Planes de Contingencia: Un enfoque práctico

Néstor Orlando Romero ABCP, Msc

Junio 2002
Agenda


Introducción

Historia
 DRI
 Definiciones
 Metodología
Introducción


Pretende minimizar las
pérdidas de productividad
dada la ocurrencia de un
incidente que genere una
interrupción
 Continuidad vs. Recuperación
del negocio
 Motivación


Eventos no esperados (New York,
11 de Septiembre)
 Alta dependencia de la información
y de las infraestructuras
informáticas
 Alta motivación para atacantes

Planes de contingencia ya no son
un lujo sino una necesidad
 Historia
 60’s
 Primeros planes de
recuperación
 Solo Sistemas de Información
 Solo en EU
 70’s
 Recuperación de Desastres
 Alguna actividad fuera de EU
 Dependencia de Sistemas
centralizados
 Historia (cont.)
 80’s
 Recuperación, no continuidad
 Planes probados por fuegos,
terremotos, huracanes
 Transición de planes de SI a
planes corporativos
 Aparece software especializado
 90’s
 Planes corporativos
 Centrado en el negocio
Disaster Recovery Institute


Fundado en 1.988 (Washington
University)
 Propone los lineamientos para los
profesionales en la planeación de
recuperación de negocios mediante
la definición de áreas de
conocimiento
 Ofrece capacitación y asesorías

Certifica profesionales
 Disaster Recovery Institute (cont.)
 Actualmente, al menos 1500 empresas
aplican los conceptos y metodología del DRI.
Algunas de ellas son:
 Texas Instruments
 AT & T
 Bell South
 National Bank
 World Bank
 Merrill Lynch
 Banco Central de Venezuela
Áreas de conocimiento base del DRI
1. Administración e iniciación del proyecto
2. Evaluación de riesgos y controles
3. Análisis de Impacto del negocio
4. Estrategias de recuperación
5. Respuesta a la emergencia
6. Desarrollo e implementación del plan
7. Programas de concientización y entrenamiento
8. Pruebas y ejercicios del plan
9. Mantenimiento y actualización del plan
Definiciones


Desastre: Es cualquier evento que crea
inhabilidad para una parte de una
organización para proveer sus funciones
críticas del negocio por algún periodo de
tiempo (inconveniencia o desastre).
Definiciones (cont.)


Plan de recuperación de desastres: Un
conjunto aprobado de actividades y
procedimientos los cuales hacen
posible a una organización responder a
un desastre y reiniciar sus funciones
críticas en una condición aceptable, en
un marco de tiempo determinado.
 Definiciones (cont.)


Plan de continuidad del negocio: Son
todas las actividades y procedimientos
aprobados que hacen posible a una
organización responder a un evento en
tal forma que las funciones críticas del
negocio continúen sin interrupción o
cambio significativo
Donde encaja la administración de riesgos?
Plan estratégico de Administración de Riesgos

Administración de Crisis

Comportamiento
procedimentales

Dispositivos o
Presión de la
competencia
Tecnológicos
comerciales

Relaciones
Riesgo
Fuentes de Consecuenci

legales y

naturales
Cambios

Cambios

Software
Cambios

Políticos

humano
Eventos

equipos
as

Financiero Económico Objetivos

Disponibilidad Confidencialidad Integridad
Continuidad Accidentalidad
Opciones de Tratamiento Mitigar, Reducir, Aceptar,
Asumir, Evitar, Transferir
del Riesgo
Plan de Manejo

Respuesta al Riesgo
(Monitoreo, mantenimiento y Atención de incidentes)

Respuesta a Continuidad de Negocio

Proceso de planeación de contingencias

Tomado de IT Contingency Planning Guide (NIST)

Metodología

Fases: Definición

Requerimientos Funcionales

Diseño y Desarrollo

Implementación

Pruebas y ejercicios

Mantenimiento

Ejecución
Etapas durante un desastre
Normalidad
Normalidad
DESASTRE

Declaración de la emergencia

Toma del control

Toma de decisiones

Reanudación de operaciones
Restauración
Recuperación de las capacidades
Fase 1: Definición


Definir el problema (Recuperación de desastres vs.
Continuidad del negocio)
 Conciencia en la alta gerencia y políticas de
continuidad del negocio
 Definición de los objetivos y requerimientos de
continuidad (Quien, que, cuando, donde y como)

Alcance y objetivos del proyecto
 Comité de seguimiento al proyecto
Fase 2: Requerimientos funcionales

Identificación de los bienes a ser protegidos

Efectuar el análisis de riesgos
 Realizar el análisis de impacto del negocio
(BIA)

Identificación de las estrategias
 Costo-beneficio de las estrategias

Selección de la estrategia
 Presupuesto de inversión
Bienes a ser protegidos

Instalaciones
TELECOMUNICACIONES

Equ
n cia
e
ote ient

i po s
Ci P
rcu d, m b
it
os da
C
(E lien u ri & A
g
xte tes
rno y Se ción
c
s e Us u r ot e
In t a ri P Hardware (Mainframe,
e rn o s
os PC’s, LAN)
)
Sis
te
ario & ma
Invent ales sO
per
Materi ativ
os
c i ón
Aplicacione
uc Da
d to
p ro p o s
as

e i
s d eq u
on

t
n &a
Pla
Pers

s
Análisis de Riesgos


El análisis de riesgos permite identificar las
vulnerabilidades de la compañía, evaluar los
controles existentes, así como prever si son
necesarios nuevos controles.

Puede ser cualitativo o cuantitativo
Análisis de Riesgos (cont.)
 Actividades:
 Identificar las amenazas y vulnerabilidades sobre
los elementos críticos
 Establecer los riesgos utilizando A.L.E (Anual Loss
Exposure, Riesgo=frec x exposic, Benef=R-r-c)
 Identificar y analizar controles existentes
 Analizar el valor de los controles adicionales
 Recomendar la implantación de controles para
mitigar los riesgos
Análisis de impacto del negocio

Basados en los riesgos ya identificados:


Determinar los procesos, funciones,
departamentos y áreas de trabajo del
negocio sensibles en el tiempo
 Determinar los sistemas, datos y

telecomunicaciones sensibles en el tiempo


Determinar el tiempo de disponibilidad
requerido (RTO)
Análisis de impacto del negocio (cont.)


Es importante definir el criterio de criticidad
de las funciones y procesos
 Definir las consecuencias de las caídas del
negocio
 Establecer el RTO (tiempo objetivo de
recuperación) de los procesos críticos
Recovery Time Objective

Los sistemas críticos

Punto de Reinicio de las son operativos y
interrrupción operaciones con datos actuales

tiempo

Recovery Time Objective Procesos del

Es el tiempo entre el punto de interrupción, y el punto en el cuál negocio
los sistemas sensibles en el tiempo deben estar funcionando funcionando
nuevamente, con los datos actualizados
 Identificación de estrategias

Identificar los requerimientos de las estrategias
de recuperación:
 Tiempos
 Personal requerido
 Sitios (recuperación, coordinación, reinicio)
 Tipos (CdeC, funciones del negocio, comunic.)

Identificar las posibles alternativas de
recuperación :
 No hacer nada
Identificación de estrategias (cont.)
 Diferir acciones
 Procedimientos manuales
 Acuerdos recíprocos
 Sitios alternos
 Servicios comerciales (recuperación interna, hot
site, cold site, warm site, nada)
 Consorcio con otras compañías
 Procesamiento distribuido
 Comunicaciones alternas
Identificación de estrategias (cont.)


Seleccionar el almacenamiento fuera del
sitio
 Seleccionar el sitio alterno

Realizar un análisis costo beneficio
Fase 3: Diseño y desarrollo


Definir el alcance del plan

Estructurar una organización jerárquica
paralela para administrar emergencias, con
esquemas de notificación
 Definición de escenarios
 Programas de control de personal
 Detallar la administración general del plan
 Fase 4: Implementación

Crear procedimientos de atención a al emergencia
 Crear procedimientos para controlar la crisis

Designar la autoridad
 Crear procedimientos para encadenar respuesta a
la emergencia y recuperación
 Detallar procedimientos de reinicio, recuperación y
restauración

Contratos y recursos para recuperación
Fase 5: Pruebas y ejercicios


Diseñar programas de entrenamiento,
conciencia corporativa y mecanismos de
distribución del plan

Programar ejercicios con objetivos claros
 Preparar los escenarios
 Efectuar ejercicios
 Evaluar resultados
 Fase 6: Mantenimiento y actualización


Programar y calcular la inversión en
actividades de actualización y mantenimiento
 Evaluar herramientas de software como apoyo

Establecer criterios de revisión

Procedimientos de mantenimiento del plan:
 Procedimientos de actualización
 Procedimientos de reporte de estado
Fase 6: Mantenimiento y actualización
(cont.)
 Procedimientos de auditoría y control

Establecer mecanismos de distribución de la
actualización del plan y procedimientos de
control
Fase 7: Ejecución


Cada empleado sabe que hacer, donde ir, a
quien reportarse durante la emergencia.
 Se inicia el plan de respuesta a la
emergencia
 Se inicia el procedimiento de recuperación
del negocio, si es necesario
FIN!