Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Agenda
1. 2. 3. 4. Objetivos del Seminario Antecedentes Conceptos Generales Metodologa (Practicas Profesionales DRII) 5. Conclusiones
Antecedentes
Antecedentes
Conceptos Generales
Plan de Contingencias: Es un documento desarrollado en forma preventiva, con el objetivo de servir de gua de accin antes, durante y despus de la ocurrencia de un imprevisto
Conceptos Generales
Plan de Recuperacin de Desastres (DRP): Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudacin oportuna y ordenada de los servicios informticos crticos en caso de contingencia. Responsable: rea de Sistemas
Conceptos Generales
Plan de Continuidad del Negocio (BCP): Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudacin oportuna y ordenada de los procesos del negocio generando un impacto mnimo o nulo ante una contingencia. Responsable: Unidades de Negocio
M&M Auditores de Colombia Ltda
Conceptos Generales
Administracin de la Continuidad del Negocio (BCM): Proceso administrativo completo que identifica impactos potenciales que pueden afectar la organizacin y provee la estructura para dar flexibilidad y respuestas efectivas para salvaguardar los intereses de los accionistas, la reputacin, la marca y actividades de valor agregado. Responsable: Alta Gerencia
Conceptos Generales
Plan De Contingencias - CP Plan de Recuperacin de desastres - DRP Plan de Continuidad del Negocio - BCP Administracin de la Continuidad del Negocio - BCM M&M Auditores de Colombia Ltda
BCP
RESILIENCY
BRP
BRS
80
1994
1998
1999
2004
Respuesta y Manejo
Reaccin planificada y manejo de un evento adverso
Recuperacin
Recuperacin y reanudacin planificada de los servicios y operaciones despus de una interrupcin
Restauracin
Reparacin o reemplazo del sitio primario de operaciones normales de la organizacin.
Comunicaciones de Crisis Desarrollo y Actualizacin del Plan Coordinacin con Autoridades Externas
Metodologa - DRI
Planificacin del Proyecto Anlisis y evaluacin de Riesgos Anlisis de Impacto al Negocio (BIA)
Mantenimiento y Actualizacin
Desarrollo de Estrategias
Mejores Prcticas
El comit directivo revisa anualmente el programa La alta gerencia es responsable del BCM Personal de BC con presupuesto La funcin de BCM abarca todos los aspectos de la empresa BCM es un proceso continuo Poltica comprensible de respaldo de registros vitales.
M&M Auditores de Colombia Ltda
Mejores Prcticas
Existencia de estrategias de recuperacin basadas en prioridades, momento e impacto en la empresa (BIA) Existencia de un programa de concientizacin, capacitacin, pruebas y ejercicios El plan de continuidad est actualizado y disponible Un programa de continuidad de negocios NO es un proyecto, NO es una tarea de una sola vez, NO es por un periodo fijo de tiempo. Debe ser un programa permanente, vivo, consistente en varios proyectos interdependientes y reiterativos
10 Mandamientos de BCM
Debe recuperar aquello que se posee Debe tener alternativas Debe concentrarse en la sobrevivencia Lo mas importante debe ser la gente Debe ser probado y ejercitado Debe distinguir entre estrategia y recomendaciones No debe permitir que los planes envejezcan No debe envidiar el plan voluminoso del vecino No debe volverse complaciente Debe evitar un alcance pobre y discreto
Tendencias
Los clientes conocen sus problemas de IT y de Negocio al mismo tiempo que usted Antes Proteccin del centro de computo AhoraProteccin de los procesos crticos del negocio Mltiples causas de interrupciones (operacionales, tcnicas, ...) Surgimiento de nuevas tecnologas
Exigen mayor disponibilidad Tiempo sin servicio reducido Mltiples proveedores externos Todos los procesos de negocio involucran tecnologa
Retos
Documentar un alto nivel de ROI Mostrar casos de xito de BCP Demostrar vulnerabilidades Construir un Business Case
Mantenimiento y Actualizacin
Desarrollo de Estrategias
Evaluacin de Riesgos
Planificacin del Proyecto Anlisis y evaluacin de Riesgos Anlisis de Impacto al Negocio (BIA)
Mantenimiento y Actualizacin
Desarrollo de Estrategias
Evaluacin de Riesgos - PP
Objetivos
Entender las prdidas potenciales
Identificar la exposicin de la organizacin a prdidas potenciales Identificar controles y medidas para prevenir o mitigar el efecto de las prdidas potenciales - Proteccin fsica - Proteccin lgica - Localizacin de activos Evaluar, seleccionar y utilizar apropiadas metodologas y herramientas de anlisis de riesgos Identificar e implementar las actividades de recoleccin de informacin Evaluar la efectividad de los controles y medidas Evaluacin de riesgos y controles - Escenarios de riesgo Seguridad Administracin de registros vitales
La Rueda de la Crisis
Comunicar y Consultar
Revisar y Monitorear
Identificacin de Riesgos
Qu puede suceder?
Anlisis de Riesgos
Probabilidad Nivel de Riesgo Impacto
Evaluacin de Riesgos
Establecer Prioridades
Tratamiento de Riesgos
Evaluar Opciones de Tratamiento Seleccionar Opciones de Tratamiento Preparar planes de tratamiento Implementar planes de tratamiento
Calificacin 1 2 3 4 5
Descripcin Puede ocurrir slo en circunstancias excepcionales Pudo ocurrir en algn momento Podra ocurrir en algn momento Probablemente ocurra en la mayora de circunstancias Se espera que ocurra en la mayora de circunstancias
Menor
Moderado
Requiere tratamiento medico, liberado localmente, contenido con asistencia externa, perdida financiera alta
Mayor
Perjuicios extensivos, perdida de capacidad de produccin, liberacin externa, sin efectos nocivos, perdida financiera mayor
Catastrfico
Muerte, liberacin txica externa con efectos nocivos, enorme perdida financiera
Probabilidad de Ocurrencia 1 2 3 4 5
L L L M H
L L M H H
M M H H E
H H E E E
H E E E E
Mantenimiento y Actualizacin
Desarrollo de Estrategias
Cuestionario BIA
Datos bsicos del proceso y de su dueo Frecuencia del proceso Perodos de tiempo crticos Tiempo mximo de interrupcin Volumen de trabajo del proceso Indicadores y medidas de desempeo existentes Impactos: Financiero, cliente interno, cliente externo, eficiencia operativa, aspectos legales, imagen - reputacin y en general para la organizacin como negocio. Dependencias internas y externas Aplicaciones informticas que lo soportan Procedimientos alternos existentes o sugeridos Efectividad de los procedimientos alternos Registros vitales de cada proceso Complejidad de recuperacin de las dependencias evaluadas Recursos mnimos para la recuperacin de cada dependencia.
Mantenimiento y Actualizacin
Desarrollo de Estrategias
Categoras de estrategias
Centro de procesamiento de datos
Hardware Software Redes Backup y recuperacin de la informacin
Personal Seguros
M&M Auditores de Colombia Ltda
Fault Tolerance
Un sistema fault-tolerant puede continuar brindado servicios a pesar de fallas de software o hardware.
Load Balancing
Sistemas que comparten la carga de trabajo para evitar recursos ociosos y bajo desempeo (performance).
Alta Disponibilidad
Redundancia en los SPFs (Single Point of Failure) Cunto tiempo de downtime estamos dispuestos a aceptar ?
QoS Clase 1 Clase 2 Clase 3 Clase 4 Clase 5 90% 99% 99.9% 99.99% 99.999% Porcentaje de disponibilidad Tiempo de downtime 52.560 minutos/ao = 36,5 das/ao 5.256 minutos/ao = 3,65 das/ao 525,6 minutos/ao = 8,76 das/ao 52,56 minutos/ao 5,26 minutos/ao
3.
Metodologa - DRI
1. 2. 3. 4. 5. 6. 7. 8. Iniciacin y manejo del proyecto Evaluacin de Riesgos Anlisis de Impacto al Negocio (BIA) Seleccin de Estrategias de Continuidad Respuesta a Emergencias Desarrollo de los Planes de Continuidad Ejercicios y Mantenimiento de los Planes de Continuidad Conciencia y Programas de Entrenamiento
Respuesta a Emergencias - PP
Desarrollar e implementar procedimientos para responder y estabilizar la situacin despus de un incidente y administar el centro de operaciones de emergencia a ser utilizado como centro de mando.
Identifique componentes de los procedimientos de respuesta a emergencia Especifique los procedimientos de respuesta a emergencia Identifique requerimientos de control y autoridad Procedimientos de control y autoridad Respuesta a emergencia y recuperacin de heridos Salvamento y restauracin
Fases de respuesta
Podemos dividir la respuesta ante una emergencia en 4 fases:
Fase de Planeamiento Fase de Alerta Fase de Produccin Fase de Restauracin
Mantenimiento y Actualizacin
Desarrollo de Estrategias
Identifique requerimientos para el desarrollo de los planes Definir requerimientos de control y administracin de la continuidad Identifique y defina un formato y la estructura principal de los componentes de los planes Elabore un borrador de los planes Defina procedimientos de manejo de crisis y continuidad del negocio Defina las estrategias de evaluacin de daos y reanudacin Desarrolle una introduccin general a los planes Desarrolle la documentacin de los equipos de operacin del negocio Desarrolle la documentacin de los equipos de recuperacin de tecnologa informtica Desarrolle el sistema de comunicaciones Desarrolle los planes de los usuarios finales de aplicaciones Implemente los planes Establezca los procedimientos de control y distribucin de los planes
M&M Auditores de Colombia Ltda
Decisin
DESASTRE Restauracin
Equipos de recuperacin
Estructura tipo
Emergency Management
BCC
Recuperacin de Tecnologa Tasf Force Task Force Comunicaciones Soporte de Sistemas Task Force Contabilidad
Recuperacin de Clientes Task Force Task Force Servicio al Cliente Relaciones Pblicas
Equipos de recuperacin
Emergency Management Team (EMT) Es el ms importante de la estructura de recuperacin. Normalmente formado por el CEO y el Senior Management. Su principal funcin es decidir cundo un evento es un desastre que requiere la activacin del plan de recuperacin.
Equipos de recuperacin
Emergency Management Team (EMT) Principales funciones:
Tomar la decisin de declarar el desastre. Mantener al personal operativo motivado y enfocado en brindar el servicio. Asegurar el aislamiento de la escena del crimen y la apropiada recopilacin de pruebas. Reportar las causas ilegales de la contingencia (ej. hacking) a las autoridades apropiadas. Trabajar con los proveedores de los servicios de recuperacin para asegurar la correcta ejecucin del plan de recuperacin. Notificar a los clientes de una potencial demora en el cumplimiento del servicio. Evaluacin de daos. Monitorear el progreso del plan.
M&M Auditores de Colombia Ltda
Equipos de recuperacin
Business Continuity Coordinator (BCC) Es el responsable de:
Coordinar las tareas en el desarrollo del plan Guiar los esfuerzos de respuesta ante una emergencia y de recuperacin Revisar los reportes de evaluacin de daos Iniciar los procedimientos de recuperacin Mantener informado al EMT del estado de la recuperacin Actuar de nexo entre el EMT y los lideres de los equipos de recuperacin.
Equipos de recuperacin
Los equipos de recuperacin y sus correspondientes Task Forces son los responsables de: Realizar una profunda evaluacin de los daos
Restaurar los distintos componentes de la infraestructura informtica que resultaron inoperables debido a la ocurrencia del desastre.
Aseguramiento de la calidad
Este es un elemento que debe ser tenido en cuenta a lo largo de todas las etapas del desarrollo del plan, pues asegura la integridad de los mismos. Como parte del proceso de aseguramiento de la calidad estn:
Entrenamiento Mantenimiento Pruebas
Mantenimiento y Actualizacin
Desarrollo de Estrategias
Concientizacin y Capacitacin
Planificacin del Proyecto Anlisis y evaluacin de Riesgos Anlisis de Impacto al Negocio (BIA)
Mantenimiento y Actualizacin
Desarrollo de Estrategias
CONCLUSIONES
El plan debe ser desarrollado para cubrir el peor escenario, de manera que escenarios menores queden cubiertos tambin. El planteo de escenarios de desastre servir de base al momento de determinar las alternativas viables para la recuperacin.
M&M Auditores de Colombia Ltda
CONCLUSIONES - SUPUESTOS
Metas y Objetivos de la organizacin Polticas de la organizacin sobre planificacin de la continuidad del negocio Escenarios de interrupcin del negocio para cada rea funcional yo localizacin Definicin de interrupcin menor y de desastre en trminos del impacto sobre el negocio y la duracin de la misma Cuales operaciones deben ser recuperadas en forma inmediata. Cuales operaciones no requieren ser recuperadas en forma inmediata y cuando deben estar disponibles Cuales operaciones del negocio pueden ser prescindibles Las estrategias de reanudacin y recuperacin a utilizar as como sus prioridades
CONCLUSIONES - SUPUESTOS
El peor escenario ocurre sin aviso o advertencia No ocurrir mas de un evento en forma simultanea El sitio de almacenamiento externo est lo suficientemente lejos como para no ser afectado por la interrupcin o contingencia La recuperacin puede realizarse usando nicamente los datos y registros vitales ubicados en el almacenamiento externo El equipo designado y otros recursos asignados estn disponibles Las operaciones de reanudacin/recuperacin requieren del uso de recursos/capacidades alternas inferiores a las de operacin normal Se cuenta con suficientes miembros del equipo de recuperacin para realizar las tareas planeadas. La alta direccin est disponible para decidir la activacin del plan y tomar las decisiones no previstas Existen instalaciones apropiadas para el centro de control, reuniones y necesidades de almacenamiento.
CONCLUSIONES - ALCANCE
Que reas/departamentos/procesos de negocio estn incluidos en el plan Cada ubicacin distinta debera tener un plan separado Que aplicativos/datos/servicios estn cubiertos en el plan (porttiles, agendas digitales, aplicaciones de uso individual?)
M&M Auditores de Colombia Ltda
CONCLUSIONES - POLITICAS
Clarificar los lineamientos sobre los cuales se debe actuar en caso de un incidente, pues las polticas de la organizacin siguen siendo vigentes an en situaciones de crisis
Recursos humanos (beneficios, asistencia familiar, confidencialidad) Relaciones pblicas (confidencialidad, declaraciones a los medios) Relaciones con los clientes Salud y seguridad industrial Relaciones con proveedores
M&M Auditores de Colombia Ltda
CONCLUSIONES - PROPSITO
Debe estar incluido claramente en la introduccin del plan
Proteccin de la vida y seguridad de los funcionarios Cumplir con requerimientos legales Proteccin de los intereses de los accionistas Asegurar el cumplimiento de los compromisos con los clientes
Sitios de inters
Revista de Seguridad Informtica http://www.infosecuritymag.com/ Disaster Recovery Journal http://www.drj.com/ Portal de BCP y DRP http://www.globalcontinuity.com/ Listados de desastres ocurridos http://www.drie.org/disasters.html Sitio de informacin sobre desastres http://www.disasterrelief.org/ Revista de Contingencia y Continuidad del Negocio http://www.contingencyplanning.com/ Information Systems Audit And Control Association - ISACA http://www.isaca.org/ TAMP Disaster Recovery System (DRSTM) www.drsbytamp.com
Libros de inters
Business Continuity: Best Practices
Editorial: Rothstein Associates; 2000 edition (June 10, 2000) Autor: Andrew Hiles