Cap 6 - Curso Preparacion CISA 2008 FARR Entregble

ISACA ®
Reconocida globalmente
como líder en gobierno
de TI, control y
aseguramiento
Fabio Alexander Rojas Roldán, CISA

Curso de repaso CISA 2008
Capítulo 6
Continuidad del Negocio y
Recuperación de Desastres
Fabio Alexander Rojas Roldán,

CISA

Contenido del Capítulo
6.1 Introducción
6.2 Planeación de la Continuidad del
Negocio / Recuperación de Desastres
6.3 Auditoria a la Continuidad de Negocios
(DRP + COOP + BRP)

6.1.1 Objetivos del Curso
Revisión del contenido del Capítulo 6

Discusión de Tareas y Declaraciones de
Conocimiento
Discusión de tópicos específicos dentro
del Capítulo
Caso de estudio
Preguntas ejemplo

Relevancia en el Examen
Asegurar que el candidato CISA…

“entienda y pueda proveer garantía de que en el caso de una
interrupción, los procesos de continuidad del negocio y
recuperación de desastres asegurarán el reinicio a su debido
tiempo de los servicios de TI mientras que se minimiza el impacto
% Total de Preguntas del Exam en
sobre el negocio .”
Cap 6 Cap 1
14% 10%
El contenido de este Capítulo Cap 2
representa el 14% 15%
del examen CISA Cap 5
Cap 3
31%
(aproximadamente 28 preguntas). 16%
Cap 4
14%

6.1.2 Capítulo 6 – Tareas
T6.1 Evaluar si las previsiones de respaldos y de

recuperación son las adecuadas para
asegurar que se retome el procesamiento.
T6.2 Evaluar el plan de recuperación de
desastres de la organización para asegurar
que éste posibilita la recuperación de las
capacidades de procesamiento de TI en el
caso de un desastre.
T6.3 Evaluar el plan de continuidad del negocio
de la organización para asegurar su
capacidad de continuar las operaciones
esenciales del negocio durante el período
de una interrupción de TI.
6.1.3 Capítulo 6 – Declaraciones de
Conocimiento
DC6.1 Conocimiento de copias de respaldo de datos,

procesos de almacenamiento, mantenimiento,
retención y recuperación, y prácticas.
DC6.2 Conocimiento de aspectos regulatorios, legales,
contractuales y de seguros relacionados con la
continuidad del negocio y recuperación de
desastres.
DC6.3 Conocimiento del análisis de impacto al negocio
(BIA).
DC6.4 Conocimiento del desarrollo y mantenimiento de
los planes de continuidad del negocio y
recuperación de desastres.
6.1.3 Capítulo 6 – Declaraciones de Conocimiento
(Continuación)
DC6.5 Conocimiento de los enfoques y métodos de prueba de la

continuidad del negocio y recuperación de desastres.
DC6.6 Conocimiento de las prácticas de administración de
recursos humanos relacionados con la continuidad del
negocio y recuperación de desastres (por ejemplo,
planeación de evacuaciones, equipos de respuesta).
DC6.7 Conocimiento de los procesos utilizados para activar los
planes de continuidad del negocio y recuperación de
desastres.
DC6.8 Conocimiento de los tipos de sitios alternos de
procesamiento y los métodos usados para monitorear los
acuerdos contractuales (por ejemplo, hot sites, warm sites,
cold sites).
Negocio /Recuperación de Desastres
El enfoque principal de la
recuperación
Ante desastres puede
resumirse en una sola
palabra
“Reconstruir”
Andew en 1992 demostró que el DRP

era un elemento critico para la
supervivencia.
Podemos proteger personas e

instalaciones
El DRP no es suficiente, para asegurar
la supervivencia del negocio, ya que no
puede garantizar el flujo continuo de
ingresos
Las grandes amenazas se
centran en continuar con la
viabilidad financiera.
Debemos comprender:
El negocio es victima del
incumplimiento de acuerdos
contractuales importantes.
Los banqueros han decidido
aumenta las tasas de interés,
debido a condiciones
desfavorables del mercado.
Los clientes han decidido
cancelar ordenes de compra.

GoodWill
Gulf Oil, Frontier Airlines,

and Holiday Inn.
Que tiene que ver la
recuperación ante
desastres?
La continuidad de negocio
se preocupa por mantener la
buena reputación y la
imagen pública.

Recuperandose despúes de
un desastre
La Tecnología puede ser

recuperada y las marcas
mantenerse, pero la gente
puede cambiar.
En el 2004 US airways
superó problemas
tecnológicos, pero las
personas no esperaron a la
reconstrucción

La Planeación de continuidad del

negocio (BCP) es un proceso diseñado
para reducir el riesgo de negocio de la
organización.
Un BCP es mucho más que sólo un

plan para los sistemas de información
A diferencia del DR, el BC se

concentra en los ingresos
Definiendo el propósito de la
continuidad de negocio
El propósito de la BC es asegurar que
las funciones core de negocios
continúan con una interrupción mínima.
El objetivo es asegurar que la

organización sobreviva y continué
generando ingresos

Una organización puede utilizar los principios

de la continuidad para lograr:
Sobrevivir a un desastre natural o provocado por

el hombre
Adquirir o vender unidades de negocio
Cambiarse a mercados diferentes “Daysitek”.
Mejorar su posición en el mercado
Ganar ventaja competitiva “FEDEX”
Para ajustarse a las necesidades de sus clientes.
“California BANK”…
Sobrevivir a campañas de mercadeo agresivas
Where´s the beef??

Los riesgos corporativos podrían causar que

una organización sufra:
Incapacidad de mantener los servicios críticos al cliente.
Daño en la participación de mercado, la imagen,
reputación o marca.
No poder proteger los activos de la Compañía,
incluyendo propiedad intelectual y personal.
Falla de control del negocio.
No poder cumplir los requisitos legales o regulatorios

Pregunta de Práctica
6-1 Durante una auditoría de TI en un banco grande, usted observa
que no se ha llevado a cabo ningún ejercicio de evaluación formal
del riesgo para las diversas aplicaciones del negocio y así
determinar su importancia relativa y requerimientos en cuanto a
tiempo de recuperación. El riesgo al que el banco está expuesto
es que:
A. Un plan de continuidad del negocio puede no haber sido calibrado para
el riesgo relativo que plantea la interrupción de cada aplicación para la
organización.
B. El plan de continuidad del negocio puede no incluir todas las
aplicaciones relevantes y por lo tanto es posible que esté incompleto en
términos de su cobertura.
C. El impacto de un desastre sobre el negocio puede no haber sido
comprendido de manera correcta por la gerencia.
D. El plan de continuidad del negocio puede carecer de una apropiación
efectiva de los dueños del negocio sobre las aplicaciones.

6-2 ¿Cuál de lo siguiente es necesario tener

PRIMERO en el desarrollo de un plan de
continuidad del negocio?
A.Clasificación de los sistemas basada en el
riesgo
B.Inventario de todos los activos
C.Documentación completa de todos los
desastres
D.Disponibilidad de hardware y de software

6-3 Un auditor de SI debería involucrarse en:

A. Observar las pruebas del plan de recuperación
de desastres.
B. Desarrollar el plan de recuperación de

desastres.
C. Mantener el plan de recuperación de

desastres.
D. Revisar los requerimientos de recuperación de

desastres en los contratos de los proveedores
. Fabio Alexander Rojas Roldán, CISA
6.2.1 Planeación de la Continuidad del
Negocio / Recuperación de Desastres
El procesamiento de SI es de importancia
estratégica:
• Es un componente crítico de todo el BCP
• La mayoría de los procesos clave del negocio
dependen de la disponibilidad de sistemas
clave y componentes de infraestructura

6.2.2 Desastres y Otras Interrupciones
Los desastres son interrupciones que

ocasionan que los recursos críticos de
información queden inoperantes por un
período de tiempo.
Un buen BCP tomará en cuenta todos los
tipos de acontecimientos que impacten las
instalaciones de procesamiento de los
sistemas de información críticos
Areas del BCP
Área 1 - Iniciación
Patrocinio
Responsable
Alcance (Productos, clientes,
áreas, geografía)
Objetivos de negocio
Factores críticos
Dirección administrativa

Areas del BCP
Categorías de amenazas para la

organización
Planes estratégicos
Financieros
Operacionales
Comerciales
Técnicos

Areas del BCP
Posibles entregables del plan de recuperación
/ continuidad de negocio
Verificación de capacidades
Identificación de nuevas oportunidades de
ingresos
Mapa funcional de interrelaciones entre
procesos
Definiciones de riesgos
Documentación de tareas especificas para la
supervivencia del negocio
Estrategias para aumentar los ingresos
Areas del BCP
Área 2 – El análisis de riesgos
Consideraciones para seleccionar un sitio alterno
Peligros generales del área
Cercanía a centrales militares o nucleares
Amenazas naturales conocidas
Fuente potencial de inundación
Telecomunicaciones
Aeropuertos cercanos
Carreteras cercanas
Trenes
Proximidad
Servicios municipales
Acomodaciones
Areas del BCP
Área 3 – Análisis de Impacto en el negocio
BIA
Es un proceso central e imprescindible del

BCP.
Es útil para procesos de reingeniería,
outsourcing, planes de redimensionamiento,
adquisiciones y BCP.

Areas del BCP
Área 3 – Análisis de Impacto en el negocio BIA
Proceso especializado para descubrir

vulnerabilidades
Cualitativo y cuantitativo
Fases:
Identificar flujo de actividades
Entrevistar personal clave
Revisar documentación existente
Observar la ejecución de procesos
Observar al personal ejecutando sus procesos

Areas del BCP
Área 3 – Análisis de Impacto en el negocio BIA
Fases:
Observar reprocesos y procedimientos alternos
Verificar factores críticos de éxito
Identificar materiales y registros clave para la recuperación
Los involucrados deben ser secretos
Los procesos BIA deben ser actualizados periódicamente
Al menos una vez al año
Siempre que se hagan cambios organizacionales
Cuando se ingresen o pierdan clientes clave
Cuando se cambien los procesos de negocio
Cuando se hagan cambios en la administración

Areas del BCP
Área 3 – Estrategia de creación
Puede ser de protección, crecimiento o cambio

Considerar el peor escenario
Creación de una línea de tiempo
Podemos categorizar todo en tres procesos:
centrales, de apoyo o discrecionales
Definir el RTO, RPO, SOD y MAO

Areas del BCP
Punto Objetivo de Recuperación (RPO)

Se determina en base a la pérdida aceptable de
datos.
Indica el punto más anticipado en el tiempo en el
cual es aceptable recuperar los datos
Tiempo Objetivo de Recuperación (RTO)
Basado en el tiempo improductivo aceptable
Indica el punto más anticipado en el tiempo en el
que las operaciones de negocio deben retomarse
después del desastre
MAO y SOD
Areas del BCP
Definir el método de implementación

Hacer nada
Hardware redundante
Servidores espejo
Discos duros espejo – RAID
Comunicación redundante
Instalaciones para el procesamiento alterno
Sitio redundante
Hot Site
War Site
Cold Site
Mobile site
Areas del BCP

Areas del BCP
Estrategia reciproca
Backups
Full
Incremental
Diferencial
Seguros
Propietarios
Casuales
Fidelidad
Omisiones o errores
Maquinaria
Interrupción del negocio
Areas del BCP
Área 5 – Respuesta a Emergencias
Todos los tipos de incidentes deben ser clasificados:

Incidentes sin importancia: no causan daños
significativos
Eventos menores: no producen un impacto material o
financiero negativo
Incidentes mayores: causan un impacto material
negativo sobre los procesos de negocios
Crisis: impacto material serio sobre el funcionamiento
continuo del negocio

Areas del BCP
Criterio de activación
Daño mayor a las personas
Tiempo
Severidad del daño desconocida
Criterios de activación definidos por la administración
Identificar emergencias potenciales
Procedimientos para reportar
Preparación pre-incidente
Acciones de emergencia

Areas del BCP
Procedimientos de respuesta a emergencias
Procedimientos para proteger al personal
Declaración de emergencias
Procedimientos para evaluar la situación
Procedimientos para comunicarse con los
involucrados
Procedimientos de restauración
Procedimientos para activar el sitio alterno
Integrar planes
Comandante de incidentes
Centro de operaciones
Areas del BCP
Área 6 – Creación del plan
Resumen Ejecutivo
Instrucciones de quien esta a cargo
Procedimientos para proteger la vida
Respuesta a emergencia
Estrategias y procedimientos para proteger activos
Planes de recuperación para soportar la
reanudación
Administración y logística
Presupuesto
Registro de eventos
Areas del BCP
Area 6 – Creación del plan
Asignar personas especificas
Equipo de respuesta a incidentes
Equipo administrativo de emergencia
Equipo para evaluar daños
Equipo de seguridad física
Equipos para recuperación de TI
Hardware
Software
Aplicaciones
comunicaciones.
Equipo de mercadeo
Equipo de comunicaciones
Equipo Logístico
Equipo Financiero
Areas del BCP
Area 7 – Entrenamiento
Educación
Seminarios
Videos
Sesiones individuales
Orientado a competencia individual
Pruebas y evaluaciones
Conciencia y habilidades

Areas del BCP
Area 8 – Mantenimiento y Pruebas

Prueba de escritorio
Funcional
Simulación preparada
Prueba total

Areas del BCP
Area 9 – Comunicación de la crisis

Prueba de escritorio
Comunicación con
empleados, clientes,
familiares, proveedores, etc.
Evitar confusión
Árbol de llamadas
Comunicaciones alternas
Información pública

6-4 La ventana de tiempo para la

recuperación de las capacidades de
procesamiento de la información está
basada en:
A. la criticidad de las operaciones afectadas.

B. la calidad de los datos a ser procesados.
C. la naturaleza del desastre.
D. las aplicaciones que están basadas en
mainframe.

6-5 Se debe implementar mirroring de datos

como una estrategia de recuperación
cuando :
A. el punto objetivo de recuperación (RPO) es bajo

B. el RPO es alto
C. el tiempo objetivo de recuperación (RTO) es alto
D. la tolerancia a desastre es alta.

6-6 Cuando se prepara un plan de continuidad

del negocio, ¿cuál de lo siguiente debe
conocerse para establecer un punto
objetivo de recuperación (RPO)?
A. La pérdida de datos aceptable en caso de
interrupción de las operaciones
B. El tiempo improductivo aceptable en caso de
interrupción de las operaciones
C. Los tipos de instalaciones de respaldo en un sitio
alterno que hay disponibles
D. Los tipos de plataformas de TI que soportan las
funciones críticas del negocio
6-7 Un auditor de SI descubre que un plan de continuidad de

negocio de una instalación de procesamiento de información
provee un sitio alternativo de procesamiento que alojará el
cincuenta por ciento de la capacidad de procesamiento del
sitio de procesamiento primario. Sobre la base de esto, ¿cuál
de las acciones siguientes debe emprender el auditor de SI?
A. No hacer nada, porque generalmente, menos del veinticinco por
ciento de todo el procesamiento es crítico para la supervivencia de
una organización y la capacidad de respaldo es por lo tanto adecuada.
B. Identificar las aplicaciones que podrían ser procesadas en el sitio
alterno y desarrollar procedimientos manuales para dar respaldo al
otro procesamiento.
C. Asegurar que se hayan identificado las aplicaciones críticas y que el
sitio alterno pueda procesar todas esas aplicaciones.
D. Recomendar que la instalación de procesamiento de información haga
los arreglos para un sitio alterno de procesamiento con la capacidad
para manejar por lo menos el setenta y cinco por ciento del
procesamiento normal.

6.2.12 Otros Aspectos a Tener en Cuenta en el
Desarrollo del Plan
La participación de la Gerencia y de los

usuarios es vital para el éxito del BCP
esencial para la identificación de los sistemas
críticos, sus tiempos críticos de recuperación
asociados y recursos
Participación de servicios de soporte, las operaciones
del negocio y el soporte de procesamiento de la
información.
La organización entera necesita ser
considerada para el BCP

6-8 En un plan de continuidad del negocio,

¿cuál de los siguientes directorios de
notificación es el MÁS importante?
A. Vendedores de equipo y de suministros
B. Agentes de compañías de seguros
C. Servicios del personal de contratos
D. Una lista priorizada de contactos

6-9 ¿Cuál de los siguientes componentes

de un plan de continuidad del negocio
es PRIMARIAMENTE la
responsabilidad del departamento de SI
de una organización?
A. Desarrollar el plan de continuidad del negocio
B. Seleccionar y aprobar la estrategia para el plan
de continuidad del negocio
C. Declarar un desastre
D. Restaurar los sistemas de SI y los datos después
de un desastre Fabio Alexander Rojas Roldán, CISA
6-10 En una auditoria de un plan de continuidad del

negocio, ¿cuál de los siguientes hallazgos es la
MAYOR preocupación?
A. No hay seguros para la adición de activos durante el
año
B. El manual de BCP no es actualizado regularmente
C. Las pruebas del respaldo de datos no se ha hecho
regularmente
D. Los registros para mantenimiento del sistema de
acceso no han sido mantenidos

Escencial para el examen
Conocer la diferencia entre continuidad de negocio y

recuperación ante desastres
Entender los requerimientos para reanudar la operación del
negocio
Conocer el valor que representa el BIA
Entender los términos clave: SOD, RTO, RPO, etc
Entender como desarrollar el plan
Entender la administración
Conocer los procesos para invocar la emergencia
Conocer los tipos de sitios alternos
Entender la comunicación durante la emergencia

Auditoría al Plan de Continuidad de
Negocios (DRP + COOP + BRP)
Entender y evaluar la estrategia de continuidad del
negocio
Evaluar los planes de continuidad del negocio para
determinar si son adecuados y están actualizados
Verificar que los planes de continuidad del negocio
sean efectivos
Evaluar el almacenamiento en el sitio alterno
Evaluar la capacidad del personal de SI y del usuario
para responder con eficacia
Asegurar que el proceso de mantener planes esté
instalado y vigente
Evaluar si los manuales y procedimientos de
continuidad del negocio están escritos en una forma
sencilla y fácil de entender
Revisión del Plan de Continuidad del
Negocio BCP
Los Auditores de SI deben verificar que

sean evidentes los elementos básicos de un
buen plan incluyendo:
• Actualización de los documentos
• Efectividad de los documentos
• Entrevistas al personal para verificar si el plan es
apropiado y completo

Evaluar el Sitio de Almacenamiento Alterno
El Auditor SI debe
Evaluar para asegurar la presencia,
sincronización y vigencia de los medios y de la
documentación.
Realizar una revisión detallada del inventario
Revisar toda la documentación
Evaluar la disponibilidad de la instalación

Entrevistar al Personal Clave
El personal clave debe tener un

entendimiento de las responsabilidades
que se le ha asignado
Documentación detallada y actualizada
debe ser mantenida.

Evaluar la Seguridad del Sitio Alterno
El Auditor SI debe:
• Evaluar los controles de acceso físico y
ambiental
• Examinar el equipo para verificar si tiene
actualizadas las tarjetas de inspección y de
calibración

Revisar el Contrato de Procesamiento
Alternativo
El Auditor de SI debe obtener una copia

del contrato con el proveedor del sitio de
procesamiento alterno
Se debe revisar el contrato contra los
lineamientos siguientes:
el contrato esté redactado con claridad y sea
comprensible
acuerdo de la organización con las reglas

Revisar la Cobertura de Seguros
La cobertura del seguro debe reflejar el

costo real de recuperación
Una adecuada cobertura de lo siguiente
debe ser revisada:
Daños de los medios
Interrupción del negocio
Reemplazo de equipo
Procesamiento de la continuidad del negocio
Escenario Caso de Estudio
Una organización está desarrollando un BCP y DRP para sus oficinas

centrales (750 empleados) y sus 16 sucursales (cada una con 20 - 35
empleados más un servidor de correo y uno de archivo/impresión)
Los planes actuales no han sido actualizados por más de ocho años
La organización ha crecido en más del 300%
El staff se conecta a través de una LAN a más de 60 servidores de aplicación,
base de datos e impresión ubicados en el centro corporativo de datos
El staff se conecta a través de una red frame relay a las sucursales
Los usuarios que viajan se conectan a través de la Internet usando una VPN
Todos los usuarios en las oficinas principales y en las sucursales tienen
acceso a la Internet a través de un firewall y servidor proxy ubicado en el
centro de datos

(Continuación)
Las aplicaciones críticas tienen un RTO de 3 – 5 días

Las sucursales están ubicadas entre 30 y 50 millas una de otra,
estando ninguna de ellas más cerca que 25 millas de la instalación de
la oficina principal
Los medios de respaldo para el centro de datos están almacenados
en las oficinas de un tercero a 35 millas de distancia
Los respaldos para los servidores ubicados en las sucursales están
almacenados en sucursales cercanas usando acuerdos recíprocos
entre las oficinas

(Continuación)
Los contratos actuales con el proveedor de hot site

incluyen:
Plazo de 3 años, con ampliaciones de capacidad del equipo en la
fecha de la renovación
25 servidores
Espacio de trabajo equipado con PC’s para 100 empleados
Un acuerdo separado para enviar hasta 2 servidores y 10 PC’s a
cualquier sucursal que declare una emergencia
El proveedor de hot site tiene múltiples instalaciones en caso de
que la instalación primaria esté siendo utilizada por otro cliente o
que el desastre la haya vuelto no disponible

Pregunta Caso de Estudio
1. Sobre la base de la información citada aquí anteriormente, ¿cuál

de lo siguiente recomendaría el auditor de SI respecto al hot
site?
A. Los escritorios en el hot site deberían ser aumentados a 750.

B. Otros 35 servidores más deberían ser agregados al contrato de
hot site.
C. Todos los medios de respaldo deberían ser almacenados en el
hot site para acortar el RTO.
D. Los requerimientos de escritorio y de equipos de servidor
deberían ser revisados trimestralmente.

Pregunta Caso de Estudio
2. Sobre la base de la información citada aquí anteriormente,

¿cuál de lo siguiente debería el auditor de SI recomendar con
respecto a la recuperación de la oficina sucursal?
A. Agregar cada una de las sucursales al contrato de hot site
existente.
B. Asegurar que las sucursales tengan suficiente capacidad
para respaldarse las unas a las otras.
C. Reubicar todos los servidores de correo y de archivo
/impresión de sucursal al Centro de Datos.
D. Agregar capacidad adicional al contrato de hot site igual a la
sucursal más grande .

GRACIAS
FABIO ALEXANDER ROJAS ROLDÁN,

CISA
FROJAS@KPMG.COM.CO
FROJAS@JAVERIANA.EDU.CO

Cap 6 - Curso Preparacion CISA 2008 FARR Entregble

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cap 6 - Curso Preparacion CISA 2008 FARR Entregble

Transféré par

Droits d'auteur :

Formats disponibles

ISACA ®

Fabio Alexander Rojas Roldán, CISA

Fabio Alexander Rojas Roldán,

Fabio Alexander Rojas Roldán, CISA

Fabio Alexander Rojas Roldán, CISA

Revisión del contenido del Capítulo 6

Fabio Alexander Rojas Roldán, CISA

Asegurar que el candidato CISA…

Fabio Alexander Rojas Roldán, CISA

T6.1 Evaluar si las previsiones de respaldos y de

DC6.1 Conocimiento de copias de respaldo de datos,

DC6.5 Conocimiento de los enfoques y métodos de prueba de la

Andew en 1992 demostró que el DRP

Podemos proteger personas e

Fabio Alexander Rojas Roldán, CISA

Gulf Oil, Frontier Airlines,

Fabio Alexander Rojas Roldán, CISA

La Tecnología puede ser

Fabio Alexander Rojas Roldán, CISA

La Planeación de continuidad del

Un BCP es mucho más que sólo un

A diferencia del DR, el BC se

El objetivo es asegurar que la

Fabio Alexander Rojas Roldán, CISA

Una organización puede utilizar los principios

Sobrevivir a un desastre natural o provocado por

Fabio Alexander Rojas Roldán, CISA

Los riesgos corporativos podrían causar que

Fabio Alexander Rojas Roldán, CISA

Fabio Alexander Rojas Roldán, CISA

6-2 ¿Cuál de lo siguiente es necesario tener

Fabio Alexander Rojas Roldán, CISA

6-3 Un auditor de SI debería involucrarse en:

B. Desarrollar el plan de recuperación de

C. Mantener el plan de recuperación de

D. Revisar los requerimientos de recuperación de

Fabio Alexander Rojas Roldán, CISA

Los desastres son interrupciones que

Fabio Alexander Rojas Roldán, CISA

Categorías de amenazas para la

Fabio Alexander Rojas Roldán, CISA

Es un proceso central e imprescindible del

Fabio Alexander Rojas Roldán, CISA

Proceso especializado para descubrir

Fabio Alexander Rojas Roldán, CISA

Fabio Alexander Rojas Roldán, CISA

Puede ser de protección, crecimiento o cambio

Fabio Alexander Rojas Roldán, CISA

Punto Objetivo de Recuperación (RPO)

Definir el método de implementación

Fabio Alexander Rojas Roldán, CISA

Área 5 – Respuesta a Emergencias

Todos los tipos de incidentes deben ser clasificados:

Fabio Alexander Rojas Roldán, CISA

Fabio Alexander Rojas Roldán, CISA

Fabio Alexander Rojas Roldán, CISA

Area 8 – Mantenimiento y Pruebas

Fabio Alexander Rojas Roldán, CISA

Area 9 – Comunicación de la crisis

Fabio Alexander Rojas Roldán, CISA

6-4 La ventana de tiempo para la

A. la criticidad de las operaciones afectadas.

Fabio Alexander Rojas Roldán, CISA

6-5 Se debe implementar mirroring de datos