Puestos de trabajo de seguridad de la información: la continuidad del negocio y la planificación de recuperación de desastres

Desastres, naturales y artificiales, ocurren con alarmante imprevisibilidad en el mundo de la seguridad de la información, lanzando organizaciones en su camino hacia el caos. A veces, la organización no sobrevive o no recoge más que una sombra de lo que fue. Se puede hacer mucho para reducir la potencia de desastres, dando a las organizaciones una mejor oportunidad de supervivencia.

la planificación de recuperación de desastres (DRP) y la planificación de la continuidad del negocio (BCP) pueden no parecer como si ellos deben ser parte de seguridad de la información. Sin embargo, el concepto de seguridad de la información fundamental de la confidencialidad, integridad y disponibilidad (CIA) Qué incluye DRP y BCP como una actividad vital para asegurar la disponibilidad de los sistemas de clave en una organización.

BCP y DRP tienen su propio conjunto de conceptos que son esenciales para los profesionales de seguridad de la información. Incluso si usted no anticipa que trabaja en el BCP o espacio DRP, la familiaridad con estos conceptos puede llevar usted o su organización a oportunidades para mejorar la preparación para desastres.

Tipos de desastres

Existen varios tipos de desastres artificiales y naturales tienen un directo o un efecto indirecto sobre las organizaciones. Los tipos de desastres incluyen los siguientes:

  • Natural:

  • Clima: huracanes, tornados, tormentas de hielo, ventisca o fuertes lluvias

  • Geológico: terremoto, tsunami, erupciones volcánicas, deslizamientos, avalanchas, o sumidero

  • Otro: pandemia, bosque o rango incendio, inundación o tormenta solar

  • Artificial:

    Video: ¿Sabes para qué sirve cada documento de tu plan de Continuidad de Negocio?

  • Social o política: guerra, disturbios, demostración o huelga

  • Utilidades: corte de energía o escasez de combustible

  • Material: material peligroso derrame o fuga de materiales radiactivos

    • Estos y otros tipos de desastres pueden tener un efecto directo o un efecto indirecto sobre las organizaciones, incluyendo las siguientes:

    • Las interrupciones en el transporte

    • cortes de comunicaciones

    • escasez de mano de obra

    la planificación de la continuidad del negocio y la planificación de recuperación de desastres

    Dos actividades primarias tienen lugar después de un desastre:

    • Continuación de los procesos de negocio utilizando instalaciones alternas, equipo o personal, que es el ámbito de planificación de la continuidad (BCP)

    • Salvamento de edificios y equipos, y la restauración de las instalaciones de trabajo principal, que es el ámbito de Desastres Planificación de Recuperación (DRP)

    Estas dos actividades son a la vez preocupado por conseguir la organización de nuevo en pie después de un desastre. Ambos son necesarios para la supervivencia a largo plazo de la organización.

    evaluación del impacto de negocio (BIA)

    Una evaluación del impacto de negocio (BIA) es un tipo especial de evaluación de riesgos que se realiza periódicamente para determinar dos cosas importantes: los procesos de negocio más críticos de la organización, y los recursos y dependencias de otros procesos de negocio que los procesos clave dependen para continua operación.

    Al finalizar, un BIA retrata generalmente los procesos de negocios más importantes con el fin de criticidad (los procesos más críticos se muestran primero).

    Para cada proceso crítico, se identifica el valor máximo tiempo de inactividad tolerable (MTD). MTD es la mayor cantidad de tiempo que un proceso de negocio puede ser incapacitado antes de la supervivencia de la organización está en riesgo. El valor de un MTD es difícil de determinar y por lo tanto altamente crítico.

    Video: SGSI - 11 Gestión de la continuidad de negocio

    Los profesionales de seguridad pueden obtener valor de la BIA por la comprensión que procesa y sistemas subyacentes son los más importantes en una organización. Estos sistemas serán los que requieren la mejor protección.

    objetivos de valorización

    Después de identificar los procesos y sistemas de negocios más importantes de la BIA, la organización debe establecer objetivos de recuperación. Estos son los intervalos de tiempo necesarios para conseguir procesos y sistemas informáticos que se ejecutan de nuevo. Los objetivos de recuperación son los siguientes:

    • Objetivo de tiempo de recuperación (RTO): Expresado como minutos, horas o días, el período de tiempo desde el inicio de desastres hasta que el proceso o el sistema está en funcionamiento. El valor de MTD debe conducir el valor RTO.

    • objetivo de punto de recuperación (RPO): Expresado como minutos, horas o días, el periodo de máxima pérdida de datos después de un desastre. Por ejemplo, si una organización quiere bajar de transacciones por valor de no más de una hora, el RPO sería una hora.

      Video: Recuperacion ante desastres RTO RPO CAPEX OPEX

    • objetiva consistencia de recuperación (RCO): Expresado como la medida de la integridad y la coherencia de los datos en el sistema de operaciones de emergencia en comparación con el sistema de producción original. RCO es un valor porcentual que se expresa como 1 menos (número de entradas inconsistentes) dividido por (número de entradas).

    • objetivo de capacidad de recuperación (RCapO): Expresado como un porcentaje, la capacidad de los sistemas de procesamiento temporales en comparación con los sistemas de producción.

    A menudo, una organización determinará que un sistema dado no tiene suficiente resistencia como para afrontar con éxito los objetivos de recuperación después de un desastre. En este caso, la organización debe cambiar sus objetivos de recuperación de las cifras menos ambiciosos o invertir en equipos y procesos que faciliten la recuperación dentro objetivos.

    Planificación de contingencias

    Las organizaciones deben desarrollar planes de contingencia escritos que pueden seguir el personal cuando se produce un desastre. Estos planes de contingencia deben incluir las siguientes consideraciones:

    • el personal de operaciones primarias pueden ser dispuestos o no pueden ayudar en la continuación y recuperación de los sistemas críticos.

    • El personal que van a seguir los planes de contingencia pueden tener menos familiaridad con estos procesos y sistemas.

    Prueba de planes de contingencia

    Para determinar la calidad de los planes de contingencia, las organizaciones deben realizar pruebas periódicas de ellos. Estas pruebas, que deben incluir al personal principal y de respaldo, también pueden servir como entrenamiento, lo que ayuda a este personal a entender mejor los procedimientos que deben seguirse durante un desastre.

    Hay cinco tipos de pruebas:

    • Revisión de documento: Personal leer a través de los documentos de planificación de contingencia, y tenga en cuenta los errores u omisiones que encuentren.

    • Tutorial: El personal revisan los documentos de planificación de contingencia en las sesiones de grupo, señalando los errores y omisiones que encuentren.

    • Simulación: Un desastre con guión se recita al personal, que responden como si un verdadero desastre está teniendo lugar.

    • prueba en paralelo: Los sistemas de recuperación se activan y proceso de datos en tiempo real, pero de manera aislada a fin de no perturbar los sistemas de producción que aún se están ejecutando. Un ensayo paralelo ayuda a la carga de trabajo de prueba y si los sistemas de recuperación funcione correctamente.

    • prueba de corte y cambio: Los sistemas de producción Se apagan o desconectan, y sistemas de recuperación se activan para manejar la carga de trabajo en vivo. Esta prueba es una prueba completa de extremo a extremo de la capacidad y la integridad del sistema de recuperación. Si una prueba de corte y cambio falla, puede significar que los sistemas están probando dejan de funcionar, lo que resulta en procesos clave del negocio a un punto muerto.

    Artículos Relacionados
    La planificación de recuperación de una pequeña empresa: trazando un cambio de tendencia
    Los objetivos de diseño y objetivos de negocio que usted debe saber para conseguir un trabajo en red
    Conseguir un trabajo en red: ti operaciones
    Empleos seguridad de la información: la gobernabilidad y la gestión del riesgo
    Seguridad de la información cumplimiento de la normativa y la privacidad: hipaa, hitech, y sarbanes-oxley
    Normas de seguridad de la información: iso 27001
    Aplicar conceptos de confidencialidad, integridad y disponibilidad a la seguridad
    Requisitos de continuidad de negocio
    Asegurar la retención adecuada de los datos para la seguridad
    Certificaciones no técnicos / no-proveedor de seguridad
    Marcos de control de seguridad
    ¿Cómo crear una estrategia de seguridad informática en la nube
    Gobierno de la nube híbrida: riesgos y expectativas
    5 Maneras de probar que los planes de recuperación de desastres
    6 Partes de una que sea eficaz plan de recuperación de desastres
    10 Elementos de un interino que el plan de recuperación de desastres
    8 Partes de un análisis de negocio impacto en un plan de recuperación se
    Planificación de desastres para las redes de ordenadores
    Cómo crear un plan de seguridad informática en la nube
    El fundamento de la gestión de servicios