Vía ComputerWorld, aparece un artículo titulado Top six steps toward disaster recovery. En relación a la futura aparición de una norma para la elaboración de planes de contingencia y de continuidad de negocio, aparecen en esta Web seis sencillos consejos que no quería dejar de comentar en este blog:
1.- Probar las copias de seguridad: parece evidente o de sentido común, pero como se suele decir "el sentido común no es el más común de los sentidos". Se supone que una copia de seguridad está para salvarnos cuando ya el daño se ha producido y por tanto, no es el mejor momento para comprobar que las copias se estaban realizando bien. Por tanto, dado que esta medida se hace por un motivo, que menos que tener absoluta certeza de que el paracaidas funcionará cuando estemos en el aire, ¿no?
2.-Gaste un poco de dinero en su software de backup: aunque el precio no lo es todo, hay software de gestión de copias que permiten una recuperación mucho más rápida o directa que otros. Entre elegir una copia en DVD con nero que genere 15 DVD o comprar un disco duro espejo puede haber una diferencia económica importante, pero cuando el tiempo apremia, estas horas/minutos pueden ser críticos y sobre todo rentables. Pensemos si nuestro modelo de negocio puede perder una cantidad económica importante si en una hora x, minuto y no somos capaces de enviar una información almacenada en nuestros servidores de ficheros.
3.- Semanalmente saque los soportes de copia fuera del sitio donde se encuentran los sistemas informáticos que se pretenden proteger: si tenemos copias las contingencias frente a las que podemos recuperarnos pueden ser varias. Si las copias no salen fuera, estaremos reduciendo las posibilidades de daño frente a incidentes como virus o avería que impidan el acceso a la información en los sistemas. Si además, las copias salen fuera de las instalaciones, estaremos garantizando la recuperación frente a amenazas del tipo incendio, inundación o evacuación de instalaciones.
4.- Bloquear el acceso físico a los sistemas informáticos: es cosa de matemáticas, a mas gente dando vueltas en las instalaciones donde se encuentran los sistemas informáticos, más probabilidades de que alguien haga algo que produzca daños. Por tanto, evitar y controlar todo lo posible el acceso físico a las salas donde se encuentran los sistemas de información.
5.- Establecer un plan por si la oficina se quema: siempre choca cuando se habla de planes de contingencia o negocio que a los entrevistandos se les pregunte por "-¿Que pasaría si su edificio se derrumba o queda destruido por un incencio?". Normalmente te miran con cara de "este consultor esta ido" y las respuestas siempre son "Eso aqui es casi imposible" o "eso no nos puede pasar" como si el incendio del Windsor o las inundaciones del Katrina no pudieran sucedernos por estas latitudes. En cualquier caso, mejor no tener que pensar en qué daños se han sufrido cuando ya los hechos se han producido.
6.- ¡Escribir el plan de continuidad de negocio!: esta es quizás la que a priori todo el mundo ve como la medida más inutil o farragosa, pero el tema está en que lo que no se encuentra escrito al final nunca se sabe como se va a desarrollar. El depender del criterio que se enfrenta al problema no es siempre garantía del éxito. Un plan de continuidad de negocio está para dos cosas muy sencillas y básicas:
a.- Responder en frio a cuestiones que se producen en situaciones muy calientes.
b.- Atender la recuperación de servicios en función de los requisitos de negocio, por tanto se recuperará primero lo que es más rentable que sea recuperado. Y eso, señores, no lo sabe el informático de turno sino la dirección.
11/4/06
Futuro ISO 27006, "Guías para la gestión de la continuidad de negocio"
ISO ha anunciado un nuevo proyecto que se etiquetará ISO 27006 “Guidelines for information and communications technology disaster recovery services”, basado en SS507. La publicación se espera para noviembre del 2007.
El cuerpo del borrador de norma propuesto tiene el siguiente contenido:
"0. Introduction
The ICT DR Services Model or Framework - showing the foundation layer to define supporting infrastructure from which services are derived, such as policies, processes, programme, performance measurement, people and products.
1. Scope
Describes the purpose of this standard, assumptions made when using this standard and what is excluded. Introduces subsequent clauses and explains their interpretation
2. Definitions
Defines terms used within the standard to establish a common understanding by the readers.
3. General Guidelines
Basic guidelines for the ICT DR services provision:
3.1 Environmental stability
3.2 Asset management
3.3 Proximity of services
3.4 Subscription (contention) ratio for shared services
3.5 Third party vendor management
3.6 Outsourcing arrangements
3.7 Privacy and confidentiality
3.8 Activation of subscribed services
4. Disaster Recovery Facilities
Specific guidelines for the ICT DR services provision to provide a secure physical operating environment to facilitate recovery:
4.1 Physical access control
4.2 Physical facilities and security
4.3 Environmental controls
4.4 Telecommunications
4.5 Power supply
4.6 Cable management
4.7 Fire protection
4.8 Location of recovery site
4.9 Emergency operations centre
4.10 Restricted facilities
4.11 Physical facilities and equipment lifecycle
4.12 Non recovery amenities
4.13 Testing
4.14 Training and education
5. Recovery Services Capability
Specific guidelines for the ICT DR services provision to develop service delivery capability supporting recovery. Besides qualified staffing, other minimum capabilities include capacity to support simultaneous invocation of disasters:
5.1 Expertise
5.2 Logical access controls
5.3 Equipment and operation readiness
5.4 Simultaneous recovery support
5.5 Levels of service
5.6 Types of service
5.7 Client testing
5.8 Changes in capability
5.9 Emergency response plan
5.10 Self-assessment
5.11 Disaster recovery training and education
6. Guidelines for Selection of Recovery Sites
Provides guidelines on the factors to consider when selecting recovery sites, such as:
6.1 Infrastructure
6.2 Skilled manpower and support
6.3 Critical mass of vendors and suppliers
6.4 Local service providers’ track records
6.5 Proactive local support
7. Additional Guidelines for the Professional ICT DR Service Provider
Additional guidelines for professional service providers in the provision of ICT DR services."
El cuerpo del borrador de norma propuesto tiene el siguiente contenido:
"0. Introduction
The ICT DR Services Model or Framework - showing the foundation layer to define supporting infrastructure from which services are derived, such as policies, processes, programme, performance measurement, people and products.
1. Scope
Describes the purpose of this standard, assumptions made when using this standard and what is excluded. Introduces subsequent clauses and explains their interpretation
2. Definitions
Defines terms used within the standard to establish a common understanding by the readers.
3. General Guidelines
Basic guidelines for the ICT DR services provision:
3.1 Environmental stability
3.2 Asset management
3.3 Proximity of services
3.4 Subscription (contention) ratio for shared services
3.5 Third party vendor management
3.6 Outsourcing arrangements
3.7 Privacy and confidentiality
3.8 Activation of subscribed services
4. Disaster Recovery Facilities
Specific guidelines for the ICT DR services provision to provide a secure physical operating environment to facilitate recovery:
4.1 Physical access control
4.2 Physical facilities and security
4.3 Environmental controls
4.4 Telecommunications
4.5 Power supply
4.6 Cable management
4.7 Fire protection
4.8 Location of recovery site
4.9 Emergency operations centre
4.10 Restricted facilities
4.11 Physical facilities and equipment lifecycle
4.12 Non recovery amenities
4.13 Testing
4.14 Training and education
5. Recovery Services Capability
Specific guidelines for the ICT DR services provision to develop service delivery capability supporting recovery. Besides qualified staffing, other minimum capabilities include capacity to support simultaneous invocation of disasters:
5.1 Expertise
5.2 Logical access controls
5.3 Equipment and operation readiness
5.4 Simultaneous recovery support
5.5 Levels of service
5.6 Types of service
5.7 Client testing
5.8 Changes in capability
5.9 Emergency response plan
5.10 Self-assessment
5.11 Disaster recovery training and education
6. Guidelines for Selection of Recovery Sites
Provides guidelines on the factors to consider when selecting recovery sites, such as:
6.1 Infrastructure
6.2 Skilled manpower and support
6.3 Critical mass of vendors and suppliers
6.4 Local service providers’ track records
6.5 Proactive local support
7. Additional Guidelines for the Professional ICT DR Service Provider
Additional guidelines for professional service providers in the provision of ICT DR services."
10/4/06
Publicada la norma BS 7799-3:2006
Bajo el British Standar Institute ha sido publicada la norma BS 7799-3:2006 "Information security management systems. Guidelines for information security risk management".
Identificar, evaluar, tratar y gestionar los riesgos en seguridad de la información son procesos clave si desea garantizar la seguridad de los procesos de negocio.
Esta actividad de la gestión del riesgo aparece en la norma ISO/IEC 27001:2005, pero no existe todavía un criterio consensuado sobre cómo y de qué manera desarrollar esta actividad.
La nueva norma 7799-3:2006 proporciona esta guía y cubre aspectos como:
- Análisis del riesgo
- Gestión del riesgo
- Toma de decisiones
- Revisión del análisis y gestión del riesgo.
- Monitorización del perfil de riesgo
- Gestión del riesgo en el contexto de la gestión corporativa
- Cumplimiento con otros estandares y regulaciones basados en riesgo
BS 7799-3:2006 proporciona una guia para soportar los requisitos establecidos por ISO/IEC 27001:2005 con respecto a todos los aspectos que debe cubrir el ciclo de análisis y gestión del riesgo en la construcción de un sistema de gestión de la seguridad de la información (SGSI).
Estas tareas incluyen la identificación y evaluación del riesgo, implementar controles para reducirlos, monitorización y revisión de los riesgos, y mantenimiento y mejora continua del sistema basado en el control del riesgo.
La información sobre este estandar puede consultarse en la BSI en la dirección BS 7799-3:2006
Identificar, evaluar, tratar y gestionar los riesgos en seguridad de la información son procesos clave si desea garantizar la seguridad de los procesos de negocio.
Esta actividad de la gestión del riesgo aparece en la norma ISO/IEC 27001:2005, pero no existe todavía un criterio consensuado sobre cómo y de qué manera desarrollar esta actividad.
La nueva norma 7799-3:2006 proporciona esta guía y cubre aspectos como:
- Análisis del riesgo
- Gestión del riesgo
- Toma de decisiones
- Revisión del análisis y gestión del riesgo.
- Monitorización del perfil de riesgo
- Gestión del riesgo en el contexto de la gestión corporativa
- Cumplimiento con otros estandares y regulaciones basados en riesgo
BS 7799-3:2006 proporciona una guia para soportar los requisitos establecidos por ISO/IEC 27001:2005 con respecto a todos los aspectos que debe cubrir el ciclo de análisis y gestión del riesgo en la construcción de un sistema de gestión de la seguridad de la información (SGSI).
Estas tareas incluyen la identificación y evaluación del riesgo, implementar controles para reducirlos, monitorización y revisión de los riesgos, y mantenimiento y mejora continua del sistema basado en el control del riesgo.
La información sobre este estandar puede consultarse en la BSI en la dirección BS 7799-3:2006
Suscribirse a:
Entradas (Atom)