Documente Academic
Documente Profesional
Documente Cultură
IX Ciclo
Ingeniería de Sistemas e Informática
Naturales
Humanas
Tecnológicas
Pérdida de potencia
Fallas en equipos UPS, plantas, etc.
Daños fortuitos
Fallas en condiciones ambientales
Denial of Service
• Casos Yahoo, Amazon, HotMail, etc.
Virus
Idea: Disponer de un plan que ayude a mitigar
el impacto de:
60’s
• Primeros planes de recuperación
• Solo Sistemas de Información
• Solo en EU
70’s
• Recuperación de Desastres
• Alguna actividad fuera de EU
• Dependencia de Sistemas
centralizados
Historia (cont.)
80’s
• Recuperación, no continuidad
• Planes probados por fuegos,
terremotos, huracanes
• Transición de planes de SI a planes
corporativos
• Aparece software especializado
90’s
• Planes corporativos
• Centrado en el negocio
Disaster Recovery Institute
Administración de Crisis
procedimentales
Tecnológicos
Dispositivos o
Comportamie
Presión de la
comerciales
competencia
nto humano
Relaciones
Riesgo
Fuentes de Consecuencias
legales y
naturales
Cambios
Cambios
Cambios
Software
Políticos
Eventos
equipos
Financiero Económico Objetivos
Disponibilidad Confidencialidad Integridad
Continuidad Accidentalidad
Opciones de Tratamiento Mitigar, Reducir, Aceptar,
Asumir, Evitar, Transferir
del Riesgo
Plan de Manejo
Respuesta al Riesgo
(Monitoreo, mantenimiento y Atención de incidentes)
Fases: Definición
Requerimientos Funcionales
Diseño y Desarrollo
Implementación
Pruebas y ejercicios
Mantenimiento
Ejecución
Etapas durante un desastre
Normalidad
Normalidad
DESASTRE
Declaración de la emergencia
Toma de decisiones
Reanudación de operaciones
Restauración
Recuperación de las capacidades
Fase 1: Definición
TELECOMUNICACIONES
Hardware (Mainframe,
PC’s, LAN)
Análisis de Riesgos
El análisis de riesgos permite identificar las vulnerabilidades de
la compañía, evaluar los controles existentes, así como prever si
son necesarios nuevos controles.
Puede ser cualitativo o cuantitativo
Análisis de Riesgos (cont.)
Actividades:
• Identificar las amenazas y vulnerabilidades sobre los
elementos críticos
• Establecer los riesgos utilizando A.L.E (Anual Loss Exposure)
• Identificar y analizar controles existentes
• Analizar el valor de los controles adicionales
• Recomendar la implantación de controles para mitigar los
riesgos
Análisis de impacto del negocio
Basados en los riesgos ya identificados:
Determinar los procesos, funciones, departamentos y áreas de
trabajo del negocio sensibles en el tiempo
Determinar los sistemas, datos y telecomunicaciones sensibles
en el tiempo
Determinar el tiempo de disponibilidad requerido (RTO)
Análisis de impacto del negocio (cont.)
Es importante definir el criterio de criticidad de las funciones y
procesos
Definir las consecuencias de las caídas del negocio
Establecer el RTO (tiempo objetivo de recuperación) de los
procesos críticos
Recovery Time Objective
tiempo
Recovery Time Objective
Procesos del
Es el tiempo entre el punto de interrupción, y el punto en el cuál negocio
los sistemas sensibles en el tiempo deben estar funcionando funcionando
nuevamente, con los datos actualizados
Identificación de estrategias
• Diferir acciones
• Procedimientos manuales
• Acuerdos recíprocos
• Sitios alternos
• Servicios comerciales (recuperación interna, hot site, cold
site, warm site, nada)
• Consorcio con otras compañías
• Procesamiento distribuido
• Comunicaciones alternas
Identificación de estrategias (cont.)
Seleccionar el almacenamiento fuera del sitio
Seleccionar el sitio alterno
Realizar un análisis costo beneficio
Fase 3: Diseño y desarrollo
Definir el alcance del plan
Estructurar una organización jerárquica paralela para
administrar emergencias, con esquemas de notificación
Definición de escenarios
Programas de control de personal
Detallar la administración general del plan
Fase 4: Implementación