estrategias de continuidad tecnológica. ¿qué hemos aprendido

Estrategias de continuidad Tecnológica. ¿Qué hemos aprendido?Sandra Patricia Camacho Bonilla, M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008ISO 27001:2005 e ISO 9001:2008

Nadie duda de la importancia de las estrategias de continuidad tecnológica, sin embargo, día a día se experimentan pérdidas de ti id d i t l i i bi f ll i lcontinuidad que impactan a las organizaciones bien por fallas parciales o

totales. Así las cosas, la presentación busca recapitular los diferentes momentos de esta práctica y ver qué podemos seguir avanzando de cara

al reto de un mundo más interconectado y dependiente de las y ptecnologías de información

Continuidad TecnológicaContinuidad Tecnológica

Contenido• IntroducciónIntroducción

• Evolución - Metodologías y mejores prácticasg y j p

• Caso – Banco de la República

• Recomendaciones y factores claves

• Preguntas

Introducción

I t i l i ióImportancia en la organización

• Cada vez más la operación del negocio reposa sobre tecnología

• Los tiempos “de no disponibilidad” de un servicio impactan cada vez más transversalmente

Clave Identificar lo qué es lo importante para la organización?q p p gDatos y procesamiento

Cli t / iProcesos críticosOperación del negocio

Procesos “core” Cadena valor

P d

Clientes/usuariosAdquirir y mantener la lealtad y confianza del

clienteProcesos de apoyo cliente






• Preguntas

Continuidad del Negocio – Continuidad Tecnológica

Eventos que han marcado su desarrolloAvances tecnológicos

virtualización, cloud‐computing, balanceo, mayores velocidades,

Circular 052

Voz ip, granjas de servidores, etc.

GTC 176

ITIL v3ITIL v2

ISO-2700x BS-25777BS-25999

Y2K 9-11BS 17799-x

1988 1995 2000 2001 2005 2007 2008 2010

Continuidad del Negocio

BS 25999 / DRIIBS‐25999 / DRIIDisaster Recovery Institute International

Y

Continuidad de TecnologíaBS‐25777 / BRCCIBusiness Resilience

Certification ConsortiumInternational

Continuidad del negocioContinuidad del negocio

• “Conjunto de políticas y procedimientos usados para minimizar el impacto de los eventos negativos para la operación normal del negocio, manteniéndose las pérdidas operativas y financieras en un nivel aceptable ”operativas y financieras en un nivel aceptable.

• Objetivo Business Resilience / flexibilidadj

Definición tomada de: “BRCCI - Business Resilience ertification Consortium International”

Business resilience & Business continuity

Mi ió

Valor para“stake-holders”Proteger e

Incrementar valorBusiness resilience / flexibilidad

* Capacidad para ajustarse rápidamente * Transformación del negocio en respuesta a cualquier

Misión y objetivos

Estrategia del negocio

Transformación del negocio en respuesta a cualquiercambio anticipado o no anticipado

* Prevención y mitigación de las amenazas* Capturar oportunidades, crear posición competitiva y

aumentar el valor para los involucrados.Políticas y

procedimientos

Organización y personalBusiness Continuity

p

Procesos del negocio

Información y tecnología

Business Continuity

Disaster Recovery IT

Instalaciones


Disaster Recovery

Desastre tecnológicog

• Qué es un desastre en tecnología?“Evento de interrupción que causa que los sistemas o servicios

tecnológicos no estén disponibles por un periodo de tiempo en el cual las pérdidas operacionales o financieras para la

organización son inaceptables.”

• Pérdidas operacionales imagen, confianza, relaciones, cumplimiento, flujo de caja

• Pérdidas financieras penalizaciones, sobrecostos, costo de renta de equipos, pérdida de ventas


Recuperación de Desastres de tecnologíaRecuperación de Desastres de tecnología

• “Conjunto de políticas y procedimientos usados por las área de tecnología para recuperarse de los impactos de eventos negativos para las operaciones de tecnología dentro de los marcos de tiempo acordados ”marcos de tiempo acordados.

• Rol de tecnología como proveedor del serviciog p

• Acuerdos de servicio

• Costos por las pérdidas de los servicios de tecnología


Recuperación de desastres de tecnologíaecupe ac ó de desast es de tec o og a

• Objetivos

• Cumplir con las prioridades de recuperación de acuerdo al momento del “negocio” en que se presentag q p

• Cumplir con los tiempos esperados de recuperación (R.T.O.)

• Cumplir con el punto esperado de recuperación de i f ió (R PO )información (R.P.O.)

Recuperación de desastres de tecnologíaRecuperación de desastres de tecnología

• Cómo lograrlo

• Directrices claras Políticas, estándares

• Procedimientos Viables, completos, verificados

• Equipos roles definidos, entrenados y probados

• Recursos Financieros, humanos, técnicos y tecnológicos etctecnológicos, etc.

Estándares BS25‐999 y BS 25‐777

Understanting Understanting

Embedding continuity management

BCM DeterminingBCM

UnderstantingThe organization

ExercisingICT

continuityDeterminingICT ti it

The ICT continuityrequirements

Exercisingprogrammemanagement

BCMStrategy

Exercising,Maintaining& reviewing

Developing and

continuityprogrammemanagement

ICT continuityStrategy

Exercising,Maintaining& reviewing

Developing andI l ti

Developing andImplementing

BCM response

ImplementingICT continuity

strategies

In the organization’s cultureDRIIDisaster Recovery

BRCCIBusiness ResilienceDisaster Recovery

InstituteInternational

Business ResilienceCertification Consortium

International

Comparación “Continuidad del Negocio”

Disaster Recovery Institute (1988) BS – 25999 (2008)

Inicio y administración del proyecto Gestión del programa BCM

DRII vs BS‐25999

Evaluación y análisis de riesgos Entender la organización

Análisis de impacto al negocio

Desarrollo de estrategias BC/DR Determinar la estrategia de Continuidad (*)g g ( )

Preparación y respuesta de emergencia Desarrollar e implementar una respuesta BCM

Programas de concientización y capacitación Embeber BCM en la cultura de la organización

M t i i t t li ió d l Ej it t d i l dMantenimiento y actualización de planes Ejercitar, mantener and revisar los acuerdos BCM

Comunicación de crisis Determinar las estrategias de continuidad “Stakeholders” (*)

Coordinación con autoridades externas Determinar las estrategias de continuidad (emergencias civiles) (*)

Comparación “Continuidad de TI”

BRCCI (Business ResilienceCertification Consortium

BS – 25777 (2008)

BRCCI vs BS‐25777

Certification ConsortiumInternational )

Identificar los sistemas y su uso Programa de continuidad de ITCEntender la organizaciónIdentificar BIA RTO y RPO gIdentificar BIA, RTO y RPO

Determinar estrategias de recuperación Desarrollar e implementar estrategias de recuperaciónIdentificar equipos de recuperación de TI

Responsabilidades de los equipos de RDTI

Desarrollar procedimientos de RDTI

Entrenamiento del equipo de RDTI Ejercitar y probar

Mantenimiento del plan Mantenimiento, revisión y mejora

RDTI = Recuperación de Desastres de TI

Ot tá d l ti id dOtros estándares que apoyan la continuidad

BS 25999 / DRI Programa de continuidad

BS 25777 / CBRIT

BS 25999 / DRI

Buenas prácticas en IT DR

Programa de continuidad del negocio

BS 25777 / CBRIT

COBIT, ITIL, ISO 20000, ISO 27001 Buenas prácticas en tecnología

Buenas prácticas en IT DR

ISO 9001 Procesos

Método da foco y estandariza los protocolos para brindar efectividad y eficiencia en la recuperación y reanudación del servicio


Perspectiva desde ITIL versión 3

C l i ióConocer la organización

Gestión de la demanda, del portafolio y del catálogo, SLAs, requerimientos

Prevención

Gestión de disponibilidad, eventos, cambios, liberaciones e implementación , activos y

configuración seguridad y acceso capacidadconfiguración, seguridad y acceso, capacidad,

Acción

Gestión de eventos, incidentes, problemas, disponibilidad y continuidad, proveedores,

Continuidad Tecnológica g

Contenido• Introducción

• Evolución - Metodologías y mejores prácticas

• Caso – Banco de la República• Evolución• Planeación• Planeación• Acción


Evolucióno uc óBanco de la República

1996 Acciones alternas para fallas en el servicio DCV e inicios de un nodo alterno local (hotsite) con salas para las áreas operativas

1997 Investigación de mejores prácticas en el mercado (D R I I )1997 Investigación de mejores prácticas en el mercado (D.R.I.I.)1998 Aplicación de DRI a los servicios y áreas de misión crítica, construcción de BCPs1999 Enfoque para preparación para el Y2K

2001 Conformación de área específica para trabajar en continuidad

2002-2005 Desarrollo nodo alterno tecnológico remoto (Barranquilla)

2006 Conformación del Programa de continuidad del negocio externa a InformáticaCertificación ISO 27001 para seguridad informática

2007 Complemento con BS – 25999

2008 Complemento con BS - 25777

2009 Evolución tecnológica clusters, virtualización, balanceos, granjas de servidores, replicación, sincronización

2010 Evolución en las pruebas de contingencia para autonomía de los nodos local y remoto

Estrategias de continuidad Tecnológica

Caso Banco de la RepúblicapPlaneación

Sandra Patricia Camacho BonillaM.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008

[email protected]

Pl ió l ti id d t ló iPlaneación para la continuidad tecnológicaBanco de la República

0. Programa de continuidad tecnológica (apoyo, políticas, gerencia)0. Programa de continuidad tecnológica (apoyo, políticas, gerencia)

1. Conocer la organización

2. Desarrollar e implementar estrategias de recuperaciónBS 25-777

3. Ejercitar y probar

4. Mantenimiento, revisión y mejora ICT continuityprogramm

DeterminingICT continuity

UnderstantingThe ICT continuity

requirements

Exercising,M i t i i e

management

StrategyMaintaining& reviewing

Developing andImplementingICT continuity

strategies

0 Programa de continuidad tecnológica0. Programa de continuidad tecnológicaBanco de la República

• Apoyo de la gerencia

• Gerencia del proyecto

• Políticas

• Programas de concientización

• Certificaciones

ISO-9001 e 27001

1 Conocer y entender la organización1. Conocer y entender la organizaciónBanco de la República

A. Identificar las funciones operativas de la organización y procesos críticos

1. Banco de Bancos1. Banco de Bancos2. Prestamista de última Instancia3. Emisión de moneda legal 4. Promotor del desarrollo científico, cultural y social 5 Ad i i t ió d i t i l5. Administración de reservas internacionales6. Funciones cambiarias y de crédito7. Banquero, agente fiscal y fideicomiso del gobierno8. Informe de la Junta Directiva al Congreso de la Repúblicag p

Operación del negocio

Tecnología

1. Conocer y entender la organizacióny gBanco de la República

B. Conocer los servicios de TI y que proceso de negocio apoyan

• Servicios tecnológicos de misión crítica• Operación bancaria (DCV, CUD, SEN, CEDEC, CENIT, SWIFT, OPICS, etc.)• Industrial y tesorería (MASTER, SMV, SAP, etc.)• Cultural (BLAA, Museo, etc.)• Estudios económicos (Serankua, SISEC, publicación de tasas, etc.)( , , p , )• Reservas Internacionales

• Servicios tecnológicos de uso general• Correo, FS, red, voz ip, web BR, internet, etc.

S i i t ló i d i i t ti• Servicios tecnológicos administrativos• RH, Contaduría, Cartera, SM, etc.

• Servicios de plataforma informática• SEBRA, PKI, SOA, WAN, LAN, etc.

1. Conocer y entender la organizaciónBanco de la República

C. Definir las expectativas

• Definir acuerdos de servicio

• Análisis de riesgosAnálisis de riesgos

• Análisis de impacto para el negocio (BIA)

• Gestión de la demanda (horarios críticos)Gestión de la demanda (horarios críticos)

• RTO y RPO

Proceso BIA

Determinar Impactos Cuantitativos y Cualitativos Priorización RTOIdentificar Funciones

Criticas Cuantitativos y CualitativosCriticas

•INTERFACES

•USUARIOS

•PÉRDIDA FINANCIERA $$$

•PÉRDIDA INTANGIBLE

•ESTABLECER PRIORIDADES

•DESARROLLAR ESTRATEGIAS•USUARIOS

•TIEMPOS CRITICOS

•PÉRDIDA INTANGIBLE •DESARROLLAR ESTRATEGIAS

•¿CUÁNDO ES INTERRUPCIÓN

Y CUÁNDO DESASTRE?Y CUÁNDO DESASTRE?

Método

Análisis de riesgos ESCENARIOS DE FALLA Y SU PROBABILIDAD

Identificar vulnerabilidades y amenazas para implantar controles de disminución de probabilidad y estrategias de mitigación del impacto

BASILEA, SEI‐OCTAVE, NIST, ISO 27001

ÓBIA PRIORIZACIÓNPriorización de procesos del negocio Priorización de servicios de tecnología Niveles de continuidad (tier), RTOs/RPOs/RTADi ñ t t i iti ió d l iDiseñar estrategias para mitigación del riesgoAnálisis costo-beneficioMetodología DRI

2. Estrategias de recuperaciónBanco de la República

A. Definición de los recursos tecnológicos

• Determinar estrategias de recuperación Adquisiciones basadas en costo beneficio identificado con el BIAcosto-beneficio identificado con el BIA

• Identificar equipos de recuperación y responsabilidades para la ejecución de los procedimientos RACI, esquemas de notificación, funciones de grupos de trabajo, entrenamiento, conocimiento, etc.

• Desarrollar procedimientos de recuperación basado en las tecnologías disponibles y evaluar la viabilidad de optimizar los RTOstecnologías disponibles y evaluar la viabilidad de optimizar los RTOsy RPOs con nueva tecnología en caso de requerirse

2 Estrategias de recuperación2. Estrategias de recuperaciónBanco de la República

• Determinar estrategias de recuperación netamente técnicas g pTecnologías disponibles en el banco: Cluster, discos SAN, NAS, balanceo, virtualización, granja de servidores, “hosting” externo, nodos externos local y remoto.

• Estrategias con las áreas usuarias Acuerdos con otras entidades o áreas, mini-aplicativos, accesos alternativos, proceso alternativo, desarrollos complementariosp

Estrategias

• Sitios alternos (vendedores comerciales, acuerdos recíprocos con otras compañías, sitios remotos propios)• Hot site• Hot site• Cold site• Warm site• Mobile siteMobile site

• Opciones• Adquisición (pre-establecidos, pre-acordados, adquiridos

cuando se necesiten)• Área de trabajo alterna (Sitio de trabajo móvil, sitio de trabajo

fijo, “Home-office”)

Estrategias

• Almacenamiento• Datos críticos (frecuencia/ tipos/ método/ infraestructura para• Datos críticos (frecuencia/ tipos/ método/ infraestructura para

los backup, acuerdos de recuperación, agenda de retención, infraestructura)

• Copia en cintas/CD, Sincronización y ReplicaciónCopia en cintas/CD, Sincronización y Replicación

• Comunicaciones de voz y datos• Conectividad• Ancho de banda y capacidad• Características (calidad, velocidad, etc.)• Requerimientos de seguridad

Estrategias de recuperación de TI

• TecnologíasTecnologías • Cluster• Virtualización• RAID• SAN• NAS• Deduplicación de datos• Replicación• Balanceo de cargas• Granja de servidores

“Clo d comp ting”• “Cloud-computing”

Alta disponibilidadAlta disponibilidad

• Característica de un sistema que asegura que estará disponible según la demanda de los usuarios (proteger contra las caídas y fallas de los componentes)

• Cumplir los acuerdos de servicio• Cumplir los acuerdos de servicio

• 99.9 %

• 99.99 %99.99 %

• 99.999 %

2 Estrategias de recuperación2. Estrategias de recuperaciónBanco de la República

B. Definición de responsabilidades y equipos de trabajop y q p jEquipo de recuperación del servicioEquipo de reanudación del servicioEquipo de notificaciónEquipo de logísticaEquipo de logísticaEquipo de soporte en los nodosGestión de Crisis

C t d C d

Comando tecnológico

Gestión de crisis

Centro de Comando

Equipo Reanudación

Equipo Logística

Equipo Planeación

Equipo Finanzas

3. Ejercitar y probar3. Ejercitar y probarBanco de la República

• Pruebas funcionales y operativas de las estrategiasPruebas funcionales y operativas de las estrategias• Son requeridas para aprobar un cambio en producción en algún componente

del servicio• Escenario Incidente del servicio

• Verificaciones de procedimientos de activación y retorno• Se realizan 2 veces al año (Marzo y Septiembre)• Escenario Emergencia tecnológica

• Ejercicios integrales del plan• Semestralmente junto con los planes de BCP (Junio y Diciembre)• Duración en contingencia 2 semanas• Escenario Desastre tecnológico/ catástrofe en instalacionesEscenario Desastre tecnológico/ catástrofe en instalaciones

3. Ejercitar y probarBanco de la República

4. Mantenimiento, revisión y mejora4. Mantenimiento, revisión y mejoraBanco de la República

• Políticas de mantenimiento Control de documentos y registros (ISO 9001)Políticas de mantenimiento Control de documentos y registros (ISO 9001)• Políticas de revisión Indicadores de gestión, auditorías internas (ISO 9001)• Políticas de mejora Seguimiento acciones correctivas y preventivas (ISO 9001)

Planeación para la continuidad tecnológicaB d l R úbliBanco de la República

0. Programa de continuidad tecnológica (apoyo, políticas, gerencia) PMP

1 C l i ió1. Conocer la organización• Identificar los sistemas y su uso Gestión de portafolio y catálogo ITIL• Identificar BIA y análisis de riesgos DRI e ISO 27001• RTO y RPO Gestión de acuerdos de servicio y de la demanda ITIL

2. Desarrollar e implementar estrategias de recuperación• Determinar estrategias de recuperación ISO 25777, BRCCI y “Estado del arte TI”• Identificar equipos de recuperación y responsabilidades DRI y PMP• Desarrollar procedimientos de recuperación de TI ISO 25777 y BRCCI

3. Ejercitar y probar DRI y ISO 25777, BRCCI• Verificaciones de procedimientos de act/ret, pruebas funcionales y operativas de la

estrategia y ejercicios integrales del plan

4. Mantenimiento, revisión y mejora ISO 9001• Medición, seguimiento, trazabilidad, acciones correctivas y preventivas enfocadas a la

mejora


Banco de la RepúblicapAcción

Sandra Patricia Camacho BonillaM.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008

[email protected]

Alertas

Verde – Normalidad

Amarilla – Contingencia

Naranja – Emergencia

Roja ‐ CrisisRoja Crisis

M j d l t t ló iManejo de alertas tecnológicas

• Gestión de continuidad Prevención de emergencias y desastres

• Atención de contingencia Atención de incidentes del serviciog

• Atención de emergencias Atención de desastres tecnológicos

• Gestión de crisis Catástrofes

0. Normalidad Servicios operando normalmente Prevención de eventos

1. Incidentes de impacto altoInterrupción de un servicio tecnológico crítico

Hw, Sw, Comm, BD, Apl, etc.

(correlación monitoreos, alertas)

2. Evacuación edificio o no acceso (Sin afectar las instalaciones físicas)

El RH de tecnología se ve obligado a salir y/o no ingresar al Edificio por un periodo de tiempo, pero las instalaciones físicas OK.

Intoxicación, emergencia sanitaria, terrorismo, etc.

3. Pérdida total CDC PPAL controlado(Apagado controlado y previsto)

No hay servicio del Centro de Cómputo PPAL no red ed PPAL

Amenaza de Red, Potencia o ambiente Inundación

4. Pérdida total CDC PPAL inesperado(Apagado abrupto e inesperado)

No hay servicio del Centro de Cómputo PPAL no red ed PPAL

Evento de falla en la Red, potencia, ambiente, inundación

Ni d l d d t ló i

(Apagado controlado y previsto) PPAL no red ed PPALambiente, Inundación

6. Desastre total Edificio PPAL Recurso humano e Instalaciones físicas afectadas del Ed PPALIncendio, explosión,

Temblor en el edificio

Interrupción en el suministro potencia, comunicaciones o

evento severo en los dos nodos

Ninguno de los dos nodos tecnológicos en Bogotá están operativos, afectándose tecnológicamente los servicios del BR

5. Desastre tecnológico Bogotá

Temblor en el edificioGran parte de Bogotá afectada, incluyendo tanto BR como gran parte de los clientes externos. El recurso humano pudo haber sido afectado.

Terremoto Bogotá 7. Catástrofe Bogotá

SubgerentesDirectores áreas

G tió d i i Subgerente SGINF

Centro de Comando Directores áreas

Toma de decisionesEjecución Agenda Tecnológica

Comando tecnológico Directora USCIE i d E i

Gestión de crisis Subgerente SGINFDirectores SGINF

Coordinación de comm. Internas y externas

Coordinación de la CrisisIntegración de notificaciones

Comando tecnológicoEquipos de EmergenciasCoordinación de comm. Internas y externas

Control de impactos en los negocios Evaluación de riesgos residuales

Gestión de recursos, preacuerdos, administración de accesos seguros claves etc

Equipo Reanudación Equipo LogísticaEquipo Planeación

(Impacto ITy Notificaciones)

Equipo Finanzas

E d i

Apoyo a la sala de operacionesCorreo contactos

Conmutación de servicios

accesos seguros, claves, etc.

Presupuesto y adquisicionesEn caso de requerirse,

gestiona las adquisiciones y el Presupuesto

de operacionesCorreo contactosSemáforos Srv.Centro soporte

de servicios adquisiciones

Gestión de continuidad

Correlación de eventos

Prevención de emergencias y desastresChequeos diarios

Monitoreos y alertas de servicios

Acuerdos de servicio

Gestión de continuidad Prevención de emergencias y desastres

• Gestión de eventos• Gestión de eventos

• Gestión de cambios en producción

• Medición, mejora y prevención Indicadores de gestión

• Gestión de problemas (reunión de problemas)

• Gestión de continuidad

Atención de contingencias INCIDENTESAtención de incidentes tecnológicosAtención de incidentes tecnológicos

Atención de contingencias INCIDENTESAtención de incidentes tecnológicos

• Identificación oportuna del incidente

• “Primeros auxilios” y diagnóstico inicial confiables y oportunosBase de datos de conocimiento••

• Notificación ágil a los equipos de recuperación (TI) y reanudación (TI y/o Usuarios)

• Gestión de acuerdos de servicio Control del RTO y RPO esperado por las áreas para este escenario

Atención de emergencias DESASTREAtención de desastres tecnológicos

• Conmutación controlada o abrupta de TODO el nodo principal h i l d d ( ió d i d )hacia el segundo nodo (operación cruzada con primer nodo)

• Movilización de personal hacia el segundo nodo

• Notificaciones a las partes interesadas

• Control del riesgoControl del riesgo

• Mitigación y control del impacto

E D I F I C I O P R I N C I P A LE D I F I C I O P R I N C I P A LARQUITECTURA PLATAFORMA SUNARQUITECTURA PLATAFORMA SUN

E D I F I C I O C D EE D I F I C I O C D E

BD: BAN 4Srv: - SAC

BD: BAN 8Srv: - CUD

BD: BRSrv: - Cedec

- Cenit

BD: BRSrv: - Cedec Pruebas

- Cenit Pruebas

BD: BAN 3Srv: - Ares

- Carteleras

C: Swift A. A.Srv: - Int. Swift - SOI

- Swift

C: Swift A. A.

A: Activo - ActivoBD: Base de DatosC: ComponenteF: IP FísicaV: IP VirtualSrv: Servicios

SUN Fire V880SBAN2B

SUN Fire V880SBAN1A

SUN Fire V240SBAN5A

A

Cenit

SUN Fire V440SACH1A

SUN Fire V440SACH2B

Cenit Pruebas

C: Apache C: Apache

Carteleras (Wsebra)

- Cumbre- Htrans- Interfaces SEN- SAFD- SEC- SGU Certicámara - SOI- Subastas

P

Swift

SUN Fire V240SWAL1A

A SUN Fire V240SWAL2B

P

C: Apache Srv: - Htrans------------------------------C: Apache Srv: - Interfaces SEN------------------------------C: IASSrv: - Aurora

C: ApacheSrv: - Ares

- FAEP- SEC

-----------------------------C: IASSrv: - SIC

- SAC-----------------------------

SUN Fire V240SBAN6B

P

Srv: - SMV

SUN Fire V240TCS2SUN Fire V880

SBAN4A

BD: BAN 2 Srv: - SIC

SUN Fire V880SBAN3B

BD: BAN 1 Srv: - Sisec

SUN Fire V240SWEB1A

C: OC4JSrv: - Fic-----------------------------C: JbossSrv: - SAFD Intranet-----------------------------C: PropietarioV: N/ASrv: - SMART

Srv: - SMV

SUN Fire V240TCS1

BD: PROD Srv: - SAP

Discos Sun StorEdge

6920

BD: BAN5 New

BD: MFNSYSSrv: - DCV

SUN Fire V240 SWEB2B

C: Apache

Discos Sun StorEdge

6920

SUN Enterprise 280RSPKI1A

Srv: - PKI

SUN Enterprise 280RSPKI2B

Srv: - PKI

C: Alliance GatewaySrv: - Swift Gateway

C: Alliance GatewaySrv: - Swift Gateway

SUN Fire V480SIND1A

BD: BAN5_NewSrv: - Fic

- Faep- JANO - Master- Master - Antares- Neón Web- Sidef- Siged- Simed- Sipres

SUN Fire V440SATL1A

C: Apache------------------------C: OAS

S CUD

C: Business Intel.OC4J, OAS

Srv: - Cumbre------------------------------C: OASSrv: - Master

- Jano- SOI

C: ApacheSrv: - SEC

- Web Banco

SUN Fire V240SPOR2B /

QUIMBAYA II

C: PlatformSrv: - Cud Compensación

C: PlatformSrv: - Master – Antares--------------------------------C: Jboss

SPKI1A

SUN Fire V215SWAG1A

A SUN Fire V215SWAG2B

P

C: Apache Tomcat

Srv: - DCV----------------------------C: Apache

TomcatSrv: Subastas - Smart

- SRH

SUN Fire V440SATL2B

SUN Fire V890SWAT2B

C: Tomcat

SUN Fire 240SWEB3A

Srv: - CUD

SUN Fire 240SWEB4B

SUN Fire V240SPOR1A / QUIMBAYASUN Fire T2000

SPOR3A

Srv: Cud Compensación- SGU (Certicámara)

C: JbossSrv: - SAFD Internet

SUN Fire T2000SPOR4B

Srv: - Subastas

SUN Fire V890SWAT1A

Atención de emergencias

Centro de operacionesArchivadores

1415SGEESGMRSuper

DRIDRI DRI13

3816 3815

SALA DE CONTINGENCIA – CENTRAL DE EFECTIVO

38221655

38143817

5756

SICSIC

9URCPIReuters

Bloomberg

DRI

Mesa de

DRI

URCPIURCPI

URCPIURCPIURCPIFAEP

BALANZA

SEN48 4750 4952 51

10ABCABC

RPCSIC

URCPI

54 53 DRI

DRIDRI DRI

12

3823 3957 3821 3819 3820

3954 3811

3822

11

3818

3812 3813MasterMaster

Cedec

SICSIC

DODM

Dinero 2

DODM DODM SET FX

URCPIURCPI

DCVDCV Cedec

45 4644434241

8 7 6 5

RPCSIC

URCPI

SEN32 313336 35

OPIOPI

4039

38 373958

382938273825

3834 3832 38333810 3809 3847 3807

34DCV

383139563835

3830382838263824

Cedec

Cenit

Mesa de Dinero 1

DODM DODM SENDCVDCV Cedec

AL&CR

172021 19 18

1 4

SEN

27 2826252423OPI CenitOPIOPI

OPIOPI

29 302 3

22

395538393836383738053953 3806

DCV

384238433844

DCV DCV DCV

3841384038383804

CUDBodega

Entrada

CUD CUD

172021 19 18

CUDCUDUPCI

22

Archivadores

384238433844Lector PKI

Disarchivo

Gestión de crisisCatástrofes

• Nodo remoto Barranquilla (más 800 km)W it l i i d i ió íti l t f• Warm-site para los servicios de misión crítica y plataforma informática (RTO = 2 horas y RPO = 20 minutos)

• Personal técnico de alto nivel

Etapas atención de crisis

Etapa UnoPRE CRISISPRE-CRISIS

Analizar el riesgoDeterminar el potencial efecto

Etapa DosCRISIS AGUDA

Necesario tomar alguna acciónNo visible fuera empresa Activar Equipos

Reanudar OperacionesComunicar interna/externa

Etapa TresPOST-CRISIS

Ahora visible para todos Recuperación de actividades

Evaluar desempeño de la organización durante la crisis

Instalaciones BR Barranquilla

Edificio Principal

InstalacionesCentral de EfectivoBogotá

Enlace Fibra Oscura

Sincronización

Central de EfectivoEdificio PrincipalEnlace Fibra Oscura10 km aprox

C t d

Centro de OperacionesTercerDiagrama Tercer Nodo Tecnológico

Centro de Operaciones

NodoTercer Nodo Tecnológico

Usuarios Banco República

InternetIntermediarios

Financieros

ISDN

Fibra Óptica

Principal Segundo Nodo

access lineFibra Óptica

I t di iProveedor

DeComunicaciones

IntermediariosFinancieros






• Preguntas

Continuidad Tecnológica

Recomendaciones y factores claves

• Contar con el apoyo de la alta gerenciaContar con el apoyo de la alta gerencia• Involucrar a toda la organización• Seguir mejores prácticas a nivel de documentación, continuidad,

gestión tecnológica y medicióng g y

• Identificación de procesos de la cadena valor de la organización• Conocimiento del cliente, su demanda y expectativas• Conocimiento de las propias limitaciones • Claridad hacia la organización• Sinergia Continuidad tecnológica con Continuidad del negocio

Continuidad Tecnológica g

Resumen

• Evolución - Metodologías y mejores prácticas

• Caso – Banco de la República• Planeación

A ió• Acción

• Recomendaciones y factores clavesRecomendaciones y factores claves

Continuidad Tecnológica

Bibliografía y referencias

• “Disaster Recovery Testing” – Exercising your contingency plan. y g g y g y pPhilip Jan Rothstein, FBCI, ed. 2007

• Managing Catastrophic loss of sensitive Data. ConstantinePhotopoulos. Syngress. Ed. 2008

• Disaster Recovery Institute. http://www.drii.org

• British Standards http://www.bsigroup.com/

• Business Resilience Certification Consorcium International• Business Resilience Certification Consorcium International http://www.brcci.org/cbritp.htm


Sandra Patricia Camacho BonillaM Sc CBCP PMP ITIL v3 auditor ISO 27001:2005 e ISO 9001:2008M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008

[email protected]


Gracias

S d P t i i C h B illSandra Patricia Camacho BonillaM.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008

[email protected]

Estándar 25‐777 “Information and communicationtechnology continuity management”

CBRITPCBRITP

IT Continuity and Disaster Recovery Planning

• Business Resilience & Business Continuity

• IT disaster & IT disaster recovery

• High availability vs Continuous availability

• IT DR plan development steps

• IT recovery concepts & strategies

Plan de recuperación de desastres de tecnología ‐ CBRITP

Pasos para su desarrollo

1. Identificar los sistemas y aplicaciones en uso

2 Analizar el impacto para el negocio (BIA) de una interrupción en la capacidad tecnológica y2. Analizar el impacto para el negocio (BIA) de una interrupción en la capacidad tecnológica y determinar los marcos de tiempo esperados y prioridades de recuperación (RTO y RPO)

3. Determinar las estrategias de recuperación de desastres tecnológicos (Sitios alternos, costo‐beneficio)

4 D l i ió d l i d l ITDR (RACI i líd d4. Documentar la organización de los equipos del ITDR (RACI, organigrama, líderes de equipos, notificaciones, listas de chequeo)

5. Documentar las responsabilidades de los equipos ITDR (tareas, dependencias, protocolos, agendas)

6. Desarrollar y documentar los procedimientos de recuperación de IT (detallado, adecuado, completo, viable, prevenir síndrome del “héroe”)

7. Documentar el entrenamiento del ITDR (concientización, conocimiento del procedimiento, trabajo de equipo, nuevas contrataciones, refuerzo y recordación)trabajo de equipo, nuevas contrataciones, refuerzo y recordación)

8. Documentar el mantenimiento del plan (Revisión, validación, liberación, distribución)

7 “tiers” de recuperación de desastres7 tiers de recuperación de desastres

Tier 0 – No off‐site data – posibly no recoveryTier 0 No off site data posibly no recovery

Tier 1 – Data backup with no hot site

Tier 2 – Data backup with a hot site

Tier 3 – Electronic vaulting

Tier 4 – Point‐in‐time copies

Tier 5 – Transaction integrityTier 5 Transaction integrity

Tier 6 – Zero or near zero data loss

Tier 7 – Highly automated, business integrated solution

Estrategias según el escenarios de desastre

Catástrofes en la ciudad

O ió i d dOperación en otra ciudad

Desastres de infraestructura física (CDC, edificio, potencia, ambiente, sabotajes, terrorismo, huelgas)

Nodos alternos distantes al principal (Cold sites, hot sites, propios, contratados, SLAs)

Desastres de tecnología (máquina servicio)Desastres de tecnología (máquina, servicio)

(HA) Virtualización / cloud computing/ granja / balanceo / cluster

Fail tolerance

“Resilience” / FlexibilidadResilience / Flexibilidad

• Ajustarse rápidamente

• Transformación del negocio en respuesta a cualquier cambio anticipado o no anticipado

ió i i ió d l• Prevención y mitigación de las amenazas

• Capturar oportunidades, crear posición competitiva y aumentar el valor para los involucrados.aumentar el valor para los involucrados.

estrategias de continuidad tecnológica. ¿qué hemos aprendido

Documents