Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Planes de Contingencia
Planes de Contingencia
Introducción
Historia
DRI
Definiciones
Metodología
Introducción
Pretende minimizar las
pérdidas de productividad
dada la ocurrencia de un
incidente que genere una
interrupción
Continuidad vs. Recuperación
del negocio
Motivación
Eventos no esperados (New York,
11 de Septiembre)
Alta dependencia de la información
y de las infraestructuras
informáticas
Alta motivación para atacantes
Planes de contingencia ya no son
un lujo sino una necesidad
Historia
60’s
Primeros planes de
recuperación
Solo Sistemas de Información
Solo en EU
70’s
Recuperación de Desastres
Alguna actividad fuera de EU
Dependencia de Sistemas
centralizados
Historia (cont.)
80’s
Recuperación, no continuidad
Planes probados por fuegos,
terremotos, huracanes
Transición de planes de SI a
planes corporativos
Aparece software especializado
90’s
Planes corporativos
Centrado en el negocio
Disaster Recovery Institute
Fundado en 1.988 (Washington
University)
Propone los lineamientos para los
profesionales en la planeación de
recuperación de negocios mediante
la definición de áreas de
conocimiento
Ofrece capacitación y asesorías
Certifica profesionales
Disaster Recovery Institute (cont.)
Actualmente, al menos 1500 empresas
aplican los conceptos y metodología del DRI.
Algunas de ellas son:
Texas Instruments
AT & T
Bell South
National Bank
World Bank
Merrill Lynch
Banco Central de Venezuela
Áreas de conocimiento base del DRI
1. Administración e iniciación del proyecto
2. Evaluación de riesgos y controles
3. Análisis de Impacto del negocio
4. Estrategias de recuperación
5. Respuesta a la emergencia
6. Desarrollo e implementación del plan
7. Programas de concientización y entrenamiento
8. Pruebas y ejercicios del plan
9. Mantenimiento y actualización del plan
Definiciones
Desastre: Es cualquier evento que crea
inhabilidad para una parte de una
organización para proveer sus funciones
críticas del negocio por algún periodo de
tiempo (inconveniencia o desastre).
Definiciones (cont.)
Plan de recuperación de desastres: Un
conjunto aprobado de actividades y
procedimientos los cuales hacen
posible a una organización responder a
un desastre y reiniciar sus funciones
críticas en una condición aceptable, en
un marco de tiempo determinado.
Definiciones (cont.)
Plan de continuidad del negocio: Son
todas las actividades y procedimientos
aprobados que hacen posible a una
organización responder a un evento en
tal forma que las funciones críticas del
negocio continúen sin interrupción o
cambio significativo
Donde encaja la administración de riesgos?
Plan estratégico de Administración de Riesgos
Administración de Crisis
Comportamiento
procedimentales
Dispositivos o
Presión de la
competencia
Tecnológicos
comerciales
Relaciones
Riesgo
Fuentes de Consecuenci
legales y
naturales
Cambios
Cambios
Software
Cambios
Políticos
humano
Eventos
equipos
as
Respuesta al Riesgo
(Monitoreo, mantenimiento y Atención de incidentes)
Fases: Definición
Requerimientos Funcionales
Diseño y Desarrollo
Implementación
Pruebas y ejercicios
Mantenimiento
Ejecución
Etapas durante un desastre
Normalidad
Normalidad
DESASTRE
Declaración de la emergencia
Toma de decisiones
Reanudación de operaciones
Restauración
Recuperación de las capacidades
Fase 1: Definición
Definir el problema (Recuperación de desastres vs.
Continuidad del negocio)
Conciencia en la alta gerencia y políticas de
continuidad del negocio
Definición de los objetivos y requerimientos de
continuidad (Quien, que, cuando, donde y como)
Alcance y objetivos del proyecto
Comité de seguimiento al proyecto
Fase 2: Requerimientos funcionales
Identificación de los bienes a ser protegidos
Efectuar el análisis de riesgos
Realizar el análisis de impacto del negocio
(BIA)
Identificación de las estrategias
Costo-beneficio de las estrategias
Selección de la estrategia
Presupuesto de inversión
Bienes a ser protegidos
Instalaciones
TELECOMUNICACIONES
Equ
n cia
e
ote ient
i po s
Ci P
rcu d, m b
it
os da
C
(E lien u ri & A
g
xte tes
rno y Se ción
c
s e Us u r ot e
In t a ri P Hardware (Mainframe,
e rn o s
os PC’s, LAN)
)
Sis
te
ario & ma
Invent ales sO
per
Materi ativ
os
c i ón
Aplicacione
uc Da
d to
p ro p o s
as
e i
s d eq u
on
t
n &a
Pla
Pers
s
Análisis de Riesgos
El análisis de riesgos permite identificar las
vulnerabilidades de la compañía, evaluar los
controles existentes, así como prever si son
necesarios nuevos controles.
Puede ser cualitativo o cuantitativo
Análisis de Riesgos (cont.)
Actividades:
Identificar las amenazas y vulnerabilidades sobre
los elementos críticos
Establecer los riesgos utilizando A.L.E (Anual Loss
Exposure, Riesgo=frec x exposic, Benef=R-r-c)
Identificar y analizar controles existentes
Analizar el valor de los controles adicionales
Recomendar la implantación de controles para
mitigar los riesgos
Análisis de impacto del negocio
Es importante definir el criterio de criticidad
de las funciones y procesos
Definir las consecuencias de las caídas del
negocio
Establecer el RTO (tiempo objetivo de
recuperación) de los procesos críticos
Recovery Time Objective
tiempo
Seleccionar el almacenamiento fuera del
sitio
Seleccionar el sitio alterno
Realizar un análisis costo beneficio
Fase 3: Diseño y desarrollo
Definir el alcance del plan
Estructurar una organización jerárquica
paralela para administrar emergencias, con
esquemas de notificación
Definición de escenarios
Programas de control de personal
Detallar la administración general del plan
Fase 4: Implementación
Crear procedimientos de atención a al emergencia
Crear procedimientos para controlar la crisis
Designar la autoridad
Crear procedimientos para encadenar respuesta a
la emergencia y recuperación
Detallar procedimientos de reinicio, recuperación y
restauración
Contratos y recursos para recuperación
Fase 5: Pruebas y ejercicios
Diseñar programas de entrenamiento,
conciencia corporativa y mecanismos de
distribución del plan
Programar ejercicios con objetivos claros
Preparar los escenarios
Efectuar ejercicios
Evaluar resultados
Fase 6: Mantenimiento y actualización
Programar y calcular la inversión en
actividades de actualización y mantenimiento
Evaluar herramientas de software como apoyo
Establecer criterios de revisión
Procedimientos de mantenimiento del plan:
Procedimientos de actualización
Procedimientos de reporte de estado
Fase 6: Mantenimiento y actualización
(cont.)
Procedimientos de auditoría y control
Establecer mecanismos de distribución de la
actualización del plan y procedimientos de
control
Fase 7: Ejecución
Cada empleado sabe que hacer, donde ir, a
quien reportarse durante la emergencia.
Se inicia el plan de respuesta a la
emergencia
Se inicia el procedimiento de recuperación
del negocio, si es necesario
FIN!