VII.RECUPERACION DE DESASTRES Y

CONTINUIDAD DEL NEGOCIO.

UNIVERSIDAD LATINA.

Condiciones de seguridad en el negocio.

Un negocio es seguro si:

• Se puede confiar en él

• Si su software se comporta como se espera que lo haga, y

• Si la información almacenada en él se mantiene inalterada y accesible durante tanto tiempo como su dueño lo desee.

Sobre este aspecto, la seguridad busca consolidar la confidencialidad, integridad, autenticidad y disponibilidad de la información.

De igual forma, la seguridad informática busca mantener y conservar la operatividad de la organización y de su sistema a partir del resguardo de sus recursos.

• ¿Qué se quiere proteger?

Es muy importante determinar el valor del hardware y las tareas que realiza (qué tan importante es para la organización en que se está trabajando).

Esta valoración debe hacerse de forma individual, pues lo que es valioso para algunos no lo es para otros.

• ¿Contra qué se quiere proteger?Para no incurrir en gastos innecesarios, es

importante determinar cuáles son los riesgos reales a los que está expuesto el equipo de cómputo.

• ¿Contra qué se quiere proteger?La seguridad efectiva debe garantizar la prevención y

detección de accidentes, ataques, daños por causas naturales, así como la existencia de medidas definidas para afrontar los

desastres y lograr el restablecimiento de las actividades.

• ¿Cuánto tiempo, dinero y esfuerzo se está dispuesto a invertir?

Se refiere a la cantidad de recursos que dispone o que está dispuesta a invertir la organización, lo que determinará en última instancia las medidas que se van a tomar.

Estos recursos son:

Tiempo. Para tener un nivel de seguridad alto es necesario que alguien dedique tiempo a configurar los parámetros de seguridad del sistema, el ambiente de trabajo de los usuarios, revisar y fijar los permisos de acceso a los archivos, ejecutar programas de monitoreo de seguridad, revisar las bitácoras

del sistema, etc.

Seguridad en Centros de Cómputo

Esfuerzo. Establecer y mantener un nivel adecuado de seguridad puede significar un esfuerzo considerable por parte del encargado, sobre todo si ocurren problemas de seguridad.

Dinero. El tener a alguien que se encargue de la seguridad en forma responsable cuesta dinero. De igual forma cuesta dinero adquirir los productos de seguridad que se vayan a utilizar, ya sean programas o equipos.

ELEMENTOS ADMINISTRATIVOS EN SEGURIDADPara garantizar el más alto nivel de seguridad computacional o seguridad de la información, varios elementos deben estar continuamente activos y trabajar en conjunto.

Política definida sobre seguridad en computación.Organización y división de las responsabilidades.Política hacia el personal.Seguros.Clasificación de los datos.

Auditoria y Control

Control de riesgos

• Plan de contingencia.

• Son un conjunto de procedimientos para tomar acciones especificas cuando surja un evento o condicion inesperada. Es un plan formal que describe pasos apropiados que se deben seguir en caso de un desastre o emergencia.

Debe considerar:

1) antes.- como plan de respaldo2) durante.- Como plan de emergencia3) despúes.- Como plan de recuperación tras un desastre.

Control de riesgos

• Plan de recuperación en caso de desastres.

• Son medidas previsoras que tienen como objetivo establecer la metodología y los recursos necesarios con la finalidad de restablecer los servicios de cómputo en forma oportuna, al presentarse cualquier contingencia.

Evaluación de Seguridad

La evaluación de la seguridad permite a una organización contar con una valoración de la madurez de los controles de seguridad y orientar sus esfuerzos y sus recursos a la mitigación de los riesgos y el incremento de la seguridad en las áreas de cómputo.

Evaluación de Seguridad

La evaluación de la seguridad de la información se desarrolla en tres etapas o fases:

1.Análisis de apego a las mejores prácticas,2.Análisis técnico de vulnerabilidades y3.Plan de remediación. (contingencia y

recuperación)

Casos de desastre .

La información es considerada el principal activo de las empresas, sin importar su actividad o número de empleados. Contar con un respaldo de información o back-up es una inversión segura en caso de desastre, si se considera que la pérdida de datos clave puede repercutir en la estabilidad y continuidad de la empresa.

Para superar un desastre informático, existen planes a seguir que deben partir del análisis de los siguientes puntos:

• Identificar servicios y recursos críticos.• Entender los riesgos e impactos de sufrir un desastre informático.• Establecer la relación costo-beneficio.• Definir estrategias y planes de recuperación.

Casos de desastre .

Actualmente los dos planes más importantes que existen para continuar las operaciones de la empresa ante un desastre informático son:

1. Plan de Recuperación de Desastres

2.y Plan de Continuidad de Negocios

Plan de Recuperación de Desastres .

• Este plan (también llamado DRP por sus siglas en inglés) consiste en contar con respaldos de información crítica del negocio ante contingencias como: ataques informáticos, robo, incendio, inundación u otro desastre.

• La información es respaldada en un servidor alterno, propiedad de una empresa proveedora de este servicio. Al contratar un respaldo, la empresa firma un convenio de confidencialidad con su cliente para asegurarle que la información albergada en los servidores alternos estará segura.

• Un Plan de Recuperación de Desastres debe adecuarse a la operación cotidiana de la empresa y no a la inversa, pues cada negocio tiene necesidades y requerimientos diferentes.

Plan de Continuidad de Negocios • Cuando una empresa sufre daños físicos por vandalismo,

incendios o desastres naturales, es común que, aunque la información se tenga respaldada, esto no asegure la continuidad inmediata de las operaciones, debido al daño sufrido en el personal, las instalaciones y los equipos de cómputo.

• Por esta razón es importante implementar un Plan de Continuidad de Negocios (BCP por sus siglas en inglés), que además de incluir el back up, debe contemplar una estrategia que incluya acciones de los colaboradores y una ubicación física alterna equipada con lo necesario para que la empresa pueda empezar a operar prácticamente de inmediato.

Plan de Continuidad de Negocios Entre las ventajas de implementar un Plan de Continuidad de Negocios se encuentran:

- Asegurar el futuro de la empresa. Existen estudios que demuestran que tras sufrir una pérdida importante de información, las empresas quiebran en un tiempo promedio de tres años.

- Cuidar sus recursos. Implementar un plan de respaldo y de continuidad de operaciones, es una inversión segura si se considera que perder información clave le significará gastos no previstos que desestabilizarán sus finanzas.

- Mantener su reputación. Al continuar casi ininterrumpidamente con las actividades, sus clientes reconocerán en su empresa valores como el compromiso y la responsabilidad, lo que les dará la confianza de continuar adquiriendo sus servicios.

Plan de Continuidad de Negocios • Un factor muy importante al implementar el DRP y el BCP es su

constante actualización, la cual debe ir a la par de la detección de nuevas amenazas, cambios en la estrategia de negocios, creación o eliminación de áreas dentro de su empresa, etc.

• Invertir en estas herramientas asegura la continuidad de las operaciones, lo cual es un elemento clave para el éxito de cualquier negocio.

• Un Plan de Continuidad de Negocio tiene como objetivo el mantenimiento de estos servicios y procesos críticos, así como la reducción de impactos ante imprevistos de indisponibilidad o desastres para en un plazo razonable y con un coste acotado.

• Este servicio está orientado a la obtención de un plan global que garantice la cobertura técnica y organizativa adecuada de las áreas críticas de negocio.

Los objetivos del plan de continuidad de negocio son:

• Salvaguardar los intereses de sus clientes y socios además del negocio y la imagen de la organización.

• Identificar los puntos débiles en los sistemas de la organización.

• Analizar las comunicaciones e infraestructuras.

• Conocer la logística para restablecer los servicios, independientemente de los sistemas.

• Ofrecer alternativas viables a todos los procesos críticos de negocio.

Alternativas de recuperación

El plan de continuidad de negocio abarca todos los sectores de negocio, dado con más énfasis en aquellos donde la disponibilidad de la información es su mayor activo. No hay importancia del tamaño de la empresa o institución, un plan de continuidad puede ser aplicado tanto a empresas grandes, medianas, pequeñas e incluso micro empresas. Como todo proceso, la aplicación de un plan de continuidad involucra determinados pasos obligatorios para garantizar la funcionalidad del mismo, estas fases son:

1.Fase de análisis y evaluación de riesgos2.Selección de estrategias3.Desarrollo del plan4.Pruebas y mantenimiento del plan

Bibliotecas fuera del sitio .

• El plan de recuperación debe incluir información sobre cómo proteger y restaurar los sistemas y software.

• Recuperar contra cualquier tipo de pérdida, incluyendo datos de inventario, medios de instalación y pérdida de prueba de propiedad.

• Determinar cómo mantener el sistema actualizado.

• Decidir cuáles pasos tomará para restaurar medios en el sitio e información a su estado previo en caso de un desastre.

• Establecer un conjunto centralizado de copias de seguridad de todos los medios de instalación. Crear y mantener un segundo conjunto de copias fuera del sitio y actualizarlo regularmente. Almacenar las copias en un gabinete contra incendios, contra agua y con seguro.

Bibliotecas fuera del sitio .

•Establecer un conjunto centralizado de copias de seguridad de todos los medios de instalación. •Crear y mantener un segundo conjunto de copias fuera del sitio y actualizarlo regularmente. Almacenar las copias en un gabinete contra incendios, contra agua y con seguro.

•Crear una biblioteca centralizada de todos los documentos de prueba de propiedad de todos sus títulos de software.

•Mantener un segundo conjunto de copias de toda la documentación fuera del sitio, y hacer actualizaciones frecuentes. •Mantener esta documentación en un gabinete contra incendios, contra agua y con seguro.

•Realice copias de seguridad regulares del sistema, y envíe copias de las cintas de las copias de seguridad fuera del sitio.

Prueba del plan Retirar y conservar toda la documentación de prueba de propiedad antes de instalar cualquier software.

Todos los originales deben ser enviados a un depósito fuera del sitio, y las copias se deben conservar a la mano para su referencia diaria. Esta documentación puede consistir en cualquiera o todos los siguientes:

•Términos de Licencia de software de menudeo (también conocidos End User License Agreements), o registros similares

•Certificados de autenticidad

•Órdenes y facturas de compra (incluyendo cualquier devolución), cajas de software

•Registro de transferencia (donde se permita)

•Las cajas de software y toda la documentación original deberá conservarse en su instalación de almacenamiento fuera del sitio. Como siempre, haga copias de la documentación, y manténgalas disponibles en el sitio.

Revisión integral del plan

• Es la evaluación y revisión del plan por parte del comité de seguridad de la empresa ya que este plan es la respuesta prevista por la empresa ante aquellas situaciones de riesgo que le pueden afectar de forma crítica .

• No importa el tamaño de la empresa o el coste de las medidas de seguridad implantadas, toda organización necesita un Plan de continuidad de negocio ya que tarde o temprano se encontrará con una incidencia de seguridad

GRACIAS POR TU ATENCIÓN ..!.