SlideShare una empresa de Scribd logo

Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp

Carmelo Branimir España Villegas
Carmelo Branimir España Villegas
1 de 66
Descargar para leer sin conexión
Auditoría BCP, DRP Fernando Ferrer Olivares, CISA, CISM, PMP, CCSA Rodrigo Ferrer CISSP, CISA, ABCP, CSSA, CST, COBIT F. SISTESEG CORPORATION RISK MANAGEMENT FOR YOUR BUSINESS
Agenda 1. 1. Objetivos 2. 2. Qué auditar? 3. 3. Rol del Auditor 4. 4. Cómo auditar? 5. 5. Porqué Auditar? 6. 6. Conclusiones 7. 7. Preguntas SISTESEG CORPORATION
Objetivos Proveer información sobre los principales aspectos en que debería concentrarse un auditor en la revisión de un DRP Generalizar los conceptos presentados para la evaluación de Planes de Continuidad SISTESEG CORPORATION
Qué auditar? Lo que profesionalmente debe realizarse Lo establecido en buenas prácticas SISTESEG CORPORATION
Qué auditar? Lo que profesionalmente debe realizarse Lo establecido en buenas prácticas Lo definido por la Organización (TI, Seguridad Física, Alta Gerencia) SISTESEG CORPORATION
Qué auditar? Visión de COBIT SISTESEG CORPORATION
Qué auditar? Visión de COBIT Planeación y Definir un plan estratégico de TI Organización Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Adquisición e Identificación de soluciones Implementación Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios SISTESEG CORPORATION
Qué auditar? Visión de COBIT Servicios y Definición del nivel de servicio Soporte Administración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios ITIL Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones Seguimiento Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditoría independiente SISTESEG CORPORATION
COBIT DS4- Asegurar el servicio continuo Framework de Continuidad de TI La Gerencia de TI, en cooperación con los propietarios de los procesos de negocio, debe: Establecer un framework de continuidad SISTESEG CORPORATION
Modelos de Seguridad de la Información ISO-17799 – Componentes de un framework de seguridad Organización de la Política de Seguridad Seguridad Control y clasificación de Seguridad del personal activos Administración de las Seguridad física y ambiental comunicaciones y operaciones Desarrollo y Control de acceso mantenimiento de sistemas Administración de la Cumplimiento continuidad del negocio SISTESEG CORPORATION
Informació Modelos de Seguridad de la Información SP800- NIST – SP800- 34 - BCP Contingency Planning Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology – NIST, June 2002 SISTESEG CORPORATION
Informació Modelos de Seguridad de la Información DRI - BCP Fases: Iniciación del Proyecto Requerimientos Funcionales Diseño y Desarrollo Implementación Pruebas y ejercicios Mantenimiento y Actualización Ejecución SISTESEG CORPORATION
COBIT DS4- Asegurar el servicio continuo Framework de Continuidad de TI La Gerencia de TI, en cooperación con los propietarios de los procesos de negocio, debe: Establecer un framework de continuidad el cual define: - Roles, tareas y responsabilidades (estructura organizacional) Proyecto vs. Proceso Personal interno y externo (usuarios y proveedores de servicios) SISTESEG CORPORATION
SISTESEG CORPORATION
COBIT DS4- Asegurar el servicio continuo Framework de Continuidad de TI La Gerencia de TI, en cooperación con los propietarios de los procesos de negocio, debe: Establecer un framework de continuidad el cual define: - Roles, tareas y responsabilidades (estructura organizacional) Proyecto vs. Proceso Personal interno y externo (usuarios y proveedores de servicios) - Enfoque metodológico consistente basado en riesgos utilizar Recursos críticos - Riesgos – Amenazas – Vulnerabilidades - Contramedidas (eficacia vs. Niveles requeridos) – Dependencias claves - Reglas, estructuras y procedimientos para documentar, aprobar, probar y ejecutar el Plan de Continuidad SISTESEG CORPORATION
COBIT DS4- Asegurar el servicio continuo Estrategia y filosofía del Plan de Continuidad de TI La Gerencia deberá: Asegurar que el Plan de Continuidad de TI esté en línea con el Plan de Continuidad general para asegurar consistencia. Además, el Plan de Continuidad de TI debe considerar los planes a largo y a corto plazo para asegurar consistencia. SISTESEG CORPORATION
COBIT DS4- Asegurar el servicio continuo Contenido del Plan de Continuidad de TI Guías sobre como utilizar el Plan de Continuidad Procedimientos de emergencia para asegurar la seguridad física de todos los miembros del staff afectados Procedimientos de respuesta definidos para permitirle al negocio retornar al estado en que se encontraba antes del incidente o desastre Procedimientos de recuperación Procedimientos para salvaguardar y reconstruir las instalaciones de procesamiento normales Procedimientos de coordinación con las autoridades públicas Procedimientos de comunicación con los interesados, empleados, clientes clave, proveedores críticos, accionistas y gerencia Información crítica sobre equipos de continuidad, personal afectado, clientes, proveedores, autoridades públicas y medios de comunicación SISTESEG CORPORATION
COBIT DS4- Asegurar el servicio continuo Minimizando los requerimientos de Continuidad de TI La Gerencia de TI deberá establecer procedimientos y guías para minimizar los requerimientos de continuidad con respecto a personal, instalaciones, HW, SW, equipos, formatos, insumos y mobiliario SISTESEG CORPORATION
COBIT DS4- Asegurar el servicio continuo Mantenimiento del Plan de Continuidad de TI La Gerencia de TI deberá proveer procedimientos de control de cambios para asegurar que el plan de continuidad se mantiene actualizado y refleja los requerimientos actuales del negocio actuales Esto requiere de procedimientos de mantenimiento del plan de continuidad alineados con el cambio, la administración y los procedimientos de recursos humanos Se deben comunicar los cambios en procedimientos y responsabilidades clara y oportunamente, soportando los objetivos de la organización SISTESEG CORPORATION
COBIT DS4- Asegurar el servicio continuo Pruebas al Plan de Continuidad de TI Para contar con un Plan de Continuidad efectivo, la gerencia necesita evaluar su adecuación de manera regular o cuando se presenten cambios mayores en el negocio o en la infraestructura de TI Esto requiere una preparación cuidadosa, documentación, reporte de los resultados de las pruebas e implementar un plan de acción de acuerdo con los resultados Considerar la extensión de las pruebas de recuperación de aplicaciones individuales, escenarios punto a punto e integradas SISTESEG CORPORATION
COBIT DS4- Asegurar el servicio continuo Entrenamiento sobre el Plan de Continuidad de TI CONCIENTIZACIÓN EDUCACIÓN La metodología de Continuidad ante desastres deberá asegurar que todas las partes interesadas reciban sesiones de entrenamiento regulares con respecto a los procedimientos y roles a ser seguidos en caso de un incidente o un desastre Se debe verificar y mejorar el entrenamiento de acuerdo a los resultados de las pruebas de contingencia ENTRENAMIENTO SISTESEG CORPORATION
Bueno, Gracias al Cielo salimos a tiempo...y ahora qué? Lograr salir, es solo el primer paso !!! SISTESEG CORPORATION
Business Continuity Management Sensibilizació Objetivo” “Sensibilización – Objetivo” SISTESEG CORPORATION
Una imagen …. Terrorismo SISTESEG CORPORATION
Vulnerabilidades e Impactos Por qué necesitamos Business Continuity Management? 43% de las compañías de los USA nunca reabren después de un desastre y 29% más cierran a los 3 años. 93% de las compañías que sufren una pérdida significativa de datos salen del negocio a los 5 años 20% de negocios pequeños a medianos sufren un desastre mayor cada 5 años 78% de organizaciones que carecían de planes de contingencia y sufrieron pérdidas catastróficas estaban fuera a los 2 años … la mayoría tenían seguros, y varias habían cubierto la interrupción del negocio! Fuente: USA National Fire Protection Agency, U.S. Bureau of Labor, Richmond House Group and B2BContinuity.com SISTESEG CORPORATION
COBIT DS4- Asegurar el servicio continuo Distribución del Plan de Continuidad de TI Dada la naturaleza sensitiva de la información del plan de continuidad, dicha información deberá ser distribuida solo a personal autorizado y mantenerse bajo adecuadas medidas de seguridad para evitar su divulgación no autorizada. Consecuentemente, algunas secciones del plan deberán ser distribuidas solo a las personas cuyas actividades hagan necesario conocerlas Se debe colocar atención a contar con planes disponibles bajo todos los escenarios de desastre SISTESEG CORPORATION
COBIT DS4- Asegurar el servicio continuo Procedimientos de respaldo de procesamiento alternativo para Departamentos usuarios La metodología de continuidad deberá asegurar que los departamentos usuarios establezcan procedimientos alternativos de procesamiento, que puedan ser utilizados hasta que la función de TI sea capaz de restaurar completamente sus servicios después de un evento o un desastre SISTESEG CORPORATION
COBIT DS4- Asegurar el servicio continuo Recursos Críticos de TI El plan de continuidad deberá identificar los programas de aplicación, servicios de terceros, sistemas operativos, personal, insumos, archivos de datos que resultan críticos así como los tiempos necesarios para la recuperación después de que se presenta un desastre Los datos y las operaciones críticas deben ser identificadas, documentadas, priorizadas y aprobadas por los dueños de los procesos del negocio, en cooperación con la Gerencia de TI Los costos se deben mantener en niveles aceptables Se deben considera requerimientos regulatorios y contractuales Considerar requerimientos para lapsos diferentes: 1 a 4 horas, 4 a 24 horas, más de 24 horas y períodos operacionales críticos SISTESEG CORPORATION
COBIT DS4- Asegurar el servicio continuo Sitio y Hardware de Respaldo La Gerencia deberá asegurar que la metodología de continuidad incorpora la identificación de alternativas relativas al sitio y al hardware de respaldo, así como una selección alternativa final En caso de aplicar, deberá establecerse un contrato formal para este tipo de servicios. SISTESEG CORPORATION
COBIT DS4- Asegurar el servicio continuo Almacenamiento de respaldo en sitio alterno (Off-site) El almacenamiento externo de copias de respaldo, documentación y otros recursos de TI, catalogados como críticos, debe ser establecido para soportar los planes de recuperación y continuidad de negocio. Los propietarios de los procesos del negocio y el personal de la función de TI deben involucrarse en determinar que recursos de respaldo deben ser almacenados en el sitio alterno. La instalación de almacenamiento externo debe contar con medidas ambientales apropiadas para los medios y otros recursos almacenados; y debe tener un nivel de seguridad suficiente, que permita proteger los recursos de respaldo contra accesos no autorizados, robo o daño. La Gerencia de TI debe asegurar que los acuerdos/contratos del sitio alterno son periódicamente analizados, al menos una vez al año, para garantizar que ofrezca seguridad y protección ambiental Se debe asegurar la compatibilidad de hardware y software para restaurar datos archivados, y periódicamente probar y refrescar datos archivados SISTESEG CORPORATION
COBIT DS4- Asegurar el servicio continuo Recuperación y reanudación de servicios Planear las acciones a tomar para el período en el que TI recupera y reanuda servicios. Incluye: activación se sitios de respaldo, inicio de procesamiento alternativo, comunicación con clientes e interesados, y procedimientos de reanudación Asegurar que la compañía entiende los tiempos de recuperación de TI y las inversiones de tecnología necesarias para soportar las necesidades de recuperación y reanudación SISTESEG CORPORATION
COBIT DS4- Asegurar el servicio continuo Procedimiento de afinamiento del Plan de Continuidad Dada una exitosa reanudación de la función de TI después de un desastre, la gerencia de TI deberá establecer procedimientos para evaluar lo adecuado del plan y actualizarlo de acuerdo con los resultados de dicha evaluación SISTESEG CORPORATION
Rol del Auditor Aprendiz Capacitarse en estos temas Certificarse en estos temas Consultor Contribuir a la sensibilización y concientización sobre estos temas Durante la definición o establecimiento del Framework Durante el Proyecto Inicial de Construcción de Planes Sugiriendo innovaciones al Framework – Aporte de buenas prácticas Evaluador Durante la elaboración de los Planes Revisiones posteriores a los Procesos de Construcción de Planes Revisiones posteriores a los Planes SISTESEG CORPORATION
Cómo Auditar? Planeación Evaluación de Controles El Proceso de Auditoría QA Recolección y evaluación de evidencia Reporte y Seguimiento SISTESEG CORPORATION
Planeación Plan micro / Programa Estratégica Anual de Auditoría Inventario de Identificación Valoración de Componentes de impactos severidad SISTESEG CORPORATION
Identificar y Priorizar el Universo de Objetos a Auditar Objetos Valor Riesgo Total Contratación Planeación Competitividad Financiero + ∑ (Valor + Riesgo) Desarrollo de Productos Complejidad Desarrollo de SW Rentabilidad procesos o Nuevos Administración de la Continuidad Imagentecnologías Seguridad Calidad del SCI Soporte Cumplimientola última visita Fecha de Seguridad ERP - SISTESEG CORPORATION
Planeación Plan micro / Programa Estratégica Anual de Auditoría Planeación Planeación Valoración de Técnica Logística riesgos Alcance Memo y Programa Objetivos Planeación Auditoría Tipo de Auditoría Extensión de pruebas SISTESEG CORPORATION
Tipo de Auditoría Verificación de cumplimiento Comparación contra buena práctica Certificación Cumplimiento de Objetivos de Control CMM (Capability Maturity Model) Basada en Riesgos Auditoría Puntual vs. Auditoría Continua SISTESEG CORPORATION
COBIT 4.1 – IT Assurance Guide Estructura de Aseguramiento Objetivo de Inductores de Inductores de Control Valor Riesgo Pasos de Aseguramiento para probar el Diseño del Control Pasos de Aseguramiento para probar el Resultado de los Objetivos de Control Pasos de Aseguramiento para documentar el Impacto de las Debilidades de Control SISTESEG CORPORATION
SISTESEG CORPORATION
Definición del Alcance Comparación contra buena práctica Capability Maturity Model SISTESEG CORPORATION
SISTESEG CORPORATION
Auditoría basada en riesgos imponen Propietarios están interesados en Contramedidas Prácticas reducen de control previenen evitan o y detectan Riesgos mitigan de Agentes amenaza Amenazas Vulnerabilidades Activos explotan Escenarios de dan origen a tienen SISTESEG CORPORATION Vulnerabilidad / Amenaza
Definición del Alcance Verificación de Cumplimiento o Comparación contra buena práctica Alcance Continuidad, Contingencia, Crisis, Desastres Recopilación de Regulaciones, Normas Internas, Relaciones contractuales y Procedimientos Solo para el Proceso DS4 Todos los Temas (Objetivos de Control) Algunos Temas (Objetivos de Control) Procesos Interrelacionados Planeación, Presupuesto, Administración de Riesgos, Gerencia de Proyectos, Personal SISTESEG CORPORATION
Definiendo BCM Conceptos asociados – Incluye … • Planeación de negocio • Gerencia de proyectos • Administración de aplicaciones • Reorganización de procesos de negocio • Administración de riesgos de construcciones y edificios • Administración de crisis • Administración de emergencias • Alta disponibilidad • Seguridad de la información • Seguridad física • Análisis de riesgos y controles • Implementación de soluciones • Concientización, Entrenamiento y Educación SISTESEG CORPORATION
Definiendo BCM Conceptos asociados – Incluye … Servidores Cluster, Fault Tolerance, etc. Redundancia en dispositivos de red (fault tolerance) y/o arquitecturas de alta disponibilidad Sitios alternos de procesamiento (hot site, cold site, entre otros) Software de replicación en Bases de Datos, Sistemas Operativos, Aplicaciones Arquitecturas de almacenamiento (Robots, SAN, NAS, CAS) Procesos de administración de la continuidad basado en estándares tales como ITIL, COBIT, NIST entre otros SISTESEG CORPORATION
Ejecución de la Auditoría Recolección y Reunión Inicial Reunión Final Evaluación de Evidencia Pruebas de cumplimiento Pruebas sustantivas SISTESEG CORPORATION
Pruebas de Cumplimiento Entrenamiento sobre el Plan de Continuidad de TI La metodología de Continuidad ante desastres deberá asegurar que todas las partes interesadas reciban sesiones de entrenamiento regulares con respecto a los procedimientos y roles a ser seguidos en caso de un incidente o un desastre Verificar la Existencia del Plan de Entrenamiento Solicitar Plan de Entrenamiento SISTESEG CORPORATION
Pruebas Sustantivas Entrenamiento sobre el Plan de Continuidad de TI La metodología de Continuidad ante desastres deberá asegurar que todas las partes interesadas reciban sesiones de entrenamiento regulares con respecto a los procedimientos y roles a ser seguidos en caso de un incidente o un desastre Verificar la Ejecución del Plan de Entrenamiento Solicitar Planillas de Asistencia a Entrenamiento Contar el número de personas que han asistido a entrenamiento Calcular el porcentaje de personas que han asistido SISTESEG CORPORATION
SISTESEG CORPORATION
COBIT Procesos claves en IT/Governance Planeación y Alineamiento Estratégico Financieros Alineamiento con los Objetivos de Negocio Presupuesto operativo de TI Comité Estratégico de TI (Priorización) Presupuesto de capital de TI Estándares en estrategia y arquitectura de TI Administración de activos de TI Seguimiento de proyectos de TI Administración de contratos de TI Comité de Seguimiento Planeación y asignación de recursos de TI Soporte a iniciativas empresariales estratégicas Operaciones de TI Frameworks de Control Desarrollo de aplicaciones Políticas Gerenciales de Información Administración de Proyectos Corporativa – privacidad, propietarios de Ciclo de Vida para el Desarrollo de Sistemas procesos de negocio, retención de Soporte a producción registros Control y operación de producción Departamento de TI – CVDS, seguridad Programación de trabajos Estándares – COBIT, ITIL, ISO, SAS70 Backups del sistema Prácticas y procedimientos Arquitectura técnica Administración de la documentación del sistema Diseño, administración y operación de la red Aseguramiento de calidad Soporte a usuarios Cumplimiento regulatorio Administración de seguridad informática Procedimientos de escalamiento Continuidad de negocio y recuperación de Procedimientos de divulgación desastres Administración de contratos y de vendedores Principles of IT Governance, Stacey Hamaker, Information Systems Control Journal, Volume 2, 2004 SISTESEG CORPORATION
Criterios para procesos de seguridad en TI Planeació Planeación para la recuperación de desastres recuperació Planeación para la Recuperación de Desastres No existe Plan de Recuperación de Desastres (PRD) Los backups no son adecuados (frecuencia y/o almacenamiento) para proteger la instalación. Los backups semanales y mensuales deben ser almacenados externamente; los diarios pueden ser almacenados en la sede si se mantienen en un lugar seguro contra fuego El PRD no ha sido probado adecuadamente El PRD no contiene todos los elementos requeridos por la política corporativa La instalación externa de backups no es adecuada Todas los requerimientos de las políticas corporativas se satisfacen La frecuencia y el almacenamiento de los backups es adecuado para asegurar recuperación de datos razonable Getting Action on Audit Results, Harry A. Sparks Information Systems Control Journal, Volume 6, 2003 SISTESEG CORPORATION
Criterios para procesos de seguridad en TI Planeación para la recuperación de desastres Ubicación PRD Seguridad Lic. SW Total Ubicación 1 Ubicación 2 Ubicación 3 Ubicación 4 Ubicación 5 Getting Action on Audit Results, Harry A. Sparks Information Systems Control Journal, Volume 6, 2003 SISTESEG CORPORATION
Criterios para procesos de seguridad en TI Planeación para la recuperación de desastres 2004 2005 PRD Seguridad Lic. SW Total Getting Action on Audit Results, Harry A. Sparks Information Systems Control Journal, Volume 6, 2003 SISTESEG CORPORATION
Criterios para procesos de seguridad en TI Security Governance - ISACA Actual Valoración de Riesgos Deseado Atención de incidentes Continuidad de negocio SISTESEG CORPORATION
Ejecución de la Auditoría Recolección y Reunión Inicial Reunión Final Evaluación de Evidencia Evidencia Física (Observación) Entrevista Cuestionarios Diagramas de flujo Pruebas de cumplimiento Procedimientos Análiticos Pruebas sustantivas Muestreo SISTESEG CORPORATION
Enfoques de pruebas Estática (en papel) Walk-through (Caminata) Rol participativo Rol de prueba activa SISTESEG CORPORATION
Tipos de pruebas Destructiva Verificación Observación estática SISTESEG CORPORATION
Técnicas Inspección y observación Entrevista Revisión contra estándares aceptados Listas de chequeos y cuestionarios Simulación Prueba de escenarios Prueba sorpresa aleatoria Desconexión Participar en la prueba de compatibilidad Correr los sistemas críticos en sitios alternos Verificación del inventario de elementos para la recuperación Revisión de documentación Prueba del equipo tigre Observación de Programas de respaldo similares Revisar los resultados de las pruebas obtenidas por el equipo de recuperación Participar en pruebas de sitios de backup y Hot Simulacros de emergencia SISTESEG CORPORATION
Herramientas de recolección de evidencia SW auditoría generalizado SW auditoría específico SW auditoría Herramientas de especializado auditoría concurrentes SISTESEG CORPORATION
Ejecución de la Auditoría Recolección y Reunión Inicial Reunión Final Evaluación de Evidencia Evaluación de evidencia Hallazgos de Auditoría Deficiencias (criterios, condiciones, causas, efectos, recomendaciones) SISTESEG CORPORATION
Reporte y Seguimiento Estructura de un Reporte de Auditoría Introducción Objetivos, Alcance y Metodología de la Auditoría Hallazgos de la Auditoría Conclusiones de la Auditoría Recomendaciones SISTESEG CORPORATION
Por qué Auditar? Revisar para determinar lo adecuado de los Planes Qué tan bueno es? Qué tan actualizado está? Descubrir deficiencias serias sobre una base oportuna antes de que la organización deba implementarlas en una situación catastrófica real – DISMINUIR SORPRESAS Perspectiva independiente y fresca Mayor aseguramiento a la gerencia Motivación para una mayor calidad durante la elaboración del Plan Facilitar la justificación de provisiones SISTESEG CORPORATION
Conclusiones Existen muchos beneficios al realizar Auditorías Entre má temprano participe el Auditor mayores serán los beneficios La Auditoría en este caso es un Control de Tipo Preventivo que facilita la corrección oportuna El empleo de buenas prácticas facilita la planeación y la ejecución de las auditorías SISTESEG CORPORATION
Definiendo BCM Actividades a realizar • Proteger vidas, salud y seguridad (safety) • Proteger y asegurar facilidades, propiedades, y equipos de pérdidas • Restaurar facilidades, funciones y servicios tan rápido como sea posible • Mantener servicios y operaciones de negocio esenciales • Valorar la efectividad del plan, Post-emergencia • Iniciar mejoramientos del plan cuando sea necesario SISTESEG CORPORATION
FIN!

Recomendados

Presentacion drp sir junio 2012 v1
Presentacion drp sir junio 2012 v1Presentacion drp sir junio 2012 v1
Presentacion drp sir junio 2012 v1global bis
 
Continuidad de TI - Estrategias de Disaster Recovery
Continuidad de TI - Estrategias de Disaster Recovery Continuidad de TI - Estrategias de Disaster Recovery
Continuidad de TI - Estrategias de Disaster Recovery Norberto Figuerola (PMP, ITIL,CGBSS, CSM)
 
Metodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMetodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMaria Martinez
 
Continuidad del negocio
Continuidad del negocioContinuidad del negocio
Continuidad del negocioANNY
 
Continuidad de Negocio
Continuidad de NegocioContinuidad de Negocio
Continuidad de NegocioConferencias FIST
 
Continuidad de Negocios - NetBe - Soluciones Tecnologicas
Continuidad de Negocios - NetBe - Soluciones TecnologicasContinuidad de Negocios - NetBe - Soluciones Tecnologicas
Continuidad de Negocios - NetBe - Soluciones Tecnologicasnetbesoluciones
 
Plan de Continuidad de Negocios
Plan de Continuidad de NegociosPlan de Continuidad de Negocios
Plan de Continuidad de NegociosCarlos Francavilla
 
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONAL
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONALCONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONAL
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONALFabián Descalzo
 

Recomendados

Presentacion drp sir junio 2012 v1
Presentacion drp sir junio 2012 v1Presentacion drp sir junio 2012 v1
Presentacion drp sir junio 2012 v1global bis
 
Continuidad de TI - Estrategias de Disaster Recovery
Continuidad de TI - Estrategias de Disaster Recovery Continuidad de TI - Estrategias de Disaster Recovery
Continuidad de TI - Estrategias de Disaster Recovery Norberto Figuerola (PMP, ITIL,CGBSS, CSM)
 
Metodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMetodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMaria Martinez
 
Continuidad del negocio
Continuidad del negocioContinuidad del negocio
Continuidad del negocioANNY
 
Continuidad de Negocio
Continuidad de NegocioContinuidad de Negocio
Continuidad de NegocioConferencias FIST
 
Continuidad de Negocios - NetBe - Soluciones Tecnologicas
Continuidad de Negocios - NetBe - Soluciones TecnologicasContinuidad de Negocios - NetBe - Soluciones Tecnologicas
Continuidad de Negocios - NetBe - Soluciones Tecnologicasnetbesoluciones
 
Plan de Continuidad de Negocios
Plan de Continuidad de NegociosPlan de Continuidad de Negocios
Plan de Continuidad de NegociosCarlos Francavilla
 
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONAL
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONALCONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONAL
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONALFabián Descalzo
 
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezContinuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezForo Global Crossing
 
Webinar: Planes de Recuperación de Desastres (DRP)
Webinar: Planes de Recuperación de Desastres (DRP)Webinar: Planes de Recuperación de Desastres (DRP)
Webinar: Planes de Recuperación de Desastres (DRP)Arsys
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de NegocioDavid Solis
 
Conferencia1011continuidad
Conferencia1011continuidadConferencia1011continuidad
Conferencia1011continuidadErnestoVasquez31
 
Gestión de Continuidad del Negocio
Gestión de Continuidad del NegocioGestión de Continuidad del Negocio
Gestión de Continuidad del NegocioFernando De los Ríos
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidadLeonardo Lenin Banegas Barahona
 
Plan de Recuperación de Desastres - TI
Plan de Recuperación de Desastres - TIPlan de Recuperación de Desastres - TI
Plan de Recuperación de Desastres - TIMarcel Aponte
 
Planes de continuidad del Negocio
Planes de continuidad del NegocioPlanes de continuidad del Negocio
Planes de continuidad del NegocioUtópicas Consultoría
 
BCM DRP - La Salle class
BCM DRP - La Salle classBCM DRP - La Salle class
BCM DRP - La Salle classAlberto Ramirez Ayon
 
Conceptos a tener en cuenta para asegurar la continuidad del negocio - David ...
Conceptos a tener en cuenta para asegurar la continuidad del negocio - David ...Conceptos a tener en cuenta para asegurar la continuidad del negocio - David ...
Conceptos a tener en cuenta para asegurar la continuidad del negocio - David ...Foro Global Crossing
 
Plan de recuperación de desastres .pptx
Plan de recuperación de desastres .pptxPlan de recuperación de desastres .pptx
Plan de recuperación de desastres .pptxLuis Flores
 
Disaster recovery planning
Disaster recovery planningDisaster recovery planning
Disaster recovery planningnaraku20
 
Plan de Continuidad de Negocio
Plan de Continuidad de NegocioPlan de Continuidad de Negocio
Plan de Continuidad de NegocioRamiro Cid
 
Continuidad Operativa
Continuidad OperativaContinuidad Operativa
Continuidad OperativaJuan Carlos Fernández
 
Seguridad informatica infodasa
Seguridad informatica infodasaSeguridad informatica infodasa
Seguridad informatica infodasaCentro de Desarrollo de Competencias Digitales de Castilla-La Mancha
 
06 05 manual de contingencia informatico
06 05 manual de contingencia informatico06 05 manual de contingencia informatico
06 05 manual de contingencia informaticoDora Isabel Olea
 
ITIL … Cómo asegurar el éxito al integrar TI con la estrategia del negocio? p...
ITIL … Cómo asegurar el éxito al integrar TI con la estrategia del negocio? p...ITIL … Cómo asegurar el éxito al integrar TI con la estrategia del negocio? p...
ITIL … Cómo asegurar el éxito al integrar TI con la estrategia del negocio? p...Foro Global Crossing
 
Seguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
Seguridad Informática y Continuidad del Negocio por Erika Zenteno SavínSeguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
Seguridad Informática y Continuidad del Negocio por Erika Zenteno SavínAsociación
 
Plan contingencia
Plan contingenciaPlan contingencia
Plan contingenciaEder Martin Shapiama
 
9.1) plan de contingencias.
9.1) plan de contingencias.9.1) plan de contingencias.
9.1) plan de contingencias.Jose Ivan Vega Gonzalez
 
Detalle evaluacion taller 1 año 2014c
Detalle evaluacion taller 1 año 2014cDetalle evaluacion taller 1 año 2014c
Detalle evaluacion taller 1 año 2014cRodolfo baksys
 
4.1 almacenes e inventarios drp nam
4.1 almacenes e inventarios drp nam4.1 almacenes e inventarios drp nam
4.1 almacenes e inventarios drp namNatalia Mosquera
 

Más contenido relacionado

La actualidad más candente

Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezContinuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezForo Global Crossing
 
Webinar: Planes de Recuperación de Desastres (DRP)
Webinar: Planes de Recuperación de Desastres (DRP)Webinar: Planes de Recuperación de Desastres (DRP)
Webinar: Planes de Recuperación de Desastres (DRP)Arsys
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de NegocioDavid Solis
 
Conferencia1011continuidad
Conferencia1011continuidadConferencia1011continuidad
Conferencia1011continuidadErnestoVasquez31
 
Plan de Recuperación de Desastres - TI
Plan de Recuperación de Desastres - TIPlan de Recuperación de Desastres - TI
Plan de Recuperación de Desastres - TIMarcel Aponte
 
Conceptos a tener en cuenta para asegurar la continuidad del negocio - David ...
Conceptos a tener en cuenta para asegurar la continuidad del negocio - David ...Conceptos a tener en cuenta para asegurar la continuidad del negocio - David ...
Conceptos a tener en cuenta para asegurar la continuidad del negocio - David ...Foro Global Crossing
 
Plan de recuperación de desastres .pptx
Plan de recuperación de desastres .pptxPlan de recuperación de desastres .pptx
Plan de recuperación de desastres .pptxLuis Flores
 
Disaster recovery planning
Disaster recovery planningDisaster recovery planning
Disaster recovery planningnaraku20
 
Plan de Continuidad de Negocio
Plan de Continuidad de NegocioPlan de Continuidad de Negocio
Plan de Continuidad de NegocioRamiro Cid
 
06 05 manual de contingencia informatico
06 05 manual de contingencia informatico06 05 manual de contingencia informatico
06 05 manual de contingencia informaticoDora Isabel Olea
 
ITIL … Cómo asegurar el éxito al integrar TI con la estrategia del negocio? p...
ITIL … Cómo asegurar el éxito al integrar TI con la estrategia del negocio? p...ITIL … Cómo asegurar el éxito al integrar TI con la estrategia del negocio? p...
ITIL … Cómo asegurar el éxito al integrar TI con la estrategia del negocio? p...Foro Global Crossing
 
Seguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
Seguridad Informática y Continuidad del Negocio por Erika Zenteno SavínSeguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
Seguridad Informática y Continuidad del Negocio por Erika Zenteno SavínAsociación
 

La actualidad más candente (20)

Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezContinuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
 
Webinar: Planes de Recuperación de Desastres (DRP)
Webinar: Planes de Recuperación de Desastres (DRP)Webinar: Planes de Recuperación de Desastres (DRP)
Webinar: Planes de Recuperación de Desastres (DRP)
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de Negocio
 
Conferencia1011continuidad
Conferencia1011continuidadConferencia1011continuidad
Conferencia1011continuidad
 
Gestión de Continuidad del Negocio
Gestión de Continuidad del NegocioGestión de Continuidad del Negocio
Gestión de Continuidad del Negocio
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidad
 
Plan de Recuperación de Desastres - TI
Plan de Recuperación de Desastres - TIPlan de Recuperación de Desastres - TI
Plan de Recuperación de Desastres - TI
 
Planes de continuidad del Negocio
Planes de continuidad del NegocioPlanes de continuidad del Negocio
Planes de continuidad del Negocio
 
BCM DRP - La Salle class
BCM DRP - La Salle classBCM DRP - La Salle class
BCM DRP - La Salle class
 
Conceptos a tener en cuenta para asegurar la continuidad del negocio - David ...
Conceptos a tener en cuenta para asegurar la continuidad del negocio - David ...Conceptos a tener en cuenta para asegurar la continuidad del negocio - David ...
Conceptos a tener en cuenta para asegurar la continuidad del negocio - David ...
 
Plan de recuperación de desastres .pptx
Plan de recuperación de desastres .pptxPlan de recuperación de desastres .pptx
Plan de recuperación de desastres .pptx
 
Disaster recovery planning
Disaster recovery planningDisaster recovery planning
Disaster recovery planning
 
Plan de Continuidad de Negocio
Plan de Continuidad de NegocioPlan de Continuidad de Negocio
Plan de Continuidad de Negocio
 
Continuidad Operativa
Continuidad OperativaContinuidad Operativa
Continuidad Operativa
 
Seguridad informatica infodasa
Seguridad informatica infodasaSeguridad informatica infodasa
Seguridad informatica infodasa
 
06 05 manual de contingencia informatico
06 05 manual de contingencia informatico06 05 manual de contingencia informatico
06 05 manual de contingencia informatico
 
ITIL … Cómo asegurar el éxito al integrar TI con la estrategia del negocio? p...
ITIL … Cómo asegurar el éxito al integrar TI con la estrategia del negocio? p...ITIL … Cómo asegurar el éxito al integrar TI con la estrategia del negocio? p...
ITIL … Cómo asegurar el éxito al integrar TI con la estrategia del negocio? p...
 
Seguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
Seguridad Informática y Continuidad del Negocio por Erika Zenteno SavínSeguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
Seguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
 
Plan contingencia
Plan contingenciaPlan contingencia
Plan contingencia
 
9.1) plan de contingencias.
9.1) plan de contingencias.9.1) plan de contingencias.
9.1) plan de contingencias.
 

Destacado

Detalle evaluacion taller 1 año 2014c
Detalle evaluacion taller 1 año 2014cDetalle evaluacion taller 1 año 2014c
Detalle evaluacion taller 1 año 2014cRodolfo baksys
 
4.1 almacenes e inventarios drp nam
4.1 almacenes e inventarios drp nam4.1 almacenes e inventarios drp nam
4.1 almacenes e inventarios drp namNatalia Mosquera
 
Presentación drp 2
Presentación drp 2Presentación drp 2
Presentación drp 2amayosqui
 
Plan estrategico informatico
Plan estrategico informaticoPlan estrategico informatico
Plan estrategico informaticomCarmen32
 
Business continuity planning
Business continuity planningBusiness continuity planning
Business continuity planningSandeep Kashyap
 
Plan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputoPlan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputovanesa calderón lizana
 
Plan Continuidad de Negocio
Plan Continuidad de NegocioPlan Continuidad de Negocio
Plan Continuidad de NegocioDavid Ortega
 
PETI
PETIPETI
PETIAlex
 
El plan de sistemas de información
El plan de sistemas de informaciónEl plan de sistemas de información
El plan de sistemas de informaciónMateo Amengual
 
Business Continuity Planning
Business Continuity PlanningBusiness Continuity Planning
Business Continuity PlanningJohn Wilson
 
What’s & Why’s of Business Continuity Planning (BCP)
What’s & Why’s of Business Continuity Planning (BCP) What’s & Why’s of Business Continuity Planning (BCP)
What’s & Why’s of Business Continuity Planning (BCP) CBIZ, Inc.
 
Planificación estratégica de tecnología de información
Planificación estratégica de tecnología de informaciónPlanificación estratégica de tecnología de información
Planificación estratégica de tecnología de informaciónCOECYS
 

Destacado (15)

Detalle evaluacion taller 1 año 2014c
Detalle evaluacion taller 1 año 2014cDetalle evaluacion taller 1 año 2014c
Detalle evaluacion taller 1 año 2014c
 
4.1 almacenes e inventarios drp nam
4.1 almacenes e inventarios drp nam4.1 almacenes e inventarios drp nam
4.1 almacenes e inventarios drp nam
 
BUSINESS CONTINUITY PLANNING
BUSINESS CONTINUITY PLANNINGBUSINESS CONTINUITY PLANNING
BUSINESS CONTINUITY PLANNING
 
Plan de Continuidad de Negocio
Plan de Continuidad de NegocioPlan de Continuidad de Negocio
Plan de Continuidad de Negocio
 
Presentación drp 2
Presentación drp 2Presentación drp 2
Presentación drp 2
 
Plan estrategico informatico
Plan estrategico informaticoPlan estrategico informatico
Plan estrategico informatico
 
Business continuity planning
Business continuity planningBusiness continuity planning
Business continuity planning
 
Continuidad de Negocios
Continuidad de NegociosContinuidad de Negocios
Continuidad de Negocios
 
Plan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputoPlan de contingencia en los centros de cómputo
Plan de contingencia en los centros de cómputo
 
Plan Continuidad de Negocio
Plan Continuidad de NegocioPlan Continuidad de Negocio
Plan Continuidad de Negocio
 
PETI
PETIPETI
PETI
 
El plan de sistemas de información
El plan de sistemas de informaciónEl plan de sistemas de información
El plan de sistemas de información
 
Business Continuity Planning
Business Continuity PlanningBusiness Continuity Planning
Business Continuity Planning
 
What’s & Why’s of Business Continuity Planning (BCP)
What’s & Why’s of Business Continuity Planning (BCP) What’s & Why’s of Business Continuity Planning (BCP)
What’s & Why’s of Business Continuity Planning (BCP)
 
Planificación estratégica de tecnología de información
Planificación estratégica de tecnología de informaciónPlanificación estratégica de tecnología de información
Planificación estratégica de tecnología de información
 

Similar a Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp

auditoria informatica mediante marco de COBIT
auditoria informatica mediante marco de COBITauditoria informatica mediante marco de COBIT
auditoria informatica mediante marco de COBITepenate
 
Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit Soby Soby
 
Metodos ITIL, COBIT, BS15000
Metodos ITIL, COBIT, BS15000Metodos ITIL, COBIT, BS15000
Metodos ITIL, COBIT, BS15000Christian Cruz
 
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TITaller de gobierno y gestión de TI
Taller de gobierno y gestión de TIFabián Descalzo
 

Similar a Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp (20)

Cobit
CobitCobit
Cobit
 
Cobit
CobitCobit
Cobit
 
CsOBIT.ppt
CsOBIT.pptCsOBIT.ppt
CsOBIT.ppt
 
Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De Cobit
 
Cobit exposicion
Cobit exposicionCobit exposicion
Cobit exposicion
 
COBIT.ppt
COBIT.pptCOBIT.ppt
COBIT.ppt
 
auditoria informatica mediante marco de COBIT
auditoria informatica mediante marco de COBITauditoria informatica mediante marco de COBIT
auditoria informatica mediante marco de COBIT
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobit
 
fff
ffffff
fff
 
Estandar cobit
Estandar cobit Estandar cobit
Estandar cobit
 
Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit
 
Cobit ppt
Cobit pptCobit ppt
Cobit ppt
 
Metodos ITIL, COBIT, BS15000
Metodos ITIL, COBIT, BS15000Metodos ITIL, COBIT, BS15000
Metodos ITIL, COBIT, BS15000
 
Cobit
CobitCobit
Cobit
 
Cobit
CobitCobit
Cobit
 
Cobit
CobitCobit
Cobit
 
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TITaller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
 
Cobit
CobitCobit
Cobit
 
COBIT
COBITCOBIT
COBIT
 
Cobit
CobitCobit
Cobit
 

Más de Carmelo Branimir España Villegas

Más de Carmelo Branimir España Villegas (20)

La norma de calidad ISO 25000, aplíquela
La norma de calidad ISO 25000, aplíquelaLa norma de calidad ISO 25000, aplíquela
La norma de calidad ISO 25000, aplíquela
 
Nosotros los maduritos
Nosotros los maduritosNosotros los maduritos
Nosotros los maduritos
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
 
Tema 2
Tema 2Tema 2
Tema 2
 
Tema 7
Tema 7Tema 7
Tema 7
 
Tema 8
Tema 8Tema 8
Tema 8
 
Tema 9
Tema 9Tema 9
Tema 9
 
Tema 6
Tema 6Tema 6
Tema 6
 
Tema 5
Tema 5Tema 5
Tema 5
 
Tema 3
Tema 3Tema 3
Tema 3
 
Tema 1
Tema 1Tema 1
Tema 1
 
Tema 4
Tema 4Tema 4
Tema 4
 
Introduccion ipv6 v11
Introduccion ipv6 v11Introduccion ipv6 v11
Introduccion ipv6 v11
 
Tema 1
Tema 1Tema 1
Tema 1
 
Tema 4
Tema 4Tema 4
Tema 4
 
Tema 1tarea
Tema 1tareaTema 1tarea
Tema 1tarea
 
Memorias de un ingeniero
Memorias de un ingenieroMemorias de un ingeniero
Memorias de un ingeniero
 
Edad media
Edad mediaEdad media
Edad media
 
Edad media
Edad mediaEdad media
Edad media
 
Explicacion crisis
Explicacion crisisExplicacion crisis
Explicacion crisis
 

Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp

  • 1. Auditoría BCP, DRP Fernando Ferrer Olivares, CISA, CISM, PMP, CCSA Rodrigo Ferrer CISSP, CISA, ABCP, CSSA, CST, COBIT F. SISTESEG CORPORATION RISK MANAGEMENT FOR YOUR BUSINESS
  • 2. Agenda 1. 1. Objetivos 2. 2. Qué auditar? 3. 3. Rol del Auditor 4. 4. Cómo auditar? 5. 5. Porqué Auditar? 6. 6. Conclusiones 7. 7. Preguntas SISTESEG CORPORATION
  • 3. Objetivos Proveer información sobre los principales aspectos en que debería concentrarse un auditor en la revisión de un DRP Generalizar los conceptos presentados para la evaluación de Planes de Continuidad SISTESEG CORPORATION
  • 4. Qué auditar? Lo que profesionalmente debe realizarse Lo establecido en buenas prácticas SISTESEG CORPORATION
  • 5. Qué auditar? Lo que profesionalmente debe realizarse Lo establecido en buenas prácticas Lo definido por la Organización (TI, Seguridad Física, Alta Gerencia) SISTESEG CORPORATION
  • 6. Qué auditar? Visión de COBIT SISTESEG CORPORATION
  • 7. Qué auditar? Visión de COBIT Planeación y Definir un plan estratégico de TI Organización Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Adquisición e Identificación de soluciones Implementación Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios SISTESEG CORPORATION
  • 8. Qué auditar? Visión de COBIT Servicios y Definición del nivel de servicio Soporte Administración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios ITIL Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones Seguimiento Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditoría independiente SISTESEG CORPORATION
  • 9. COBIT DS4- Asegurar el servicio continuo Framework de Continuidad de TI La Gerencia de TI, en cooperación con los propietarios de los procesos de negocio, debe: Establecer un framework de continuidad SISTESEG CORPORATION
  • 10. Modelos de Seguridad de la Información ISO-17799 – Componentes de un framework de seguridad Organización de la Política de Seguridad Seguridad Control y clasificación de Seguridad del personal activos Administración de las Seguridad física y ambiental comunicaciones y operaciones Desarrollo y Control de acceso mantenimiento de sistemas Administración de la Cumplimiento continuidad del negocio SISTESEG CORPORATION
  • 11. Informació Modelos de Seguridad de la Información SP800- NIST – SP800- 34 - BCP Contingency Planning Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology – NIST, June 2002 SISTESEG CORPORATION
  • 12. Informació Modelos de Seguridad de la Información DRI - BCP Fases: Iniciación del Proyecto Requerimientos Funcionales Diseño y Desarrollo Implementación Pruebas y ejercicios Mantenimiento y Actualización Ejecución SISTESEG CORPORATION
  • 13. COBIT DS4- Asegurar el servicio continuo Framework de Continuidad de TI La Gerencia de TI, en cooperación con los propietarios de los procesos de negocio, debe: Establecer un framework de continuidad el cual define: - Roles, tareas y responsabilidades (estructura organizacional) Proyecto vs. Proceso Personal interno y externo (usuarios y proveedores de servicios) SISTESEG CORPORATION
  • 15. COBIT DS4- Asegurar el servicio continuo Framework de Continuidad de TI La Gerencia de TI, en cooperación con los propietarios de los procesos de negocio, debe: Establecer un framework de continuidad el cual define: - Roles, tareas y responsabilidades (estructura organizacional) Proyecto vs. Proceso Personal interno y externo (usuarios y proveedores de servicios) - Enfoque metodológico consistente basado en riesgos utilizar Recursos críticos - Riesgos – Amenazas – Vulnerabilidades - Contramedidas (eficacia vs. Niveles requeridos) – Dependencias claves - Reglas, estructuras y procedimientos para documentar, aprobar, probar y ejecutar el Plan de Continuidad SISTESEG CORPORATION
  • 16. COBIT DS4- Asegurar el servicio continuo Estrategia y filosofía del Plan de Continuidad de TI La Gerencia deberá: Asegurar que el Plan de Continuidad de TI esté en línea con el Plan de Continuidad general para asegurar consistencia. Además, el Plan de Continuidad de TI debe considerar los planes a largo y a corto plazo para asegurar consistencia. SISTESEG CORPORATION
  • 17. COBIT DS4- Asegurar el servicio continuo Contenido del Plan de Continuidad de TI Guías sobre como utilizar el Plan de Continuidad Procedimientos de emergencia para asegurar la seguridad física de todos los miembros del staff afectados Procedimientos de respuesta definidos para permitirle al negocio retornar al estado en que se encontraba antes del incidente o desastre Procedimientos de recuperación Procedimientos para salvaguardar y reconstruir las instalaciones de procesamiento normales Procedimientos de coordinación con las autoridades públicas Procedimientos de comunicación con los interesados, empleados, clientes clave, proveedores críticos, accionistas y gerencia Información crítica sobre equipos de continuidad, personal afectado, clientes, proveedores, autoridades públicas y medios de comunicación SISTESEG CORPORATION
  • 18. COBIT DS4- Asegurar el servicio continuo Minimizando los requerimientos de Continuidad de TI La Gerencia de TI deberá establecer procedimientos y guías para minimizar los requerimientos de continuidad con respecto a personal, instalaciones, HW, SW, equipos, formatos, insumos y mobiliario SISTESEG CORPORATION
  • 19. COBIT DS4- Asegurar el servicio continuo Mantenimiento del Plan de Continuidad de TI La Gerencia de TI deberá proveer procedimientos de control de cambios para asegurar que el plan de continuidad se mantiene actualizado y refleja los requerimientos actuales del negocio actuales Esto requiere de procedimientos de mantenimiento del plan de continuidad alineados con el cambio, la administración y los procedimientos de recursos humanos Se deben comunicar los cambios en procedimientos y responsabilidades clara y oportunamente, soportando los objetivos de la organización SISTESEG CORPORATION
  • 20. COBIT DS4- Asegurar el servicio continuo Pruebas al Plan de Continuidad de TI Para contar con un Plan de Continuidad efectivo, la gerencia necesita evaluar su adecuación de manera regular o cuando se presenten cambios mayores en el negocio o en la infraestructura de TI Esto requiere una preparación cuidadosa, documentación, reporte de los resultados de las pruebas e implementar un plan de acción de acuerdo con los resultados Considerar la extensión de las pruebas de recuperación de aplicaciones individuales, escenarios punto a punto e integradas SISTESEG CORPORATION
  • 21. COBIT DS4- Asegurar el servicio continuo Entrenamiento sobre el Plan de Continuidad de TI CONCIENTIZACIÓN EDUCACIÓN La metodología de Continuidad ante desastres deberá asegurar que todas las partes interesadas reciban sesiones de entrenamiento regulares con respecto a los procedimientos y roles a ser seguidos en caso de un incidente o un desastre Se debe verificar y mejorar el entrenamiento de acuerdo a los resultados de las pruebas de contingencia ENTRENAMIENTO SISTESEG CORPORATION
  • 22. Bueno, Gracias al Cielo salimos a tiempo...y ahora qué? Lograr salir, es solo el primer paso !!! SISTESEG CORPORATION
  • 23. Business Continuity Management Sensibilizació Objetivo” “Sensibilización – Objetivo” SISTESEG CORPORATION
  • 24. Una imagen …. Terrorismo SISTESEG CORPORATION
  • 25. Vulnerabilidades e Impactos Por qué necesitamos Business Continuity Management? 43% de las compañías de los USA nunca reabren después de un desastre y 29% más cierran a los 3 años. 93% de las compañías que sufren una pérdida significativa de datos salen del negocio a los 5 años 20% de negocios pequeños a medianos sufren un desastre mayor cada 5 años 78% de organizaciones que carecían de planes de contingencia y sufrieron pérdidas catastróficas estaban fuera a los 2 años … la mayoría tenían seguros, y varias habían cubierto la interrupción del negocio! Fuente: USA National Fire Protection Agency, U.S. Bureau of Labor, Richmond House Group and B2BContinuity.com SISTESEG CORPORATION
  • 26. COBIT DS4- Asegurar el servicio continuo Distribución del Plan de Continuidad de TI Dada la naturaleza sensitiva de la información del plan de continuidad, dicha información deberá ser distribuida solo a personal autorizado y mantenerse bajo adecuadas medidas de seguridad para evitar su divulgación no autorizada. Consecuentemente, algunas secciones del plan deberán ser distribuidas solo a las personas cuyas actividades hagan necesario conocerlas Se debe colocar atención a contar con planes disponibles bajo todos los escenarios de desastre SISTESEG CORPORATION
  • 27. COBIT DS4- Asegurar el servicio continuo Procedimientos de respaldo de procesamiento alternativo para Departamentos usuarios La metodología de continuidad deberá asegurar que los departamentos usuarios establezcan procedimientos alternativos de procesamiento, que puedan ser utilizados hasta que la función de TI sea capaz de restaurar completamente sus servicios después de un evento o un desastre SISTESEG CORPORATION
  • 28. COBIT DS4- Asegurar el servicio continuo Recursos Críticos de TI El plan de continuidad deberá identificar los programas de aplicación, servicios de terceros, sistemas operativos, personal, insumos, archivos de datos que resultan críticos así como los tiempos necesarios para la recuperación después de que se presenta un desastre Los datos y las operaciones críticas deben ser identificadas, documentadas, priorizadas y aprobadas por los dueños de los procesos del negocio, en cooperación con la Gerencia de TI Los costos se deben mantener en niveles aceptables Se deben considera requerimientos regulatorios y contractuales Considerar requerimientos para lapsos diferentes: 1 a 4 horas, 4 a 24 horas, más de 24 horas y períodos operacionales críticos SISTESEG CORPORATION
  • 29. COBIT DS4- Asegurar el servicio continuo Sitio y Hardware de Respaldo La Gerencia deberá asegurar que la metodología de continuidad incorpora la identificación de alternativas relativas al sitio y al hardware de respaldo, así como una selección alternativa final En caso de aplicar, deberá establecerse un contrato formal para este tipo de servicios. SISTESEG CORPORATION
  • 30. COBIT DS4- Asegurar el servicio continuo Almacenamiento de respaldo en sitio alterno (Off-site) El almacenamiento externo de copias de respaldo, documentación y otros recursos de TI, catalogados como críticos, debe ser establecido para soportar los planes de recuperación y continuidad de negocio. Los propietarios de los procesos del negocio y el personal de la función de TI deben involucrarse en determinar que recursos de respaldo deben ser almacenados en el sitio alterno. La instalación de almacenamiento externo debe contar con medidas ambientales apropiadas para los medios y otros recursos almacenados; y debe tener un nivel de seguridad suficiente, que permita proteger los recursos de respaldo contra accesos no autorizados, robo o daño. La Gerencia de TI debe asegurar que los acuerdos/contratos del sitio alterno son periódicamente analizados, al menos una vez al año, para garantizar que ofrezca seguridad y protección ambiental Se debe asegurar la compatibilidad de hardware y software para restaurar datos archivados, y periódicamente probar y refrescar datos archivados SISTESEG CORPORATION
  • 31. COBIT DS4- Asegurar el servicio continuo Recuperación y reanudación de servicios Planear las acciones a tomar para el período en el que TI recupera y reanuda servicios. Incluye: activación se sitios de respaldo, inicio de procesamiento alternativo, comunicación con clientes e interesados, y procedimientos de reanudación Asegurar que la compañía entiende los tiempos de recuperación de TI y las inversiones de tecnología necesarias para soportar las necesidades de recuperación y reanudación SISTESEG CORPORATION
  • 32. COBIT DS4- Asegurar el servicio continuo Procedimiento de afinamiento del Plan de Continuidad Dada una exitosa reanudación de la función de TI después de un desastre, la gerencia de TI deberá establecer procedimientos para evaluar lo adecuado del plan y actualizarlo de acuerdo con los resultados de dicha evaluación SISTESEG CORPORATION
  • 33. Rol del Auditor Aprendiz Capacitarse en estos temas Certificarse en estos temas Consultor Contribuir a la sensibilización y concientización sobre estos temas Durante la definición o establecimiento del Framework Durante el Proyecto Inicial de Construcción de Planes Sugiriendo innovaciones al Framework – Aporte de buenas prácticas Evaluador Durante la elaboración de los Planes Revisiones posteriores a los Procesos de Construcción de Planes Revisiones posteriores a los Planes SISTESEG CORPORATION
  • 34. Cómo Auditar? Planeación Evaluación de Controles El Proceso de Auditoría QA Recolección y evaluación de evidencia Reporte y Seguimiento SISTESEG CORPORATION
  • 35. Planeación Plan micro / Programa Estratégica Anual de Auditoría Inventario de Identificación Valoración de Componentes de impactos severidad SISTESEG CORPORATION
  • 36. Identificar y Priorizar el Universo de Objetos a Auditar Objetos Valor Riesgo Total Contratación Planeación Competitividad Financiero + ∑ (Valor + Riesgo) Desarrollo de Productos Complejidad Desarrollo de SW Rentabilidad procesos o Nuevos Administración de la Continuidad Imagentecnologías Seguridad Calidad del SCI Soporte Cumplimientola última visita Fecha de Seguridad ERP - SISTESEG CORPORATION
  • 37. Planeación Plan micro / Programa Estratégica Anual de Auditoría Planeación Planeación Valoración de Técnica Logística riesgos Alcance Memo y Programa Objetivos Planeación Auditoría Tipo de Auditoría Extensión de pruebas SISTESEG CORPORATION
  • 38. Tipo de Auditoría Verificación de cumplimiento Comparación contra buena práctica Certificación Cumplimiento de Objetivos de Control CMM (Capability Maturity Model) Basada en Riesgos Auditoría Puntual vs. Auditoría Continua SISTESEG CORPORATION
  • 39. COBIT 4.1 – IT Assurance Guide Estructura de Aseguramiento Objetivo de Inductores de Inductores de Control Valor Riesgo Pasos de Aseguramiento para probar el Diseño del Control Pasos de Aseguramiento para probar el Resultado de los Objetivos de Control Pasos de Aseguramiento para documentar el Impacto de las Debilidades de Control SISTESEG CORPORATION
  • 41. Definición del Alcance Comparación contra buena práctica Capability Maturity Model SISTESEG CORPORATION
  • 43. Auditoría basada en riesgos imponen Propietarios están interesados en Contramedidas Prácticas reducen de control previenen evitan o y detectan Riesgos mitigan de Agentes amenaza Amenazas Vulnerabilidades Activos explotan Escenarios de dan origen a tienen SISTESEG CORPORATION Vulnerabilidad / Amenaza
  • 44. Definición del Alcance Verificación de Cumplimiento o Comparación contra buena práctica Alcance Continuidad, Contingencia, Crisis, Desastres Recopilación de Regulaciones, Normas Internas, Relaciones contractuales y Procedimientos Solo para el Proceso DS4 Todos los Temas (Objetivos de Control) Algunos Temas (Objetivos de Control) Procesos Interrelacionados Planeación, Presupuesto, Administración de Riesgos, Gerencia de Proyectos, Personal SISTESEG CORPORATION
  • 45. Definiendo BCM Conceptos asociados – Incluye … • Planeación de negocio • Gerencia de proyectos • Administración de aplicaciones • Reorganización de procesos de negocio • Administración de riesgos de construcciones y edificios • Administración de crisis • Administración de emergencias • Alta disponibilidad • Seguridad de la información • Seguridad física • Análisis de riesgos y controles • Implementación de soluciones • Concientización, Entrenamiento y Educación SISTESEG CORPORATION
  • 46. Definiendo BCM Conceptos asociados – Incluye … Servidores Cluster, Fault Tolerance, etc. Redundancia en dispositivos de red (fault tolerance) y/o arquitecturas de alta disponibilidad Sitios alternos de procesamiento (hot site, cold site, entre otros) Software de replicación en Bases de Datos, Sistemas Operativos, Aplicaciones Arquitecturas de almacenamiento (Robots, SAN, NAS, CAS) Procesos de administración de la continuidad basado en estándares tales como ITIL, COBIT, NIST entre otros SISTESEG CORPORATION
  • 47. Ejecución de la Auditoría Recolección y Reunión Inicial Reunión Final Evaluación de Evidencia Pruebas de cumplimiento Pruebas sustantivas SISTESEG CORPORATION
  • 48. Pruebas de Cumplimiento Entrenamiento sobre el Plan de Continuidad de TI La metodología de Continuidad ante desastres deberá asegurar que todas las partes interesadas reciban sesiones de entrenamiento regulares con respecto a los procedimientos y roles a ser seguidos en caso de un incidente o un desastre Verificar la Existencia del Plan de Entrenamiento Solicitar Plan de Entrenamiento SISTESEG CORPORATION
  • 49. Pruebas Sustantivas Entrenamiento sobre el Plan de Continuidad de TI La metodología de Continuidad ante desastres deberá asegurar que todas las partes interesadas reciban sesiones de entrenamiento regulares con respecto a los procedimientos y roles a ser seguidos en caso de un incidente o un desastre Verificar la Ejecución del Plan de Entrenamiento Solicitar Planillas de Asistencia a Entrenamiento Contar el número de personas que han asistido a entrenamiento Calcular el porcentaje de personas que han asistido SISTESEG CORPORATION
  • 51. COBIT Procesos claves en IT/Governance Planeación y Alineamiento Estratégico Financieros Alineamiento con los Objetivos de Negocio Presupuesto operativo de TI Comité Estratégico de TI (Priorización) Presupuesto de capital de TI Estándares en estrategia y arquitectura de TI Administración de activos de TI Seguimiento de proyectos de TI Administración de contratos de TI Comité de Seguimiento Planeación y asignación de recursos de TI Soporte a iniciativas empresariales estratégicas Operaciones de TI Frameworks de Control Desarrollo de aplicaciones Políticas Gerenciales de Información Administración de Proyectos Corporativa – privacidad, propietarios de Ciclo de Vida para el Desarrollo de Sistemas procesos de negocio, retención de Soporte a producción registros Control y operación de producción Departamento de TI – CVDS, seguridad Programación de trabajos Estándares – COBIT, ITIL, ISO, SAS70 Backups del sistema Prácticas y procedimientos Arquitectura técnica Administración de la documentación del sistema Diseño, administración y operación de la red Aseguramiento de calidad Soporte a usuarios Cumplimiento regulatorio Administración de seguridad informática Procedimientos de escalamiento Continuidad de negocio y recuperación de Procedimientos de divulgación desastres Administración de contratos y de vendedores Principles of IT Governance, Stacey Hamaker, Information Systems Control Journal, Volume 2, 2004 SISTESEG CORPORATION
  • 52. Criterios para procesos de seguridad en TI Planeació Planeación para la recuperación de desastres recuperació Planeación para la Recuperación de Desastres No existe Plan de Recuperación de Desastres (PRD) Los backups no son adecuados (frecuencia y/o almacenamiento) para proteger la instalación. Los backups semanales y mensuales deben ser almacenados externamente; los diarios pueden ser almacenados en la sede si se mantienen en un lugar seguro contra fuego El PRD no ha sido probado adecuadamente El PRD no contiene todos los elementos requeridos por la política corporativa La instalación externa de backups no es adecuada Todas los requerimientos de las políticas corporativas se satisfacen La frecuencia y el almacenamiento de los backups es adecuado para asegurar recuperación de datos razonable Getting Action on Audit Results, Harry A. Sparks Information Systems Control Journal, Volume 6, 2003 SISTESEG CORPORATION
  • 53. Criterios para procesos de seguridad en TI Planeación para la recuperación de desastres Ubicación PRD Seguridad Lic. SW Total Ubicación 1 Ubicación 2 Ubicación 3 Ubicación 4 Ubicación 5 Getting Action on Audit Results, Harry A. Sparks Information Systems Control Journal, Volume 6, 2003 SISTESEG CORPORATION
  • 54. Criterios para procesos de seguridad en TI Planeación para la recuperación de desastres 2004 2005 PRD Seguridad Lic. SW Total Getting Action on Audit Results, Harry A. Sparks Information Systems Control Journal, Volume 6, 2003 SISTESEG CORPORATION
  • 55. Criterios para procesos de seguridad en TI Security Governance - ISACA Actual Valoración de Riesgos Deseado Atención de incidentes Continuidad de negocio SISTESEG CORPORATION
  • 56. Ejecución de la Auditoría Recolección y Reunión Inicial Reunión Final Evaluación de Evidencia Evidencia Física (Observación) Entrevista Cuestionarios Diagramas de flujo Pruebas de cumplimiento Procedimientos Análiticos Pruebas sustantivas Muestreo SISTESEG CORPORATION
  • 57. Enfoques de pruebas Estática (en papel) Walk-through (Caminata) Rol participativo Rol de prueba activa SISTESEG CORPORATION
  • 58. Tipos de pruebas Destructiva Verificación Observación estática SISTESEG CORPORATION
  • 59. Técnicas Inspección y observación Entrevista Revisión contra estándares aceptados Listas de chequeos y cuestionarios Simulación Prueba de escenarios Prueba sorpresa aleatoria Desconexión Participar en la prueba de compatibilidad Correr los sistemas críticos en sitios alternos Verificación del inventario de elementos para la recuperación Revisión de documentación Prueba del equipo tigre Observación de Programas de respaldo similares Revisar los resultados de las pruebas obtenidas por el equipo de recuperación Participar en pruebas de sitios de backup y Hot Simulacros de emergencia SISTESEG CORPORATION
  • 60. Herramientas de recolección de evidencia SW auditoría generalizado SW auditoría específico SW auditoría Herramientas de especializado auditoría concurrentes SISTESEG CORPORATION
  • 61. Ejecución de la Auditoría Recolección y Reunión Inicial Reunión Final Evaluación de Evidencia Evaluación de evidencia Hallazgos de Auditoría Deficiencias (criterios, condiciones, causas, efectos, recomendaciones) SISTESEG CORPORATION
  • 62. Reporte y Seguimiento Estructura de un Reporte de Auditoría Introducción Objetivos, Alcance y Metodología de la Auditoría Hallazgos de la Auditoría Conclusiones de la Auditoría Recomendaciones SISTESEG CORPORATION
  • 63. Por qué Auditar? Revisar para determinar lo adecuado de los Planes Qué tan bueno es? Qué tan actualizado está? Descubrir deficiencias serias sobre una base oportuna antes de que la organización deba implementarlas en una situación catastrófica real – DISMINUIR SORPRESAS Perspectiva independiente y fresca Mayor aseguramiento a la gerencia Motivación para una mayor calidad durante la elaboración del Plan Facilitar la justificación de provisiones SISTESEG CORPORATION
  • 64. Conclusiones Existen muchos beneficios al realizar Auditorías Entre má temprano participe el Auditor mayores serán los beneficios La Auditoría en este caso es un Control de Tipo Preventivo que facilita la corrección oportuna El empleo de buenas prácticas facilita la planeación y la ejecución de las auditorías SISTESEG CORPORATION
  • 65. Definiendo BCM Actividades a realizar • Proteger vidas, salud y seguridad (safety) • Proteger y asegurar facilidades, propiedades, y equipos de pérdidas • Restaurar facilidades, funciones y servicios tan rápido como sea posible • Mantener servicios y operaciones de negocio esenciales • Valorar la efectividad del plan, Post-emergencia • Iniciar mejoramientos del plan cuando sea necesario SISTESEG CORPORATION
  • 66. FIN!