Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
DRPDisaster Recovery Plan
Disaster Recovery Plan en IT & CPlanes de Recuperación de Desastres en TICAlgunos conceptos básicos a tener en cuenta
Manuel MonterrubioAlhambra-Eidos
Manuel Monterrubio2/16
¿Estamos preparados para un desastre?
Nunca estamos suficientemente preparados para un desastre.
¿Alguien podía imaginar alguno de estos?
Desastres graves y/o con pérdida de vidas:
• Torres Gemelas • Tsunami • Huracán Katrina
Manuel Monterrubio3/16
Las personas primero y luego el acceso a la información.
El activo más importante, LAS PERSONAS.
Después,…a menudo es EL ACCESO A LA INFORMACIÓN. Más que la mayoría de los activos.
Disponibilidad
Confidencialidad
Inte
grid
ad INFORMACIÓN
Objetivo de hoy: Conceptos para garantizar el acceso a datos e información crítica en caso de desastre. Nos centraremos en el punto de vista de las TIC.
Manuel Monterrubio4/16
¿Ocurren desastres aquí?¡Aquí no ocurren desastres!(Why bother, Disasters dont’t happen here) - Frase de la Web de la Cruz Roja americana anuncia como actuar en caso de desastres -
DESASTRES GRAVES y/o con pérdida de vidas:
• Huracán/Tormenta tropical en Canarias• Incendio del edificio Windsor• Desastres Químicos: Balsa de Aznalcollar • Inundaciones/Riadas: Todos los años de mayores y menores
dimensiones. Desde el de Badajoz de hace unos años hasta los más recientes en Cataluña.
• Incendios Forestales más o menos extendidos: Verano pasado Guadalajara o Huelva hace 2 años.
Manuel Monterrubio5/16
¿Ocurren desastres aquí?
Otros que … no parecen desastres. DESASTRES APARENTEMENTE LEVES:
• Edificios contiguos al edificio Windsor (2005)• Corte energía eléctrica por excavadoras - Aeropuerto 2003• Subestación Méndez Álvaro incendio eléctrico 2004 (otro en 2003)• Sabotaje líneas a Telefónica 1999• Corte de líneas de metro por inundación debida a obras (2005 Madrid)
Manuel Monterrubio6/16
¿Desastre o Incidente?
¡Bueno… pero si ocurre un desastre pues… que le vamos a hacer!El 40% de las empresas que sufren un desastre no vuelven a abrir nunca. Del 60% que reabren, más de un tercio cierra en los siguientes 3 años. En resumen, el 60% de las compañías que sufren un desastre, cierran en los siguientes 3 años.
Manuel Monterrubio7/16
Hay quien se recupera…
1. Tormenta tropical Canarias: Muchos continúan operando a pesar decorte luz por tormenta tropical canarias
2. Incendio Fabrica: Borges se recuperó de un incendio 3. Atentado ETA : La empresa Matchmind sufrió un ataque y estaba
operativa al día siguiente 4. Corte luz Méndez Álvaro/Iberia/Corte luz casi todos los VERANOS
(sin accidente en sí, por sobrecarga)5. Windsor: Algunas compañías como Jonhson Wax se vieron
afectadas indirectamente y estaban operativas al día siguiente.
Manuel Monterrubio8/16
Caso Windsor
• Residente en edificio adyacente a Windsor• Delegación Comercial en España, central en UK• Todo centralizado en UK y USA• Incidente sábado noche/domingo• Aceptaron inmediatamente el ofrecimiento• Usó nuestra infraestructura para oficinas, líneas voz y
datos, salas...• Todo operativo el lunes por la tarde (< 1día) • El martes mañana, 25 personas sirviendo pedidos• En DOS semanas operativa total en nuevas oficinas
Manuel Monterrubio9/16
Desastre, severidad, impacto
1.Tipos desastre/incidente:• Accidente Aéreo• Accidentes con Material Peligroso• Cambio de Sistema No Planificado• Contaminación De Agua/Aire• Corrimiento De Tierras• Corte Carreteras• Daños a Cables Exteriores• Emergencia Planta Nuclear• Error de Procedimiento Interno o
Externo• Explosiones• Fallo de Red Local, Central, Troncales• Fallo de Suministro Gas, Agua• Fallo Del Transporte Publico• Fallo o Daños Al Hardware/Software• Fallo Suministro Eléctrico• Fuego• Guerra
• Huelgas/Manifestaciones• Huracanes• Incidente Seguridad Físico, Red o Equipos• Incidentes Radiactivos• Inundación• Paquetes Sospechosos• Riadas• Robo o Fraude• Sabotaje• Secuestro/Extorsión• Situación Violenta En La Oficina• Temperaturas Extremas• Terremoto• Terrorismo• Tormenta• Tornados• Virus/Epidemias• Volcanes
Manuel Monterrubio10/16
Desastre, severidad, impacto
1. Severidad• Se resuelve en horas• En días• En semanas
EN RESUMEN1. ¿ES POSIBLE VOLVER A LA NORMALIDAD? 2. ¿EN QUE VENTANA DE TIEMPO Y CON QUE COSTE?
2. Impacto• Perdida personas• Perdida activos continuidad
Manuel Monterrubio11/16
Concepto DRP S.I. frente a Business Continuity Plan
Otros conceptos
• Plan de Seguridad (contiene normalmente plan de R.Desastres o continuidad negocio)
• Planes de Contingencia, planes de emergencia.
Manuel Monterrubio12/16
Conciencia tranquila: 3 claves en la mente del CIO y del CEO
• Prever la emergencia y planear como actuar si ocurre.• Establecer Políticas de Seguridad y de Recovery• Establecer un Test Periódico o Continuo
Ambos tienen el mismo problema. Las TIC son hoy día BASICAS para la actividad de la compañía. Si se detienen, todo se paraliza y comienza a perderse dinero.
El Director de Informática (CIO) y el Consejero delegado (CEO) deben:
Manuel Monterrubio13/16
Concienciación Dirección
Tiene asegurado el coche, la casa…¿Por qué?• RAZÓN ECONOMICA (los primeros años de un coche, seguro a todo
riesgo). NO PUEDES NO TENERLO• RAZON LEGAL (seguro obligatorio vehículos).• OTRAS
• Movilidad• Mudanzas• Mantenimiento
Manuel Monterrubio14/16
ConclusiónPlantee un DRP TIC
Necesidad del plan de recuperación de desastres
• Porque la dependencia de la informática es casi total o total.• Porque la actividad informática necesita planes.• La prioridad con que el CEO decida implementar el plan depende sólo de la
dependencia de las TIC.
¿Quien impulsa el DRP?
• El CEO y los accionistas son los más interesados. Aunque ante un desastre el CIO es quien “saldrá”. Hasta que la dirección no esté sensibilizada, el plan no se implantará.
Clave para lanzarlo: Plantearlo el CIO a la DIRECCIÓNtras hacer un estudio o presupuesto preliminar.
Manuel Monterrubio15/16
Resumen Final
Todos los días hay “incidentes”• Tengamos un plan de recuperación de desastres si no queremos tener un
desastre de recuperación.
Tres claves CIO y CEO 1. Prever la emergencia y planear como actuar si ocurre.2. Establecer Políticas de Seguridad y de Recovery3. Establecer un Test Periódico o Continuo
Haz tu test, convence al CEO, diseña un DRP pequeño para tu organización y actúa según modelo PDCA en Espiral. Empieza ya con un plan propio, tal vez no necesites normas ISO/BSI aún, y hazlo crecer poco a poco
Manuel Monterrubio16/16
SUERTE,¡que no haya que probar nunca si el plan en realidad funciona!
Muchas [email protected]