Estrategias de continuidad Tecnológica. ¿Qué hemos aprendido?

Sandra Patricia Camacho Bonilla, M.Sc, CBCP, PMP, ITIL v3, auditor
ISO 27001:2005 e ISO 9001:2008

Nadie duda de la importancia de las estrategias de continuidad

tecnológica, sin embargo, día a día se experimentan pérdidas de
continuidad
ti id d que iimpactan
t a llas organizaciones
i i bi
bien por ffallas
ll parciales
i l o
totales. Así las cosas, la presentación busca recapitular los diferentes
momentos de esta práctica y ver qué podemos seguir avanzando de cara
al reto de un mundo más interconectado y dependiente
p de las
tecnologías de información
 Continuidad Tecnológica 
Continuidad Tecnológica
Contenido
• Introducción

• Evolución - Metodologías
g y mejores
j p
prácticas

• Caso – Banco de la República

• Recomendaciones y factores claves

• Preguntas
 Introducción
I
Importancia
t i en la organización
l i ió

• Cada vez más la operación del negocio reposa sobre tecnología
• Los tiempos “de no disponibilidad” de un servicio impactan cada vez más 
transversalmente
q p p g
Clave Æ Identificar lo qué es lo importante para la organización?
Datos y procesamiento

Procesos críticos Cli t /
Clientes/usuarios
i
Operación del negocio  Adquirir y mantener la 
Procesos “core” Cadena valor lealtad y confianza del 
P
Procesos de apoyo
d cliente
 Continuidad Tecnológica 
Continuidad Tecnológica
Contenido
• Introducción

• Evolución - Metodologías
g y mejores
j p
prácticas

• Caso – Banco de la República

• Recomendaciones y factores claves

• Preguntas
 Continuidad del Negocio – Continuidad Tecnológica 
Eventos que han marcado su desarrollo
Avances tecnológicos 
virtualización, cloud‐computing, balanceo, mayores velocidades,
Voz ip, granjas de servidores, etc.

Circular 052 GTC 176

ITIL v2 ITIL v3

ISO-2700x BS-25999 BS-25777

BS 17799-x
Y2K 9-11

1988 1995 2000 2001 2005 2007 2008 2010

 Continuidad del Negocio
BS 25999 / DRII
BS‐25999 / DRII
Disaster Recovery Institute International
Y
Continuidad de Tecnología
BS‐25777 / BRCCI
Business Resilience
Certification Consortium
International
 Continuidad del negocio
Continuidad del negocio

• “Conjunto de políticas y procedimientos usados para 
minimizar el impacto de los eventos negativos para la 
operación normal del negocio, manteniéndose las pérdidas 
operativas y financieras en un nivel aceptable ”
operativas y financieras en un nivel aceptable.

• j
Objetivo Æ Business Resilience / flexibilidad

Definición tomada de: “BRCCI - Business Resilience ertification Consortium International”

 Business resilience & Business continuity
Valor para
Proteger e “stake-holders” Business resilience / flexibilidad
Incrementar valor * Capacidad para ajustarse rápidamente
* Transformación del negocio en respuesta a cualquier
Misión y 
Mi ió cambio anticipado o no anticipado
objetivos
* Prevención y mitigación de las amenazas
Estrategia del  * Capturar oportunidades, crear posición competitiva y
negocio aumentar el valor p
para los involucrados.
Políticas y 
procedimientos
Organización y personal
Business Continuity
Procesos del negocio

Información y tecnología Disaster Recovery IT

Instalaciones Disaster Recovery

Definición tomada de: “BRCCI - Business Resilience ertification Consortium International”
 Desastre tecnológico
g

• Qué es un desastre en tecnología?
“Evento de interrupción que causa que los sistemas o servicios 
tecnológicos no estén disponibles por un periodo de tiempo 
en el cual las pérdidas operacionales o financieras para la 
organización  son inaceptables.”

• Pérdidas operacionales Æ imagen, confianza, relaciones, cumplimiento, 
flujo de caja
• Pérdidas financieras Æ penalizaciones, sobrecostos, costo de renta de 
equipos, pérdida de ventas

Definición tomada de: “BRCCI - Business Resilience ertification Consortium International”

 Recuperación de Desastres de tecnología
Recuperación de Desastres de tecnología

• “Conjunto de políticas y procedimientos usados por las área 
de tecnología para recuperarse de los impactos de eventos 
negativos para las operaciones de tecnología dentro de los 
marcos de tiempo acordados ”
marcos de tiempo acordados.

• g p
Rol de tecnología como proveedor del servicio
• Acuerdos de servicio
• Costos por las pérdidas de los servicios de tecnología

Definición tomada de: “BRCCI - Business Resilience ertification Consortium International”

 Recuperación
ecupe ac ó de
de desastres de tecnología
desast es de tec o og a

• ObjetivosÆ

• Cumplir con las prioridades de recuperación de acuerdo al 
momento del “negocio” en que se presenta
g q p
• Cumplir con los tiempos esperados de recuperación (R.T.O.)
• Cumplir con el punto esperado de recuperación de 
i f
información (R.P.O.)
ió (R P O )
 Recuperación de desastres de tecnología
de desastres de tecnología

• Cómo lograrlo
• Directrices claras Æ Políticas, estándares
• Procedimientos Æ Viables, completos, verificados
• Equipos Æ roles definidos, entrenados y probados
• Recursos Æ Financieros, humanos, técnicos y 
tecnológicos etc
tecnológicos, etc.
 Estándares  BS25‐999 y BS 25‐777
Embedding continuity management

Understanting
Understanting
The ICT continuity
The organization
requirements

Determining ICT  Determining

BCM 
Exercising,
Exercising BCM Exercising,
Exercising continuity ICT continuity
ti it
programme
Maintaining Strategy Maintaining programme Strategy
& reviewing management & reviewing management

Developing and
Developing and
I l
Implementing
ti
Implementing
ICT continuity
BCM response
strategies

DRII In the organization’s culture BRCCI

Disaster Recovery Business Resilience
Institute Certification Consortium
International International
 Comparación “Continuidad del Negocio”
DRII vs BS‐25999
Disaster Recovery Institute (1988)
Inicio y administración del proyecto
Evaluación y análisis de riesgos
Análisis de impacto al negocio
g
Desarrollo de estrategias BC/DR
Preparación y respuesta de emergencia
Programas de concientización y capacitación
M t i i t y actualización de planes
Mantenimiento t li ió d l
Comunicación de crisis
Coordinación con autoridades externas
BS – 25999 (2008)
Gestión del programa BCM
Entender la organización
Determinar la estrategia de Continuidad (*)
g ( )
Desarrollar e implementar una respuesta BCM
Embeber BCM en la cultura de la organización
Ejercitar,
Ej it mantener and revisar los acuerdos 
t d i l d
BCM
Determinar las estrategias de continuidad 
“Stakeholders” (*)
Determinar las estrategias de continuidad 
(emergencias civiles) (*)
 Comparación “Continuidad de TI”
BRCCI vs BS‐25777
BRCCI (Business Resilience BS – 25777 (2008)
Certification Consortium
International )
Identificar los sistemas y su uso Programa de continuidad de ITC
Identificar BIA, RTO y RPO
BIA RTO y RPO Entender la organización
g

Determinar estrategias de recuperación Desarrollar e implementar estrategias de 

Identificar equipos de recuperación de TI recuperación

Responsabilidades de los equipos de RDTI
Desarrollar procedimientos de RDTI
Entrenamiento del equipo de RDTI Ejercitar y probar
Mantenimiento del plan Mantenimiento, revisión y mejora
RDTI = Recuperación de Desastres de TI
 Ot
Otros estándares
tá d que apoyan la continuidad
l ti id d

BS 25999 / DRI
BS 25999 / DRI Programa de continuidad
del negocio

BS 25777 / CBRIT
BS 25777 / CBRIT Buenas prácticas en IT DR

COBIT, ITIL, ISO 20000, ISO 27001 Buenas prácticas en tecnología

ISO 9001 Procesos

Método Æ da foco y estandariza los protocolos para brindar efectividad y eficiencia en la recuperación y
reanudación del servicio
 Continuidad Tecnológica
Continuidad Tecnológica
Perspectiva desde ITIL versión 3

C
Conocer lla organización
i ió
Gestión de la demanda, del portafolio y del catálogo, SLAs, requerimientos

Prevención
Gestión de disponibilidad, eventos, cambios, liberaciones e implementación , activos y
configuración seguridad y acceso,
configuración, acceso capacidad
capacidad,

Acción
Gestión de eventos, incidentes, problemas, disponibilidad y continuidad, proveedores,
 Continuidad Tecnológica 
g
Contenido
• Introducción

• Evolución - Metodologías y mejores prácticas

• Caso – Banco de la República

• Evolución
• Planeación
• Acción

• Recomendaciones y factores claves

 Evolución
o uc ó
Banco de la República

1996 Æ Acciones alternas para fallas en el servicio DCV e inicios de un nodo alterno local (hotsite) con salas para las
áreas operativas
1997 Æ Investigación de mejores prácticas en el mercado (D(D.R.I.I.)
RII)
1998 Æ Aplicación de DRI a los servicios y áreas de misión crítica, construcción de BCPs
1999 Æ Enfoque para preparación para el Y2K

2001 Æ Conformación de área específica para trabajar en continuidad

2002-2005 Æ Desarrollo nodo alterno tecnológico remoto (Barranquilla)

2006 Æ Conformación del Programa de continuidad del negocio externa a Informática

Certificación ISO 27001 para seguridad informática

2007 Æ Complemento con BS – 25999

2008 Æ Complemento con BS - 25777

2009 Æ Evolución tecnológica clusters, virtualización, balanceos, granjas de servidores, replicación, sincronización

2010 Æ Evolución en las pruebas de contingencia para autonomía de los nodos local y remoto
Estrategias de continuidad Tecnológica

Caso Banco de la República

p
Planeación

Sandra Patricia Camacho Bonilla
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
scamacbo@banrep.gov.co
 Pl
Planeación
ió para lla continuidad
ti id d ttecnológica
ló i
Banco de la República
0. Programa de continuidad tecnológica (apoyo, políticas, gerencia)

1. Conocer la organización
BS 25-777
2. Desarrollar e implementar estrategias de recuperación
Understanting
3. Ejercitar y probar The ICT continuity
requirements

ICT 
4. Mantenimiento, revisión y mejora continuity Determining
Exercising, programm ICT continuity
M i t i i
Maintaining e Strategy
& reviewing manageme
nt

Developing and
Implementing
ICT continuity
strategies
 0 Programa de continuidad tecnológica
0.
Banco de la República
• Apoyo de la gerencia

• Gerencia del proyecto

• Políticas

• Programas de concientización

• Certificaciones

ISO-9001 e 27001
 1 Conocer y entender la organización
1.
Banco de la República
A. Identificar las funciones operativas de la organización
y procesos críticos

1. Banco de Bancos
2. Prestamista de última Instancia
3. Emisión de moneda legal
4. Promotor del desarrollo científico, cultural y social
5
5. Ad i i t ió d
Administración de reservas iinternacionales
t i l
6. Funciones cambiarias y de crédito
7. Banquero, agente fiscal y fideicomiso del gobierno
8. Informe de la Junta Directiva al Congreso
g de la República
p
Operación del negocio

Tecnología
 1. Conocer y entender la organización
g
Banco de la República
B. Conocer los servicios de TI y que proceso de negocio apoyan

• Servicios tecnológicos de misión crítica

• Operación bancaria (DCV, CUD, SEN, CEDEC, CENIT, SWIFT, OPICS, etc.)
• Industrial y tesorería (MASTER, SMV, SAP, etc.)
• Cultural (BLAA, Museo, etc.)
• Estudios económicos ((Serankua,, SISEC,, publicación
p de tasas,, etc.))
• Reservas Internacionales

• Servicios tecnológicos de uso general

• Correo, FS, red, voz ip, web BR, internet, etc.

• Servicios
S i i ttecnológicos
ló i administrativos
d i i t ti
• RH, Contaduría, Cartera, SM, etc.

• Servicios de plataforma informática

• SEBRA, PKI, SOA, WAN, LAN, etc.
 1. Conocer y entender la organización
Banco de la República
C. Definir las expectativas

• Definir acuerdos de servicio

• Análisis de riesgos

• Análisis de impacto para el negocio (BIA)

• Gestión de la demanda (horarios críticos)

• RTO y RPO
 Proceso BIA

Identificar Funciones Determinar Impactos Priorización RTO

Criticas Cuantitativos y Cualitativos
•INTERFACES •PÉRDIDA FINANCIERA $$$ •ESTABLECER PRIORIDADES

•USUARIOS •PÉRDIDA INTANGIBLE •DESARROLLAR ESTRATEGIAS

3
•TIEMPOS CRITICOS •¿CUÁNDO ES INTERRUPCIÓN

Y CUÁNDO DESASTRE?
Método
Análisis de riesgos  Æ ESCENARIOS DE FALLA Y SU PROBABILIDAD
Identificar vulnerabilidades y amenazas para implantar controles de 
disminución de probabilidad y estrategias de mitigación del impacto
BASILEA, SEI‐OCTAVE, NIST, ISO 27001

BIA Æ PRIORIZACIÓN Ó
Priorización de procesos del negocio Æ Priorización de servicios de
tecnología Æ Niveles de continuidad (tier), RTOs/RPOs/RTA
Di ñ estrategias
Diseñar t t i para mitigación
iti ió d
dell riesgo
i
Análisis costo-beneficio
Metodología Æ DRI
 2. Estrategias de recuperación
Banco de la República
A. Definición de los recursos tecnológicos

• Determinar estrategias de recuperación Æ Adquisiciones basadas en

costo beneficio identificado con el BIA
costo-beneficio

• Identificar equipos de recuperación y responsabilidades para la

ejecución de los procedimientos Æ RACI, esquemas de notificación,
funciones de grupos de trabajo, entrenamiento, conocimiento, etc.

• Desarrollar procedimientos de recuperación basado en las

tecnologías disponibles y evaluar la viabilidad de optimizar los RTOs
y RPOs con nueva tecnología en caso de requerirse
 2 Estrategias de recuperación
2.
Banco de la República
• Determinar estrategias
g de recuperación
p netamente técnicas Æ
Tecnologías disponibles en el banco: Cluster, discos SAN, NAS,
balanceo, virtualización, granja de servidores, “hosting” externo,
nodos externos local y remoto.

• Estrategias con las áreas usuarias Æ Acuerdos con otras entidades o

áreas, mini-aplicativos, accesos alternativos, proceso alternativo,
desarrollos complementarios
p
 Estrategias 

• Sitios alternos (vendedores comerciales, acuerdos recíprocos con

otras compañías, sitios remotos propios)
• Hot site
• Cold site
• Warm site
• Mobile site

• Opciones
• Adquisición (pre-establecidos, pre-acordados, adquiridos
cuando se necesiten)
• Área de trabajo alterna (Sitio de trabajo móvil, sitio de trabajo
fijo, “Home-office”)
 Estrategias 

• Almacenamiento
• Datos críticos (frecuencia/ tipos/ método/ infraestructura para
los backup, acuerdos de recuperación, agenda de retención,
infraestructura)
• Copia en cintas/CD, Sincronización y Replicación

• Comunicaciones de voz y datos

• Conectividad
• Ancho de banda y capacidad
• Características (calidad, velocidad, etc.)
• Requerimientos de seguridad
 Estrategias de recuperación de TI

• Tecnologías
• Cluster
• Virtualización
• RAID
• SAN
• NAS
• Deduplicación de datos
• Replicación
• Balanceo de cargas
• Granja de servidores
• “Clo d comp ting”
“Cloud-computing”
 Alta disponibilidad
Alta disponibilidad

• Característica de un sistema que asegura que estará 
disponible según la demanda de los usuarios (proteger 
contra las caídas y fallas de los componentes)
• Cumplir los acuerdos de servicio
Cumplir los acuerdos de servicio
• 99.9 %
• 99.99 %
99.99 %
• 99.999 % 
 2 Estrategias de recuperación
2.
Banco de la República
B. Definición de responsabilidades
p y equipos
q p de trabajo
j
Equipo de recuperación del servicio
Equipo de reanudación del servicio
Equipo de notificación
Equipo de logística
Equipo de soporte en los nodos
Gestión de Crisis
C t d
Centro de C
Comando
d

Gestión de crisis

Comando tecnológico

Equipo Equipo Equipo

Equipo
Reanudación Logística Finanzas
Planeación
 3. Ejercitar y probar
Banco de la República

• Pruebas funcionales y operativas de las estrategias

• Son requeridas para aprobar un cambio en producción en algún componente
del servicio
• Escenario Æ Incidente del servicio

• Verificaciones de procedimientos de activación y retorno

• Se realizan 2 veces al año (Marzo y Septiembre)
• Escenario Æ Emergencia tecnológica

• Ejercicios integrales del plan

• Semestralmente junto con los planes de BCP (Junio y Diciembre)
• Duración en contingencia Æ 2 semanas
• Escenario Æ Desastre tecnológico/ catástrofe en instalaciones
 3. Ejercitar y probar
Banco de la República
 4. Mantenimiento, revisión y mejora
Banco de la República

• Políticas de mantenimiento Æ Control de documentos y registros (ISO 9001)

• Políticas de revisión Æ Indicadores de gestión, auditorías internas (ISO 9001)
• Políticas de mejora Æ Seguimiento acciones correctivas y preventivas (ISO 9001)
 Planeación para la continuidad tecnológica
B
Banco d
de lla R
República
úbli
0. Programa de continuidad tecnológica (apoyo, políticas, gerencia) Æ PMP

1
1. Conocer lla organización
C i ió
• Identificar los sistemas y su uso Æ Gestión de portafolio y catálogo ITIL
• Identificar BIA y análisis de riesgos Æ DRI e ISO 27001
• RTO y RPO Æ Gestión de acuerdos de servicio y de la demanda ITIL

2. Desarrollar e implementar estrategias de recuperación

• Determinar estrategias de recuperación Æ ISO 25777, BRCCI y “Estado del arte TI”
• Identificar equipos de recuperación y responsabilidades Æ DRI y PMP
• Desarrollar procedimientos de recuperación de TI Æ ISO 25777 y BRCCI

3. Ejercitar y probar Æ DRI y ISO 25777, BRCCI

• Verificaciones de procedimientos de act/ret, pruebas funcionales y operativas de la
estrategia y ejercicios integrales del plan

4. Mantenimiento, revisión y mejora Æ ISO 9001

• Medición, seguimiento, trazabilidad, acciones correctivas y preventivas enfocadas a la
mejora
Estrategias de continuidad Tecnológica

Banco de la República
p
Acción

Sandra Patricia Camacho Bonilla
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
scamacbo@banrep.gov.co
 Alertas

Verde – Normalidad
Amarilla – Contingencia
Naranja – Emergencia
Roja ‐ Crisis
Roja 
 M
Manejo
j dde alertas
l t ttecnológicas
ló i

• Gestión de continuidad Æ Prevención de emergencias y desastres

• Atención de contingencia
g Æ Atención de incidentes del servicio

• Atención de emergencias Æ Atención de desastres tecnológicos

• Gestión de crisis Æ Catástrofes

 Prevención de eventos 0. Normalidad Servicios operando normalmente
(correlación monitoreos, alertas)

Hw, Sw, Comm, BD, Interrupción de un servicio tecnológico

1. Incidentes de impacto alto crítico
Apl, etc.

Intoxicación, emergencia 2. Evacuación edificio o no acceso El RH de tecnología se ve obligado a salir y/o

no ingresar al Edificio por un periodo de
sanitaria, terrorismo, etc. (Sin afectar las instalaciones físicas)
tiempo, pero las instalaciones físicas OK.

Amenaza de Red, Potencia o 3. Pérdida total CDC PPAL controlado No hay servicio del Centro de Cómputo
ambiente Inundación
ambiente, (Apagado controlado y previsto) PPAL Æ no red ed PPAL

Evento de falla en la Red, 4. Pérdida total CDC PPAL inesperado No hay servicio del Centro de Cómputo
PPAL Æ no red ed PPAL
potencia, ambiente, inundación (Apagado abrupto e inesperado)

Interrupción en el suministro Ninguno

Ni de
d los
l dos
d nodosd tecnológicos
t ló i en
potencia, comunicaciones o 5. Desastre tecnológico Bogotá Bogotá están operativos, afectándose
tecnológicamente los servicios del BR
evento severo en los dos nodos

Recurso humano e Instalaciones físicas

Incendio, explosión, 6. Desastre total Edificio PPAL afectadas del Ed PPAL
Temblor en el edificio
Gran parte de Bogotá afectada, incluyendo
tanto BR como gran parte de los clientes
Terremoto Bogotá 7. Catástrofe Bogotá externos. El recurso humano pudo haber
sido afectado.
 Subgerentes
Centro de Comando Directores áreas

Toma de decisiones
Ejecución Agenda Tecnológica
G tió d
Gestión de crisis
i i Subgerente SGINF
Directores SGINF
Coordinación de la Crisis
Integración de notificaciones
Directora USCI
CoordinaciónComando
de comm.tecnológico
Internas y externas
Control de impactos en los negocios E i
Equipos d
de EEmergenciasi
Evaluación de riesgos residuales
Gestión de recursos,
preacuerdos, administración de
accesos seguros
seguros, claves
claves, etc
etc.
Equipo Equipo Planeación
Equipo Logística Equipo Finanzas
Reanudación (Impacto IT
Conmutación y Notificaciones) Apoyo a la sala Presupuesto y
de servicios Correo contactos de operaciones
E caso d
En adquisiciones
de requerirse,
i
Semáforos Srv. gestiona las adquisiciones y el
Centro soporte Presupuesto
 Gestión de continuidad
Prevención de emergencias y desastres
Chequeos diarios Correlación de eventos

Monitoreos y alertas de servicios

Acuerdos de servicio
 Gestión de continuidad
Prevención de emergencias y desastres

• Gestión de eventos

• Gestión de cambios en producción

• Medición, mejora y prevención Æ Indicadores de gestión

• Gestión de problemas (reunión de problemas)

• Gestión de continuidad
Atención de contingencias Æ INCIDENTES
Atención de incidentes tecnológicos
 Atención de contingencias Æ INCIDENTES
Atención de incidentes tecnológicos

• Identificación oportuna del incidente

• “Primeros auxilios” y diagnóstico inicial confiables y oportunosÆ

Base de datos de conocimiento
•
• Notificación ágil a los equipos de recuperación (TI) y reanudación
(TI y/o Usuarios)

• Gestión de acuerdos de servicio Æ Control del RTO y RPO

esperado por las áreas para este escenario
 Atención de emergencias Æ DESASTRE
Atención de desastres tecnológicos

• Conmutación controlada o abrupta de TODO el nodo principal

h i ell segundo
hacia d nodo
d ((operación
ió cruzada
d con primer
i nodo)
d )

• Movilización de personal hacia el segundo nodo

• Notificaciones a las partes interesadas

• Control del riesgo

• Mitigación y control del impacto

 ARQUITECTURA PLATAFORMA SUN A:
BD:
Activo - Activo
Base de Datos
EDIFICIO PRINCIPAL EDIFICIO CDE C:
F:
Componente
IP Física
V: IP Virtual
Srv: Servicios

C: Swift A. A. BD: BR BD: BAN 8 BD: BAN 3 BD: BAN 4 BD: BR C: Swift A. A.
Srv: - Int. Swift - SOI Srv: - Cedec Srv: - CUD Srv: - Ares Srv: - SAC Srv: - Cedec Pruebas
- Swift - Cenit - Carteleras - Cenit Pruebas
(Wsebra) P
- Cumbre
SUN Fire V880 A - Htrans
A SUN Fire V240
SBAN1A - Interfaces SEN
SUN Fire V440 SWAL2B
SUN Fire V440 SUN Fire V240 - SAFD
SUN Fire V240 - SEC SACH2B
SWAL1A SACH1A SBAN5A SUN Fire V880
- SGU Certicámara SBAN2B
- SOI
- Subastas

C: Apache P BD: BAN 1 C: Apache

BD: BAN 2 Srv: - Ares
Srv: - Htrans Srv: - Sisec
Srv: - SIC SUN Fire V240 - FAEP
----------------------------
SBAN6B Srv: - SMV - SEC
--
C: Apache ---------------------------
Srv: - Interfaces SEN --
---------------------------- C: IAS
-- SUN Fire V240 Srv: - SIC
C: IAS SUN Fire V880 TCS2 SUN Fire V880 - SAC
Srv: - Aurora SBAN4A SBAN3B ---------------------------
--
C: OC4J
Srv: - Fic
Srv: - SMV ---------------------------
SUN Fire V240 --
SWEB1A C: Jboss
Srv: - SAFD Intranet
---------------------------
--
BD: PROD SUN Fire V240 C: Propietario
Srv: - SAP TCS1 V: N/A
Srv: - SMART

Discos Discos
Sun StorEdge Sun StorEdge
Srv: - PKI
Srv: - PKI 6920 6920
SUN Fire V480 SUN Fire V240
SIND1A SWEB2B

C: Alliance Gateway
C: Apache Srv: - Swift Gateway SUN Enterprise 280R
C: Alliance Gateway SPKI2B
BD: MFNSYS SUN Enterprise 280R Srv: - Swift Gateway
Srv: - DCV SPKI1A BD: BAN5_New
BAN5 New
P
Srv: - Fic
A SUN Fire V215
SUN Fire V240 - Faep
SUN Fire V215 SWAG2B
SPOR2B / C: Business Intel. - JANO
C: Apache SWAG1A OC4J, OAS - Master
Tomcat QUIMBAYA II
SUN Fire V440 Srv: - Cumbre - Master - Antares
SATL1A Srv: - DCV ------------------------------ - Neón Web
--------------------------- C: Platform C: OAS - Sidef
- C: Apache Srv: - Master – Antares Srv: - Master - Siged
C: Apache Srv: - SEC ------------------------------ - Jano - Simed
C: Platform C: Apache
C: OAS Tomcat - Web Banco -- - SOI - Sipres
Srv: - Cud Compensación ------------------------
S
Srv: - CUD Srv: - Subastas C: Jboss - Smart
- SGU (Certicámara) C: Tomcat
Srv: - SAFD Internet - SRH

SUN Fire V240

SUN Fire 240 SUN Fire T2000 SUN Fire V890 SPOR1A / QUIMBAYA SUN Fire V890 SUN Fire T2000 SUN Fire 240 SUN Fire V440
SWEB3A SPOR3A SWAT1A SWAT2B SPOR4B SWEB4B SATL2B
Atención de emergencias
 Centro de operaciones
SALA DE CONTINGENCIA – CENTRAL DE EFECTIVO
Archivadores
Super SGMR SGEE 3817 3816 3815 3814
16 15 14 13
55 3822 56 57
Bloomberg DRI DRI DRI
3823
54 3957
53 52 51 3821 50
49 3819 48 3820 47 3818 Reuters DRI DRI DRI
ABC ABC SEN FAEP URCPIURCPIURCPIURCPI 9 10 11 12
3954 3811 3812 3813
Master Master
BALANZA RPC URCPIURCPIURCPI Mesa de
SIC SIC SIC Dinero 2
3824 39 3825 40 41 3826 42 3827 43 44 3828 45 3829 46 3830
3810 3809 3847 3807
3958 3835 3956 3834 3831 3832 3833 8 7 6 5
38 37 36 35 34 33 32 31
DODM DODM DODM SET FX
OPI OPI SEN DCV DCV DCV Cedec Cedec
DODM DODM SEN AL&CR
OPI OPI OPI DCV DCV DCV Cenit Cenit
1 2 3 4
3953 3805 3804 3806
23 3837 24 3836 25 3839 26 3838 27 3840 28 29 3955 30 3841
Mesa de
Dinero 1
3843
22 Lector PKI 21 3844 20 19 18 3842
17
UPCI CUD CUD CUD CUD CUD
Bodega
Disarchivo
Archivadores Entrada
 Gestión de crisis
Catástrofes

• Nodo remoto Æ Barranquilla (más 800 km)

• W
Warm-site
it para los
l servicios
i i dde misión
i ió crítica
íti y plataforma
l t f
informática (RTO = 2 horas y RPO = 20 minutos)
• Personal técnico de alto nivel
Etapas atención de crisis

Etapa Uno
PRE CRISIS
PRE-CRISIS

¾Analizar el riesgo Etapa Dos

¾Determinar el potencial efecto
¾Necesario tomar alguna acción
¾No visible fuera empresa
CRISIS AGUDA
¾Activar Equipos Etapa Tres
¾Reanudar Operaciones POST-CRISIS
¾Comunicar interna/externa
¾Ahora visible para todos ¾Recuperación de
actividades
¾Evaluar desempeño de la
organización durante la
crisis
 Instalaciones BR Barranquilla

Edificio Principal

Instalaciones
Central de Efectivo
Bogotá

Sincronización
Enlace Fibra Oscura
10 km aprox
Edificio Principal Central de Efectivo
 Centro
C t d de
Operaciones
Diagrama Tercer
Centro de Operaciones

Tercer Nodo Tecnológico

Nodo

Intermediarios
Financieros Internet

Usuarios
Banco República

Principal Segundo Nodo

ISDN
Fibraaccess
Óptica
line

IIntermediarios
t di i
Financieros Proveedor
De
Comunicaciones
 Continuidad Tecnológica 
Continuidad Tecnológica
Contenido
• Introducción

• Evolución - Metodologías
g y mejores
j p
prácticas

• Caso – Banco de la República

• Recomendaciones y factores claves

• Preguntas
 Continuidad Tecnológica 
Recomendaciones y factores claves

• Contar con el apoyo de la alta gerencia

• Involucrar a toda la organización
• Seguir mejores prácticas a nivel de documentación, continuidad,
gestión tecnológica
g g y medición

• Identificación de procesos de la cadena valor de la organización

• Conocimiento del cliente, su demanda y expectativas
• Conocimiento de las propias limitaciones
• Claridad hacia la organización
• Sinergia Continuidad tecnológica con Continuidad del negocio
 Continuidad Tecnológica 
g
Resumen

• Evolución - Metodologías y mejores prácticas

• Caso – Banco de la República

• Planeación
• Acción
A ió

• Recomendaciones y factores claves

 Continuidad Tecnológica 
Bibliografía y referencias

• “Disaster Recoveryy Testing”

g – Exercising
gyyour contingency
g ypplan.
Philip Jan Rothstein, FBCI, ed. 2007

• Managing Catastrophic loss of sensitive Data. Constantine

Photopoulos. Syngress. Ed. 2008

• Disaster Recovery Institute. http://www.drii.org

• British Standards http://www.bsigroup.com/

• Business Resilience Certification Consorcium International

http://www.brcci.org/cbritp.htm
Estrategias de continuidad Tecnológica

Sandra Patricia Camacho Bonilla
M Sc CBCP PMP ITIL v3 auditor ISO 27001:2005 e ISO 9001:2008
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
scamacbo@banrep.gov.co
Estrategias de continuidad Tecnológica

Gracias

SSandra Patricia Camacho Bonilla
d P ti i C h B ill
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
scamacbo@banrep.gov.co
Estándar 25‐777 “Information and communication
technology continuity management”
 CBRITP
IT Continuity and Disaster Recovery Planning

• Business Resilience & Business Continuity
• IT disaster & IT disaster recovery
• High availability vs Continuous availability
• IT DR plan development steps
• IT recovery concepts & strategies
 Plan de recuperación de desastres de tecnología ‐ CBRITP
Pasos para su desarrollo

1. Identificar los sistemas y aplicaciones en uso
2
2. Analizar el impacto para el negocio (BIA) de una interrupción en la capacidad tecnológica y
Analizar el impacto para el negocio (BIA) de una interrupción en la capacidad tecnológica y 
determinar los marcos de tiempo esperados y prioridades de recuperación (RTO y RPO)
3. Determinar las estrategias de recuperación de desastres tecnológicos (Sitios alternos, 
costo‐beneficio)
4
4. D
Documentar la organización de los  equipos
l i ió d l i d l ITDR (RACI
del ITDR (RACI, organigrama, líderes de 
i líd d
equipos, notificaciones, listas de chequeo)
5. Documentar las responsabilidades de los equipos ITDR (tareas, dependencias, protocolos, 
agendas) 
6. Desarrollar y documentar los procedimientos de recuperación de IT (detallado, adecuado, 
completo, viable, prevenir síndrome del “héroe”)
7. Documentar el entrenamiento del ITDR (concientización, conocimiento del procedimiento, 
trabajo de equipo, nuevas contrataciones, refuerzo y recordación)
trabajo de equipo, nuevas contrataciones, refuerzo y recordación)
8. Documentar el mantenimiento del plan (Revisión, validación, liberación, distribución)
 7 “tiers”
7  tiers  de recuperación de desastres
de recuperación de desastres

Tier 0 
0 – No off
No off‐site
site data 
data – posibly no recovery
no recovery
Tier 1 – Data backup with no hot site
Tier 2 – Data backup with a hot site
Tier 3 – Electronic vaulting
Tier 4 – Point‐in‐time copies
Tier 5 
5 – Transaction integrity
Tier 6 – Zero or near zero data loss
Tier 7 – Highly automated, business integrated solution
Estrategias según el escenarios de desastre
Catástrofes en la ciudad 
O
Operación en otra ciudad
ió i d d
Desastres de infraestructura física (CDC, edificio, potencia, ambiente, 
sabotajes, terrorismo, huelgas)
Nodos alternos distantes al principal (Cold sites, hot sites, propios, 
contratados, SLAs)
Desastres de tecnología (máquina servicio)
Desastres de tecnología (máquina, servicio)
(HA) Virtualización / cloud computing/ granja / balanceo / cluster
Fail tolerance
 “Resilience”
Resilience  / Flexibilidad
/ Flexibilidad

• Ajustarse rápidamente 
• Transformación del negocio en respuesta a cualquier cambio 
anticipado o no anticipado 
• Prevención y mitigación de las amenazas
ió i i ió d l
• Capturar oportunidades, crear posición competitiva y 
aumentar el valor para los involucrados.
aumentar el valor para los involucrados.