Beruflich Dokumente
Kultur Dokumente
Data Hurfana Toda informacin creada, modificada eliminada entre la ltima copia de seguridad y el punto de falla. Tiempo de Tolerancia Tiempo aceptable de inoperatividad de los procesos segn los usuarios. Tiempo de Recuperacin Tiempo estimado de recuperacin de la infraestructura que soporta la operatividad de los procesos (local, sistemas, servicios, etc.)
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Proceso Conjunto de actividades, tareas y procedimientos organizados y repetibles. Proceso Crtico Proceso considerado como indispensable para la continuidad de las operaciones y servicios de la empresa, y cuya falta o ejecucin deficiente puede tener un impacto financiero significativo para la empresa.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
procesos crticos
Es una estrategia planificada y constituida por: un conjunto de recursos de respaldo, una organizacin de emergencia y unos procedimientos de actuacin encaminada a conseguir la restauracin
Identificacin
proteccin
de
los
nivel
aceptable
de
operaciones,
para de la
preparando asegurar la
procedimientos supervisin
organizacin
en
el
caso
de
una
interrupcin significativa
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Dada
la
probabilidad
de
un
evento,
escenarios de desastre:
Prdida o no disponibilidad del local ni del equipamiento por efectos del fuego , falta de energa o cualquier otro evento (inundacin, terremoto, etc.) Falla de componente de TI, prdida o no disponibilidad del centro de cmputo En ese sentido los escenarios tpicos son: Desastre total del local principal Desastre total del centro de GESTION DE TIC Y SEGURIDAD DE LA INFORMACION cmputo
Operacin Normal
Interrupcin
Continuidad de procesos crticos de negocio Procesos crticos parcial o totalmente recuperados
Respuesta inmediata
Proceso de Recuperacin
Proceso de Restauracin
Que la alta direccin o gerencia tenga pleno conocimiento y este alerta a las posibilidades de un evento negativo que pueda afectar la operacin del negocio total o parcialmente. Obtener el compromiso gerencial que ponga en marcha un programa de recuperacin de negocios.
Que criterios debe utilizar para obtener el compromiso gerencial? Conocer su audiencia Entender como se logra las planificaciones en su empresa Alertar, luego obtener el compromiso Usar ejemplos relevantes Tratar que lo escuchen no que lo oigan El compromiso debe iniciarse luego de la presentacin Conseguir un patrocinador que sea proactivo y que elimine obstculos.
OBJETIVO: GANAR EL COMPROMISO DE LOS PARTICIPANTES PARA INICIAR UN PLAN DE CONTINUIDADGESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Personal
Planes Orientado a la Accin Simple y Concreto Checklists: Procesos Crticos Sistemas y respaldos Roles y responsabilidades Equipo de recuperacin
Infraestructura Centro de Direccin Instalaciones del Negocio Recursos Equipamiento (negocio) Equipamiento (tecnologa Mobiliario Acuerdos con Proveedores Comunicaciones
Equipo Integrado:
Caractersticas destreza, entrenado autoridad especialistas alternos Proceso de escalabilidad Roles claros Conciencia Responsabilidad
Material de referencia
Nmeros de Contacto
Anlisis
Etapa I Planificacin del Proyecto
A Planificacin del proyecto B Evaluacin de los planes existentes C Procesos y Funciones Crticas D Riesgos Amenazas
Diseo
Etapa III Seleccin de Estrategia de Recuperacin
F G
Implementacin
Etapa IV Elaboracin del PCN
K Curso de Accin L Preparacin del Plan
Etapa II
Etapa V
Prueba y Manten.
M Prueba y Mantenimiento Del Plan
Hallazgos Recursos Recursos EstrategiMnimos Mnimos as de de y conclu- de Recupe de Recupe Recuperaracin racin Inoperancia siones cin y (no-comp) (comp) Respaldo Aceptada
j Locacin de Respald o
Actividades
Revisin de documentacin existente que tenga relacin con el planeamiento de la continuidad, como son los procesos, inventarios, aplicaciones, etc. Coordinar con TI, logstica, riesgos, etc. Desarrollar y adecuar plantillas y herramientas de trabajo Entender la cultura de la empresa Definir los supuestos del plan Identificar las personas claves para la direccin del proyecto (Sponsor) Desarrollo del plan del proyecto (Alcance, plan de trabajo, cronograma, roles y responsabilidades) GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
existente
Informacin de procesos crticos Inventario de tecnologa crtica que soporta los procesos Organigramas Informacin de Seguros Anlisis de Riesgo Evaluaciones de seguridad fsica Informacin de ocurrencias /eventos/desastres. Supuestos Deben ser realistas y limitados en nmeros Deben proveer suficiente detalle de tal manera que las personas comprendan lo que necesitan ejecutar en sus planes.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
El PCN puede ser dirigido por TI, Riesgos, Auditoria, Finanzas, Operaciones, Legal, Administracin, Seguridad, etc. En el sector financiero existe la tendencia a ser liderado por el rea corporativa de riesgos.
Es responsable de:
El equipo de desarrollo trabajar en conjunto para: Desarrollar el material para el BCP, definir las plantillas y las herramientas a usar. Brindar asesora metodolgica para el desarrollo del BCP Facilitar los talleres y las reuniones de trabajo.
El equipo de lderes trabajar en conjunto para: Coordinar el desarrollo del BCP para los procesos crticos asignados Actuar como punto central de contacto con los expertos, durante el proyecto Asegurar que los problemas sean resueltos apropiada y rpidamente Considerar e incluir las unidades de negocios interdependientes.
Organigrama de proyecto
Plan del proyecto
Definir el PCN
Delinear el alcance y cronograma del proyecto Describir los de roles los y
diferente del
organizacin
Soporte y compromiso de la alta gerencia. Uso de un enfoque de planeamiento basado en escenarios. Respuesta a incidentes / emergencia claramente definida.
Falta de compromiso de la organizacin (recursos, presupuesto, gestin del proyecto) Delegar a TI todo el esfuerzo del PCN
Acumular la informacin y/o entrevistas de la Gerencia de las Unidades del Negocio Validar Funciones, recursos y tiempos de recuperacin Crticos del Negocio Presentacin del Anlisis de Impacto final a la Gerencia Inventario de los procesos crticos y Necesarios del Negocio Evaluacin de las medidas existentes de reduccin de riesgos (Control)
El anlisis de impacto debe ser utilizado de dos maneras ; como herramientas para la evaluacin de las amenazas y como una herramienta para determinar los requerimientos del negocio en el evento de una contingencia.
Anlisis de Impacto
Prdida de imagen Responsabilidades legales Prdida de mercado Costos financieros Prdida de Ventas
Costos adicionales
operativos El tipo de impacto depende de la naturaleza del negocio. La evaluacin de la amenaza ser directamente proporcional al impacto en el negocio y a la probabilidad de ocurrencia.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
En varios de los casos la imagen tiene mayor impacto, debido a que es difcilmente cuantificable y se traduce finalmente en prdida de mercado
Oportunidad para que la competencia demuestre su capacidad de brindar soluciones mas seguras. Prdida de nuevos clientes y exposicin ante nuestros actuales clientes que utilizan nuestros servicios.
Para cada amenaza no tolerable se debe desarrollar el anlisis de impacto por la ocurrencia de la misma, identificando para cada proceso afectado los recursos, tiempos de recuperacin y otros elementos a considerar para la continuidad del proceso.
Procesos de Negocio Costo de Interrupcin Recursos crticos Aplicaciones crticas Capacidad de generar manualmente Tiempo de recuperacin
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Actividades Relevar informacin sobre las unidades de negocio a travs del cuestionario de anlisis de impacto, con los representante de cada rea (expertos) Revisar y discutir con las gerencias y/o jefaturas la informacin relevada en los cuestionarios de anlisis de impacto Validar procesos, recursos y tiempos de recuperacin crticos del negocio Identificar las amenazas y/o vulnerabilidades, evaluar probabilidad de ocurrencia Evaluar las medidas implantadas para mitigar las consecuencias Presentacin del anlisis de impacto y evaluacin de riesgos final a la Alta Gerencia
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Es una evaluacin de las funciones de negocio de una empresa, con el objetivo de comprender los procesos de negocio crticos, dependencias y requerimientos
Objetivo: Determinar la criticidad de los procesos de cada rea evaluada para la Ca.
del rea.
Programa de Seguridad
Programa de Seguridad de la Informacin Plan de Emergencia Programa de Registros Vitales
Cul sera la prdida mxima que podra sufrir la empresa ante la ocurrencia del escenario definido si no contara con un PCN? No contar con PCN normalmente implica cesar operaciones hasta que la situacin normal pueda restaurarse Cunto tiempo demorara esta restauracin en funcin del
escenario definido?
Si durante este tiempo de demora, la empresa cesa sus operaciones, Cul es la prdida total? La empresa podra sobrevivir ese lapso sin operar?
Objetivo: Aqu el objetivo es definir cules sern los procesos de negocio que estarn comprendidos en el plan (alcance) Establecer en qu tiempo podr restaurarse la operacin de dichos procesos (RTO: Recovery Time Objective) Los procesos comprendidos en el alcance sern restaurados en el plazo definidos por el RTO Los procesos fuera del alcance cesarn su ejecucin hasta que pueda ser restaurada la operacin normal.
El impacto o peso final de cada proceso ser una evaluacin de la gerencia en base al impacto financiero y no financiero.
Momento de la Quiebra
Tiempo de Interrupcin
El impacto o peso final del proceso ser un proceso de evaluacin comparativo entre los procesos y determinar la criticidad del proceso.
Extender el alcance del plan reduce el impacto de las prdidas de ingresos pero incrementa el costo de montar y mantener el plan Reducir el RTO reduce el impacto de las prdidas de ingreso, pero incrementa el costo de montar y mantener el plan
Prdida
Costo
Costo
Prdida
Alcance
RTO
Inventario de procesos crticos del negocio Anlisis de las potenciales amenazas para el negocio Evaluacin de las medidas existentes de reduccin de riesgos Determinacin del impacto financiero y operacional de una interrupcin sobre un proceso de negocio no crtico Establecimiento del tiempo de inoperancia aceptada para la recuperacin de cada proceso crtico del negocio para un nivel aceptable de operacin de emergencia seguida de la interrupcin Establecimiento de recursos mnimos requeridos por procesos de negocio crticos para la recuperacin.
Discutir Acerca de las estrategias de recuperacin para proveer los recursos requeridos de recuperacin.
estrategias de recuperacin. Revisar y aprobar la mejor forma de operar disponible para la estrategia de recuperacin.
Para Tecnologa de la Informacin y facilidades, identificar la ms adecuada estrategia de recuperacin de acuerdo a los requerimientos del negocio, considerando el tiempo de recuperacin y el costo asociado. Para los procesos de negocio, identificar la estrategia para el proceso de negocio, mientras se espera la recuperacin de TI y las facilidades Para la empresa, identificar la estrategia de negocio con proveedores, alianzas, seguros, registros vitales, seguridad del empleado, comunicaciones, etc. Definir nivel de servicio
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Desastre declarado (2 hrs.) Evacuacin Evaluacin del dao Reunir al personal Definir lugar de recuperacin Traslado al lugar de la recuperacin Avisar al lugar de la recuperacin Traslado del personal
Servidores
Hardware Data (Backup) Esfuerzos Adicionales Sincronizacin de data Verificar aplicaciones y comunicaciones Ejecucin de procesos batch
Reunir al personal
Traslado al lugar de la recuperacin
Se debe identificar los elementos requeridos para poder continuar con la operacin en caso de una contingencia Conectividad Localidades Servicios de Oficina Tecnologa Transporte
Telefona
Espacio para usuarios
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
En la medida que los sistemas se vuelven ms crticos se debern desarrollar soluciones acordes para mantener la capacidad de continuar con las operaciones crticas en caso de desastre. El diseo debe tomar en consideracin: Tiempo de recuperacin Cunta informacin puede perderse Cunto representa econmicamente prdida Capacidad de procesamiento manual Plataforma tecnolgica
la
Minutos
Horas
HOT SITE: Ubicacin que cuenta con las instalaciones, equipos de cmputo, telecomunicaciones, lneas dedicadas y Personal preparado para manejar las operaciones realizadas en otro centro de cmputo, el cual ha sido afectado por algn evento.
RTO: de 4 a 24 hrs. Capacidad: para un nmero determinado de empleados Ubicacin: otro local de la Compaa o proveedor especializado Uso: seguridad, mantenimiento de equipamiento, local conocido, siempre disponible, realizacin de pruebas. Costo: slto, se considera comunicaciones, equipamiento, mantenimiento Ejemplo: agencia, otro local de la Ca., centro de contingencia de terceros.
Obras Civiles Instalaciones elctricas Equipos Auxiliares Sistemas de Seguridad Cableado estructurado
Hardware Software Equipos de Comunicaciones Medios de Comunicaciones Soporte de Hardware Soporte de Software Soporte de Comunicaciones Soporte de Produccin y Operaciones
Adicionalmente se requiere personal para la seguridad del local y limpieza del local
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Centro Propio Los constantes cambios en los negocios y la tecnologa requiere una constante maejo de cambios y actualizaciones, con personal disponible y preparado. Constante inversin en equipamiento, contratos de mantenimientos y seguros. La operacin del centro de cmputo requiere de personal dedicado y entrenado en el manejo y mantenimiento del mismo
Centro Proveedor de Servicio Cuentan con personal con experiencia en la problemtica y entrenada. E general las n inversiones son recuperadas en un esquema de econompia en escala
Sistema Operacional
E equipo de operaciones tiene un manejo l optimizado al contar con un equipo de produccin y operacin dedicado a los distintos servicios del centro. Incluyendo personal de mantenimiento (Hw/ Sw) de seguridad, servicios auxiliares y de limpieza E equipo de coordinacin del servicio tiene l personal asignado a estas responsabilidades y en constante coordinacin con otras reas u terceros
Requiere constantes pruebas, mantenimiento y personal entrenados para reaccionar. Asi como el manejo de las relaciones entre reas afines u terceros para complementar los servicios
Soporte tcnico
E caso de contingencia se requiere del empleo Los proveedores cuentan con un grupo de n del personal tcnico para la recuperacin, lo cual soporte tcnico, instalaciones y manteniemento estara limitado al personal de la empresa de hardware pudiendo incluso afectar la realizacin de algunas tareas por no contar con los recursos humanos disponibles
recuperacin objetivo requerimientos negocio para la recuperacin (personal, procesos y tecnologa) Costos (inicial, en operacin, reutilizacin de activos) Capacidad y tiempo de ejecucin Seguridad y continuidad
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Costo US$
Ventana
Resumen de estrategias seleccionadas. Detalle de estrategias seleccionadas: Negocios De la ubicacin fsica De la operacin alternativa (manual) De comunicaciones Detalle de estrategias seleccionadas: Sistemas Descripcin de la estrategia seleccionada por cada recurso TI crtico (Infraestructura, servidores, servicios, comunicaciones, etc.) Consideraciones para la validez de cada estrategia Data crtica y frecuencia de backups Contrato con proveedores Actividades principales y tiempo de recuperacin estimado Restricciones por la estrategia seleccionada
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
- Centro de comando (disponible siempre) Alberga a la alta gerencia inmediatamente despus de lo sucedido el desastre, a fin de proveerles un lugar adecuado para la toma de decisiones - Centro de Cmputo Alterno Alberga los equipos de computo y personal encargado de continuar con el soporte tecnolgico que permite la ejecucin de los procedimientos crticos del negocio - Centro de Negocio Alterno Alberga los equipos encargados de continuar con la ejecucin de los procedimientos crticos del negocio.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Identificacin y anlisis costo/beneficio de las estrategias de recuperacin alternas (aprobada por la gerencia) Requerimientos de ubicacin fsica de recuperacin. Requerimientos para estimar/requerir la preparacin y distribucin de propuestas Estrategias de recuperacin recomendadas para las funciones crticas de negocio. Evaluacin de soluciones crticas de negocio. Acuerdos formales del site alterno. Medidas para la reduccin de riesgos. Establecimiento del tiempo de inoperancia aceptada para la recuperacin de cada proceso crtico del negocio para un nivel aceptable de operacin de emergencia seguida de la interrupcin. Establecimiento de recursos mnimos requeridos por procesos de negocio crticos para la recuperacin.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Definir los equipos de recuperacin de desastre. Preparar la declaracin de procedimientos de desastre (Gua de Referencia Rpida). Organizacin y Planificacin Recuperacin de Infraestructura Fsica Recuperacin de Infraestructura de Cmputo Recuperacin de Aplicaciones de cmputo Actividades de Post- Recuperacin Preparar el marco del trabajo del plan Preparar los procedimientos de los equipos departamentos crticos Documentar los arreglos de recuperacin Elaborar el borrador del Plan de Continuidad del Negocio.
Es necesario que alguien o algn equipo se haga cargo de desarrollar y mantener la documentacin
La documentacin: Registrar situaciones y lo pensado antes que se produzca una interrupcin Establecer responsabilidades
Sin documentacin no hay plan de recuperacin Sin plan de recuperacin NO hay continuidad del negocio
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Durante el tiempo que no se cuente con soporte Informtico las operaciones, de manera restringida debe continuar si es necesario. Procedimientos Formatos impresos Base de datos respaldados Listados e impresiones Documentacin
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Ejemplos de documentacin
Software y Datos
Sistema operativo y subsistemas Bibliotecas de sistemas Bases de datos Biblioteca de procedimientos Procesos batch Diccionario de datos
Ejemplos de documentacin Inventario de Software Las versiones de documentacin debe ser la mas reciente y en medios magnticos Tener un conjunto de datos de prueba y los resultados que se deberan obtener. Diagramas de flujo y tablas de decisin Detalle de cualquier configuracin o condicin de operacin requerida, incluyendo requerimientos de sistemas operativo. Instrucciones de procesamiento y mensajes, comprobacin y respuesta.
Ejemplos
de
documentacin
Personas a contactar Miembro del equipo Nombres, telfonos Contactos de: direcciones y
Comunicaciones
Acuerdos recprocos Usuarios externos Nivel de servicios
Departamento
servicios Seguros Alquileres
Lneas, protocolos
velocidad,
Formularios legales Fuentes de suministros Suministros para oficina Formatos de ingreso de datos
Configuraciones
Procedimientos
Formatos
procedimientos
de
Misin: Asegurar que toda la informacin a recuperar est completa, almacenada en un local externo seguro, utilizable y que pueda ser obtenida fcilmente por las persona autorizadas.
Objetivos: Debe cumplir con reducir la ventana de recuperacin y los acuerdos de niveles de servicio, al nivel requerido por el negocio. Los procedimientos deben considerar: Tiempo de recuperacin del ambiente operacional (hw, sw, comunicaciones, S.O., programas, productos y aplicaciones) La disponibilidad acordado en los SLA. Tiempo de recuperacin de la data huerfana
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Revise las etiquetas con los detalles del respaldo previo Emita reportes de excepciones que indiquen data que no esta siendo respaldada Peridicamente emita otros reportes mostrando el contenido de las cintas o volmenes Que cintas estn libres? Qu cintas tiene informacin? Dnde estn las cintas XYZ en este instante? Qu cintas deben salir hoy ? Qu cintas estn viejas? Se prueban las cintas?
Responsabilidades Verificar los procesos de respaldo. Probar el estado de los respaldos. Notificar del desvo de los objetivos de respaldo. Mantener los medios de respaldo. Revisar el manejo de los registros vitales. Mantener un sistema que permita el manejo de los registros entre: Centro de Cmputo Almacn externo y recuperarlos en forma controlada
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
frecuencia reducen
de el
de
recuperacin,
mejora la actualidad de la
informacin.
El plan debe minimizar las interrupciones y la duracin y el impacto de las mismas. En el rea de TI existen una serie de disciplinas que afectan directamente
Administracin de Cambio El cambio ha sido probado y documentado? Existe un plan de contingencia en caso de que el cambio traiga problemas? Todas las referencias documentadas han sido actualizadas y el personal preparado?
Qu nivel de disponibilidad
requiero?
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Administracin de la disponibilidad Qu nivel de disponibilidad hemos obtenido este mes? Existe una mejor forma de medir y controlar la
Se ha revisado el consumo de
suministros y estn identificados los proveedores? En caso de interrupciones existen documentados soporte? procedimientos para solicitar
disponibilidad?
Administracin de los procesos de respaldo y recuperacin Con qu frecuencia debemos tomar respaldo? Se han probado los procesos de recuperacin? El tiempo de recuperacin es el adecuado?
Administracin de la capacidad y rendimiento El equipamiento actual tiene la capacidad suficiente para manejar la demanda futura? Es el uso de los recursos el adecuado? El equipamiento podr soportar la nueva aplicacin sin afectar las otras?
Administracin de problemas
determinar cuando se utilizar el plan. Seccin que documente los pasos a seguir inmediatamente luego de ocurrido el desastre. Procedimientos para recuperar las operaciones de los procesos crticos. Responsabilidades y actividades para todos los equipos de recuperacin. Informacin sobre acuerdos coordinados previamente a la ocurrencia del desastre. Apndices para listas de inventario, contactos, mapas, diagramas y procedimientos de recuperacin, procedimientos manuales y otra informacin detallada.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Un plan no es la solucin Un plan no recupera el negocio Un plan son papeles con informacin Las personas recuperan el negocio Las personas requieren de toda la infraestructura para recuperar el negocio.
Preguntas que debe contestar el plan: quin?, qu?, cundo? dnde?, porqu?, cmo?
El plan debe reunir la informacin necesaria para comprender y dar continuidad a las funciones del: Personal, Local, Tecnologa, Proveedores
El alcance, sofisticacin y tamao del plan depender de los requerimientos del negocio y de cada proceso. El plan necesita ser: Tctico, Detallado, Ejecutable GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Planificacin de las Pruebas. Definicin de Escenarios de Pruebas. Participantes en las pruebas. Documentacin de las pruebas. Revisin de los resultados de las pruebas. Actualizacin del Plan. Cronograma de las pruebas.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
fortuitos de la prueba
Dirigir el mantenimiento del PCN basado en los resultados de las pruebas del mismo.
Los objetivos del plan de pruebas son: Asegurar la familiaridad y habilidad de los equipos con sus actividades en caso de contingencia. Validar, identificar expuestos y realizar ajustes a la capacidad de recuperacin Consideraciones a tomar en cuenta en la planificacin de pruebas: Las pruebas pueden ser ejecutadas en forma total o parcial Se debe obtener informacin detallada del desarrollo de la prueba para el anlisis Se debe simular las condiciones de una situacin real de recuperacin Se debe utilizar slo informacin que se encuentra en el almacenamiento externo.
1.
Personal
- Gerencia comprometida - Equipos participantes
2.
Objetivos y Alcance de la Prueba - Definir alcance de la prueba (a nivel procesos, aplicacin u componente) - Listar los objetivos primarios de la prueba y los resultados esperados. - Listar los objetivos secundarios de la prueba y los resultados esperados. - Fijar lmite de tiempo para completar los objetivos. Medicin de la Prueba - Registro de la hora inicio y trmino de las tareas y de la prueba. - Documentar los problemas encontrados. - Registrar cualquier desviacin del plan de prueba. Revisin post prueba - Fueron correctos los parmetros? - Se consiguieron los objetivos? - Fue correcto el criterio de medicin? - Identifique reas de problemas, fortalezas y desviaciones del plan - Recomendaciones para mejoras
3.
4.
Diseada
para evaluar lo comprensible y efectivo que es lo especificado en cada procedimiento de recuperacin. El aislamiento de procedimientos de recuperacin clave permite a los equipos enfocar sus esfuerzos a una prueba limitada que puede ser afectada al realizar una prueba total.
Los
Acceso remoto
Recuperacin de un proceso crtico.
Determinar
si
la
documentacin
de
las
estrategias
de
recuperacin y procedimientos de recuperacin son viables y permiten la recuperacin en el tiempo requerido Validar las premisas y los supuestos definidos Identificar debilidades y fortalezas Incorporar la exigencia de la participacin conjunta de sistemas y
negocios
Incrementar la familiaridad con los procedimientos.
Determinar el alcance
Determinar los objetivos Determinar el mtodo de prueba que permita cumplir con el alcance y objetivo Determinar los participantes Definir el tiempo de prueba Crear el ambiente de prueba (escenario,
Realizar el seguimiento por medio de cuestionarios o reuniones Realizar crticas sobre la prueba y el plan Llevar las discusiones formales sobre los problemas presentados en la prueba Documentar las pruebas realizadas y los
problemas ocurridos
Actualizacin del plan Considerar los problemas ocurridos para la siguiente prueba
Mantenimiento programado
Revisiones trimestrales Revisin semestral Revisin mensual Mantenimiento no programado por cambios importantes en la organizacin
El mantenimiento del plan es responsabilidad del lder del comit de recuperacin y de los lderes de los grupos participantes Los cambios son integrados al plan a travs de procesos de manejo de cambios y problemas Los cambios son identificados a travs de la revisin peridica integral o parcial del plan El plan puede requerir actualizacin como resultado de las pruebas El plan puede requerir actualizacin en base a las recomendaciones de la auditoria.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Roles y responsabilidades continuas sobre el PCN Escenarios significativos de pruebas Definicin de objetivos, cronogramas y disponibilidad de recursos para la prueba Prueba y reportes con los resultados de las pruebas Revisin del ciclo de mantenimiento despus de la prueba Informe de estado del plan para la gerencia
Estado de Contingencia
Estado de Resturacin
Organizacin y planificacin 1. Introduccin 2. Objetivo y Alcance 3. Supuestos y premisas 4. Polticas de pruebas y mantenimiento
Plan de pruebas
Plan mantenimiento de
6. Equipos de contingencia * Comit de contingencia * Lder del plan * Central de monitoreo * Equipo de evacuacin * Equipo de evaluacin de daos * Equipo de soporte corporativo * Equipo de soporte de negocios * Equipo de soporte de tecnologa de informacin
todos
los
procesos
crticos
del
negocio requeridos para mantener un nivel aceptable de operacin ante una interrupcin de los mismos y/o de los recursos que lo soportan
Plan de Recuperacin de Sistemas Plan que direcciona la recuperacin y operacin en contingencia de las
aplicaciones
crticas,
incluyendo
comunicaciones, redes, hardware, software y datos ante un evento que origine la interrupcin de la
Objetivo principal
Diagrama de escalamiento Centro de Cmputo de Contingencia o Alterno Equipos de Plan de Recuperacin de Sistemas
Equipo de Recuperacin
Equipo de Operacin y Produccin Equipo de Soporte Tecnolgico Equipo de Comunicaciones y Redes
Equipo de ...................
Se documentarn los procedimientos manuales de recuperacin de cada recurso de TI como anexo al plan
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
A. Toffler
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION