Cmo

plantear un
PCN
3 noviembre 2010
Aspectos generales

Consultec, S.L.
Bilbao Donostia San Sebastin Madrid Pamplona Santander Vitoria Gasteiz

Presentacin
Definiciones
Plan de Contingencias
Plan de Continuidad

Soluciones de continuidad
Soluciones tecnolgicas
Soluciones organizativas
Como implantar un plan de

Identificacin de la estructura TI

continuidad

Valoraciones en la organizacin

Buenas Prcticas

Componentes del Plan de

Ejemplos y visin prctica

Continuidad de Negocio

Ejemplo 1

Realizacin del Plan

Ejemplo 2

Se trata de entender que:

La continuidad del negocio no tiene una nica solucin
No se dispone de la solucin perfecta, se conoce cual era una vez
solucionada
Las TIC como servicio para lograr los objetivos del negocio

Consultec, S.L.
Bilbao Donostia San Sebastin Madrid Pamplona Santander Vitoria Gasteiz

Normas de referencia a consultar

BS 25999:

BS 25999-1:2006 Code of practice for business continuity

management

BS 25999-2:2007 Specification for business continuity

management.
Nist 800-34: Contingency Planning Guide for Federal Information
Systems (revisada el 10 de mayo)

Buenas prcticas de ayuda relacionadas

ISO/IEC 27001:2005: Sistema de Gestin de la Seguridad de la
Informacin
MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin
CobiT v4.1: Control Objectives for Information and related
Technology
Serie NIST: National Institute of Standards and Technology

Objetivos del BCP

Minimizar la magnitud de la interrupcin sobre los

procesos crticos ante eventos inesperados.
Contar con los elementos regulatorios y jurdicos para enfrentar
juicios o demandas de terceros o gubernamentales.

Contar con personal entrenado para el manejo de crisis y

recuperacin de las operaciones.
Asegurar que los registros vitales estn disponibles ante el
evento de contingencia.
Contar con la mayora de los procedimientos probados.

Minimizar la dependencia de los servicios informticos ante

el evento de la contingencia.

BCM
(Business Continuity Management)
BCP
(Business Continuity Plan)

Considera la
administracin de la
continuidad del negocio
como parte de un
proceso

Plan dirigido a
los Procesos
del Negocio

DRP
(Disaster Recovery Plan)

Plan especfico a
tecnologa de la
Informacin

DRP Disaster Recovery Plan

Plan de Recuperacin en Caso de Desastre
Orientado a recuperar en el menor tiempo posible la operacin de
las APLICACIONES CRITICAS,
Equipo alternativo, minimizando el impacto y el costo de un
desastre.

DRP

BRS Business Recovery Services

Servicio informtico o realizado por personal especializado dentro
de la infraestructura de TI
Da soporte en casos de contingencia.

BRS
DRP

BRP Business Recovery Plan

Documento formalizado para la recuperacin de los procesos de
negocio existentes en la entidad.

BRP
BRS
DRP

PCN Plan de Continuidad de Negocio (BCP Bussiness Continuity Plan)

Conjunto de acciones que se deben realizar en caso de
desastre.
Deben asegurar la recuperacin a la mayor brevedad posible de
las operaciones crticas para el negocio.

BCP
BRP
BRS
DRP

GCN Gestin de la Continuidad de Negocio (BCM Bussiness

Continuity Management)

Recoge las personas, procesos y tecnologa necesarios para

garantizar que los Planes de Recuperacin de Negocio y de
Desastres se mantienen actualizados de forma permanente

Gestin de
Continuidad de
Negocio

BCP
BRP
BRS
DRP

Plan de Recuperacin
(DRP)
Objetivo
Alcance

Ofrecer una solucin de

respaldo a los SI en caso de
contingencia

Sistemas de Informacin

Principales
Alcance limitado a los Recursos
Caractersticas TI:
Emplazamientos de los SI
Procedimientos tcnicos
de recuperacin
Equipo de emergencia
especializado en la
recuperacin de sistemas

Plan de Continuidad de
Negocio (BCP)
Asegurar la continuidad de la
Entidad en caso de contingencia

Procesos Crticos de Gestin

Enfocado a la operatividad de la
Entidad:
Procedimiento de actuacin
logsticos alternativos (para TI
y para el negocio)
Equipo de emergencia
focalizado en la recuperacin
del negocio.
Priorizacin en base a la
importancia de cada proceso.

Definiciones empleados en la
Continuidad de los servicios
Incidencia: [ITILv3] interruption to
an IT Service or reduction ...

Definiciones empleados en la
Continuidad de los servicios
Work around: Es un by-pass de un
problema.

Definiciones empleados en la Continuidad de los servicios

Anlisis de riesgos: Evaluacin de amenazas de todos los
activos que dan soporte a los procesos de negocio.
Gestin de Prioridades: Dentro de los Planes de Continuidad de
Negocio se requiere de una definicin de prioridades basndose
en las necesidades definidas por el negocio.

Definiciones empleados en la Continuidad de los servicios

Contingencia: Situacin de inoperatividad provocada por alguna
amenaza. Desastres, incidencias masivas, etc. La definicin de
contingencia se suele definir en el propio plan.
Escenario de contingencia: Situacin hipottica empleada en los
Planes de Continuidad de Negocio.

Consultec, S.L.
Bilbao Donostia San Sebastin Madrid Pamplona Santander Vitoria Gasteiz

Problema 1

Donde est el valor de nuestra empresa???

Hacemos pasteles o damos soporte TI?

Problema 2

Hablamos con orientacin a negocio?

Decir lo mismo con diferentes palabras

Sistema
Servicio de correo

Plataforma/SO/Versin
Exchange/Sistema VirtualWindows/v2008 SP2

Descripcin
Servidor de correo
electrnico

Consultec, S.L.
Bilbao Donostia San Sebastin Madrid Pamplona Santander Vitoria Gasteiz

Anlisis de Riesgos

" "

BIA (Bussiness Impact Analisys) Anlisis de Impacto en el

Negocio
Coste Vs Valor

Proceso1

Proceso2

1 seg

30 min

1 hora

1 da

3 das

5 das

Leve

Leve

Medio

Medio

Medio

Grave

300

600

1000

1500

2000

5000

1 seg

30 min

1 hora

1 da

3 das

5 das

Leve

Leve

Leve

Medio

Grave

Grave

300

600

600

1500

2000

50000

Recovery Objectives
RTO: Recovery Time Objetive

Cunto tiempo podemos estar sin servicio?

Objetivo de tiempo de recuperacin, cual es el tiempo mximo
medido en horas/das para la recuperacin de la disponibilidad del
servicio.

RPO: Recovery Point Objetive

Cunto tiempo de trabajo podemos perder?

Objetivo del punto de recuperacin, a qu momento del tiempo debe
recuperarse el servicio (ltimo da, ltima hora, zero data loss, etc.).

Consultec, S.L.
Bilbao Donostia San Sebastin Madrid Pamplona Santander Vitoria Gasteiz

RPO

Cont
inge
ncia

RTO=5 min

RTO=1 hora

1 semana

Correo electrnico

App Contabilidad

Vuelta a la
normalidad

Sistema de ficheros
compartidos

Servicios varios

"

Consultec, S.L.
Bilbao Donostia San Sebastin Madrid Pamplona Santander Vitoria Gasteiz

"

#
Documentacin

Un documento formalizado perteneciente a la entidad

Aprobado y estudiado por la Direccin

Recoge todas las conclusiones identificadas

Actividades que se contemplan
Actividades que NO se contemplan

Existe personal con responsabilidad del mantenimiento del

documento

"

#
Estructura

1.Anlisis de Impacto en el Negocio

2.Estrategia de Recuperacin
3.Medidas preventivas
4.Procedimientos de invocacin y recuperacin
5.Mantenimiento del Plan
6.Prueba

Consultec, S.L.
Bilbao Donostia San Sebastin Madrid Pamplona Santander Vitoria Gasteiz

$
Soluciones Tecnolgicas

Tipos de Centros de Recuperacin:

Cold sites

Centros con sitio e infraestructuras adecuadas para soportar el

proceso de recuperacin
Warm sites

Centros que se encuentran parcialmente equipados con los

sistemas de informacin
Hot sites

Centros que disponen del equipamiento adecuado para la

recuperacin de la actividad

$
Soluciones Tecnolgicas

Site

Coste

Hardware

Cold Site Bajo

Nulo
Warm Site Medio
Parcial
Hot Site
Medio/alto Total

Telecomunic
Setup Time
aciones

Nulo
Largo
Partial/Full Medio
Total
Corto

Location

Acordada
Acordada
Acordada

$
Soluciones Tecnolgicas

La virtualizacin
Las copias de seguridad
Fuentes redundantes
SAI/UPS
Identificacin del punto nico de fallo (single point of failure)

$
Soluciones Organizativas

Responsable de Continuidad

Comit de Contingencia

!
!

Consultec, S.L.
Bilbao Donostia San Sebastin Madrid Pamplona Santander Vitoria Gasteiz

Estrategia

1.Conocer con qu se genera valor

2.Realizar el BIA
3.Anlisis de Riesgos
4.Medidas preventivas

Realizacin

Invocacin
Magnitud de los daos de los servicios
Criticidad de los sistemas afectados
Duracin estimada de la contingencia que supera el RTO

Proceso1

1 seg

30 min

1 hora

1 da

3 das

5 das

Leve

Leve

Medio

Medio

Medio

Grave

300

600

1000

1500

2000

5000

Realizacin

Notificacin
Personal interno

Grupos de contacto
Llamadas telefnicas
Envo de mensajes a los correos personales
Grupos de inters

Clientes
Proveedores

Realizacin

Notificacin
Contenido informativo

Naturaleza de la interrupcin
Duracin estimada de la interrupcin
Detalles de la situacin de la recuperacin
Cuando se adelantar ms informacin
Instrucciones para preparar la nueva ubicacin de trabajo
Instrucciones para completar la notificacin, mediante el rbol
de contactos

Realizacin

Recuperacin
DRP

Identificando qu se necesita y dnde se encuentra

Establecer el nivel de detalle necesario
Capacidad de la persona responsable de la recuperacin
Posibilidad de que esa persona no pueda acceder

Realizacin

Valoracin
Causa de la contingencia
Posibilidad de interrupciones o daos adicionales
Estado de la infraestructura
Inventario y estado de los sistemas informticos
Tipo de daos en los sistemas y especialmente en los datos
Soportes a ser remplazados
Tiempo estimado de vuelta a la normalidad

Mantenimiento

Plan actualizado
Cambios en la estructura de la empresa
Cambios en la infraestructura

Pruebas
Verificar nmeros de telfono

El proveedor es el mismo?
Verificar versionados

La estructura de la base de datos es la misma?

Sentido comn, el menos comn de los sentidos

Hay que mantener el Plan en papel, fuera de las instalaciones
La frecuencia de las copias es coherente con las necesidades
de continuidad
Puedo asegurar la confidencialidad de la informacin que se
maneja en la recuperacin?

Consultec, S.L.
Bilbao Donostia San Sebastin Madrid Pamplona Santander Vitoria Gasteiz

Ejemplo 1
Pequeo comercio

CPD

Contiene:
-Servidor de correo
-Aplicacin contablefinanciera

Externalizado:
-Pgina Web
-Copias de Seguridad

Ejemplo 2

CPD 1

Contiene:
-Servidor de correo
-Aplicacin contablefinanciera
-Aplicacin de
negocio1

CPD 2

Contiene:
-Servidor Backup
CPD1
-Aplicacin de
negocio2

Preguntas?