1
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
Lic. Roberto Langdon• Lic. en Sistemas y MBA en Marketing Management USAL – State University of New York – Albany, USA
• CPCI CABA Comisión Directiva – MP 573 •Presidente & CEO - 2MINDS Servicios Informáticos SRL•Profesor de Seguridad Informática en la Universidad del CEMA
Noviembre 2007
Plan de Continuidad de Negocios yRecuperación ante Desastres de IT
• Director de la Comisión de Calidad y Standards del CPCI• Miembro de la Comisión de Seguridad del CPCI• Miembro de ASIAr• Miembro del subcomité de Calidad de IT de IRAM • Miembro del subcomité de Seguridad de IT de IRAM
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
Agenda•Introducción – Riesgos
•Conceptos de BCP y DRS
•La necesidad de un BCP
•Definición de Plan de Contingencia
•Etapas en un BCP
•Metodología de Diseño de Plan de Contingencia
•Tipos de Sites para DRS
•Servicios de Data Centers (propios o Outsourcing)
•Beneficios
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
1. Los Standards nos ayudan a verificar las áreas y responsabilidades a cubrir
Qué dicen los standards
Cumplimiento de Regulaciones
ISO 27002(ex – 17799)
Políticas de Seguridad
Gerenciamientode Continuidad
de Negocios
Desarrollo yMantenimiento
de Sistemas
Control de Accesos
Gerenciamientode Comunicaciones
y Operaciones
Organizaciónde Seguridad
Clasificación y Control de
Activos
Seguridaddel Personal
SeguridadFísica y
Ambiental
INTEGRIDAD CONFIDENCIALIDAD
DISPONIBILIDAD
ITIL
ISO 20000
COBIT
2
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
Riesgos
DESAST
RES N
ATURALE
S
Y MET
EOROLO
GICOS
DESAST
RES O
RIGINADOS
POR EL
HOMBRE
TODAS LAS EMPRESAS ESTAN EXPUESTAS
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
Riesgos
Existen empresas que minimizan o ignoran sus riesgos
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
Probabilidad de impacto al negocioü De cinco empresas que experimentaron un desastre o fallo extendido
Y Dos de ellas nunca reanudaron su operación
Y De las tres remanentes, una de ellas cerró en los siguientes dos años.
ü 94% de las empresas sin BCP, cerraron sus operaciones después de un desastre con duración de más de dos semanas.
Fuente: Gartner Group / Texas University
3
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
Algunos índices de vulnerabilidad
ü Una de cada cinco compañías ha experimentado algún tipo desastre en los últimos cinco años.
ü20% de las Compañías tienen un RTO (Recovery Time Objective) entre 4 y 24 hrs
üLos consumidores han aumentado sus exigencias y se han recortado las “ventanas” de recuperación.
ü Se presenta una gran centralización de operaciones.
ü El cyberterrorismo es un enemigo creciente
Fuente: Sungard / Bell South USA
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
BCP – Plan de Contingencia – DRSConceptos
DESAFIO
Proveer continuidad de las actividades de procesos informáticos críticos de una organización ante la ocurrencia de desastres naturales o humanos
BCP (Business Continuity Plan)
Plan para recuperar la continuidad de operaciones y de negocios, ante la ocurrencia imprevista de desastres naturales o humanos. Su contenido incluye al DRP (Disaster Recovery Plan) de Sistemas, y su producto es el Plan de Contingencia.
DRS (Disaster Recovery Service)Servicio de implementación del BCP, en base a la definición del Plan de Contingencia definido por el Cliente, con servicios de infraestructura alternativa a su Centro de Procesamiento de Datos
Plan de Contingencia
Especificaciones de recuperación de las aplicaciones de misión crítica, procedimientos, tecnología y su operación.
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
Necesidad de un BCP
Identificar sus actividades críticas, entender la tecnología que las soporta y las amenazas a su funcionamiento, y aislarlos del peligro o preparar a la organización para el restablecimiento rápido y eficiente de estas actividades.
•Minimizar daños y pérdidas inmediatas
•Asegurar la continuación de servicios y procesos críticos
•Asegurar adecuadamente el restablecimiento de servicios y procesos críticos
4
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
Estados del BCP
• Prevenir• Acciones dirigidas a disminuir la posibilidad y/o el
impacto del incidente. Objetivo primordial: proteger el patrimonio y controlar y minimizar el costo del riesgo.
• Responder• Es la reacción que evalúa el daño y define las
acciones requeridas dirigidas a asegurar la vida, y los procesos y procedimientos a seguir luego del incidente
• Reanudar• Son las acciones dirigidas a reanudar inmediatamente
las operaciones más sensibles al tiempo• Recuperar
• Son las acciones dirigidas a reanudar inmediatamente las operaciones menos sensibles al tiempo
• Restaurar• Acciones dirigidas a restaurar las operaciones
normales en un sitio principal tal como estaban antes del incidente
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
Porqué usar una Metodología?
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
La metodología es una guía para lograr las siguientes 5 Metas:
1. Definir de los objetivos del BCP
2. Obtener y mantener el respaldo de la alta gerencia
3. Identificar y cuantificar el impacto en el negocio
4. Asignar los recursos y el tiempo necesario para construir el
plan
5. Probar, mantener y actualizar permanentemente el BCP
Por qué usar una metodología?
5
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
• Minimizar las interrupciones del servicio
• Reanudar las operaciones críticas en un tiempo específico
después del incidente
• Minimizar las pérdidas financieras
• Asegurar a los clientes que sus intereses están protegidos
• Limitar la severidad de cualquier incidente
• Agilizar la restauración de todos los servicios
• Concientizar a todos los niveles de la organización de las
implicaciones de un desastre sobre los servicios
• Mantener en el mercado una imagen pública positiva
Meta 1. Definir los Objetivos
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
ü Validar los objetivos del BCP
ü Presentar en forma ordenada los componentes o áreas del BCP
ü Validar las prioridades y la sensibilidad en el tiempo
ü Identificar los recursos y sus responsabilidades
ü Cuantificar el costo del riesgo
Meta 2. Lograr el apoyo de la alta Gerencia
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
Ø Impacto FinancieroØ Pérdidas en las ventas
Ø Penalizaciones / Multas contractuales
Ø Pérdidas en la competitividad / descuentos
Ø Impacto OperacionalØ Imagen pública negativa
Ø Pérdida de la confianza de los inversionistas
Ø Moral de los empleados
Ø Gastos extraordinariosØ Alquiler temporal de equipos o instalaciones
Ø Traslado de equipos y suministros
Ø Reconstrucción de los sistemas
Meta 3. Medir el impacto en el negocio
6
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
ü Documentar el BCP en forma clara y sencilla
ü Asegurar que el BCP va más allá que el manejo del incidente y la respuesta a la emergencia
ü Asegurar los recursos de los proveedores en tiempo y lugar
ü Establecer las listas de notificación y escalamiento
ü Definir los procedimientos de recuperación de las comunicaciones (voz+datos) y los sistemas de información
ü Contemplar la posiblidad de no poder ingresar a las instalaciones (contaminación, investigación forense, fallas estructurales, etc)
ü Determinar los parámetros para declarar un desastre y aplicar el BCP
ü Definir el organigrama de autorizaciones para control y contabilidad de los costos en la recuperación
Meta 4. Construir el Plan
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
ü Determinar la ubicación del centro de comando y sus
procedimientos de seguridad y acceso
ü Identificar la ubicación de las áreas “estratégicas” de soporte /
staff / administrativas (por ingresos o por criticidad)
ü Asegurar que todas las ubicaciones pre/definidas estarán
disponibles en caso de un desastre propio o un desastre comunitario
ü Determinar las acciones para reanudar las ventas y el “service-
delivery”
ü Definir el plan de comunicaciones positivo a clientes, empleados y
comunidad sobre los avances de la recuperación
ü Identificar los “recovery teams” y sus tareas
ü ....
Meta 4. Construir del Plan (cont.)
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
• La información contenida en un BCP debe ser un
documento vivo y de fácil acceso por toda la organización
• El plan debe probarse y evaluarse para optimizar:
• Cumplimiento de objetivos
• Recursos y costos
• Tiempos de ejecución
• Inconsistencias por cambios en la organización
• Procedimientos internos y con proveedores
Meta 5. Probar y mantener el BCP
7
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
Metodología BCP
Recopilación de técnicas y metodologías de Consultoras y del DRII
(Disaster Recovery International Institute) www.drii.org
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
Metodología de un BCP
PRE-PLANEAMIENTO
1.1 Iniciación del proyecto y gerenciamiento del mismo1.2 Evaluación del riesgo y controles a implantar1.3 Business Impact Analysis (BIA - Análisis de Impacto al Negocio)
PLANEAMIENTO1.4 Diseñando estrategias para la continuidad del negocio.1.5 Respuesta a la emergencia y operaciones1.6 Desarrollando e implantando el Business Continuity Plan (BCP)
POST-PLANEAMIENTO1.7 Programas de difusión y entrenamiento1.8 Mantenimiento y pruebas del BCP1.9 Relaciones públicas y manejo de la crisis1.10 Coordinación con autoridades públicas
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
FASES DE UN BCP
Fase I Fase II Fase III Fase IV Fase V
Análisis de Amenazas
Análisis de Interrupción
Determinación de Procesos Informáticos
Críticos
Definir Estrategia
deRecupero
AdecuarEstrategia
deRecupero
Definir Procesos
deRecupero
Determinar Factibilidad
Finalizar Estrategia de Recuperación
AdquirirRecursos
Documentar
Prueba
Training
Mantenimiento
CONSULTORIA DATA CENTER
8
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
FASES DE UN BCPFASE I: Análisis de Impacto
Cuales son las actividades claves de su negocio ?
Qué procesos informáticos dan apoyo para esas actividades ? (aplicaciones de misión crítica)
- Qué correlación tienen con el resto de los procesos ? (suben de categoría ?)
Cuales son las amenazas claves de su negocio ?
Cual es el impacto económico por interrupción de su negocio ?
- Cuánto tiempo soporta interrumpido- Impacto Directo- Impacto Indirecto o posterior en tiempo (intangibles)
Análisis de Amenazas
Análisis de Interrupción
Determinación de Procesos Informáticos
Críticos
Fase I
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
FASES DE UN BCPFASE I: No existe el modelo único
0,5 1 3 7 10
Imp
acto
de
salid
a d
e fu
nci
on
amie
nto
Días
Análisis de estrategias y balance óptimo Las 3 preguntas anteriores proveerán la base para determinar el DRP
Alto
Bajo
?
Duración de salida de funcionamiento
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
FASES DE UN BCPFASE II: Estrategia de Recupero
Cómo se levantará y seguirá su negocio después de una interrupción ?
Cómo se logrará el consenso dentro de la organización para viabilizar y simplificar el proceso de recuperación ?
La estrategia de recuperación determina los requerimientos en detalle para asegurar que las operaciones críticas puedan ser mantenidas.
Luego de identificarse las alternativas específicas de recuperación, se determinan sus costos y se evalúa su factibilidad y necesidad (justificación).
Fase II
Definir Estrategia
deRecupero
Definir Procesos
deRecupero
AdecuarEstrategia
deRecupero
Determinar Factibilidad
9
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
FASES DE UN BCPFASE II: Tipos de Sitios de Contingencia
TIEMPO
Niv
el a
cep
tab
le d
el im
pac
to
Duración de laInterrupción
Duplicar
HOT SITE
WARMSITE
Equipos y Recursos Internos y de Proveedores
Equipos y Recursos In-house
COLDSITE
RelocalizaciónRecuperación
Reconstrucción
Estrategias alternativas de continuidad y recuperoBasado en tiempos máximos aceptables de duración de la interrupción de servicio
SERVICIOS DEDATA CENTER
Outsourcing
Equipos y Recursos externos
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
FASES DE UN BCPFASE III: Finalizar Estrategia de Recuperación
Determinar el esfuerzo e impacto en el plan de recuperación
Etapa crítica donde se debe lograr el consenso y la aprobación de la gerencia para seguir adelante
En esta fase se identifican y desarrollan arreglos específicos de recuperación de la organización, incluyendo actividades requeridas para trasladar procesos / operaciones / recursos.
Fase III
Finalizar Estrategia de Recuperación
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
FASES DE UN BCPFASE IV: Documentación del Plan
Cómo funcionará el negocio durante la pérdida de operaciones normales ?
En esta fase se proveerá el desarrollo de una alternativa para “operar en contingencia”, basada en las estrategias de recuperación definidas previamente.
Asimismo se identifican los procedimientos para retornar a la operación normal partiendo de la contingencia, una vez normalizada la situación.
Procedimientos desarrollados:•Actividades requeridas durante un outage inesperado•Instrucciones para restablecer operaciones•Procedimientos para eliminar backlogs•Cualquier cambio del ambiente normal de operaciones
Fase IV
AdquirirRecursos
Documentar
10
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
FASES DE UN BCPFASE V: Prueba, entrenamiento y mantenimiento
Continuará funcionando realmente la organización durante la “recuperación viable” que ha sido planeada?
Pruebas de escritorio y simulaciones
Actualización del Plan por cambios tecnológicos y/o de negocios
Auditoría del plan en régimen, con evaluación de documentación y de procedimientos
Simulacros de “take-over” periódicos (cada 6 u 8 meses)
Fase V
Prueba
Training
Mantenimiento
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
Evaluación del sitio de recuperación
Fase 1 = determinación del TCO para una solución in-house TCO: Total Cost of Ownership
Conocer los costos totales de propiedad de todas las solucionesinformáticas (infraestructura + hardware + software + servicios)
Fase 2 = comparación con la propuesta de un sitio de ContingenciaEn Data Center propio (en caso de disponerlo sin inversión)En Data Center Outsourcing en un Service Provider
Cómo comenzar la evaluación de necesidad de DRS
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
BCP – TIPS Puntos a considerar•Riesgos de interrupción de operaciones informáticas (Alto/Medio/Bajo)
•Por ubicación geográfica
•Por tipo de negocio
•Sitio alternativo existente in-house, off-site o inexistente
•Alto riesgo de pérdida de información (storage) (Alto/Medio/Bajo)
•Backup: ventana de tiempo, frecuencia, tipo y volumen, política de cintas
vitales off-site
•Servicios DRS es mandatorio por tipo de industria o segmento de mercado?
•La operación es centralizada o distribuída, o ambas ?
•Los servers a respaldar están en Cluster ?
•Se ha hecho consolidación de servidores ? Es ventajoso hacerlo ahora?
•Plataforma de aplicaciones críticas
•Se dispone de vínculos de ancho de banda suficiente ?
11
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
Topología
Centro de Cómputos
Cliente
Conectividad de Banda Ancha
HOT SITE
WARM SITE
COLD SITE
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
BCP / DRS (SITE DE CONTINGENCIA o ALTERNATIVO)- HOT SITE (recursos on-line en paralelo, servers dedicados, discos on-line)
- WARM SITE (recursos off-line, servers no exclusivos y backup en discos)- COLD SITE (recursos off-line, con restauración de backups en cartuchos)
STORAGE UTILITY SERVICES- STORAGE ON DEMAND (RAID0, RAID1, RAID5)- LOCAL & REMOTE BACKUP (COLD, HOT, diversas frecuencias)- REMOTE STORAGE REPLICATION (local o regional)
- REMOTE AVAILABILITY GLOBAL CLUSTERING- REMOTE PCs/ Notebooks BACKUP- VAULTING de medios magnéticos
SERVICIOS DE SEGURIDAD (local y remota)
SERVICIOS DE TELECOMUNICACIONES
SERVICIOS DE GESTION DE WORKSTATIONS (+telefonía e Internet) - WorkArea Recovery
SERVICIOS DE DATA CENTER
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
WAN
CLUSTER
ALTA DISPONIBILIDAD
CLUSTER
Clusters y Alta Disponibilidad
CLUSTER: Nodos independientes que cooperan con el procesamiento. Pueden ser un equipo de varios procesadores o varios equipos.
ALTA DISPONIBILIDAD: Nodos independientes que verifican y aseguran la continuidad de procesamiento. Generalmente uno está activo y el otro en stand-by. Suelen ser dos o más equipos.
12
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
BCP - DRSBeneficios•Garantizar continuidad de negocios (Business Continuity Plan)
•Disponibilidad de volúmenes de data storage necesarios• Complementarios a los existentes (en outsourcing) SToD• Archiving de E-Mails• Procesos de backup remotos o locales• Archiving de imágenes de Video-Vigilancia• Archiving de Digitalización de Documentos
•Ofrecimiento de capacidad reservada u operativa
• Recursos en modo stand-by (warm site o cold site)
• Recursos en operación (hot sites)
•Beneficios en costos por la economía de escala en la infraestructura
del Data Center Service Provider (TCO)
Copyright 2MINDS Servicios Informáticos SRL – 2007 – Todos los derechos reservados
Muchas gracias por su atención !
Lic. Roberto Langdon2MINDS Servicios Informáticos [email protected]
http: //[email protected]: (011) 5218-5080 /5081
PREGUNTAS ?
BAJE ESTA PRESENTACION ENhttp://www.2mindsarg.com.ar/Seminarios/CPCI_BCP.zip
Business Continuity Plan y Disaster Recovery Services