planes de continuidad del negocio€¦ · • plan de continuidad del negocio (bcp):es el conjunto...

Planes de Continuidad del Negocio

M&M Auditores de Colombia Ltda

Agenda

1. Objetivos del Seminario

2. Antecedentes

3. Conceptos Generales

4. Metodología (Practicas ProfesionalesDRII)

5. Conclusiones


Objetivos del Curso

• Comprender la importancia para las organizaciones de poseer un Plan de Continuidad del Negocio

• Conocer la metodología para el desarrollo profesional de un plan de continuidad del negocio

• Aprender a elaborar y desarrollar un Análisis de Impacto al Negocio (BIA)

• Aprender como se identifican los requerimientos mínimos para la recuperación ante desastres

• Entender los fundamentos para seleccionar una estrategia de recuperación eficiente

• Aprender a construir los planes de continuidad del negocio

• Comprender la importancia del mantenimiento de los planes

• Identificar los aspectos funcionales que deben tener las herramientas informáticas de apoyo en la construcción y mantenimiento de los planes de continuidad


Presentación de los Instructores

• Ramiro Merchán Patarroyo: Ingeniero de Sistemas, Especialista en Software para Redes, Auditor de Sistemas Certificado CISA (ISACA), Profesor Universitario, Consultor Independiente en BCP,Seguridad Informática y Auditoría de Sistemas, mas de 15 años de Experiencia Profesional, Socio de M&M Auditores de Colombia, Examen de Certificación CBCP del DRI Aprobado.

• Plinio Esteban Palomino: Ingeniero de Sistemas, Estudios de Maestría en Administración de Empresas (MBA), Consultor Independiente, Socio de M&M Auditores, Consultor en BCP, Seguridad Informática, Administración de Proyectos, Experiencia Profesional de mas de 15 años, PMP, Examen de Certificación CBCPdel DRI Aprobado.


Antecedentes

Apagón en el norte de US – Agosto 200311 de Septiembre de 2001


Antecedentes

Incendio del Hotel Windsor Madrid – Feb 2005 Bodegas de Almacenar en Cali – Mayo de 2005


Por Qué Esta Usted Aquí?

• Política de la Dirección• Reacción a un desastre• Requerimiento regulatorio• Observaciones de auditoria• Buena práctica de negocios• Orientación a la planificación• Reconocimiento del negocio• Concientización personal• Personalmente motivado


Conceptos Generales

• Plan de Contingencias: Es un documento desarrollado en forma preventiva, con el objetivo de servir de guía de acción antes, durante y después de la ocurrencia de un imprevisto


Conceptos Generales

• Plan de Recuperación de Desastres (DRP): Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los servicios informáticos críticos en caso de contingencia.

• Responsable:

− Área de Sistemas


Conceptos Generales

• Plan de Continuidad del Negocio (BCP): Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los procesos del negocio generando un impacto mínimo o nulo ante una contingencia.

• Responsable:

− Unidades de Negocio


Conceptos Generales

• Administración de la Continuidad del Negocio (BCM):Proceso administrativo completo que identifica impactos potenciales que pueden afectar la organización y provee la estructura para dar flexibilidad y respuestas efectivas para salvaguardar los intereses de los accionistas, la reputación, la marca y actividades de valor agregado.

• Responsable: − Alta Gerencia


Conceptos Generales

Plan

De

Contingencias - CP

Plan de Recuperación

de desastres - DRP

Plan de Continuidad

del Negocio - BCP

Administración de la Continuidad del

Negocio - BCM


Evolución de Conceptos de Continuidad

´80 1994 1998 1999 2004

BCM

BCP

BRP

BRS

DRP

RespaldosDeInformación

RESILIENCY


Objetivos del BCP

• Proteger al personal y los activos corporativos

• Asegurar la continuidad de las operaciones

• Garantizar la reanudación de los procesos críticos dentro de los margenes de tiempo tolerables

• Minimizar el proceso de toma de decisiones durante unacontingencia

• Reducir los efectos negativos ocasionados por el caos

• Mantener el servicio al cliente

• Responder a los Inversionistas


Objetivos del BCP

• Cumplir con requerimientos Legales / Contractuales / Gubernamentales

• Reducir al máximo los niveles de dependencia sobre personas o grupos específicos en el proceso de continuidad.

• Eliminar la necesidad de desarrollar nuevos procedimientos durante la contingencia.

• Minimizar la posibilidad de pérdida de informacióncrítica para el negocio.

• Cumplir con requerimientos de auditoria


Objetivo General del BCP

“El objetivo de un BCP es establecer las estrategias y procedimientos que deben ser implementados por un equipo de individuos que provee direccionamiento, soporte,

equipamiento, metodologías y estándares para garantizar la continuidad de las operaciones del

negocio”


Fases de la Continuidad de Negocios

• Prevención/Reducción/Mitigación– Pasos para identificar y mitigar el riesgo

• Respuesta y Manejo– Reacción planificada y manejo de un evento adverso

• Recuperación– Recuperación y reanudación planificada de los servicios y operaciones después de una interrupción

• Restauración– Reparación o reemplazo del sitio primario de operaciones normales de la organización.


Programa de Continuidad de Negocios

Evaluación de Riesgos

Análisis de Impacto al Negocio

Estrategias de Recuperación

Desarrollo y Actualización del Plan

Coordinación con Autoridades Externas

Respuesta a Emergencias

Concientización y Capacitación

Pruebas y Ejercicios

Comunicaciones de Crisis

Por donde Empiezo?


Estándares para BCP

• DRI (Disarter Recovery Institute International)

• (ISC)2 International Systems SecurityCertification Consortium (Certificación CISSP).

• ISO 17799

• BCI (Business Continuity Institute)

• ISACA


Practicas Profesionales - DRI

1. Inicio y Administración del Proyecto2. Evaluación y Control de Riesgos3. Análisis de Impacto al Negocio (BIA)4. Selección y Desarrollo de Estrategias de

Continuidad5. Respuesta y Operaciones de Emergencia6. Desarrollo e Implementación Planes de

Continuidad7. Programas de Concientización y Entrenamiento8. Prueba, Ejercitación y Mantenimiento de los Planes

de Continuidad9. Comunicación de Crisis10. Coordinación con Autoridades Públicas


Metodología - DRI

Planificación del Proyecto

Análisis y evaluación de Riesgos

Análisis de Impacto al

Negocio (BIA)

Desarrollo de Estrategias

Desarrollo del Plan

Concientizacióny Capacitación

Prueba y Ejercitación

Mantenimiento y Actualización

Plan

Proceso de Planificación de Continuidad de

Negocios


Programa de Continuidad de Negocios

• Programa funcional determinado por los requerimientos del negocio– Dirigido por un equipo directivo con autoridad para responder a las interrupciones

– Modifica las consecuencias de una interrupción a un nivel aceptable por la Dirección

– Proporciona un medio probado para enfrentar las crisis


Qué es un Problema de Continuidad de Negocios?

• Evento interno o externo que interrumpe uno o mas de los procesos de negocio

• El Tiempo (duración) de la interrupción determina que una situación sea un incidente o un desastre


Un Programa de BC Respondera a ...

• Que es un desastre?

• Cuando empiezan los impactos?

• Cuanta perdida puede ser tolerada?

• Cuales son las alternativas?

• Como restablecer las funciones del negocio?

• Cuanto costará un plan de recuperación?

• Cuanto es suficiente?


Mejores Prácticas

• El comité directivo revisa anualmente el programa

• La alta gerencia es responsable del BCM

• Personal de BC con presupuesto

• La función de BCM abarca todos los aspectos de la empresa

• BCM es un proceso continuo

• Política comprensible de respaldo de registros vitales.


Mejores Prácticas

• Existencia de estrategias de recuperación basadas en prioridades, momento e impacto en la empresa (BIA)

• Existencia de un programa de concientización, capacitación, pruebas y ejercicios

• El plan de continuidad está actualizado y disponible• Un programa de continuidad de negocios NO es un proyecto, NO es una tarea de una sola vez, NO es por un periodo fijo de tiempo.

Debe ser un programa permanente, vivo, consistente en varios proyectos interdependientes y reiterativos


10 Mandamientos de BCM

• Debe recuperar aquello que se posee• Debe tener alternativas• Debe concentrarse en la sobrevivencia• Lo mas importante debe ser la gente• Debe ser probado y ejercitado• Debe distinguir entre estrategia y recomendaciones• No debe permitir que los planes envejezcan• No debe envidiar el plan voluminoso del vecino• No debe volverse complaciente• Debe evitar un alcance pobre y discreto


Tendencias

• Los clientes conocen sus problemas de IT y de Negocio al mismo tiempo que usted

• Antes – Protección del centro de computo – Ahora-Protección de los procesos críticos del negocio

• Múltiples causas de interrupciones (operacionales, técnicas, ...)

• Surgimiento de nuevas tecnologías– Exigen mayor disponibilidad– Tiempo sin servicio reducido– Múltiples proveedores externos– Todos los procesos de negocio involucran tecnología


Retos

• Documentar un alto nivel de ROI

• Mostrar casos de éxito de BCP

• Demostrar vulnerabilidades

• Construir un “Business Case”


Practicas Profesionales - DRI

1. Inicio y Administración del Proyecto2. Evaluación y Control de Riesgos3. Análisis de Impacto al Negocio (BIA)4. Selección y Desarrollo de Estrategias de

Continuidad5. Respuesta y Operaciones de Emergencia6. Desarrollo e Implementación Planes de

Continuidad7. Programas de Concientización y Entrenamiento8. Prueba, Ejercitación y Mantenimiento de los Planes

de Continuidad9. Comunicación de Crisis10. Coordinación con Autoridades Públicas






Negocio (BIA)


Desarrollo del Plan




Plan


Negocios


Iniciación y Manejo del Proyecto -PP

• Establecer la necesidad de la continuidad del negocio

• Comunicar la necesidad de un BCP

• Comprometer la Alta Gerencia en los procesos de BCP

• Establecer el Comité de Proyecto

• Identificar y ejecutar los requerimientos presupuestales

• Identificar los equipos de planificación y sus responsabilidades

• Desarrollar y coordinar las actividades de implementación del BCP

• Dar respuesta a los requerimientos de la Gerencia y de documentación de los procesos de BCP

• Reportar y obtener aprobación del avance del proyecto


Evaluación de Riesgos




Negocio (BIA)


Desarrollo del Plan




Plan


Negocios


Evaluación de Riesgos - PP

Objetivos

• Entender las pérdidas potenciales• Identificar la exposición de la organización a pérdidas potenciales• Identificar controles y medidas para prevenir o mitigar el efecto de las pérdidas potenciales

- Protección física- Protección lógica- Localización de activos

• Evaluar, seleccionar y utilizar apropiadas metodologías y herramientas de análisis de riesgos• Identificar e implementar las actividades de recolección de información• Evaluar la efectividad de los controles y medidas• Evaluación de riesgos y controles

- Escenarios de riesgo• Seguridad• Administración de registros vitales


La Rueda de la Crisis


Establecimiento del ContextoContexto estratégico

Contexto OrganizacionalDesarrollo de CriteriosDecidir la estructura

Identificación de RiesgosQué puede suceder?

Análisis de Riesgos

Probabilidad Impacto

Nivel de Riesgo

Evaluación de RiesgosEstablecer Prioridades

Tratamiento de RiesgosEvaluar Opciones de Tratamiento

Seleccionar Opciones de TratamientoPreparar planes de tratamiento

Implementar planes de tratamiento

Revisar y M

onitorear

Com

unicar y Consultar

Etapas de la administración de riesgos

Proceso de Administración de Riesgos


Medidas Cualitativas de los Riesgos

Se espera que ocurra en la mayoría de circunstanciasCasi certeza5

Probablemente ocurra en la mayoría de circunstanciasProbable4

Podría ocurrir en algún momentoPosible3

Pudo ocurrir en algún momentoImprobable2

Puede ocurrir sólo en circunstancias excepcionalesRaro1

DescripciónCualidadCalificación

Tabla de probabilidad de ocurrencia



Muerte, liberación tóxica externa con efectos nocivos, enorme perdida financieraCatastrófico5

Perjuicios extensivos, perdida de capacidad de producción, liberación externa, sin efectos nocivos, perdida financiera mayorMayor4

Requiere tratamiento medico, liberado localmente, contenido con asistencia externa, perdida financiera altaModerado3

Tratamiento de primeros auxilios, liberado localmente, se contuvo inmediatamente, perdida financiera mediaMenor2

Sin perjuicios, baja perdida financieraInsignificante1

DetalleDescriptorCalificación

Tabla de impacto potencial



EEEHH5

EEHHM4

EEHML3

EHMLL2

HHMLL1

54321

Impacto Potencial

Probabilidad de Ocurrencia

Matriz de Nivel de Riesgo


Análisis de Impacto al Negocio




Negocio (BIA)


Desarrollo del Plan




Plan


Negocios


Análisis de Impacto al Negocio (BIA) - PP

Consiste en identificar los impactos de las interrupciones y escenarios de desastre que pueden afectar la organización.

- Establecer el proyecto- Evaluar los efectos de las interrupciones, daños e impactos al negocio- Establezca la metodología BIA (cuestionarios, talleres, entrevistas..)- Defina y categorice las funciones y registros críticos- Determine las franjas de tiempo de recuperación y requerimientos de recursos mínimos

- Identifique y categorice procesos del negocio- Determine tiempos de reemplazo- Administre los registros vitales


Análisis de Impacto al Negocio (BIA)

Consiste en realizar una evaluación de los procesos y sistemas del negocio, con el objetivo de identificar:

– Áreas, funciones y/o procesos sensibles a interrupciones– Interdependencia entre procesos internos y externos– Impactos financieros de las interrupciones– Impactos Operacionales de las interrupciones– Sistemas de información críticos para la operación– Tiempos objetivo de recuperación (RTO)– Puntos Objetivo de recuperación (RPO)– Clientes y proveedores críticos de la organización– Recursos necesarios para la recuperación de operaciones– Épocas críticas para la operación del negocio


Análisis de Impacto al Negocio (BIA)

Resultados

– Inventario de los procesos críticos del negocio.– Secuencia de recuperación de procesos y sistemas críticos– Estimación del impacto financiero de una interrupción en los procesos críticos del negocio.

– Estimación del impacto operacional de una interrupción en los procesos críticos del negocio.

– Identificación de los tiempos de recuperación para cada proceso crítico del negocio.

– Identificación de los requerimientos mínimos de los procesos o aplicaciones críticas del negocio durante las operaciones de recuperación.


Cuestionario BIA

• Datos básicos del proceso y de su dueño• Frecuencia del proceso• Períodos de tiempo críticos• Tiempo máximo de interrupción• Volumen de trabajo del proceso• Indicadores y medidas de desempeño existentes• Impactos: Financiero, cliente interno, cliente externo, eficiencia operativa, aspectos legales, imagen - reputación y en general para la organización como negocio.

• Dependencias internas y externas• Aplicaciones informáticas que lo soportan• Procedimientos alternos existentes o sugeridos• Efectividad de los procedimientos alternos• Registros vitales de cada proceso• Complejidad de recuperación de las dependencias evaluadas• Recursos mínimos para la recuperación de cada dependencia.


Desarrollo de Estrategias de Continuidad




Negocio (BIA)


Desarrollo del Plan




Plan


Negocios


Selección de la Estrategia de Continuidad - PP

Consiste en identificar las alternativas de recuperación de las operaciones en los marcos de tiempo dados por los RTO’s identificados.

− Identificar los requerimientos de continuidad de la organización

− Evaluar la compatibilidad de las estrategias contra los resultados del BIA

− Presentar el análisis costo / beneficio de las estrategias de continuidad

− Seleccionar los sitios alternos y de almacenamiento externo

− Entender los términos contractuales de los servicios de continuidad del negocio


Categorías de estrategias

– Centro de procesamiento de datos

• Hardware

• Software

• Redes

• Backup y recuperación de la información

– Telecomunicaciones (voz y datos)

– Áreas de trabajo

• Espacio

• Muebles

• Equipos

– Personal

– Seguros


Recuperación del Centro de Procesamiento de Datos

• Alternativas de recuperación• Contratación de sitios de recuperación externos (Ej. Hotsite, coldsite, etc.)

• Recuperación interna

• Acuerdos recíprocos

• Procedimientos manuales

• Reducción de servicios

• Suspensión de servicios

• Combinación de estrategias.


Quality of Service (QoS)

Alta Disponibilidad o “High Availability”– Implementación de controles preventivos, detectivos y correctivos para procurar la disponibilidad continua de los sistemas críticos de la organización.

Fault Tolerance– Un sistema “fault-tolerant” puede continuar brindado servicios a pesar de fallas de software o hardware.

Load Balancing– Sistemas que comparten la carga de trabajo para evitar recursos ociosos y bajo desempeño (performance).


Alta Disponibilidad

• Redundancia en los SPF’s (Single Point of Failure)

• ¿ Cuánto tiempo de “downtime” estamos dispuestos a aceptar ?

Tiempo de “downtime”Porcentaje de disponibilidad

QoS

52.560 minutos/año = 36,5 días/año90%Clase 1

5,26 minutos/año99.999%Clase 5

52,56 minutos/año99.99%Clase 4

525,6 minutos/año = 8,76 días/año99.9%Clase 3

5.256 minutos/año = 3,65 días/año99%Clase 2


Proceso de selección de la estrategia

1. Se desarrollan alternativas de estrategias para:

• Refinar los requerimientos mínimos para la recuperación.

• Incluyendo consideraciones para:

– RTO’s

– Capacidad del Sitio de Recuperación

– Requerimientos de comunicaciones (voz y datos)

– Viabilidad de recuperación de acuerdo al planteo del peor escenario

– Requerimientos de áreas de trabajo (espacio, equipos, insumos, archivos vitales, etc.)

– Requerimientos de recursos humanos

– Situación geográfica y de transporte.


Proceso de selección de la estrategia

2. Identificar las alternativas viables para la recuperación:

• Contratación de sitios de recuperación externos (Ej. Hotsite, coldsite, etc.)

• Recuperación interna

• Acuerdos recíprocos

• Procedimientos manuales

• Respuesta de reducción de servicios

• Suspensión de servicios

• Combinación de estrategias.

3. Seleccionar una estrategia de recuperación eficiente.


Selección del proveedor

• Hacer un análisis inicial de los proveedores existentes.

• Preseleccionar los más viables para el proyecto de acuerdo a:– Importancia– Experiencia– Clientes actuales– Referencias– Respaldo financiero.

• Confeccionar un RFP/RFQ para enviar a los proveedores preseleccionados.


Selección del proveedor

RFP/RFQ• Lineamientos básicos de la propuesta

– Consideraciones Generales– Consideraciones de Seguridad Informática

• Alternativas a Cotizar – por ejemplo:– Alternativa 1: Cold Site– Alternativa 2: Hot Site– Alternativa 3: Warm Site

• Detalle de equipos y dispositivos a cotizar


Metodología - DRI

1. Iniciación y manejo del proyecto

2. Evaluación de Riesgos

3. Análisis de Impacto al Negocio (BIA)

4. Selección de Estrategias de Continuidad

5. Respuesta a Emergencias

6. Desarrollo de los Planes de Continuidad

7. Ejercicios y Mantenimiento de los Planes de Continuidad

8. Conciencia y Programas de Entrenamiento


Respuesta a Emergencias - PP

Desarrollar e implementar procedimientos para responder y estabilizar la situación después de un incidente y administar el centro de operaciones de emergencia a ser utilizado como “centro de mando”.

– Identifique componentes de los procedimientos de respuesta a emergencia

– Especifique los procedimientos de respuesta a emergencia

– Identifique requerimientos de control y autoridad

– Procedimientos de control y autoridad

– Respuesta a emergencia y recuperación de heridos

– Salvamento y restauración


Fases de respuesta

• Podemos dividir la respuesta ante una emergencia en 4 fases:

– Fase de Planeamiento

– Fase de Alerta

– Fase de Producción

– Fase de Restauración


Desarrollo de Planes de Continuidad




Negocio (BIA)


Desarrollo del Plan




Plan


Negocios


Desarrollo del Plan - PP

Diseñar, desarrollar e implementar planes de continuidad del negocio para proveer continuidad en los marcos establecidos por los RTO’S y RPO’S.

– Identifique requerimientos para el desarrollo de los planes– Definir requerimientos de control y administración de la continuidad– Identifique y defina un formato y la estructura principal de los componentes de los

planes– Elabore un borrador de los planes– Defina procedimientos de manejo de crisis y continuidad del negocio– Defina las estrategias de evaluación de daños y reanudación– Desarrolle una introducción general a los planes– Desarrolle la documentación de los equipos de operación del negocio– Desarrolle la documentación de los equipos de recuperación de tecnología

informática– Desarrolle el sistema de comunicaciones– Desarrolle los planes de los usuarios finales de aplicaciones– Implemente los planes– Establezca los procedimientos de control y distribución de los planes


Desarrollo del Plan

¿Qué es un el plan de recuperación?• Un conjunto integrado de procedimientos que se utilizarán para la recuperación ante un evento que cause la interrupción de las operaciones del negocio.

• Fundamentalmente debe responder a:– Quién

– Qué

– Cuándo

– Dónde

– Cómo.


Componentes de los Planes de Continuidad

Prevención

DESASTRE

Respuesta

Reanudación

Recuperación

Restauración

Decisión


Equipos de recuperación

Estructura tipo

EmergencyManagement

Recuperaciónde Tecnología

Recuperaciónde Instalaciones

Recuperación de Clientes

Tasf ForceComunicaciones

Task ForceSoporte de Sistemas

Task ForceContabilidad

Task ForceRRHH

Task ForceInstalaciones

Task ForceServicio al Cliente

Task ForceRelaciones Públicas

BCC



Emergency Management Team (EMT)

• Es el más importante de la estructura de recuperación.

• Normalmente formado por el CEO y el SeniorManagement.

• Su principal función es decidir cuándo un evento es un desastre que requiere la activación del plan de recuperación.



Emergency Management Team (EMT)Principales funciones:

– Tomar la decisión de declarar el desastre.– Mantener al personal operativo motivado y enfocado en brindar elservicio.

– Asegurar el aislamiento de la escena del crimen y la apropiada recopilación de pruebas.

– Reportar las causas ilegales de la contingencia (ej. hacking) a las autoridades apropiadas.

– Trabajar con los proveedores de los servicios de recuperación para asegurar la correcta ejecución del plan de recuperación.

– Notificar a los clientes de una potencial demora en el cumplimiento del servicio.

– Evaluación de daños.– Monitorear el progreso del plan.



Business Continuity Coordinator (BCC)• Es el responsable de:

– Coordinar las tareas en el desarrollo del plan– Guiar los esfuerzos de respuesta ante una emergencia y de recuperación

– Revisar los reportes de evaluación de daños– Iniciar los procedimientos de recuperación– Mantener informado al EMT del estado de la recuperación– Actuar de nexo entre el EMT y los lideres de los equipos de recuperación.



Los equipos de recuperación y sus correspondientes “Task Forces” son los responsables de:

– Realizar una profunda evaluación de los daños

– Restaurar los distintos componentes de la infraestructura informática que resultaron inoperables debido a la ocurrencia del desastre.


Aseguramiento de la calidad

• Este es un elemento que debe ser tenido en cuenta a lo largo de todas las etapas del desarrollo del plan, pues asegura la integridad de los mismos. Como parte del proceso de aseguramiento de la calidad están:

– Entrenamiento– Mantenimiento– Pruebas


Ejercicios y Mantenimiento de los Planes




Negocio (BIA)


Desarrollo del Plan




Plan


Negocios


Ejercicios y Mantenimiento de los Planes de Continuidad - PP

Planificar y coordinar el plan de ejercicios y evaluar y documentar los resultados de los mismos.

– Establecer un programa de ejercicios (pruebas)– Determinar requerimientos de los ejercicios– Definir escenarios de desastre– Establecer criterios de evaluación y documentar los hallazgos– Crear un cronograma de ejercicios– Crear un plan de control y reporte de los ejercicios– Facilitar la realización de los ejercicios– Reporte post-ejercicios– Retroalimentar y monitorear los resultados de los ejercicios– Definir un cronograma de mantenimiento de los planes– Formular los procedimientos de control de cambios– Establecer procedimientos para informar el estado de los planes– Objetivos de auditoria


Prueba del plan

Objetivos

– Definición de un Plan de Pruebas

– Definición de los Procedimientos de Prueba

– Planificación de las Pruebas

– Ejecución de las Pruebas

– Evaluación de los resultados

– Ejecución de las modificaciones necesarias.


Motivos para no probar el plan

• Tiempo

• Falta de presupuestos (costos de la prueba)

• Suspensión del servicio


Mantenimiento del plan

Objetivos

– Desarrollo de los procedimientos de mantenimiento del Plan de Recuperación.

– Diseño de la estrategia de mantenimiento (Ej. Periodicidad, disparadores, etc.)



Disparadores de actualización– Cambios en el personal clave– Cambios en el organigrama (Ej. Creación de nuevas posiciones);– Cambios de dirección / teléfono de algún componente del equipo de recuperación

– Cambios en cualquier equipo o dispositivo informático incluido dentro del esquema de recuperación

– Cambio en algún procedimiento– Reubicación de instalaciones– Nuevos proveedores para los recursos críticos– Cambios en la configuración de los sistemas o los dispositivos de almacenamiento (Storage)

– Cambios en la configuración de comunicaciones o de las redes.



Elementos mínimos a tener en cuenta en las revisiones del plan:

– Requerimientos operacionales– Requerimientos de seguridad– Procedimientos técnicos– Hardware, software y otros equipos (tipos, especificaciones y cantidad)

– Nombres e información de contacto de los miembros de los equipos de recuperación

– Nombres e información de contacto de los proveedores– Archivos vitales (impresos y electrónicos).


Concientización y Capacitación




Negocio (BIA)


Desarrollo del Plan




Plan


Negocios


Conciencia y Programas de Entrenamiento - PP

Preparar un programa para crear y mantener conciencia corporativa y ampliar las habilidades requeridas para desarrollar e implementar el programa de Administración de la continuidad del negocio y sus procesos de soporte.

– Definir objetivos de concientización y entrenamiento– Desarrollar e implementar varios tipos de programas de entrenamiento

– Desarrollar programas de concientización– Identificar otras oportunidades de educación


CONCLUSIONES

• El plan debe ser desarrollado para cubrir el peor escenario, de manera que escenarios menores queden cubiertos también.

• El planteo de escenarios de desastre servirá de base al momento de determinar las alternativas viables para la recuperación.


CONCLUSIONES - SUPUESTOS

• Metas y Objetivos de la organización

• Políticas de la organización sobre planificación de la continuidad del negocio

• Escenarios de interrupción del negocio para cada área funcional yo localización

• Definición de interrupción menor y de desastre en términos del impacto sobre el negocio y la duración de la misma

• Cuales operaciones deben ser recuperadas en forma inmediata.

• Cuales operaciones no requieren ser recuperadas en forma inmediata y cuando deben estar disponibles

• Cuales operaciones del negocio pueden ser prescindibles

• Las estrategias de reanudación y recuperación a utilizar así como sus prioridades


CONCLUSIONES - SUPUESTOS

• El peor escenario ocurre sin aviso o advertencia

• No ocurrirá mas de un evento en forma simultanea

• El sitio de almacenamiento externo está lo suficientemente lejos como para no ser afectado por la interrupción o contingencia

• La recuperación puede realizarse usando únicamente los datos y registros vitales ubicados en el almacenamiento externo

• El equipo designado y otros recursos asignados están disponibles

• Las operaciones de reanudación/recuperación requieren del uso de recursos/capacidades alternas inferiores a las de operación normal

• Se cuenta con suficientes miembros del equipo de recuperación para realizar las tareas planeadas.

• La alta dirección está disponible para decidir la activación del plan y tomar las decisiones no previstas

• Existen instalaciones apropiadas para el centro de control, reuniones y necesidades de almacenamiento.


CONCLUSIONES - ALCANCE

• Que áreas/departamentos/procesos de negocio están incluidos en el plan

• Cada ubicación distinta debería tener un plan separado

• Que aplicativos/datos/servicios están cubiertos en el plan (portátiles, agendas digitales, aplicaciones de uso individual?)


CONCLUSIONES - POLITICAS

• Clarificar los lineamientos sobre los cuales se debe actuar en caso de un incidente, pues las políticas de la organización siguen siendo vigentes aún en situaciones de crisis

– Recursos humanos (beneficios, asistencia familiar, confidencialidad)

– Relaciones públicas (confidencialidad, declaraciones a los medios)

– Relaciones con los clientes– Salud y seguridad industrial– Relaciones con proveedores


CONCLUSIONES - PROPÓSITO

• Debe estar incluido claramente en la introducción del plan

– Protección de la vida y seguridad de los funcionarios

– Cumplir con requerimientos legales

– Protección de los intereses de los accionistas

– Asegurar el cumplimiento de los compromisos con los clientes


Planeación de la Continuidad del Negocio

Bases de la Planeación de la Continuidad del Negocio

Compromiso y Soporte de la Alta Gerencia

SupuestosObjetivos

Alcance Políticas Propósito

ResponsabilidadesBIA Estrategias

EquiposPlanes Tareas

MantenimientoEntrenamiento

Aseguramiento de la Calidad

Pruebas


Sitios de interés

• Revista de Seguridad Informática– http://www.infosecuritymag.com/

• Disaster Recovery Journal– http://www.drj.com/

• Portal de BCP y DRP– http://www.globalcontinuity.com/

• Listados de desastres ocurridos– http://www.drie.org/disasters.html

• Sitio de información sobre desastres– http://www.disasterrelief.org/

• Revista de Contingencia y Continuidad del Negocio– http://www.contingencyplanning.com/

• Information Systems Audit And Control Association - ISACA– http://www.isaca.org/

• TAMP Disaster Recovery System (DRSTM) – www.drsbytamp.com


Libros de interés

• Business Continuity: Best Practices– Editorial: Rothstein Associates; 2000 edition (June 10, 2000)

– Autor: Andrew Hiles

• A Guide to Business Continuity Planning– Editorial: John Wiley & Sons; 1st edition (May 2001)

– Autor: James C. Barnes

planes de continuidad del negocio€¦ · • plan de continuidad del negocio (bcp):es el conjunto...

Documents