CONTINUIDAD DEL NEGOCIO Y RECUPERACIÓN DE DESASTRES
Anny Jhenypher Gaona Livaque
Temas:
Introducción
Proceso de planificación de la continuidad del negocio /recuperación frente a desastres
Análisis de Impacto en el negocio (BIA)
Clasificación de Operaciones, Análisis Criticidad
Objetivo Punto Recuperación (RPO) y Objetivo Tiempo de Recuperación (RTO)
Estrategias de Recuperación
Pruebas del Plan de Continuidad
INTRODUCCIÓN
Las organizaciones se enfrentan a un amplio espectro de situaciones que pueden amenazar la continuidad de las actividades que permiten llevar a
cabo el negocio. Algunas amenazas son provocadas deliberadamente, pero muchas otras surgen como resultado de acontecimientos internos o
externos inesperados. Acontecimientos recientes demuestran que, aunque relativamente poco probables, dichas amenazas son reales y no
pueden pasarse por alto:Distribución estadística de amenazas a la continuidad de negocio
Antecedentes
A pesar de los efectos negativos en las organizaciones, muchas
empresas aún no toman medidas para contar con planes que les
permitan lograr la Continuidad del Negocio.
• 72% de todos los negocios tienen alguna de estas
condiciones:
– No tienen Plan de Continuidad del Negocio.
– Si lo tienen, nunca lo han probado.
– Su Plan falló cuándo lo probaron.
• Solamente 18% de los datos de usuario final están
protegidos. (VERITAS Disaster Recovery Survey 2004).
INTRODUCCIÓNEl BCP y la planeación de contingencia para los sistemas de información son elementos de un sistema de control interno que se establece para gestionar la disponibilidad de los procesos críticos en el caso de una interrupción.
La disponibilidad de los datos del negocio es vital para el desarrollo sostenible y/o incluso para la supervivencia de cualquier organización.
El tipo de negocio determina los tipos de planes en los que el planificador debe concentrarse.
La BCP es un proceso continuo más que un proyecto
Estos planes dirigirán la respuesta a incidentes desde simples emergencias hasta desastres totales.
La meta última del proceso es poder responder a incidentes que puedan impactar en la gente, las operaciones y la capacidad de entregar bienes y servicios al mercado.
Presenta una visión general de los principios de continuidad del negocio y recuperación
ante desastres y específicamente las siguientes áreas.
Los procesos de BCP y DRP
Análisis del BIA
Estrategias y alternativas de recuperación
Pruebas de plan
Respaldo y restauración
Consideraciones de auditoria
Debe considerar:
Inicio y definición
Definición de Responsabilidades
Definición de Objetivos
Planeación
Compromiso Alta Gerencia
Concientización del problema
Herramientas
Capacitación
PLANES DE LA CONTINUIDAD DEL NEGOCIO/RECUPERACIÓN DE DESASTRES
Recuperación
Supervivencia
Recuperación
BIENES
RecuperaciónANTES
Continuidad
Recuperación
Disponibilidad Supervivencia
Recuperación
BIENES
Recuperación VS ContinuidadHOY
TiempoTiempo de pérdida
Recuperación VS Continuidad
NormalidadTransacciones
ConsultasNuevos clientes
Requerimientos, etc.
NormalidadTransacciones
ConsultasNuevos clientes
Requerimientos, etc.
Interrupción
PROBLEMA
Recuperación de las capacidades diarias
Respuesta a la emergencia
Toma del control
Toma de decisiones
Reanudación de operaciones críticas
Situaciones
Restauración
Normalidad
DESASTRE
“Un evento externo o interno interrumpe uno o más procesos
del negocio”
Permitir que un negocio continúe brindando sus
servicios críticos en caso de una interrupción y que pueda sobrevivir a una interrupción
desastrosa de sus sistemas de información.
El objetivo de la continuidad del negocio/recuperación ante
desastres
Proceso diseñado para reducir el riesgo de negocio de la organización que surja de una interrupción no esperada de las funciones/operaciones
críticas necesarias para la supervivencia de la misma.
Algunos ejemplos de estos riesgos corporativos incluyen:
Incapacidad de mantener los servicios críticos al cliente
Daño en la participación de mercado, la imagen, reputación o marca
No poder proteger los activos de la Compañía, incluyendo propiedad intelectual y personal
Falla de control del negocio
No poder cumplir los requerimientos legales o regulatorios
Las amenazas
Gestión del Riesgo
Clasificación de Operaciones, Análisis Criticidad
Riesgos
Credibilidad de los clientes OperativosImagen
Financieros
Mercado
Consideraciones legales
Análisis del Impacto sobre el Negocio (BIA)
Criticidad de los recursos de información
Participación del personal de SI y los usuarios finales
Análisis de todos los tipos de recursos de información
Tres aspectos claves para el análisis:
• Criticidad de los recursos de información relacionados con los procesos críticos del negocio
• Período de tiempo de recuperación crítico antes de incurrir en pérdidas significativas
• Sistema de clasificación de riesgos
Punto Objetivo Recuperación (RPO) y Tiempo Objetivo de Recuperación (RTO)
Lo que la organización está dispuesta a perder en cantidad
de datos
Cuanto tiempo la Organización puede tolerar la inactividad
Estrategias de Recuperación
Es una combinación de medidas preventivas, detectivas y correctivas
Eliminar la amenaza
completamente
Minimizar la
probabilidad de que
ocurra
Minimizar el efecto
Identificar las
estrategias de
recuperación
La criticidad de los procesos del negocio y aplicaciones que soportan los procesos
Coste Tiempo requerido para la recuperación. Seguridad
Estrategias de Recuperación
Alternativas de Recuperación
Las interrupciones más prolongadas y más costosas, en particular los desastres que afectan a las instalaciones,
requieren recuperación (offsite)
Desarrollo de (BCP y DRP)
Basado en el BIA y la estrategia de recuperación seleccionada por la gerencia
Debería abarcar todos los temas involucrados en la recuperación de un desastre
Debería resolver todos los problemas involucrados en la interrupción del negocio
Desarrollo de (BCP y DRP): Factores que se deben considerar:
Estar preparados antes de un
desastre cubriendo todas las incidencias
Procedimientos de evacuación
Procedimientos para declarar
desastres
Circunstancias en que se debe
declarar desastre
Clara identificación
de responsabilidades en el plan.
Clara identificación de personas y funciones en el
plan
Clara identificación
de información de los contratos
Explicación paso a paso de la recuperación
Clara identificación de recursos necesarios
Aplicación paso por paso de la
etapa de recuperación
Roles y responsabilidades
Organización y asignación de responsabilidades
Equipo de respuesta a incidentes Equipo de atención de emergencias Equipo de determinación de los daños Equipo de administración de la emergenciaEquipo de almacenamiento externo Equipo de software Equipo de aplicaciones Equipo de seguridad Equipo de operaciones de emergenciaEquipo de recuperación de red Equipo de Comunicaciones
Equipo de EntrenamientoEquipo de Transporte Equipo de Hardware de Usuario Equipo de preparación de datos y registros Equipo de soporte administrativo Equipo de suministros Equipo de salvamento Equipo de reubicación Equipo de Coordinación Equipo de Asuntos Legales Equipo de prueba de recuperación
Se debe contar con un plan integral asegurando:- Todos los aspectos se cubran. - Los recursos comprometidos se utilicen de la manera más
efectiva y exista la confianza de que, a través de su aplicación, la organización sobreviva a una interrupción.
Aún si se manejaran procesos similares de la misma organización en un lugar geográfico diferente, las soluciones de BCP y DRP pueden ser diferentes para escenarios diferentes.
Debe también estar alineado con la estrategia de la organización
Aspectos del Desarrollo del Plan
Otros aspectos del Desarrollo del PlanLos componentes de este plan
incluyen: Personal clave para toma de decisiones - Información de contacto
Respaldo de los suministros requeridos - Configuración de las instalaciones - Mesas, sillas, teléfonos… Métodos de recuperación de desastres para redes de
telecomunicaciones
Personal Clave para la toma de decisiones
Lista de prioridades de contactos
Teléfonos y direcciones de personas críticas a contactar
Teléfonos y direcciones de representantes de los equipos y
software
Teléfonos de suministradores de equipos y servicios
Componentes de un Plan Efectivode Continuidad del Negocio (BCP):
Incluyen
Efectivo(BCP)
Plan de Continuidad de negocio
(BCP)
Plan de Recuperación de Negocio
(BRP)
Plan de Continuidad
de Operaciones
(COOP)
Plan de Soporte de ContinuidadPlan de
Contingencia T.I.
Plan de Comunicación
de Crísis
Plan de Respuestas a
incidentes
Plan de Recuperación del desastre
(DRP)
Plan de Emergencia
de ocupantes (OEP)
Componentes de un Plan Efectivo de Continuidad del Negocio (BCP)
Para las fases de planificación, implementación y evaluación se debe acordar:
Metas/requerimientos/productos de cada fase
Instalaciones alternativas para las tareas y operaciones
Recursos de información crítica a instalar
Personas responsables de su ejecución
Recursos disponibles para Plan de ejecución
Cronograma de actividades y prioridades
Dimensiones de Disponibilidad
Pruebas del Plan de Continuidad
RESUMEN
Preparar análisis de impacto del negocio
Identificar y clasificar sistemas y recursos (críticos)
Escoger estrategias apropiadas para la recuperación
Desarrollar un plan detallado para recuperar
instalaciones (TIC)
Desarrollar un plan detallado para las funciones críticas
Probar los planes
Mantener actualizados los planes
Pruebas del Plan
Especificaciones para Auditar
Medir la habilidad y capacidad del lugar de respaldo
Evaluar la capacidad de recuperación de registros vitales
Evaluar estado y cantidad de equipos y suministros en el lugar
de recuperación
Medir el desempeño general de actividades operativas y de
sistemas relacionados con el negocio.
Verificar si el plan es completo y preciso
Evaluar el desempeño del personal involucrado
Evaluar el entrenamiento y conocimiento del personal que no
pertenece al negocio
Evaluar la coordinación entre equipo continuidad y proveedores
externos
TÉCNICAS PARA AUDITAR
CSA -COBIT CCI
EN BASE A REGULACIONE
SEJ. SBS 140
PREGUNTAS ??PREGUNTAS ??
Gracias