De la teoría a lo real

Un enfoque práctico del

BCP y el DRP
Presentada por:

Lic. Cristián P. Fourcade

Marzo 2015
Cristián Fourcade & Asociados
 Aclaración:

© Todos los derechos reservados. No está permitida la

reproducción parcial o total del material de esta sesión, ni
su tratamiento informático, ni la transmisión de ninguna
forma o por cualquier medio, ya sea electrónico, mecánico,
por fotocopia, por registro u otros métodos, sin el permiso
previo y por escrito de los titulares de los derechos. Si bien
este Congreso ha sido concebido para difusión y promoción
en el ámbito de la profesión a nivel internacional,
previamente deberá solicitarse una autorización por escrito
y mediar la debida aprobación para su uso.

Marzo 2015
 Agenda
 Marco conceptual
• BCM
• BCP
• DRP

 Ciclo de vida de una Contingencia con BCM / BCP

 Enfoque Metodológico
• Análisis de impacto en negocio (BIA)
• Selección de Estrategia
• Desarrollo del Plan
• Prueba y mantenimiento del plan

 Síntesis y Beneficios esperados

Marzo 2015
 Definiciones – Marco Conceptual
 Business Continuity Management (BCM):

• Dota a la organización de capacidades de gestión y acción para:

o Identificar y valorar amenazas potenciales,

o Definir estrategias acordes a los impactos y necesidades concretas y reales

del negocio,

o Planificar y construir la respuesta de la organización a las amenazas,

resguardando los intereses de toda la organización. (Reputación, marca,
empleados, actividades de valor agregado, y rentabilidad),

o Estructurar un esquema de mantenimiento y mejora continua que garantice

la efectividad y validez en el tiempo.

• Es un activo de la organización. No es un gasto.

Marzo 2015
(1) Normas y Prácticas: NFPA 1600; DRII; ASIS/BCI; PAS56; BS-25999-1/2; ISO 22301/2012
 Definiciones – Marco Conceptual
 Plan de Continuidad de Negocios (BCP) :
• “Es la capacidad que tiene la organización para continuar la entrega de
productos o servicios a niveles predefinidos aceptables después de que haya
sucedido un incidente perjudicial” (ISO 22301),

• Procesos y acciones desarrollados para prevenir interrupciones de actividades

del Negocio, que minimizan el impacto de un evento o incidente en el negocio,

• Tiene un alcance Operativo y Tecnológico.

 Plan de Recuperación ante Desastres (DRP) :

• Subconjunto del BCP,

• Está focalizado en los aspectos Tecnológicos. Es un conjunto de acciones y

procedimientos, medios, y responsables,

• Recupera la funcionalidad y operación de la infraestructura y las aplicaciones.

Marzo 2015
 Ciclo de vida de la Contingencia con BCM - BCP
Unidades Plan de Contingencia y Procedimientos (PCP)
de
Negocio Contención Operación
Vuelta a la
en
normalidad
Unidades Mitigación Contingencia
Operativas

RPO RTO
Comité
Continuidad de
Negocio t1 t2 t3 Sitio Alternativo t5
t4 t6
Comité
Administración Detección y
Tiempo para t
de Crisis
RPO: Punto de RTO: Tiempo de Período en Contingencia retornar a la
Recuperación Ejecución Recuperación Normalidad
Objetivo Arbol de Objetivo
Llamados

Sistemas Mantener Contingencia y

Actividades para Ejecutar
yTecnología Soporte a la Operación
activar Sitio y/o Vuelta a la
Administración, Sistemas Alternos Normalidad
RRHH, y Puesta en marcha Actividades
Otros para la vuelta atrás

Plan de Recuperación de Desastres (DRP)

Marzo 2015
 Enfoque Metodológico
de la Gestión de continuidad de Negocio
 Evaluación general de riesgos
 Diseño de las pruebas del plan  Evaluación de procesos y aplicaciones de
y su periodicidad, negocio, con el objetivo de determinar:
 Políticas y procedimientos o Criticidad,
para mantener actualizado y o Tiempos de recuperación,
vigente el plan desarrollado,
o Interdependencias entre
 Entrenamientos, procesos y tecnología
 Ejecución de pruebas. (internos /terceros),
o Requerimientos mínimos
para su recuperación.

 Desarrollar Plan de
recuperación detallado:  Determinación de las
estrategias viables de
o Roles & continuidad y
responsabilidades, recuperación, evaluando:
o Criterios de decisión,
o Requerimientos mínimos,
o Procedimientos
o Estrategias de Backup & Recovery,
detallados,
o Posibles sitios alternos de
o Logística.
procesamiento.
Marzo 2015
 Análisis de impacto en negocio (BIA)
Procesos / Impacto de Negocio / RTO / Dependencias

Nivel de dependencia
- Sin dependencia No aplica
Procesos / Impacto de Negocio / Tiempos 1 Baja dependencia
2 Dependencia media
No impacta en el proceso
Puede trabajar con medios alternativos
máximos de interrupción 3 Dependencia absoluta Imposibilita trabajar o producir

Marzo 2015
Análisis de impacto en negocio (BIA)
Evaluación de Riesgos

Marzo 2015
 Análisis de impacto en negocio (BIA)
Evaluación de Riesgos – Distribución del Riesgo

Marzo 2015
 Selección de Estrategia
 Evaluar el alcance y alternativas de Mitigación / Recuperación y sus niveles de
activación:
• Generación de capacidad ociosa para • Sitios internos o externos,
reprogramación de producción,
• Hot , Warm o Cold Sites.
• Gestión de Stocks,
• Distribución en locaciones.

 Para evaluar las estrategias a utilizar se debe tener en cuenta:

• Resultado del BIA – VAR
• Análisis Costo / Beneficio (ROI) de las alternativas propuestas
o Los costos para cada alternativa. (Capex – Opex)
o Beneficios: Comerciales – Seguro – Tasas bancarias, VAR, otros
• Factibilidades técnicas y operativas
• Desarrollar acuerdos recíprocos y/o con proveedores de servicios y
validarlos.
(1) VAR (Value at risk)
Marzo 2015
 Selección de Estrategia
Ejemplo Sistemas & Tecnología

Marzo 2015
 Desarrollo del Plan
 El plan debe ser una guía de decisión y respuesta que
Identifica como mínimo: Participa en Planes

Rol en el Responsab.
 El daño potencial y recursos mínimos para Nombre plan en el Plan
A1 A1 A A B1 B1 B B B C C C C
recuperar los servicios en función a la estrategia, BCP BCP .1 .2 2 3
A4
.2 .2 2 3 4 1 2 3 4

 Secuencia de Fases y estados de alerta , R & R, Persona 1 Steering

Commitee
Argentina CFO
      
 Funciones críticas y priorización de la ejecución de Persona 2 Steering CFO Latam
Commitee  
procedimientos alternos y de restauración,
Persona 3 Steering Latam IS IA
Commitee  
 Procedimientos detallados (alternativos y
Persona 5 SAP Platform Idem DRP Director ? ? ? ? ? ? ? ? ? ? ? ? ? ?
recuperación), Manager

Persona 6 DRP Manager Coordina

 Criterios de aceptación, actividades DRP
Según plan en       
 Equipos de trabajo, insumos y logística requerida. ejecución.

Amenaza Amenaza
Riesgo

Falla
Vandalismo,
electrica Fallas Tecnicas componentes Servidores o Fallas Tecnicas componentes
Incendio Terrorismo, Fallas Proveedor de Comunicaciones (unico) Acción
(apagon) o sabotaje Net working
Piquete
Area Afectada Propio
Placa de Switch de
Interrumpe el Servicio Red Discos Sistema operativo Core Switch Borde Storage Un Vinculo Todos los vinculos

Nivel de Emergencia 4      Plan A

SI Nivel de emergencia 3      No existe alternativa de DRP Plan B
Data Center
Nivel de emergencia 2      Plan C
NO Nivel de emergencia 1    Plan D

Nivel de Emergencia 4   Plan A1

SI Nivel de emergencia 3   No existe alternativa de DRP Plan B1
Servidor SAP
Nivel de emergencia 2   Plan C1
NO Nivel de emergencia 1     Plan D1

Marzo 2015
 Prueba y Mantenimiento
 Plan de Pruebas
• Su objetivo es medir efectividad y capacidad del plan
Contiene:
o Todos los aspectos a probar (Secuencia o fases, prioridad, logística,
aspectos técnicos, RR.HH),
o Criterios de aceptación, resultados esperados,
o Revisión preliminar, Simulación (Dry run), Prueba real.
• Todo el personal involucrado debe ser entrenado.
 Mantenimiento y mejora continua del plan
• Un único responsable con autoridad necesaria para:
o Requerir y obtener de todas las áreas los ajustes que aseguren la
vigencia del plan,
o Realizar las revisiones periódicas de cada uno de los planes de
continuidad del negocio, y el entrenamiento requerido.
• La periodicidad con la que realizará la revisión, pruebas subsiguientes y
auditorias. Marzo 2015
 Factores críticos de éxito
Desarrollo del BCP
• Involucramiento y compromiso del Senior Management,
• Liderazgo preferiblemente en el negocio,
• Los resultados del BIA y la definición de estrategia debe ser aprobada por el
Sr. Management,
• Es un proyecto de toda la Empresa – No es un proyecto de IT,
• IT es clave, pero es sólo una parte,

• Presentación niveladora en conceptos de BCP, y entrenamiento continuo,

• Se deben utilizar técnicas de Gestión de proyectos (PMI – Prince2 - PMO),
• Todos los procedimientos o especificaciones técnicas requeridas por el
proyecto deberían ser confeccionas por personal de la empresa,
• Los consultores externos participan fuertemente en las primeras etapas,
acompañan durante el desarrollo y auditan pruebas,
• El proyecto y el plan deben contar con criterios de aprobación formales,
• La responsabilidades deben especificarse claramente.
Marzo 2015
 Síntesis
Beneficios esperados
• Contar con una solución de continuidad para la producción y entrega de
productos o servicios de la compañía después de la ocurrencia de un incidente,
• Potenciar la obtención de nuevos negocios por contar con un BCP,
• Disminución de la prima de seguros por pérdidas de beneficios,
• Previene sobre-inversión o inversión inefectiva,
• Disminución de la exposición a riesgos y pérdidas en el Negocio,
• Toma de decisiones rápidas, controladas y probadas ante las contingencias,
• Contar con una solución que permita evitar la interrupción y que facilite la
rápida recuperación de la infraestructura tecnológica en caso de ocurrir un
incidente o un desastre.
Para ello hemos considerado

Marzo 2015
Gracias por asistir a esta sesión…

Marzo 2015
 Para mayor información:

Lic. Cristián P. Fourcade

cfourcade@cfourcade.com.ar

Para descargar esta presentación visite www.segurinfo.org

Los invitamos a sumarse al grupo “Segurinfo” en

Marzo 2015