Documentos de Académico
Documentos de Profesional
Documentos de Cultura
3
…Antecedentes
• Entre las causas más frecuentes de caídas de
sistemas se tienen:
•Pueden variar, zonas sísmicas, zonas conflictivas, lo importante es tomar una actitud
proactiva. 4
El proceso de planeacion de la continuidad
debe incluir al menos los siguiente:
6
Desastres en el mundo
Incendio Banco Credit Lyonnais –Edificio Principal – Paris
Terrorismo WTC, NY -USA Francia
32 quemados
7
Desastres en el mundo
Terremoto y Tsunami Sudeste
Terremoto México Asiatico
8
Desastres en el mundo
Apagón a gran escala Nordeste
USA, Canadá Epidemia SARS China
9
Tsunami Japón
10
Desastres
• Terremoto ICA
• Terremoto en Chile:
11
CASO DE ESTUDIO
Lo que funciono y no funciono durante el 11 de
setiembre en el atentado a las torres gemelas WTC
12
Lecciones 11 set: LO QUE FUNCIONO
• Pronta comunicación del desastre
• Había personal entrenado para recuperar y continuar
las operaciones del negocio.
• Planes efectivos para la adm de crisis, respuesta de
emergencia y centros de comando predeterminados.
• Seguimiento de planes documentados y probados.
• Priorización de las funciones de negocio y de TI A
recuperar.
• Almacenamiento externo de documentos críticos
• Backups de data completos y actualizados.
13
Lecciones 11 set: Lo que NO FUNCIONO
• Insuficiente rapidez en la reubicación de empleados.
• Demora en la respuesta de los equipos humanos, de
información y tecnología
• Falta de disponibilidad de gerentes claves responsables
de administración de la crisis.
• Negligencia en los procedimientos de evacuación, falta
de procedimientos de comunicación y falta actualizar la
información de contactos.
• Dependencia de un solo proveedor
• Backup de información de las empresas de las torre 1 en
la torre 2 y en algunos casos en la misma torre pero en
diferentes pisos.
• Colapso de las redes de voz y datos.
14
¿Qué perdemos si no estamos
preparados?
Reputación Edificios
Clientes
Dinero
Información VIDAS
Trabajo
Imagen NEGOCIO
Objetivos y Metas
Proyectos
15
Continuidad del negocio - BCP
• Es un proceso mas que un proyecto.
El objetivo del Plan de Continuidad de Negocio (BCP), disminuir el impacto y el caos ante cualquier incidente
y que la empresa esté preparada para poder responder y accionar oportunamente ante estos eventos.
La continuidad del negocio es un tema que cada día preocupa más a los directivos, pues se compromete el
crecimiento, estabilidad y permanencia de la empresa en el mercado. Por este motivo es necesario proteger
los principales procesos de negocio críticos de la organización a través de planes previamente elaborados y
desarrollados para que reduzcan el impacto y riesgo del negocio.
El estándar ISO 22301 Sistemas de continuidad del negocio-requisitos, se aplica PDCA.
Modelo creado en consistencia con otros estándares como ISO 9001, 27001, ISO 14001
21
BIA
22
23
GAPS: Brechas
Plan de continuidad del negocio
Teniendo un origen global en el año 2007, bajo la Norma BS 25999, la cual se constituyó en el primer
estándar certificable que definía unos requisitos y buenas practicas a seguir por cualquier Organización, sin
importar su tamaño. A partir de allí y de una serie de revisiones, nació el estándar ISO 22301: 20
Cómo una Organización debe recuperar y restaurar sus funciones críticas de manera parcial o total, las cuales se
hayan visto interrumpidas de manera súbita o no deseada dentro de un tiempo específico.
Se deben clasificar los procesos del negocio con base en su actividad y que es
más importante de atender y partir de allí, tener aspectos claros como:
1. Análisis de riesgos
Consiste en elaborar estrategias en las que se planifiquen acciones, se tome nota de los recursos
que se necesitan y de otros factores que se deben tener en cuenta para iniciar un plan de
contingencia que se pondría en marcha en caso de que ocurriera una calamidad. Tendrá que ver
con una secuencia de qué hacer en cada caso, quiénes y qué insumos están involucrados en cada
etapa del recupero.
Cuestiones vinculadas al modo en que se transmite un desastre, cómo se comunica, en qué orden
son las que tienen que ser resueltas en esta etapa. Se trata de todo lo que tiene que ver con la
comunicación con el personal y el modo en que se hará efectivo el contacto en caso de una
contingencia. Para resolver esta tarea será muy útil la elaboración de un organigrama o una
cadena telefónica que muestre de manera jerarquizada cómo se irá divulgando la comunicación.
Todo el proceso que se ha elaborado a lo largo de los puntos anteriores tiene que ser efectivo y
tiene que tener en cuenta todas las variables de manera simultánea. Para saber que el recupero
ante una contingencia podrá realizarse de manera efectiva lo mejor será hacer las pruebas
necesarias poniendo en marcha a modo de simulacro el Plan de Continuidad de Negocio, corregir
los fallos que se vayan presentando y hacer un mantenimiento periódico para saber que todo
continúa funcionando de la misma manera en que fue diagramado.
Como se activa el plan de continuidad
TIME
33
PRD: Plan de recuperación de desastres 34
PCO: Plan de continuidad de operativa
Fases del plan de continuidad del negocio
35
Fuente:isaca
Metodología para el desarrollo del PCN
• xx
37
Clasificación de Procesos
38
Ejemplo de procesos críticos
39
40
Probabilidad y consecuencia de amenazas
41
42
El reto de la recuperación
44
45
Estrategias de recuperación
46
Estrategias de recuperación
• HOT SITE. Listo para operar en pocas horas, se tiene el equipo, red y sistemas
necesarios. Solo falta el staff, datos y documentacion.
48
Estrategias de recuperación en redes de telecomunicaciones
49
PLAN DE RECUPERACION DE DESASTRES
50
COMPONENTES DEL BCP
51
BIA: Análisis del impacto del negocio DRP: Plan de recuperación de desastres
..Estrategias de recuperación
• Se hacen considerando las estrategias globales
de la organización.
• Respecto a tres aspectos fundamentales de
disponibilidad:
– Datos
– Infraestructura tecnológica y
– Gente.
52
53
El plan debe considerar al menos los siguientes factores:
54
Plan de recuperación
De desastres
55
Factores clave para volver a la operación normal
56
Pruebas y actualización del Plan
• Probar si funciona, para actualizar.
• Probar sin afectar las operaciones normales (fin
de semana)
• Deben comprender elementos críticos, simular
condiciones parecidas a las normales.
• Las pruebas deben incluir tareas:
57
… Las pruebas deben incluir Tareas:
58
Fases del proceso del Plan de prueba
59
Conclusiones
60
• Durante una auditoria de un gran banco, el auditor de SI observa que no se ha
llevado a cabo ningun ejercicio formal de evaluacion del riesgo para que las
diversas aplicaciones de negocio lleguen a su importancia relativa y
requerimientos de tiempo de recuperacion. El riesgo al que el banco esta expuesto
es que:
a) El plan de continuidad del negocio puede no haber sido calibrado para el riesgo
relativo que posee la interrupcion de cada aplicacion para la organizacion.
b) El plan de continuidad del negocio puede no incluir todas las aplicaciones
relevantes y, por lo tanto, puede carecer de totalidad en termnos de su
cobertura.
c) El impacto de un desastre sobre el negocio puede no haber sido correctamente
entendido por la gerencia.
d) El plan de continuidad del negocio puede carecer de una apropiacion efectiva
de los dueños del negocio sobre las aplicaciones.
61
• Cual de lo siguiente es necesario tener PRIMERO en el
desarrollo de un Plan de Continuidad del negocio?
a) Clasificación de sistemas basados en riesgo
b) Inventario de todos los activos
c) Completa documentación de todos los desastres
d) Disponibilidad de hardware y de software
62
• Cual de los siguientes componentes de un Plan de
Continuidad del negocio es PRIMARIAMENTE la
responsabilidad del departamento de SI de la organización?
a) Desarrollar el plan de continuidad del negocio
b) Seleccionar y aprobar la estrategia para el plan de continuidad
del negocio
c) Declarar un desastre
d) Restaurar los sistemas de SI y los datos después de un desastre
63