Gestión de Continuidad de Negocio
4 recomendaciones2,113 vistas
El documento aborda la gestión de continuidad de negocio (BCM), destacando su importancia en el mantenimiento de funciones críticas ante interrupciones. Se presentan recomendaciones para implementar un plan de continuidad de negocio (BCP) y un plan de recuperación de desastres (DRP) en diversas organizaciones. Además, se establece la conexión de estas iniciativas con estándares y recomendaciones de la industria financiera.
Gestión de Continuidad de Negocio
- 1. Gestión de Continuidad de Negocio Introducción, beneficios y recomendaciones David Solís dsolis@apache.org
- 2. 2 Resumen En primer lugar se presentan conceptos de la Gestión de Continuidad de Negocio. A continuación se muestran las ventajas de adopción de un esquema de continuidad de negocio. Asimismo se muestra una relación con iniciativas actuales en la industria financiera y por último se propone una serie de recomendaciones.
- 3. 3 Los Nuevos Desastres “Naturales”
- 4. Debido a una cuestión técnica (un problema de software o hardware) se suspendió la negociación de las 11:32 AM a las 3:10 PM NYSE - 8 de Julio de 2015 4
- 5. Un problema con un ruteador degradó la conectividad de la red causando una interrupción operativa de las 7:50 a las 10:00 AM United Airlines - 8 de Julio de 2015 5
- 7. Definiciones 7 Gestión de Continuidad de Negocio (BCM) Es el desarrollo, implementación y el mantenimiento de políticas, estrategias y programas para ayudar a una entidad a manejar un evento de interrupción de las funciones y procesos de misión crítica, así como para aumentar su resiliencia. Es la capacidad que ayuda en la prevención, preparación, respuesta, gestión y recuperación de los i m p a c t o s d e u n e v e n t o d e interrupción del negocio. Continuidad de TI Capacidad de la organización para planear y responder a incidentes e interrupciones con el fin de continuar con los servicios de TI a un nivel predefinido aceptable
- 8. Definiciones 8 Plan de Continuidad de Negocio (BCP) C o l e c c i ó n d o c u m e n t a d a d e procedimientos e información que se desarrolla, recopila y mantiene para ser usados cuando ocurra un i n c i d e n t e y p e r m i t a a u n a organización seguir ofreciendo sus actividades críticas a un nivel predefinido aceptable Plan Recuperación de Desastres de TI (DRP) Actividades y programas que son realizadas en respuesta a una interrupción y están destinadas a restablecer los servicios de TI de una organización
- 9. Definiciones 9 Función Crítica del Negocio Una función vital sin la que no sea posible operar o llevar a cabo funciones clave. Si se interrumpe, puede haber pérdidas financieras, resultado de la reputación o imagen negativa, incumplimiento de un requerimiento legal o regulatorio Análisis de Impacto al Negocio (BIA) El proceso utilizado para identificar las funciones críticas del negocio y para determinar el período máximo aceptable de interrupción (MAO) para cada función identificada. Evento Disruptivo Cualquier evento que causa una interrupción significativa (instalaciones / infraestructura, TI, falta inusual de disponibilidad del personal o cualquier combinación de los anteriores) en la prestación de los servicios Interrupción Máxima Aceptable (Interrupción / MAO) Plazo máximo de tiempo que una función crítica para el negocio puede ser interrumpida antes de que el impacto sea inaceptable
- 10. Escenarios para un DRP 10
- 11. Escenarios para un DRP 11
- 13. 13 Esquemas de Backup Sincronización en línea Diferencial Incremental
- 14. 14 Contexto del DRP y BCP
- 15. 15 Ciclo Continuo Fuente: ISO 22301
- 16. 15 Ciclo Continuo Fuente: ISO 22301
- 17. 16 Enfoque
- 18. Beneficios del BCP 100% Antes Recuperación Curva actual de recuperación prevista Tiempo GradodeOperación Evento disruptivo Después (Tiempo inicial de respuesta y tiempo de respuesta de continuidad de negocio)
- 19. Beneficios del BCP Objetivo 100% Antes Objetivo Máximo tiempo permitido Nivel mínimo permitido Recuperación Curva actual de recuperación prevista Tiempo GradodeOperación Evento disruptivo Después (Tiempo inicial de respuesta y tiempo de respuesta de continuidad de negocio)
- 20. Beneficios del BCP Objetivo 100% Antes Después (Tiempo inicial de respuesta y tiempo de respuesta de continuidad de negocio) Objetivo Máximo tiempo permitido Nivel mínimo permitido Recuperación Curva actual de recuperación prevista Curva recuperación prevista después de implementar BCP Tiempo GradodeOperación Continuar la operación sobre el nivel más bajo permitido Recuperar el grado de operación dentro del tiempo permitido Evento disruptivo
- 21. Relación con Otras Iniciativas 18 ITSM & Seguridad ITIL - Diseño de Servicios - Gestión de la Continuidad de Servicios de TI ISO 20000 - Contingencia de Servicios y Gestion de Disponibilidad ISO 27001 - Gestión de la Continuidad de Negocio Lineamientos de Banco Central de Continuidad de Negocio Operación en Sitio Alterno Operación en Servidor Alterno Operación en Red Protegida Operación con Método Alterno PFMI (CPMI & IOSCO) - Principio 17 - Riesgo Operativo Contar con un marco robusto de gestión de riesgo operacional: funciones y responsabilidades, políticas, procedimientos y controles para identificar, controlar y gestionar riesgos. Los sistemas, políticas, procedimientos y controles deben ser revisados, auditados, y probados periódicamente y después de cambios significativos. Asegurar de tener la capacidad escalable adecuada para manejar volúmenes crecientes y para lograr los objetivos de nivel de servicio. Contar con un plan de continuidad de negocio que considere los eventos que presentan un riesgo significativo de interrumpir las operaciones, incluidos los eventos que podrían causar una interrupción importante. Contar con políticas integrales de seguridad física y de información que contemplen todas las vulnerabilidades y amenazas potenciales. Identificar, controlar y gestionar los riesgos de que los participantes clave, otras infraestructuras y proveedores de servicios y de servicios públicos podrían representar para sus operaciones.
- 22. 19 Recomendaciones ‣ Definir e implementar un BIA • Roles y responsabilidades • Orientación a riesgos • Prioridades de recuperación ‣ Definir e implementar un BCP • Incluir todos los escenarios posibles • Análisis punta a punta de escenarios ‣ Implementar Gestión de Crisis ‣ Definir e implementar un DRP ‣ Revisión de mecanismos de alta disponibilidad (hardware y software)
- 23. 20 Recomendaciones ‣ Revisar la Gestión de Servicios de TI ‣ Implementar una Gestión integral de Riesgo Operativo • Cumplimiento del P17 de CPSS - IOSCO ‣ Adopción de un modelo de Gobierno de TI ‣ Adopción de estándares • ISO 22301 • ISO 31000 ‣ Adopción de un modelo de madurez • CMMI • ISO 15504
- 24. Discusión