Curso: Gestión de la Continuidad de Negocios

Unidad 3: Diseño de un SGCN

SESIÓN 8

UPC
 Agenda de la Sesión 8
1. Requerimientos de Recuperación
Agenda

2. Alternativas de Solución
Modelo de Gestión de la Norma ISO 22301:2019

• Cláusula 10 • Cláusulas
4,5,6 y 7
PLAN
ACT
Contexto
No Conformidad y
Liderazgo
Acción Correctiva
Planeamiento
Mejora Continua
Soporte

CHECK DO
Monitoreo y Control
Medición Operacional, BIA, RA

Análisis y Evaluación Estrategias

Auditoría Interna Procedimientos
Revisión Gerencial
•Cláusula 9
Training, Test • Cláusula 8

Fuente: ISO 22301:2012

 Estrategia
Una estrategia es un conjunto de acciones planificadas
sistemáticamente en el tiempo que se llevan a cabo para lograr un
determinado fin.

Proviene del griego:

ΣΤΡΑΤΗΓΙΚΗΣ Stratos = Ejército y
Agein = conductor, guía.
 Diseño de Estrategias de Recuperación
Es un proceso diseñado para:

➢ Comprender las Estrategias disponibles y existentes

➢ Determinar las Estrategias viables para los servicios de
soporte y procesos funcionales
➢ Consolidar Estrategias a lo largo de la organización
➢ Entender los procesos de licitación (RFP) y acuerdos
contractuales.

Desarrollar las Estrategias de Continuidad del Negocio que satisfagan los

requerimientos de recuperación identificados en las etapas de definición de
Escenarios de Amenazas y de BIA.
 Objetivos de las Estrategias (1/2)
La importancia de desarrollar estrategias:

➢ Proteger la continuidad de operaciones de la empresa

➢ Ayudar a planificar la continuidad, recuperación y restauración de

operaciones.

➢ Reducir o mitigar los impactos, la confusión y el caos.

➢ Preparar a la organización a responder ante una emergencia

➢ Permitir que el personal comprenda el rol que deberán asumir

 Objetivos de las Estrategias (2/2)
Verificar los requerimientos de recuperación de la organización:

➢ Marcos de tiempo de recuperación y continuidad

➢ Localidades para continuidad, recuperación y restauración

(ubicaciones, sitios)

➢ Necesidades de comunicaciones durante y después del desastre

➢ Adquirir los recursos y suministros necesarios para llevar a cabo las
estrategias planteadas

➢ Asegurar que la empresa pueda lograr sus RTO’s definidos

 Fases de Continuidad de Negocios
PREVENCION RESPUESTA RECUPERACION RESTAURACION

• Prevenir las • Reacción • Llegar a un nivel • Restaurar

fallas de las planificada y mínimo de condiciones
funciones y manejo de un operación normales de
procesos críticos evento o dentro de un operación ,
de negocio incidente periodo transición y
• Mitigación o adverso requerido y retorno a la
evitar que aceptado por la normalidad
suceda organización

Nivel de Servicio Normal

Nivel de Servicio Mínimo

Fuente: DRI International

Tiempo
IDENTIFICACIÓN DE REQUERIMIENTOS
DE RECUPERACIÓN
 Requerimientos de Recuperación
1. Identificar las áreas de trabajo requeridas (sitios alternos,
centros de comando)
2. Identificar Sistemas y Aplicaciones de TI requeridos
3. Identificar requerimientos de producción, equipos, hardware,
software.
4. Identificar requerimientos de datos, documentos y registros
vitales.
5. Identificar requerimientos de personal, proveedores y socios de
negocios
 1. Areas de Trabajo requeridas
➢ Centro de Cómputo Alterno (en otra sede empresa)

➢ Centro de Cómputo en Proveedor

o Hot Site

o Cold Site,

o Warm Site

o Mobile Site

➢ Centro de Comando

➢ Oficinas Virtuales (home office)

 2. Sistemas y Aplicaciones TI requeridas
✓ Software base y/o de soporte
✓ Software de gestión y monitoreo
✓ Sistemas de Información
✓ Aplicativos
✓ Sistemas Integrados de Información (ERP)
✓ Sistemas de terceros
 3. Requerimientos de Producción, Hardware y Software
➢ Maquinaria especializada
➢ Sistemas Operativos de equipos
➢ Hardware de TI:
o Servidores
o Computadoras de Escritorio
o Laptops
o PDA’s
o Arreglos de Discos
o Enclousure para Servers (virtualización)
o SAN
o Switchs comunicaciones (core, de borde)
o Modems, Mux, etc.
➢ Red Lan, Wan, VPN, Wi Fi
4. Requerimientos de Datos, Documentos y Registros Vitales
✓ Poliza de Seguros
✓ Plan de Contingencia de TI
✓ Registros Contables
✓ Documentos con valor (ordenes compra, propuestas,
contratos, acuerdos, etc.)
✓ Procedimientos
✓ Código fuente
✓ Recetas de productos
✓ Inventario de equipos, series
✓ Base de Datos de Clientes
✓ Registro de Personal
 5. Requerimientos de Personal, Proveedores, Socios
➢ Personal Interno
o Coordinador del Plan de Contingencia

o Grupos de trabajo

o Propietarios de los Activos

➢ Personal Externo

o Proveedores de Servicios (Internet, VPN, Wan)

o Socios o Partners de negocio (ERP, Sistemas)

o Foros o grupos especializados de soporte

DETERMINAR LAS ALTERNATIVAS DE
RECUPERACIÓN
 Alternativas de Recuperación
Es un proceso diseñado para:

➢ Comprender las opciones viables para recuperar los

procesos y servicios de TI.

➢ Varias alternativas pueden ser consideradas para

desarrollar las Estrategias de Recuperación:
o Costo
o Tiempo interrupción permitido
o Seguridad
o Integración con planes de continuidad de negocios
o Puede incluir una combinación de métodos de recuperación
Criterios de Alternativas de Recuperación

➢ Costo / Beneficio

➢ Tiempo de implementación

➢ Factibilidad técnica y operacional

➢ Soporte local “on site”

➢ Riesgos locales o externos

 Métodos de Recuperación
I. Métodos de Backup de Datos
II. Sitios Alternos
III. RAID, Mirrored Systems
IV. SLA’S
V. UPS, Generadores, Grupo Electrógeno
VI. Redundancia de Telecomunicaciones
VII. Equipos de reemplazo
VIII. Otros…
DISPONIBILIDAD DE TIEMPO Y COSTOS
REQUERIDOS
 Analisis de Sitios Alternos
SITIO ALTERNO COSTO TIEMPO DE SETUP HARDWARE

COLD SITE BAJO LARGO NINGUNO

WARM SITE MEDIO MEDIO PARCIAL

HOT SITE ALTO CORTO FULL

MOBILE SITE ALTO NO DEFINIDO DEPENDIENTE

MIRRORED SITE ALTO MEDIO FULL

 Procedimientos de Continuidad

NORMA ISO 22301:2019. Capítulo 8:

8.4 Planes y Procedimientos para la Continuidad del
Negocio

8.5 Programa de Ejercicios

8.6 Evaluación de la documentación y capacidades

para la Continuidad de Negocios

¿Qué procedimientos y planes específicos requiere el SGCN?

 Conclusiones

¿Cuáles son las principales actividades

requeridas para realizar el diseño de un SGCN?
EJERCICIO:

DEFINICIÓN DE ESTRATEGIAS DE CONTINUIDAD

A TRAVÉS DEL ANALISIS FODA
 Análisis FODA
FD: Análisis Interno (Capacidades, VC, Productos, Servicios, Personal, Imagen, etc)
OA: Análisis Externo (PEST – PESTEL)

Estrategias FO:
-
-
Estrategias DO:
-
-
Estrategias FA
-
-
Estrategias DA
-
-
 Bibliografía

• Norma ISO 22301:2019

• www.thesuiteworld.com

• ITIL

• Diseño de un SGSI - óptica ISO 27001:2005, Alberto

Alexander, 2007.

• www.pdca.es/documentos/metodologiaidef.ppt
 Muchas
Gracias

Material producido por la Universidad Peruana de Ciencias Aplicadas

Autor: Hernán Seminario García
COPYRIGHT ©UPC 2016 - Todos los derechos reservados.