Porque desarrollar un BCM para mi empresa y como desarrollarlo

Abril 2014 Jorge A. Portales


¿Por qué Crear un Plan de Contingencias para mi Empresa?

Y Que pasos seguir para Desarrollarlo, sin Morir en el Intento.


Primer punto, ¿Qué es un Plan de Contingencias?

Un Plan de Contingencias es un modo ordenado de enfrentar situaciones de Desastre que pongan en riesgo la operación del Negocio.

Es una forma de Continuar con la Operación de las Funciones Críticas del Negocio.


Segundo punto, ¿Qué es un Desastre?

De acuerdo al Disaster Recovery Institute International:“Un repentino, evento catastrófico no planeado que causa pérdidas o daños inaceptables.

1) Un evento que compromete la habilidad de la organización para proveer las funciones críticas, procesos o servicios por un periodo de tiempo no aceptable.

2) Un evento donde la Dirección de una organización invoca su recuperación.”

Copyrighted, 2013, by the Disaster Recovery Journal, Page,9


Motivos para crear un Plan de Contingencias:

1. Responsabilidad con los Clientes.2. Calidad del Servicio (SLA’s).3. Pérdidas de Oportunidad.4. Pérdidas Financieras.5. Responsabilidad Legal.6. Daño a la Imagen.


Algunas de la Funciones que Desempeñan las Empresas:

1. Venta de Servicios.2. Venta de Productos.3. Soporte Técnico.4. Atención a Clientes.5. Encuestas de Opinión.6. Propaganda y/o Publicidad Política.7. Gestión de Cobranza.8. Telemarketing (Suscripciones y ventas varias).9. Gestión de Seguros (Incidentes de Vehículos).


Incidentes que pueden convertirse en Desastres:

1. Falla de Energía Eléctrica.2. Afectación a las Vías de Acceso.3. Interrupción de las Comunicaciones. (Líneas).4. Disturbios Civiles.5. Falla del Conmutador (PBX o Centralita).6. Incendio (En Instalaciones propias o de un Vecino).7. Inundación.8. Robo a las Instalaciones.9. Terremoto.10.Falla en los Equipos de Cómputo.11. Falla en las Aplicaciones y/o Software.12.Malware (Virus, Spyware, etc.).13.Atentado (En Instalaciones propias o de un Vecino).


Algunas Excusas de la Gente para no Desarrollar un Plan:

1. Tengo “High Availability” en mis Equipos.2. Mis Equipos están en la “Nube”.3. El Centro de Datos no está en mis Instalaciones.4. Tenemos un Seguro de Cobertura Amplia.5. “Aquí no Pasa Nada . . .“

* Los Seguros demoran al menos 30 días en pagar, sólo un porcentaje y no reponen Información.


LOS RIESGOS SON REALES !!

Sin embargo. . .


Tercer punto Tipos de Desastres:

1. Naturales.2. Humanos.3. Tecnológicos.


Tercer punto Tipos de Desastres:

1. Naturales.

2. Humanos.

3. Tecnológicos.


Las Ventajas han Crecido, el Riesgo También.

Tecnología y Seguridad

TiempoPrecio/Tamaño CapacidadConectividad Movilidad

Riesg

o



Hasta los 80’s

• Sumadoras, Calculadoras y Terminales.

De los 90’s al 2010

• Terminales y PC’s

• Interacción.

Hoy en día

• Equipos Corporativos y BYOD



BYOD, significa:

Bring Your Own DeviceDamageDisaster


70’s DRP

90’s BCP

2004 Resilencia

Evolución de los Planes de Contingencia.


Como Desarrollar e Implementar un Plan

1. Aplicando la Metodología de:a. Disaster Recovery Institute International. (DRII)b. The Business Continuity Institute. (BCI).

Ya que son los 2 Institutos a Nivel Mundial que han sentado los estándares sobre la Metodología para el Desarrollo y Mantenimiento de un Plan.

El DRII está ubicado en los Estados Unidos de América y el BCI en el Reino Unido.


1. Administración de Proyectos2. Evaluación y Control de Riesgos3. Análisis de Impactos al Negocio4. Desarrollo de Estrategias de Continuidad de Negocios5. Respuesta y Operaciones de Emergencia6. Desarrollo e Implementación de Planes de Continuidad de Negocios7. Programas de Concientización y Capacitación8. Prueba y Mantenimiento de Planes de Continuidad de Negocios9. Comunicación de Crisis10. Coordinación con Autoridades Públicas

DRII – Mejores Prácticas.


BCI – Mejores Prácticas.

1. Gestión del BCM.2. Conociendo la Organización.3. Definiendo Opciones del BCM.4. Desarrollando e Implementando

el BCM.5. Practicando, Manteniendo y

Revisando.6. Inculcando el BCM en la

“Cultura” de la Organización.


Gestión del

Programa BCM

Conociendo la Organización

Definiendo Opciones del

BCM

Desarrollando e

Implementado el BCM

Practicando, Manteniendo y Revisando

Coincidencias entre el DRI y el BCI

1. Administración de Proyectos2. Evaluación y Control de Riesgos3. Análisis de Impactos al Negocio4. Desarrollo de Estrategias de

Continuidad de Negocios5. Respuesta y Operaciones de

Emergencia6. Desarrollo e Implementación de

Planes de Continuidad de Negocios7. Programas de Concientización y

Capacitación8. Prueba y Mantenimiento de Planes de

Continuidad de Negocios9. Comunicación de Crisis10. Coordinación con Autoridades

Públicas

2

9

8

7

6

10

5

4

1

3

7


Pasos a Seguir

• Conocer la Empresa:– Análisis de Impacto al Negocio (BIA).– Análisis de Riesgos (RA).


¿Qué es un BIA?

• Un proceso diseñado para priorizar funciones del negocio al evaluar los impactos potenciales cuantitativos (financieros) y cualitativos (no financieros) que pudieran resultar si una organización experimenta un evento de continuidad de negocios

Definición del DRII


• Identificar – Funciones y procesos críticos del negocio– Exposiciones e impactos financieros potenciales– Exposiciones e impactos operacionales potenciales– Cuándo empiezan las exposiciones y los impactos– Marcos de tiempo de recuperación (RTOs)– Prioridades y secuencia de recuperación de los procesos– Recursos necesarios para la reanudación de operaciones

(personal, tecnología, equipo, suministros, registros vitales, proveedores, etc.)

– Impactos de una interrupción en diferentes períodos de tiempo– Interdependencias de procesos– Requerimientos legales y regulatorios– Procedimientos alternativos o manuales existentes

Objetivos de un BIA


Impacto de las Interrupciones en la Empresa

Financiero Con los clientes Relaciones públicas Legal Regulador Participación del

mercado

Ambiental Operacional Personal Otros interesados Contractual


Resultados de un BIA

• Identificación de– Procesos críticos de negocios– Interdependencias internas y externas de procesos– Tecnología necesaria por proceso, cuándo y cuánto– Impactos financieros y operacionales potenciales– Cuándo empiezan las exposiciones y los impactos y qué tan

rápido aumentan– Gastos potenciales no presupuestados– Recursos necesarios, cuándo y cuánto– Acuerdos de niveles de servicio, reportes regulatorios


Aplicaciones Críticas

• Aplicaciones Criticas:– Las que sostienen al Negocio.– Las que generan los Ingresos.– Las que pueden ocasionar

problemas Legales, Fiscales o Judiciales.

– Las que puedan afectar Negativamente la Imagen.


Funciones de Negocio Críticas

• Funciones de Negocio Criticas:– Identificar las Unidades de Negocio que:.– Generan los Ingresos.– Que pueden ocasionar problemas

Legales, Fiscales o Judiciales.– Que puedan afectar Negativamente la

Imagen de la Empresa.


Remote CPU & Mirroring DB

Shadow Data Base

Remote DASD Mirroring

Hot Site / Remote Tape / Channel Extension

Hot Site / Electronic Remote Journaling

Hot Site / Operating System Store / Edit

Hot Site / Electronic Vaulting

Hot SiteCold Site Repair Site

Minutos 6 a 8Horas

24 Horas 48 Horas Semanas Meses

Esf

uerz

o y

Cost

o

Tiempo para Recuperar

Zero Data Loss Requirement

Análisis de Costo/Beneficio


Balance Costo Recuperación

Costo de la InterrupciónCostos

Tiempo

Pérdida TolerableMáxima

Duración de la Falla

Presupuesto Recuperación

Tiempo p/recuperar

Costo para Recuperar

Alta Disponibilidad

Backup/Restore

Ventana

costo/tiempo

Análisis de Costo/Beneficio


Centros Alternos

• Puede ser:– Localidad Propia.– Instalaciones Rentadas.– Proveedor de Servicio

Externo.

Localidad externa a la empresa que cuenta con las instalaciones y equipo necesario, para la operación de las Aplicaciones Críticas y Funciones de Negocio Prioritarias.


Centro de Proceso Alterno

• Puede ser:– Localidad Propia.– Instalaciones Rentadas.– Proveedor de Servicio

Externo.

Localidad externa a la empresa que cuenta con las instalaciones y equipo necesario para la operación de las Aplicaciones Críticas. Lo suficientemente alejada de la Principal para evitar que un Incidente Mayor las afecte a ambas.


Escenario 1

Evento A

El desastre ocurre en Centro de Datos o en el Equipo de Cómputo.

Equipo Original Equipo de Respaldo


Escenario 1

Configuración al Día de Hoy.


Escenario 1Esquema Probable de Solución.


Centro de Trabajo Alterno

Localidad externa a la empresa que cuenta con las instalaciones y equipo necesario, para la operación de las Unidades de Negocio Críticas.

El Centro de Trabajo alterno cuenta con las instalaciones, equipo y accesorios para ubicar personal critico.

Estas instalaciones pueden ser otra localidad propia de la empresa, rentada o anexo al Centro de Proceso Alterno.


Escenario 2

El desastre ocurre en la Ubicación Principal de la Empresa por la no disponibilidad de las instalaciones.

Centro de trabajo alterno

Evento B

Personal Crítico Sistemas

Usuarios Críticos

Centro de proceso alterno


Requerimientos Mínimos

• Servidores– 26GB Memoria

Principal– 800GB en

disco

p

Corporativo

Centro Alterno


Contenido de los Planes BCP y DRP

RTOs

Organización

AdministraciónMantenimiento

y Pruebas

Localidades y Recursos Alternos

1. _______2. _______3. _______4. _______

PrioridadesResponsabilidades

Escalación

Inventarios de Recuperación

Listas de Llamadas

BCP/DRP

ContenciónEvaluaciónEscalaciónNotificación

Acciones


Contenido de un Plan de Contingencia.a) Evaluación del Evento.b) Declaración de Desastre.c) Notificación al Personal.d) Procedimientos Alternos.e) Procedimientos de Reacción.f) Restauración de Actividades Críticas.g) Evaluación de Daños.h) Aplicación de Seguros.i) Reconstrucción y/o Reparación de Daños.j) Regreso a Instalaciones Propias.k) Evaluación del Plan.l) Documentos Finales y Opciones de

Distribución y Mantenimiento


Grupos de Recuperación

– Recuperar la operación de la empresa en el menor tiempo posible.

– Enfrentar un desastre en forma organizada y responsable.

Personal Crítico de la empresa que desarrolla funciones y actividades específicas e interdependientes para lograr un objetivo común.


Grupos de Recuperación

Grupo Directivo

Técnico

Usuarios

Coordinador

Comunicaciones


Directivo• Integrantes:

- Director General.- Director de Finanzas.- Gerente de Sistemas.- Gerente de Recursos Humanos.- Gerente de Marketing.

Grupo Directivo

Funciones: – Tomar decisiones referentes a la logística del Plan de

Recuperación. – Asignar una partida de emergencia para casos de Desastre.– Contactar a Usuarios Externos.– Emitir Boletines de Prensa (Si fuese necesario).– Contactar Clientes Importantes o Autoridades en caso necesario.


Coordinador• Integrantes:

- Gerentes de Área Coordinador

• Funciones:–Coordinar los Grupos de Recuperación–Mantener Informado al Grupo Directivo–Coordinar el uso del equipo en el Centro de Trabajo Alterno–Coordinar los servicios de apoyo al personal–Coordinar la realización de las pruebas anuales–Mantener actualizado el Plan de Recuperación


Técnico

Técnico

• Integrantes

- Jefe de Soporte.

- Analistas.

- Programadores.

- Operadores.• Funciones

– Verificar la adecuada realización de los respaldos.– Evaluar el estado del equipo y su disponibilidad.– Establecer contacto con los proveedores críticos.– Restaurar y/o reconstruir las Bases de Datos.– Reanudar las operaciones esenciales dentro de los objetivos

de recuperación.– Restablecer equipo a condición operativa.


Comunicaciones

• Integrantes:

- Gerente de Comunicaciones.

- Personal del Área.

Comunicaciones

• Funciones– Evaluar el daño de la red de comunicaciones– Determinar alternativas de comunicación– Habilitar el canal alterno de comunicaciones– Notificación a externos – Restablecer el Ambiente Operativo de Sistemas a nivel

de Telecomunicaciones y Periféricos


Usuarios

• Integrantes:

- Líderes de Grupo

- Usuarios CríticosUsuarios

• Funciones:— Evaluar el daño— Determinar Usuarios Críticos— Mantener la continuidad en el procesamiento de

información a fin de evitar cualquier interrupción en la operación.

— Establecer medios de comunicación entre el personal


• Plan de Recuperación en Caso de Desastres:

—Recuperar la operatividad dependiente de la tecnología de la información en el menor tiempo posible.

—Documentar los requerimientos, estrategias y procedimientos necesarios para la Recuperación.

—Cumplir con los tiempos obtenidos en los Análisis.

Objetivo del DRP


• Plan de Continuidad del Negocio:

—Recuperar la Funcionalidad de las Unidades de Negocio que se han Identificado como Críticas.

—Documentar los requerimientos, estrategias y procedimientos necesarios para la Continuidad.

—Cumplir con los tiempos obtenidos en los Análisis.

Objetivo del BCP


• Administración de la Continuidad del Negocio:

—Mantener Actualizados los Planes.

—Conservar la Cultura de Seguridad en la Empresa.

—Estar en Contacto con los Institutos para mantenerse Actualizado en Tendencias.

Objetivo del BCM


Proteger su reputación y marca corporativa Preservar y mejorar el valor de su empresa Mantener estándares de Excelencia Optimizar recursos y procesos Minimizar la pérdida de Ingresos Aumentar la confianza y lealtad de sus clientes Reducir primas de seguros Ofrecer “continuidad de sus productos” como ventaja competitiva Cumplir con “gobierno corporativo” Tener excelentes relaciones con sus empleados, clientes, socios,

proveedores, aseguradores, inversionistas y accionistas

ENTONCES, SU ORGANIZACIÓN VA POR BUEN CAMINO !!

Si su Programa BCM actual logra…


¿DUDAS?¿PREGUNTAS?COMENTARIOS


GRACIAS

Por su Tiempo y Atenció[email protected]
