Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sandra Patricia Camacho Bonilla, M.Sc, CBCP, PMP, ITIL v3, auditor
ISO 27001:2005 e ISO 9001:2008
• Evolución - Metodologías
g y mejores
j p
prácticas
• Preguntas
Introducción
I
Importancia
t i en la organización
l i ió
• Cada vez más la operación del negocio reposa sobre tecnología
• Los tiempos “de no disponibilidad” de un servicio impactan cada vez más
transversalmente
q p p g
Clave Æ Identificar lo qué es lo importante para la organización?
Datos y procesamiento
Procesos críticos Cli t /
Clientes/usuarios
i
Operación del negocio Adquirir y mantener la
Procesos “core” Cadena valor lealtad y confianza del
P
Procesos de apoyo
d cliente
Continuidad Tecnológica
Continuidad Tecnológica
Contenido
• Introducción
• Evolución - Metodologías
g y mejores
j p
prácticas
• Preguntas
Continuidad del Negocio – Continuidad Tecnológica
Eventos que han marcado su desarrollo
Avances tecnológicos
virtualización, cloud‐computing, balanceo, mayores velocidades,
Voz ip, granjas de servidores, etc.
ITIL v2 ITIL v3
• “Conjunto de políticas y procedimientos usados para
minimizar el impacto de los eventos negativos para la
operación normal del negocio, manteniéndose las pérdidas
operativas y financieras en un nivel aceptable ”
operativas y financieras en un nivel aceptable.
• j
Objetivo Æ Business Resilience / flexibilidad
• Qué es un desastre en tecnología?
“Evento de interrupción que causa que los sistemas o servicios
tecnológicos no estén disponibles por un periodo de tiempo
en el cual las pérdidas operacionales o financieras para la
organización son inaceptables.”
• Pérdidas operacionales Æ imagen, confianza, relaciones, cumplimiento,
flujo de caja
• Pérdidas financieras Æ penalizaciones, sobrecostos, costo de renta de
equipos, pérdida de ventas
• “Conjunto de políticas y procedimientos usados por las área
de tecnología para recuperarse de los impactos de eventos
negativos para las operaciones de tecnología dentro de los
marcos de tiempo acordados ”
marcos de tiempo acordados.
• g p
Rol de tecnología como proveedor del servicio
• Acuerdos de servicio
• Costos por las pérdidas de los servicios de tecnología
• ObjetivosÆ
• Cumplir con las prioridades de recuperación de acuerdo al
momento del “negocio” en que se presenta
g q p
• Cumplir con los tiempos esperados de recuperación (R.T.O.)
• Cumplir con el punto esperado de recuperación de
i f
información (R.P.O.)
ió (R P O )
Recuperación de desastres de tecnología
de desastres de tecnología
• Cómo lograrlo
• Directrices claras Æ Políticas, estándares
• Procedimientos Æ Viables, completos, verificados
• Equipos Æ roles definidos, entrenados y probados
• Recursos Æ Financieros, humanos, técnicos y
tecnológicos etc
tecnológicos, etc.
Estándares BS25‐999 y BS 25‐777
Embedding continuity management
Understanting
Understanting
The ICT continuity
The organization
requirements
Developing and
Developing and
I l
Implementing
ti
Implementing
ICT continuity
BCM response
strategies
Responsabilidades de los equipos de RDTI
Desarrollar procedimientos de RDTI
Entrenamiento del equipo de RDTI Ejercitar y probar
Mantenimiento del plan Mantenimiento, revisión y mejora
RDTI = Recuperación de Desastres de TI
Ot
Otros estándares
tá d que apoyan la continuidad
l ti id d
BS 25999 / DRI
BS 25999 / DRI Programa de continuidad
del negocio
BS 25777 / CBRIT
BS 25777 / CBRIT Buenas prácticas en IT DR
ISO 9001 Procesos
Método Æ da foco y estandariza los protocolos para brindar efectividad y eficiencia en la recuperación y
reanudación del servicio
Continuidad Tecnológica
Continuidad Tecnológica
Perspectiva desde ITIL versión 3
C
Conocer lla organización
i ió
Gestión de la demanda, del portafolio y del catálogo, SLAs, requerimientos
Prevención
Gestión de disponibilidad, eventos, cambios, liberaciones e implementación , activos y
configuración seguridad y acceso,
configuración, acceso capacidad
capacidad,
Acción
Gestión de eventos, incidentes, problemas, disponibilidad y continuidad, proveedores,
Continuidad Tecnológica
g
Contenido
• Introducción
1996 Æ Acciones alternas para fallas en el servicio DCV e inicios de un nodo alterno local (hotsite) con salas para las
áreas operativas
1997 Æ Investigación de mejores prácticas en el mercado (D(D.R.I.I.)
RII)
1998 Æ Aplicación de DRI a los servicios y áreas de misión crítica, construcción de BCPs
1999 Æ Enfoque para preparación para el Y2K
2009 Æ Evolución tecnológica clusters, virtualización, balanceos, granjas de servidores, replicación, sincronización
2010 Æ Evolución en las pruebas de contingencia para autonomía de los nodos local y remoto
Estrategias de continuidad Tecnológica
Sandra Patricia Camacho Bonilla
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
scamacbo@banrep.gov.co
Pl
Planeación
ió para lla continuidad
ti id d ttecnológica
ló i
Banco de la República
0. Programa de continuidad tecnológica (apoyo, políticas, gerencia)
1. Conocer la organización
BS 25-777
2. Desarrollar e implementar estrategias de recuperación
Understanting
3. Ejercitar y probar The ICT continuity
requirements
ICT
4. Mantenimiento, revisión y mejora continuity Determining
Exercising, programm ICT continuity
M i t i i
Maintaining e Strategy
& reviewing manageme
nt
Developing and
Implementing
ICT continuity
strategies
0 Programa de continuidad tecnológica
0.
Banco de la República
• Apoyo de la gerencia
• Políticas
• Programas de concientización
• Certificaciones
ISO-9001 e 27001
1 Conocer y entender la organización
1.
Banco de la República
A. Identificar las funciones operativas de la organización
y procesos críticos
1. Banco de Bancos
2. Prestamista de última Instancia
3. Emisión de moneda legal
4. Promotor del desarrollo científico, cultural y social
5
5. Ad i i t ió d
Administración de reservas iinternacionales
t i l
6. Funciones cambiarias y de crédito
7. Banquero, agente fiscal y fideicomiso del gobierno
8. Informe de la Junta Directiva al Congreso
g de la República
p
Operación del negocio
Tecnología
1. Conocer y entender la organización
g
Banco de la República
B. Conocer los servicios de TI y que proceso de negocio apoyan
• Servicios
S i i ttecnológicos
ló i administrativos
d i i t ti
• RH, Contaduría, Cartera, SM, etc.
• Análisis de riesgos
• RTO y RPO
Proceso BIA
Y CUÁNDO DESASTRE?
Método
Análisis de riesgos Æ ESCENARIOS DE FALLA Y SU PROBABILIDAD
Identificar vulnerabilidades y amenazas para implantar controles de
disminución de probabilidad y estrategias de mitigación del impacto
BASILEA, SEI‐OCTAVE, NIST, ISO 27001
BIA Æ PRIORIZACIÓN Ó
Priorización de procesos del negocio Æ Priorización de servicios de
tecnología Æ Niveles de continuidad (tier), RTOs/RPOs/RTA
Di ñ estrategias
Diseñar t t i para mitigación
iti ió d
dell riesgo
i
Análisis costo-beneficio
Metodología Æ DRI
2. Estrategias de recuperación
Banco de la República
A. Definición de los recursos tecnológicos
• Opciones
• Adquisición (pre-establecidos, pre-acordados, adquiridos
cuando se necesiten)
• Área de trabajo alterna (Sitio de trabajo móvil, sitio de trabajo
fijo, “Home-office”)
Estrategias
• Almacenamiento
• Datos críticos (frecuencia/ tipos/ método/ infraestructura para
los backup, acuerdos de recuperación, agenda de retención,
infraestructura)
• Copia en cintas/CD, Sincronización y Replicación
• Tecnologías
• Cluster
• Virtualización
• RAID
• SAN
• NAS
• Deduplicación de datos
• Replicación
• Balanceo de cargas
• Granja de servidores
• “Clo d comp ting”
“Cloud-computing”
Alta disponibilidad
Alta disponibilidad
• Característica de un sistema que asegura que estará
disponible según la demanda de los usuarios (proteger
contra las caídas y fallas de los componentes)
• Cumplir los acuerdos de servicio
Cumplir los acuerdos de servicio
• 99.9 %
• 99.99 %
99.99 %
• 99.999 %
2 Estrategias de recuperación
2.
Banco de la República
B. Definición de responsabilidades
p y equipos
q p de trabajo
j
Equipo de recuperación del servicio
Equipo de reanudación del servicio
Equipo de notificación
Equipo de logística
Equipo de soporte en los nodos
Gestión de Crisis
C t d
Centro de C
Comando
d
Gestión de crisis
Comando tecnológico
1
1. Conocer lla organización
C i ió
• Identificar los sistemas y su uso Æ Gestión de portafolio y catálogo ITIL
• Identificar BIA y análisis de riesgos Æ DRI e ISO 27001
• RTO y RPO Æ Gestión de acuerdos de servicio y de la demanda ITIL
Banco de la República
p
Acción
Sandra Patricia Camacho Bonilla
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
scamacbo@banrep.gov.co
Alertas
Verde – Normalidad
Amarilla – Contingencia
Naranja – Emergencia
Roja ‐ Crisis
Roja
M
Manejo
j dde alertas
l t ttecnológicas
ló i
• Atención de contingencia
g Æ Atención de incidentes del servicio
Amenaza de Red, Potencia o 3. Pérdida total CDC PPAL controlado No hay servicio del Centro de Cómputo
ambiente Inundación
ambiente, (Apagado controlado y previsto) PPAL Æ no red ed PPAL
Evento de falla en la Red, 4. Pérdida total CDC PPAL inesperado No hay servicio del Centro de Cómputo
PPAL Æ no red ed PPAL
potencia, ambiente, inundación (Apagado abrupto e inesperado)
Toma de decisiones
Ejecución Agenda Tecnológica
G tió d
Gestión de crisis
i i Subgerente SGINF
Directores SGINF
Coordinación de la Crisis
Integración de notificaciones
Directora USCI
CoordinaciónComando
de comm.tecnológico
Internas y externas
Control de impactos en los negocios E i
Equipos d
de EEmergenciasi
Evaluación de riesgos residuales
Gestión de recursos,
preacuerdos, administración de
accesos seguros
seguros, claves
claves, etc
etc.
Equipo Equipo Planeación
Equipo Logística Equipo Finanzas
Reanudación (Impacto IT
Conmutación y Notificaciones) Apoyo a la sala Presupuesto y
de servicios Correo contactos de operaciones
E caso d
En adquisiciones
de requerirse,
i
Semáforos Srv. gestiona las adquisiciones y el
Centro soporte Presupuesto
Gestión de continuidad
Prevención de emergencias y desastres
Chequeos diarios Correlación de eventos
Acuerdos de servicio
Gestión de continuidad
Prevención de emergencias y desastres
• Gestión de eventos
• Gestión de continuidad
Atención de contingencias Æ INCIDENTES
Atención de incidentes tecnológicos
Atención de contingencias Æ INCIDENTES
Atención de incidentes tecnológicos
C: Swift A. A. BD: BR BD: BAN 8 BD: BAN 3 BD: BAN 4 BD: BR C: Swift A. A.
Srv: - Int. Swift - SOI Srv: - Cedec Srv: - CUD Srv: - Ares Srv: - SAC Srv: - Cedec Pruebas
- Swift - Cenit - Carteleras - Cenit Pruebas
(Wsebra) P
- Cumbre
SUN Fire V880 A - Htrans
A SUN Fire V240
SBAN1A - Interfaces SEN
SUN Fire V440 SWAL2B
SUN Fire V440 SUN Fire V240 - SAFD
SUN Fire V240 - SEC SACH2B
SWAL1A SACH1A SBAN5A SUN Fire V880
- SGU Certicámara SBAN2B
- SOI
- Subastas
Discos Discos
Sun StorEdge Sun StorEdge
Srv: - PKI
Srv: - PKI 6920 6920
SUN Fire V480 SUN Fire V240
SIND1A SWEB2B
C: Alliance Gateway
C: Apache Srv: - Swift Gateway SUN Enterprise 280R
C: Alliance Gateway SPKI2B
BD: MFNSYS SUN Enterprise 280R Srv: - Swift Gateway
Srv: - DCV SPKI1A BD: BAN5_New
BAN5 New
P
Srv: - Fic
A SUN Fire V215
SUN Fire V240 - Faep
SUN Fire V215 SWAG2B
SPOR2B / C: Business Intel. - JANO
C: Apache SWAG1A OC4J, OAS - Master
Tomcat QUIMBAYA II
SUN Fire V440 Srv: - Cumbre - Master - Antares
SATL1A Srv: - DCV ------------------------------ - Neón Web
--------------------------- C: Platform C: OAS - Sidef
- C: Apache Srv: - Master – Antares Srv: - Master - Siged
C: Apache Srv: - SEC ------------------------------ - Jano - Simed
C: Platform C: Apache
C: OAS Tomcat - Web Banco -- - SOI - Sipres
Srv: - Cud Compensación ------------------------
S
Srv: - CUD Srv: - Subastas C: Jboss - Smart
- SGU (Certicámara) C: Tomcat
Srv: - SAFD Internet - SRH
Etapa Uno
PRE CRISIS
PRE-CRISIS
Edificio Principal
Instalaciones
Central de Efectivo
Bogotá
Sincronización
Enlace Fibra Oscura
10 km aprox
Edificio Principal Central de Efectivo
Centro
C t d de
Operaciones
Diagrama Tercer
Centro de Operaciones
Intermediarios
Financieros Internet
Usuarios
Banco República
IIntermediarios
t di i
Financieros Proveedor
De
Comunicaciones
Continuidad Tecnológica
Continuidad Tecnológica
Contenido
• Introducción
• Evolución - Metodologías
g y mejores
j p
prácticas
• Preguntas
Continuidad Tecnológica
Recomendaciones y factores claves
Sandra Patricia Camacho Bonilla
M Sc CBCP PMP ITIL v3 auditor ISO 27001:2005 e ISO 9001:2008
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
scamacbo@banrep.gov.co
Estrategias de continuidad Tecnológica
Gracias
SSandra Patricia Camacho Bonilla
d P ti i C h B ill
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
scamacbo@banrep.gov.co
Estándar 25‐777 “Information and communication
technology continuity management”
CBRITP
IT Continuity and Disaster Recovery Planning
• Business Resilience & Business Continuity
• IT disaster & IT disaster recovery
• High availability vs Continuous availability
• IT DR plan development steps
• IT recovery concepts & strategies
Plan de recuperación de desastres de tecnología ‐ CBRITP
Pasos para su desarrollo
1. Identificar los sistemas y aplicaciones en uso
2
2. Analizar el impacto para el negocio (BIA) de una interrupción en la capacidad tecnológica y
Analizar el impacto para el negocio (BIA) de una interrupción en la capacidad tecnológica y
determinar los marcos de tiempo esperados y prioridades de recuperación (RTO y RPO)
3. Determinar las estrategias de recuperación de desastres tecnológicos (Sitios alternos,
costo‐beneficio)
4
4. D
Documentar la organización de los equipos
l i ió d l i d l ITDR (RACI
del ITDR (RACI, organigrama, líderes de
i líd d
equipos, notificaciones, listas de chequeo)
5. Documentar las responsabilidades de los equipos ITDR (tareas, dependencias, protocolos,
agendas)
6. Desarrollar y documentar los procedimientos de recuperación de IT (detallado, adecuado,
completo, viable, prevenir síndrome del “héroe”)
7. Documentar el entrenamiento del ITDR (concientización, conocimiento del procedimiento,
trabajo de equipo, nuevas contrataciones, refuerzo y recordación)
trabajo de equipo, nuevas contrataciones, refuerzo y recordación)
8. Documentar el mantenimiento del plan (Revisión, validación, liberación, distribución)
7 “tiers”
7 tiers de recuperación de desastres
de recuperación de desastres
Tier 0
0 – No off
No off‐site
site data
data – posibly no recovery
no recovery
Tier 1 – Data backup with no hot site
Tier 2 – Data backup with a hot site
Tier 3 – Electronic vaulting
Tier 4 – Point‐in‐time copies
Tier 5
5 – Transaction integrity
Tier 6 – Zero or near zero data loss
Tier 7 – Highly automated, business integrated solution
Estrategias según el escenarios de desastre
Catástrofes en la ciudad
O
Operación en otra ciudad
ió i d d
Desastres de infraestructura física (CDC, edificio, potencia, ambiente,
sabotajes, terrorismo, huelgas)
Nodos alternos distantes al principal (Cold sites, hot sites, propios,
contratados, SLAs)
Desastres de tecnología (máquina servicio)
Desastres de tecnología (máquina, servicio)
(HA) Virtualización / cloud computing/ granja / balanceo / cluster
Fail tolerance
“Resilience”
Resilience / Flexibilidad
/ Flexibilidad
• Ajustarse rápidamente
• Transformación del negocio en respuesta a cualquier cambio
anticipado o no anticipado
• Prevención y mitigación de las amenazas
ió i i ió d l
• Capturar oportunidades, crear posición competitiva y
aumentar el valor para los involucrados.
aumentar el valor para los involucrados.