Gestión estratégica de seguridad en la empresa - Anetcom

More documents

Recommendations

Info

70 ble de servicio estima que la entidad puede operar sin dicho servicio sin causar pérdidas económicas de consideración. Ser realista en la estimación de dicho indicador es un factor crítico, puesto que cuanto menor es este valor mayor será el coste de implementación de la estrategia de respaldo a seleccionar. Exagerando, si se decide que el RTO de todo es 0 horas, la única estrategia posible de respaldo equivale a la implantación de un sistema geográficamente redundante de la totalidad de los servicios primarios y de soporte. Es por ello, que el RTO estimado por el responsable de servicio, debe ser validado por una persona de mayor peso y con mayor conocimiento del impacto que la carencia de dicho servicio tiene sobre la entidad. Esto es fundamentalmente debido a que el éxito profesional del responsable de servicio está directamente ligado a la disponibilidad de dicho servicio, y para él siempre será crítico. El siguiente paso incluye la priorización de los mismos mediante la ordenación de los servicios en base a su RTO. Si el trabajo anterior se ha realizado concienzudamente debería existir una gran variedad en el tiempo aceptable de disponibilidad. El siguiente paso es un factor crítico. Se trata de establecer una línea de corte que delimitará aquellos servicios para los cuales se establecerá una estrategia de respaldo y continuidad, y aquellos para los que no. Huelga decir, que un servicio que hoy no se considera crítico pueda serlo mañana. Por ejemplo, los entornos de banca on-line no se consideraban críticos en sus inicios y a fecha de hoy se han convertido en una de sus mayores sucursales. En consecuencia, mantener actualizado el mapa de servicios y la selección de servicios críticos ayudará considerablemente a disminuir los costes de actualización del plan de continuidad en el momento que se decida oportuno; de otro modo, sería necesario repetir toda esta fase para la totalidad de servicios. Para los servicios críticos de la entidad, se ha de proceder a determinar cuáles son los activos de la entidad que soportan dicho servicios. Entre los activos hay que pensar en dependencias físicas, en personal, en los sistemas y comunicaciones que dan soporte a los mismos, las aplicaciones, los datos, etc. Esta información es crítica para poder establecer las estrategias de continuidad oportunas.
Ilustración 13.- Ejemplo de RTO y RPO (datos necesarios para RPO). 2.5.2. Definición de la estrategia de respaldo y continuidad Una vez determinados los servicios críticos, sus RTOs y los activos que soportan dichos servicios se propone la definición de la estrategia de respaldo. Para establecer dicha estrategia, es necesario definir genéricamente frente a qué escenarios se quiere estar preparado. De este modo, no tiene porque ser la misma estrategia la que se defina frente al escenario en el que un edificio se incendie totalmente, que en el que se inunde el centro de proceso de datos, o simplemente haya una caída eléctrica prolongada. Según los escenarios previstos, se contemplarán estrategias globales o parciales. Por ejemplo, si se contemplase un escenario equivalente al incendio de un edificio habría que establecer una estrategia global mediante la cual la entidad deberá respaldar la totalidad de los recursos asociados a los servicios críticos. De hecho, entre otros aspectos, deberá contemplar dónde ubicar a los empleados y con qué recursos. Por otro lado, si se contempla una caída energética prolongada se definiría una estrategia parcial. Dicha estrategia podría estar basada en los grupos electrógenos existentes, en los sistemas de alimentación ininterrumpida y en el apagado eléctrico de todos aquellos recursos no considerados críticos, como por ejemplo los ascensores. En consecuencia, es de especial relevancia y consideración saber contra qué se está preparado y contra qué no. 71
Page 3 and 4:
Gestión Estratégica de Seguridad
Page 5 and 6:
Índice Prólogo 7 1. Introducción
Page 9 and 10:
Prólogo La Seguridad de los Sistem
Page 13 and 14:
Introducción Definitivamente era m
Page 15 and 16:
Ilustración 1.- Seguridad de la In
Page 17 and 18:
Dado el escenario planteado, en el
Page 19 and 20:
que se enfrenta su organización, s
Page 21 and 22: fiduciarios y específicos de segur
Page 23 and 24: Ilustración 2.- El papel del Gobie
Page 25: sos humanos, tecnología, continuid
Page 28 and 29: 26 ción haga suya dicha política,
Page 30 and 31: 28 1. Definición del equipo de red
Page 32 and 33: 30 A la segunda de las preguntas se
Page 34 and 35: 32 les (ISO, NIST, etc.), así como
Page 36 and 37: 34 ¿Por qué incluir en un inventa
Page 38 and 39: 36 2.2.3. El riesgo como factor de
Page 40 and 41: 38 2.2.4. Algunas realidades en la
Page 42 and 43: 40 Cuando se aborda la determinaci
Page 44 and 45: ◆ 42 dicho análisis debe ser val
Page 46 and 47: 44 Su objetivo es por tanto prioriz
Page 48 and 49: 46 que a través del Plan Director
Page 50 and 51: 48 El último aspecto que se debe r
Page 52 and 53: 50 • La gestión. • Los sistema
Page 54 and 55: 52 • Existen varias líneas de de
Page 56 and 57: 54 La política de mantenimiento de
Page 58 and 59: 56 • Proporcionar seguridad de lo
Page 60 and 61: 58 tructura de cortafuegos, segment
Page 62 and 63: 60 • Dispositivos móviles accedi
Page 64 and 65: 62 • Accesos remotos (redes priva
Page 66 and 67: 64 Estas tecnologías suelen trabaj
Page 68 and 69: 66 de la continuidad se ha converti
Page 70 and 71: 68 ción y los recursos necesarios
Page 74 and 75: 72 Ilustración 14.- Priorización
Page 76 and 77: 74 la intimidad personal y familiar
Page 78 and 79: 76 Gestión de incidencias Control
Page 80 and 81: 78 • Los precios de los productos
Page 82 and 83: 80 para la realización de las audi
Page 84 and 85: 82 Si lo deseado es un resultado ho
Page 86 and 87: 84 le queda en el depósito o si ha
Page 88 and 89: 86 los indicadores y métricas de s
Page 90 and 91: 88 En definitiva, el Cuadro de Mand
Page 92 and 93: 90 Otro caso especialmente relevant
Page 94 and 95: 92 • Certificaciones de Seguridad
Page 96 and 97: 94 • ISO/IEC 27001 se centra en l
Page 98 and 99: 96 pero que no sabe si se está rea
Page 100 and 101: 98 económicos. Por ello, es fundam
Page 102 and 103: 100 esta fase se encarga también d
Page 104 and 105: 102 COBIT® parte de un concepto se
Page 106 and 107: ◆ 3.3. Gestión de Servicios TI:
Page 108 and 109: 106 1. Alcance. 2. Términos y defi
Page 111: • ISO 17799 • COBIT • ISO 270
show all

Gestión estratégica de seguridad en la empresa - Anetcom

Create successful ePaper yourself

Delete template?

Save as template?