa o el coste de
  las medidas de seguridad implantadas, toda
  organización necesita un Plan de continuidad de
  negocio ya que tarde o temprano se encontrará con
  una incidencia de seguridad

28
GRACIAS POR TU ATENCIÓN ..!.