Pentesting S.A.S Business Continuity Plan.

Desarrollado por la unidad del departamento de Gestin de la Seguridad.

Aprobacin de documento. Este documento ha sido aprobado y endosado por: Efran Castaeda Saldaa Ingeniero

Control de versiones. Nombre de documento: Pentesting S.A.S Business Continuity Plan. Estatus de documento: Versin: Autor: Autorizado por: Distribucin: En Proceso. 2.3 Efran Castaeda Saldaa Efran Castaeda Saldaa A todo el personal de TI en Pentesting S.A.S

Historial de cambios. Versin Borrador 1.0 Borrador 2.0 Borrador 2.5 Fecha 2009 30 mayo 2010 18 Febrero 2013 Autor Efran Castaeda Efran Castaeda Efran Castaeda Razn de cambio Primer borrador Revindicar Se impacto, problemas. adiciono de ms probabilidad

detalles y algunos

ndice Introduccin Continuidad de interrupciones, Emergencias, o Desastres..4 Objetivos4 Principios...4 Funciones V.S Causas4 Procedencia..5 Cambios a Futuro.5 Uso y Disposicin.5 Comunicaciones.................5 Referencias.............................................................................................................6 Contactos de la compaa.6 Directorio de Proveedores.7 Riesgos.7 No puedes encontrar lo que quieres?..........................................................7 Durante cada incidente...7 Despus de cada incidente7 Dao de documentos por Fuego o Agua.8 Perdida de documentacin Electrnica.9 Perdida de documentacin En papel ........................................................10 Perdida de edificio Stano del edificio .....................................................11 Perdida de edificio rea de trabajo de Pentesting S.A.S. .......................12 Sabotaje ............................................................ ..........................................13 Sin Servicio de correo electrnico o de red. ................................................14 Servicio de energa elctrica indisponible ...................................................15 Sistema de Software Indisponible. ..............................................................16 Sistema de telfono indisponible ............................................................ ....17

Continuidad de interrupciones, Emergencias o Desastres? Muchas organizaciones tienen Desastre Recovera Plan, Nosotros preferimos el termino Business Continuity Plan, porque esto no incluye nicamente desastres de gran magnitud (como prdida total de un edificio) pero tambin rutinas de interrupcin de servicio (Como interrupcin del sistema de intranet). Esto pone la planeacin de desastres en perspectiva y hace ms probable que los desastres se manejen fluidamente. Objetivos Los objetivos de este plan son: Asegurar el mximo posible de niveles de servicio disponibles. Asegurar la recuperacin de interrupciones lo ms rpido posible. Minimizar la probabilidad e impacto de las interrupciones. Principios Los principios tras este plan son: El Desastre Recovera es parte de la continuidad de negocio. Los riesgos son evaluados desde ambos puntos, probabilidad e Impacto al negocio. El plan de continuidad de negocio debe ser razonable, prctico y factible. En otras palabras, nosotros no estamos planeando para todas las posibilidades, Los resultados poco productivos afectan los beneficios de planear los casos extremos. Funciones V.S. Causas. Nosotros hemos desarrollado este plan analizando que ha sido interrumpido, en vez del porqu.

Precedencia. La compaa general, seguridad y TI invalidara estas instrucciones si existiera cualquier conflicto. Cambios a futuro. Estos planes cambiaran en respuesta de nuevas necesidades de los clientes, negocio y tecnologa. Uso y Disposicin. Este documento est diseado para ser publicado en la intranet o en papel, y ser fcil aadirle a la misma nuevas secciones y subconjuntos. Y de ser posible, los tpicos no deben ser ms largos de una pgina. En la versin impresa, los tpicos deben ser ordenados por orden alfabtico. Para cada riesgo lo configuraremos de la siguiente manera.

Escenario Probable La razn ms probable por la cual puede ocurrir Probabilidad La probabilidad de que el riesgo ocurra (Alto, Medio, Bajo). Impacto El impacto en el negocio (Alto, Medio, Bajo). Funciones afectadas En que funciones afecta el problema. Accin Que hacer cuando ocurre la interrupcin. Responsabilidad Quien toma que acciones. Mitigacin Que hacer para minimizar el riesgo antes de que suceda. Restricciones- Las utilidad de tratar con el riesgo. Recursos - Las implicaciones de los costos, personal e instalaciones
Comunicaciones Cuando nosotros decimos Los contactaremos, ser por email o telfono con la persona afectada en cada unidad de negocio.

Referencias Guas. Estndares, y como se hace. Business Continuity Institute www.thebci.org NSW State Records www.records.nsw.gov.au Sanders, Glenn EDM a risk management perspective http://members.ozemail.com.au/`sanders/articles Strohl Systems www.strohl.com TechRepublic www.techrepublic.com Mantenimiento de emergencia. Emergency Management Australia www.ema.gov.au US Federal Emergency Management Agency www.fema.gov Desastre Recovera Companies BMS Catastrophe www.bmscat.com Munters www.munters.com Contactos de la compaa Nombre TI Help Desk Security Hotline Document Manager Director TI Direccin Ejecutiva Contacto Ext 0452 Ext 0456 Ext 0459 Ext 0450 Ext 0458 Detalles De 17 a 18 sech@psas.com dman@psas.com direccion@psas.cpm psas@psas.com

Directorio de Proveedores Compaa HP Help Desk Oracle IBM Direccin hpdes@hp.com help@oracle.com hdesk@ibm.com Notas de contacto Pedir Doe Despus 11:00 Ext 7856 1-800-287-369 de las 1-800-321-878 con Numero

Jhon 1-800-569-157

No puedes encontrar lo que buscas? Si no puedes encontrar un riesgo que exactamente empate con el incidente que estas manejando, busca por un riesgo similar y usa este modelo. Durante cada incidente. En todas las fases, sigue cualquier unidad de negocio o persona de cerca, aun si el progreso afectado es negativo. Esto es especialmente importante para parcelas de documentos perdidas. Despus de cada incidente. Despus de cada incidente, un estndar implementa un listado de tareas que debe de ser ejecutadas. Estas no han sido repetidas en cada riesgo. Pero deben de seguir siendo realizadas. Regresar todas las operaciones y servicios al estado original. Contactar a todas las unidades de negocio afectadas y proveedores para avisar que los incidentes terminaron y volvern a la normalidad. Agradecer a todos los involucrados, preferiblemente por telfono o correo electrnico. Revisar la manera en que fue manejado el incidente y considerar si necesitamos cambiar algo Y en su defecto se documentarlo.

Riesgo Probabilidad Impacto Escenario Probable

Dao de documentos por Fuego o Agua Baja Medio Falsa alarma de incendios, y o dao de fuego y agua. El dao por agua de documentos, el resultado ms serio de un incendio.

Funciones alteradas Accin

Todas, Si el

las

unidades ocurre

que cubrir

usan con

documentos en papel problema polytarps sobre las hojas afectadas. Avisas a todas las unidades de negocio para que prevengan posibles atrasos Si la documentacin es perdida en totalidad, se puede recuperar de los servidores de la empresa. Responsabilidad Mitigacin Restricciones Recursos Los Polytarps son tiles en un rea limitada. Polytarps, email, telfonos Jefe Seguridad Fsica

Riesgo Probabilidad Impacto Escenario Probable Funciones alteradas

Perdida de documentacin Electrnica Baja Varia Documentos accidentalmente borrados Todas las funciones electrnicas e impresas basadas en documentos de relacionados con actividades

Accin

Contactar con el Help Desk Pentensten SAS Para recuperacin.

Responsabilidad Mitigacin Restricciones

Jefe de TI Resguardar la informacin en cd, memorias USB o discos porttiles. El respaldo de la informacin toma mucho tiempo, y generalmente se logra recuperar todo un directorio

Recursos

Respaldos y CDs

Riesgo Probabilidad Impacto Escenario Probable Funciones alteradas

Perdida de documentacin En papel Baja Alto Piso perdido por tormenta o fuego. Todas las y datos actividades basadas en documentos, y recuperacin de archivos

Accin

Inmediata. Avisar a la Jefatura de la corporacin Avisar a todas las reas de negocio afectadas a corto y largo termino

Responsabilidad Mitigacin Restricciones Recursos

Jefe te TI Respaldo en copias en papel y CDs

10

Riesgo Probabilidad Impacto Escenario Probable Funciones alteradas Accin

Perdida de edificio Stano del edificio Baja Medio Fuego, bomba, atentado , agua Respaldo de documentos y archivo Avisar a todas las unidades de negocio Si los documentos son daados ver Dao de documentos por Fuego o Agua

Responsabilidad Mitigacin Restricciones

Jefe de TI y Mantenimiento La compaa de emergencias de la localidad puede invalidar estas instrucciones si existieran conflictos

Recursos

Almacenamiento externo al piso.

11

Riesgo

Perdida de edificio rea de trabajo de Pentesting S.A.S.

Probabilidad Impacto Escenario Probable Funciones alteradas Accin

Baja Alto Atentado, bomba, fuego Todas Mover todos los servicios de operacin al stano o cualquier rea disponible. Avisar a todas las unidades de negocio. Si los documentos son daados ver Perdida de documentacin En papel o Perdida de documentacin Electrnica

Responsabilidad Mitigacin Restricciones

Jefe de mantenimiento La compaa de emergencias local puede anular estas instrucciones si existiera conflicto alguno.

Recursos

Edificio anexo.

12

Riesgo Probabilidad Impacto Escenario Probable Funciones alteradas Accin Responsabilidad Mitigacin Restricciones Recursos

Sabotaje Alta Alto Vandalismo, un empleado descontento. Cualquiera Avisar a todas las unidades de negocio afectadas, Jefe de seguridad del complejo Controles de acceso al da y polticas que consideren a los empleados

13

Riesgo

Sin Servicio de correo electrnico o de red.

Probabilidad Impacto Escenario Probable Funciones alteradas Accin

Media Alto Una Mal funcin en la red Unidades de negocio que requieran acceso a la intranet Contactar a todas las unidades de negocio por telfono y avisar que las comunicaciones sern mensajera o en persona. Cuando el sistema funcione de nuevo, por telfono,

Responsabilidad Mitigacin Restricciones Recursos

Jefe de TI

Telfono, y mensajera

14

Riesgo

Servicio indisponible.

de

energa

elctrica

Probabilidad Impacto Escenario Probable Funciones alteradas Accin

Baja Alta Luces o energa elctrica de 127 y 240 V indisponible Todas comunicarse a la compaa y ver cunto van a tardar en restablecer el servicio, en caso de tardar mucho mas de 4 horas, contratar a servicio de generadores privados

Responsabilidad Mitigacin

Jeme de TI y mantenimiento Prevencin generales. de la de compaa y procedimientos emergencia

Restricciones Recursos Telfono, telefona celular, y lmparas recargables.

15

Riesgo Probabilidad Impacto Escenario Probable Funciones alteradas Accin Responsabilidad Mitigacin Restricciones Recursos

Sistema de Software Indisponible Baja Alto Mal funcin de los servidores Todas Ver procedimiento de restablecimiento de servicio de intranet Jefe de TI Mantenimiento preventivo a servidores Email, Telfono.

16

Riesgo Probabilidad Impacto Escenario Probable

Sistema de telfono indisponible Baja Media Mal funcin de las instalaciones telefnicas, mal funcin del servicio de telefona de la empresa

Funciones alteradas Accin Responsabilidad Mitigacin Restricciones Recursos

Todas las que utilicen telfono Hablar a la compaa y preguntar cuando de reestablece el servici Jefe de TI

Email, telefona celular

17