007 semana 7 - diseño del servicio 02

CARRERA DE INGENIERÍA DE SISTEMAS

SEMESTRE ACADÉMICO 2014-1

Agosto 2010

SESIÓN 06 – Diseño del Servicio 01

http://www.autonoma.edu.pe/index.html


Gestión de la Continuidad del Servicio


El objetivo de la Gestión de Continuidad de Servicios de TI es; planear, cubrir y recuperarse de una crisis de TI, y de ser requerido que las operaciones de TI se muevan a un sistema alterno realizar esta actividad de una manera transparente, sin afectar la operatividad del negocio.



Hoy en día los ambientes de negocio son altamente competitivos, las organizaciones son juzgadas en su habilidad para continuar operando y proporcionando servicios. La administración de continuidad se preocupa por lahabilidad de una organización para continuar proporcionando un

lospredeterminado y acordado nivel de servicios de TI, para soportarrequerimientos mínimos del negocio.



Beneficios para la Gestión de Servicios de TI

1. Mejor administración de riesgos2. Credibilidad organizacional3. Ventaja competitiva4. Recuperación de los sistemas de TI de una manera

controlada5. Interrupción mínima del negocio



Estrategia de la Continuidad del

Negocio

Planes de Continuidad del

Negocio

Invocación

1. Iniciación

2. Requisitos y Estrategia

3.Implementación

4. Operaciones Continuas

Gestión de laContinuidad del Negocio

Ciclo de Vida Actividades Clave

Educación, Conciencia y Capacitación

Revisión y Auditoría Pruebas Gestión de Cambios

Análisis del Impacto de Negocio Evaluación de Riesgos Estrategia de la Continuidad de

los Servicios de TI

Desarrollo de Planes de Continuidad de los Servicios de TI

Desarrollar Planes de TI, Planes de Recuperación y Procedimientos

Planificación Organizacional Estrategia de las Pruebas

Establecimiento de Políticas

Alcance Inicio de un Proyecto

Actividades; Gestión de Continuidad


Componentes

Recuperación

PERSONAS

LUGAR

DATOS

PLAN

Componentes de la Continuidad del servicio



Dada la probabilidad de un evento, el planeamiento se

enfoca en base a escenarios de desastre:

•Pérdida o indisponibilidad del local y del equipamiento

por efectos de una amenaza (fuego, falta de energía u

otro evento externo como inundación, terremoto, etc.)

En ese sentido los escenarios típicos son:

•Desastre total del local principal (incluido el

Data Center)

• Desastre total del centro de cómputo

Planificación de Escenarios para la Continuidad de Servicios



IMPACTO Y CRITICIDADSobre la Continuidad de Servicios

En esta etapa el juicio experto del administrador evalúa el impacto de NO DISPONER el servicio para la Institución, como este impacta a los procesos desde los aspectos económicos, imagen y operatividad del servicio.

ALTO: El impacto en la institución es seriamente afectado en términos de disponibilidad, pérdidas económicas y daño considerable a la imagen y servicio de la organización.

MEDIO: El impacto en la institución se moderado afecta a las operaciones y servicios de la organización pero no indispone en su totalidad el servicio, puede haber pérdidas económicas importantes.

BAJO: No causa efecto considerable a la organización, en ninguno de los aspectos (imagen, económico y operatividad)



Restauración desde Tapes

Centro alterno dedicado

Espejo o réplica de bases de datos

Sistema operativo en espera

Bóveda electrónica remota

Tiempo Objetivo de Recuperación (RTO)

DíasHorasMinutos

Costo de Implementación

US$

Estrategias de RecuperaciónDe la Continuidad de Servicios


Etapa Inicial

Las actividades consideradas en la primera etapa dependen de la extensión a las instalaciones de contingencia que se han aplicado en la organización. La única manera de implantar una administración de continuidad efectiva, es por medio de la identificación de los procesos críticos del negocio y del análisis y coordinación de la infraestructura y servicios de TI que los soportan. La organización del proceso cubre todo el proceso y consiste de las siguientes actividades:• Definición de políticas• Definición de términos de referencia y alcance• Recursos asignados• Definición de la organización del proyecto y estructura de control• Acuerdo del proyecto y plan de calidad



Etapa de Requerimientos y estrategia

Esta etapa proporciona la base de la administración de continuidad y es un componente crítico para determinar cuan bien sobrevivirá una organización a interrupciones del negocio o desastres y el costo en que se incurrirá. Si el análisis de requerimientos es incorrecto o se olvida información clave, podría tener graves consecuencias en la efectividad del mecanismo de la administración de continuidad.



Estrategias de Recuperación

• Tipos de Centros de Respaldo:

• Hot Sites

• Warm Sites

• Cold Sites

• Mirroring Sites

• Sitios Móviles

• Acuerdos recíprocos con otras compañías



Desarrollo de estrategias


Sitio Costo Equipo HW Telecoms TiempoSetup

Local

Cold Bajo Nada Nada Largo Fijo

Warm Medio Parcial Parcial/Full Medio Fijo

Hot Medio/ Alto

Completo Completo Corto Fijo

Mobile Alto Dependiente Depend. Depend. No Fijo

Mirrored Alto Completo Completo Nada Fijo


1)Establecer la organización y desarrollar el plan de implantación2) Implantar acuerdos de espera3) Implantar medidas de reducción de riesgos4) Desarrollar planes de recuperación de TI5) Desarrollo de procedimientos6) Realización de pruebas iniciales

Propósito y alcance

Descubrimiento

contingencia

Respuesta inicial

Identificación de recursos

Acciones sostenidas

Retorno a situación normal

Etapa de Implantación



Etapa de Operación

Una vez culminada la implantación es necesario asegurar que el proceso sea mantenido como parte de lo usual del negocio.

Esto se alcanza gracias a la administración operacional incluyendo:

• Educación y conocimiento• Entrenamiento• Revisión• Prueba• Control de cambios• Aseguramiento de calidad



Secuencia de actividadesde la recuperación



Este tiempo esta relacionado con la tolerancia que la empresa puede tener, sobre la perdida de datos, medidos en términos del tiempo entre el ultimo respaldo (Backup) de datos y el evento del desastre

Secuencia de actividades de la recuperación



Esta asociado con la recuperación de recursos tales como sistemas de computo, equipos de manufactura e infraestructura física. El RTOes el tiempo transcurrido entre una interrupción y la recuperación. Indica el tiempo disponible para recuperar sistemas y recursos interrumpidos.




Procedimientos normales

Sistemas y recursos

inexistentes

Procedimientos normales y manualesProcedimiento

normal

ÚLTIMO BACKUP

EVENTO ALTERADOR

SISTEMAS Y RECURSOS RECUPERADOS

Recuperar datos perdidosDatos

perdidos

Procedimientos manuales de emergencia

RPO RTO

INICIO DE PROCESAMIENTO NORMAL

Recuperación manual de

datos

Tiempo para la recuperación de un desastre

MTD: Este tiempo representa al periodo máximo de tiempo de inactividad que puede tolerar, sin




Tiempo

TIEMPOS, PRIORIZACION Y CRITICIDADDe la disponibilidad

El Tiempo Objetivo de Recuperación (RTO): Se refiere al tiempo disponible para recuperar los servicios críticos y sensibles de TI.

El Punto objetivo de Recuperación (RPO): se determina en base a la pérdida aceptable de datos en el caso de una interrupción de las operaciones. Esto indica el punto más anticipado en el tiempo al cual es aceptable recuperar los datos.

Interrupción

Objetivo Punto de Recuperación Objetivo Tiempo de Recuperación

Tx

Estrategias de Respaldo

T1 T2 Tn

Estrategias de Recuperación

Ty

Antes Después

To



TIEMPOS, PRIORIZACION Y CRITICIDADDe la disponibilidad

Ejemplos:

El Tiempo Objetivo de Recuperación (RTO): Se refiere al tiempo disponible para recuperar los servicios críticos y sensibles de TI.

Por ejemplo: Tenemos una aplicación denominada PORTAL WEB, Si el RTO definido para la Aplicación PORTAL WEB es de 1 hora, esto significa que el RTO (PORTAL WEB) = 1 hora; es decir que TI esta preparado a nivel tecnológico, recursos humanos y procedimientos técnicos para recuperar el servicio para la organización en una hora.

El Punto objetivo de Recuperación (RPO): se determina en base a la pérdida aceptable de datos en el caso de una interrupción de las operaciones. Esto indica el punto más anticipado en el tiempo al cual es aceptable recuperar los datos.

Por ejemplo: Si la organización define que se perderá datos de PORTAL WEB hasta 1 hora antes de cualquier desastre, entonces la última copia de respaldo es hasta 1 hora antes del desastre o la interrupción.



Factores críticos de éxito, disponibilidad de servicios

Los factores importantes para lograr éxito en el procesode Administración de Continuidad de Servicios de TI son los siguientes:

•Realizar análisis de riesgos para el plan de continuidad.

•El plan de continuidad debe de estar en términos del negocio y TI.

•Realizar un análisis financiero, para llevar a cabo el plan de continuidad.

•Ejecutar pruebas del plan de continuidad.



KPI‘s - Gestión de la Continuidad del Servicio de TI


KPI (Métrica de CSI) DescripciónProcesos de negocio con acuerdos de continuidad

Porcentaje de procesos de negocio cubiertos por metas específicas decontinuidad del servicio

Lagunas en preparación para desastres Cantidad de lagunas identificadas en la preparación para eventos de desastres (amenazas serias sin contramedidas definidas)

Duración de la implementación Duración desde la identificación del riesgo relacionado a desastres hasta la implementación de un mecanismo de continuidad adecuado

Cantidad de prácticas para desastres Cantidad de prácticas para desastres que realmente se llevaron a cabo

Cantidad de defectos identificados durante las prácticas para desastres

Cantidad de defectos identificados en la preparación para eventos dedesastres identificados durante las prácticas


Roles: Gerente de la Continuidad del Servicio

•Implementa y mantiene el proceso•Planes, riesgos y actividades relacionadas•BIA•Evaluación y gestión del riesgo•Comunicación y Concientización

•Desarrollo y mantenimiento de la estrategia de continuidad•Evalúa los problemas potenciales de continuidad de negocio•Gestiona la continuidad durante su operación•Asegura la preparación de todas las áreas de TI•Gestiona los contratos relacionados con continuidad con terceras partes

•Agenda las pruebas de TI•Calidad, conformidad y revisiones



Gestión de la Seguridad de la Informacion


Confidencialidad

Integridad

Disponibilidad



Objetivo• Cumplir con los requisitos de Seguridad acordados en

los SLA.• Proveer un nivel de Seguridad básico, Independiente

de los requisitos externos.

“Se asegura tanto, como

el valor de la información

que se protege”



Definición

Controla la provisión de información y previene el uso sin autorización de la misma.

El estándar ISO 27001 (en general la familia de estándares ISO 2700X) ofrece una guía para el desarrollo de las buenas practicas en la gestión de la seguridad



Qué busca la Seguridad de la Información



• ¿Qué se debe preservar?

•1. CONFIDENCIALIDAD

•Se garantiza que la información es accesible sólo a aquellas personas autorizadas.

Seguridad de la Información



¿Qué se debe preservar?

• 2. INTEGRIDAD

• Se salvaguarda la exactitud y• totalidad de la información• y los métodos de procesamiento• y transmisión.



¿Qué se debe preservar?

3. DISPONIBILIDAD

Se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionados toda vez que lorequieran.



Actividades; Gestión de Seguridad

Comunica, Implementa y aplica el cumplimiento de todas las políticas de seguridad

Monitorea y administra los incidentes e infracciones de seguridad

Crea informes, revisa y reduce las infracciones de seguridad e incidentes mayores

Produce y mantiene una política de seguridad de la información

Evalúa y clasifica los activos de información, riesgos y vulnerabilidades

Evalúa, revisa y genera informes con regularidad de los riesgos de seguridad y las amenazas

Impone y revisa los controles de seguridad de riesgos, revisa e implementa la mitigación de riesgos

Política de seguridad de la información

Sistema de Gestión de la Seguridad (SGSI)

Informes e información

de seguridad

Controles de seguridad

Riesgos y respuestas

de seguridad



Actividades

•Política y organización de la seguridad•Planear•Implementar•Evaluar•Mantenimiento•Informes



ISO 27001Esta norma es una basepara desarrollar prácticas yestándares administrarla

para seguridad

de la informacion en una organizacion

Desarrollo y Mantenimientode Sistemas

Gestión de Operaciones y Comunicaciones

Gestión de la Continuidad del Negocio

Seguridad Física y del Entorno

Seguridad Ligada alPersonal

ConformidadGestión de Incidentes de

Seguridad de Información

Control de AccesosClasificación y Control de Activos

Aspectos Organizativos parala Organización

Política de Seguridad

Seguridad Organizativa

Seguridad Lógica

Seguridad Física

Seguridad Legal



DOMINIO

DOMINIO

DOMINIO

DOMINIO

DOMINIO

DOMINIO

DOMINIO

DOMINIO

•Política de Seguridad

Organización de

Seguridad

Administración de

Activos• Seguridad de los

Recursos Humanos• Seguridad Física y

Ambiental

• Gestión de Comunicaciones y

Operaciones Sistema de Control

de Accesos• Adquisición, Desarrollo y

Mantenimiento de Sistemas de• información

DOMINIO Administración de Incidentes de Seguridad de la

Información DOMINIO Plan de Continuidad del Negocio

DOMINIO Cumplimiento

Norma ISO 27001

DOMINIOS DE LA NORMA



KPI's - Gestión de la Seguridad

KPI (Métrica de CSI) Descripción

Cantidad de medidas preventivasimplementadas

Cantidad de medidas de seguridad preventivas implementadas como respuesta a

amenazas de seguridad identificadas

Duración de la implementación de medidas preventivas implementadas

Duración desde la identificación de una amenaza de seguridad hasta la

implementación de una contramedida adecuada

Cantidad de incidentes graves de la seguridad

Cantidad de incidentes de seguridad identificados, clasificados por categoría degravedad

Cantidad de periodos de inactividad de servicio relacionados con la seguridad

Cantidad de incidentes de seguridad que causan interrupciones de servicio odisponibilidad reducida

Cantidad de pruebas de seguridad Cantidad de pruebas y adiestramientos de seguridad llevados a cabo

Cantidad de defectos identificados durante las pruebas de seguridad

Cantidad de defectos identificados en los mecanismos de seguridad durante laspruebas


Gestión de Proveedores


KPI's - Gestión de Proveedores Externos


KPI (Métrica de CSI) Descripción

Cantidad de UC’s acordados Porcentaje de contratos apoyados por los UC's

Cantidad de revisiones decontratos

Cantidad de revisiones de contratos y suministradoresrealizadas

Cantidad de incumplimientos decontrato identificados

Cantidad de obligaciones contractuales que no cumplieron lossuministradores (identificados durante las revisiones de

contratos)

007 semana 7 - diseño del servicio 02

Documents