Continuidad del Negocio

Conceptos y Estrategias
Ingeniera Sandra P. Camacho B.
CBCP
 Seguridad Informática
• Disponibilidad
• Integridad
• Confidencialidad
• Autenticación
• No repudiación
• Control de acceso
• Auditabilidad
 Seguridad Informática
• Disponibilidad

– Utilizar la información en el momento oportuno

 Agenda
• Porqué se requiere planear la continuidad?
• Cómo planear la continuidad? Conceptos y
estrategias
Leyes de Murfy
 Qué puede suceder?
• Desastres de grandes dimensiones
• Pequeños incidentes
 Porque se requiere planear la
continuidad?
• Casos de desastres contra la continuidad
– Sitios WEB atacados mediante Denial of
Service
– Situación terremoto de Armenia
– Atentados terroristas
– Desordenes públicos que impiden el acceso a
las instalaciones
– Centros de cómputo fuera de servicio
Preparación para riesgos de
cualquier dimensión

Controles

Estrategias
Alternativas
Acciones rápidas
 Amenazas
• Naturales
• Humanas
• Tecnológicas

No se pueden evitar pero

se puede mitigar su impacto
 Naturales
– Atentan contra las instalaciones físicas
• Inundaciones
• Temblores o terremotos (Armenia)
• Incendios
– Menor dimensión
• Tormentas eléctricas
 Humanas
• Atentados contra las instalaciones físicas
– Terrorismo
– Sabotaje
– Bombas
• Menores dimensiones
– Contra las personas
– Contra los equipos o la información
 Tecnológicas
• Pérdida de potencia
• Fallas en equipos UPS, plantas, etc.
• Daños fortuitos
• Fallas en condiciones ambientales
• Denial of Service
– Casos Yahoo, Amazon, HotMail, etc.
• Virus
 Recuperación VS
Continuidad
Continuidad
Disponibilidad Supervivencia

BIENES

Recuperación

Recuperación
 Recuperación VS Continuidad

• Inicialmente la planeación se concentraba

en la recuperación de interrupciones sobre
sistemas de información
• Hoy se busca garantizar la continuidad de la
funcionalidad del negocio
 Recuperación VS
Continuidad
Normalidad
Normalidad
Transacciones Transacciones
Consultas Consultas
Interrupción
Nuevos clientes Nuevos clientes
Requerimientos Requerimientos
etc
etc

Tiempo de pérdida Tiempo

 Impactos

Credibilidad de los clientes

Operativos
Financieros
Imagen
Mercado
Consideraciones legales
 Impactos
Personas afectadas (tipo, cantidad)
Imagen (área, Organización, País)
Nivel de afectación (interno, externo)

78 1
0%7% 2
1%
5%
3
10%
4
5
5%
1%
6
71%
 Impactos
Tiempo que permanece fuera el servicio y horarios
críticos
Económico (demandas, pérdidas financieras, etc.)

Cierre diario
Procesos críticos

Negocio

Contable

Pagos

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

Horario (horas)
 Impactos
• Probabilidades de sobrevivir a un desastre: “de 5
empresas 2 no vuelven a abrir y de los 3 que
permanecen, 1 sale del negocio dentro de los
siguientes 2 años”.[gartner Group Study-April
1992]
• Desde finales de 1960 se esta trabajando en el
tema, inicialmente solo a nivel de informática, hoy
se involucra toda la organización.
 Impactos
Los desastres han incrementado en la medida
en que la industria avanza, es necesario
planear mas que reaccionar
– Globalización
– Consolidación y centralización
– Infraestructura
– Cambios tecnológicos
 Objetivos y requerimientos

 Garantizar que los servicios que provee la

organización al exterior y los procesos
críticos internos operen a un nivel aceptable
durante un evento de crisis y logren su
normalidad después de ésta
 Objetivos y requerimientos
• Mitigar los efectos causados por un eventual
desastre, mediante la adecuada planeación y
control

• Permitir una respuesta rápida a las emergencias, y

lograr una recuperación eficaz y efectiva
 Organizaciones especializadas
• Servicios de apoyo a la continuidad:
– Comdisco www.comdisco.com

– Sungard www.sungard.com

• A nivel de disciplina:
– Disaster Recovery Institute www.dr.org
Una metodología para la
planeación
 Reseña del D.R.I.I.
• Fundado formalmente en 1988 (Washington
University St. Louis).
• Propone los lineamientos para los
profesionales en la planeación de
recuperación de negocios mediante la
definición de áreas base del conocimiento.
• Capacitación, asesorías y servicios.
• Certifica profesionales en la materia.
 D.R.I.I.
• Actualmente, al menos 1500 empresas
aplican los conceptos y la metodología con
personal certificado en el D.R.I.
• Algunas empresas son:
• TEXAS INSTRUMENTS
• AT&T
• BELL SOUTH
• NATIONAL BANK (North Carolina)
• WORLD BANK
• MERRILL LYNCH
• BANCO CENTRAL DE VENEZUELA
• BANCO DE LA REPÚBLICA COLOMBIA
 Certificaciones ofrecidas por el
D.R.I.
• Associate Business Continuity Planner
• Certified Business Continuity Professional
• Master Business Continuity Professional
 Cursos ofrecidos por el D.R.I.I.
Cursos Básicos:
DRP-111. “Introduction to Business Continuity Planning”
DRP-112. “Managing & developing the B.C.P.”
DRP-113. “Business Communications For C.P.”
DRP-114. “Implementing & testing the B.C.P.”
Cursos Especializados:
DRP-210. “Business Impact Analysis”
DRP-211. “B.C.P. For local area networks”
DRP-212. “Prevention, Control & Mitigation in C.P.”
DRP-213. “Corporate Incident Management”
DRP- 501. “B.C.P. review”
DRP- 601. “Master level case study review”
Áreas del conocimiento base del
D.R.I.I.
1. Administración e iniciación del proyecto.
2. Evaluación de riesgos y controles.
3. Análisis del impacto sobre el negocio.
4. Estrategias de recuperación.
5. Respuesta a la emergencia.
6. Desarrollo e implementación del plan.
7. Programas de concientización y entrenamiento del
personal.
8. Pruebas y ejercicios del plan.
9. Mantenimiento y actualización del plan.
 Metodología D.R.I.I.
• Basada en las áreas del conocimiento base
de los profesionales en planeación de la
continuidad del negocio.
• Proporciona un estándar internacional para
las prácticas en la construcción de “Planes
de Continuidad del Negocio”.
• Originada desde antes de 1989.
• Revisada permanentemente por expertos en
la materia.
 Situaciones
Normalidad
PROBLEMA
DESASTRE
“Un evento externo o
interno interrumpe uno o
Respuesta a la emergencia más procesos del
negocio”
Toma del control

Toma de decisiones

Reanudación de operaciones críticas

Restauración
Recuperación de las
capacidades diarias
 Fases de la metodología
En cualquier Definición
momento
es posible Requerimientos Func.
devolverse
a efectuar Diseño y Desarrollo
cambios
en una Implementación
fase previa.
Pruebas y ejercicios

Mantenimiento

EJECUCIÓN
 Fase 1
Inicio y definición
Compromiso
Alta Gerencia
Concientización
del problema

Planeación Definición
de Objetivos

Herramientas
Definición de
Responsabilidades
Capacitación