Continuidad de Negocio

@
FIST Conference September/Madrid 2005

Continuidad de Negocio
Manuel Ballester

Manuel Ballester IEEE,MBA,CISA,CISM

Reflexión Inicial

“El tiempo de la reflexión es una
economía de tiempo”

Siro , Publius (Siglo I A.C.)


Contenido

 Proceso de planificación de la continuidad del
negocio /recuperación frente a desastres
 Análisis de Impacto en el negocio (BIA)
 Clasificación de Operaciones, Análisis Criticidad
 Objetivo Punto Recuperación (RPO) y
Objetivo Tiempo de Recuperación (RTO)
 Estrategias de Recuperación


Contenido

 Alternativas de Recuperación
 Desarrollo de (BCP y DRP)
 Organización y Asignación de Responsables
 Otros aspectos del Desarrollo del Plan
 Componentes Claves de un BCP
 Pruebas del Plan
 Resumen


Antecedentes
A pesar de los efectos negativos en las organizaciones, muchas empresas aún no toman
medidas para contar con planes que les permitan lograr la Continuidad del Negocio.

• 72% de todos los negocios tienen alguna de estas condiciones:
– No tienen Plan de Continuidad del Negocio.
– Si lo tienen, nunca lo han probado.
– Su Plan falló cuándo lo probaron.

• Solamente 18% de los datos de usuario final están protegidos. *

*VERITAS Disaster Recovery Survey 2004.


Proceso de planificación de la continuidad del
negocio /recuperación frente a desastres
 Los desastres:
 Impactan adversamente las operaciones del negocio
 Interrumpen la operación de procesamiento de
información crítica

No todas las interrupciones son desastres

Tipos de desastres e interrupciones
 Causas de interrupción del servicio


Análisis del Impacto sobre el Negocio (BIA)

 Criticidad de los recursos de información
 Participación del personal de SI y los usuarios finales
 Análisis de todos los tipos de recursos de información
 Tres aspectos claves para el análisis:

Criticidad de los recursos de información relacionados con los
procesos críticos del negocio

Período de tiempo de recuperación crítico antes de incurrir en
pérdidas significativas

Sistema de clasificación de riesgos


Análisis del Impacto sobre el Negocio (BIA)


Clasificación de Operaciones, Análisis Criticidad


Objetivo Punto Recuperación (RPO) y
Objetivo Tiempo de Recuperación (RTO)


Estrategias de Recuperación
Una estrategia de Recuperación es una
combinación de medidas preventivas,
detectivas y correctivas

- Eliminar la amenaza completamente
- Minimizar la probabilidad de que ocurra
- Minimizar el efecto



Identificar las estrategias de recuperación


La criticidad de los procesos del negocio y
aplicaciones que soportan los procesos

Coste
 Tiempo requerido para la recuperación
 Seguridad


Alternativas de Recuperación

Las interrupciones más prolongadas y más
costosas, en particular los desastres que
afectan a las instalaciones, requieren
recuperación (offsite)


Tipos de instalaciones de respaldo Hardware alternativos

 Hot Sites
 Warm Sites

Cold Sites

Instalaciones de procesamiento duplicados
 Sitios Móviles
 Acuerdos recíprocos con otras organizaciones


Desarrollo de (BCP y DRP)
 Basado en en BIA y la estrategia de
recuperación seleccionada por la gerencia
 Debería abarcar todos los temas
involucrados en la recuperación de un
desastre
 Debería resolver todos los problemas
involucrados en la interrupción del
negocio


Factores que se deben considerar:

 Estar preparados antes de un desastre cubriendo todas las
incidencias
 Procedimientos de evacuación
 Procedimientos para declarar desastres
 Circunstancias en que se debe declarar desastre
 Clara identificación de responsabilidades en el plan



Factores que se deben considerar:

 Clara identificación de personas y funciones en el plan
 Clara identificación de información de los contratos
 Explicación paso a paso de la recuperación
 Clara identificación de recursos necesarios
 Aplicación paso por paso de la etapa de recuperación


Organización y asignación de
responsabilidades
 Equipo de respuesta a incidentes
 Equipo de atención de emergencias

Equipo de determinación de los daños
 Equipo de administración de la
emergencia


responsabilidades

Equipo de almacenamiento externo
 Equipo de software
 Equipo de aplicaciones

Equipo de seguridad
 Equipo de operaciones de emergencia


responsabilidades
 Equipo de recuperación de red
 Equipo de Comunicaciones

Equipo de Transporte
 Equipo de Hardware de Usuario
 Equipo de preparación de datos y registros
 Equipo de soporte administrativo


responsabilidades

Equipo de suministros
 Equipo de salvamento
 Equipo de reubicación

Equipo de Coordinación
 Equipo de Asuntos Legales
 Equipo de prueba de recuperación
 Equipo de Entrenamiento


Otros aspectos del Desarrollo del Plan

 Los componentes de este plan incluyen:

Personal clave para toma de decisiones
 Información de contacto
 Respaldo de los suministros requeridos
 Configuración de las instalaciones
 Mesas, sillas, teléfonos…
 Métodos de recuperación de desastres para redes
de telecomunicaciones


Componentes de un Plan Efectivo
de Continuidad del Negocio (BCP)
Incluyen:
 Plan de Continuidad de negocio (BCP)
 Plan de Recuperación de Negocio (BRP)
 Plan de Continuidad de Operaciones (COOP)
 Plan de Soporte de Continuidad


Incluyen:
 Plan de Contingencia T.I.
 Plan de Comunicación de Crísis
 Plan de Respuestas a incidentes
 Plan de Recuperación del desastre (DRP)
 Plan de Emergencia de ocupantes (OEP)


Para las fases de planificación, implementación
y evaluación se debe acordar:

 Metas/requerimientos/productos de cada fase
 Instalaciones alternativas para las tareas y operaciones
 Recursos de información crítica a instalar
 Personas responsables de su ejecución
 Recursos disponibles para Plan de ejecución
 Cronograma de actividades y prioridades


Personal Clave para la toma de decisiones

 Lista de prioridades de contactos
 Teléfonos y direcciones de personas críticas a contactar
 Teléfonos y direcciones de representantes de los
equipos y software
 Teléfonos de suministradores de equipos y servicios


Personal Clave para la toma de decisiones

 Teléfonos de personas en sitio de recuperación
 Teléfonos de personas instalaciones de
almacenamiento externo
 Teléfonos de agentes de seguros
 Teléfonos de personas de empresas contratadas
 Teléfonos de agencias legales


Respaldo de los suministros Requeridos

 Procedimientos escritos, detallados y actualizados
 Formularios requeridos

Pedidos

Albaranes
 Facturas
 Considerar conexiones con otros sistemas



 Métodos de prevención para redes:
Redundancia
Enrutamiento alternativo
Diversidad de red de largo alcance
Protección del circuito de "Último Kilómetro"
Recuperación de voz


 Métodos de recuperación frente a desastres
para servidores

- Suministro de dos proveedores de energía
- Uso de generadores eléctricos (gasoleo)
- Uso de Sistemas ininterumpidos (SAI)


 Servidores tolerantes a fallos

 Redundantes

Cluster

Balanceo de carga


 Seguros

 Equipo de SI e instalaciones
 Reconstrucción de medios (software)
 Gastos adicionales
 Interrupción del negocio


Componentes de un Plan Efectivo de
Continuidad del Negocio (BCP)


Pruebas del Plan
 Especificaciones

Medir la habilidad y capacidad del lugar de respaldo
 Evaluar la capacidad de recuperación de registros vitales

Evaluar estado y cantidad de equipos y suministros en el lugar
de recuperación

Medir el desempeño general de actividades operativas y de
sistemas relacionados con el negocio


Pruebas del Plan

 Especificaciones
 Verificar si el plan es completo y preciso
 Evaluar el desempeño del personal involucrado
 Evaluar el entrenamiento y conocimiento del personal que no
pertenece al negocio
 Evaluar la coordinación entre equipo continuidad y proveedores
externos


Pruebas del Plan

 Realización de Pruebas
 Etapas

Pre-Prueba

Prueba

Post-Prueba

 Tipos de Prueba

Prueba sobre papel

Prueba del estado de preparación

Prueba operativa completa


Pruebas del Plan

 Documentación de los resultados
 Análisis de resultados

Tiempo
 Cantidad
 Conteo

Exactitud


Pruebas del Plan
 Mantenimiento del plan

Factores que impactan
- Cambios en la organización
- Nuevos recursos/aplicaciones
- Cambios en la estrategia del negocio
- Cambios en software o hardware


Pruebas del Plan

Responsabilidades del plan incluyen

- Desarrollar un plan para revisión y mantenimiento periódico
- Exigir revisiones no programadas ante cambios significativos
- Examinar las revisiones y actualizarlas después de las revisiones
- Coordinar pruebas programadas y no programadas evaluar suficiencia
- Participar en las pruebas anuales


Pruebas del Plan

Responsabilidades del plan incluyen
Desarrollar un programa de entrenamiento
- Mantener registro de las actividades de
- Mantenimiento

- Pruebas

- Entrenamiento

- Revisiones

- Actualizar, por lo menos trimestralmente, lista de contactos


Pruebas del Plan


RESUMEN

- Preparar análisis de impacto del negocio
- Identificar y clasificar sistemas y recursos (críticos)
- Escoger estrategias apropiadas para la recuperación
- Desarrollar un plan detallado para recuperar instalaciones (TIC)
- Desarrollar un plan detallado para las funciones críticas
- Probar los planes
- Mantener actualizados los planes


Reflexión Final

“Lo que no es útil para la colmena no
es útil para la abeja”

Marco Aurelio (121-180 D.C.)


Creative Commons
Attribution-NoDerivs 2.0
You are free:
•to copy, distribute, display, and perform this work
•to make commercial use of this work
Under the following conditions:

Attribution. You must give the original author
credit.

No Derivative Works. You may not alter, transform, or
build upon this work.

For any reuse or distribution, you must make the license terms of this work
clear to others.
Any of these conditions can be waived if you get permission from the author.

Your fair use and other rights are in no way affected by the above.

This work is licensed under the Creative Commons Attribution-NoDerivs
License. To view a copy of this license, visit
http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative
Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.


@

Muchas Gracias
FIST Conference www.fistconference.org

Manuel Ballester
Madrid, September 2005

mballester@borrmart.es


Continuidad de Negocio

Más contenido relacionado

La actualidad más candente (20)

Destacado (20)

Similar a Continuidad de Negocio (20)

Más de Conferencias FIST (20)

Último (20)

Continuidad de Negocio