x reunión de responsables de sistemas de información. iimv · la importancia de disponer de un...
TRANSCRIPT
![Page 1: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/1.jpg)
Políticas de continuidad del servicio: Planes de Contingencia
Francisco Javier Nozal Millán
DIRECTOR DE SISTEMAS DE INFORMACIÓN
X Reunión de Responsables de Sistemas de Información. IIMV
La Antigua, Guatemala, septiembre de 2008
![Page 2: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/2.jpg)
IntroducciónPlanes de Contingencias
- Gestión del Riesgo y Análisis del impacto de la actividad- Gestión de situaciones de crisis y Marco de Gobierno de la Continuidad- Planes de recuperación- Documentación, Implantación, Pruebas y Mantenimiento
Plan de Contingencias de la CNMV- Situación y Presupuestos- Organización- Planes de Recuperación- Centros alternativos de Usuarios y de IT- Dotación y situación de los Centros alternativos
Políticas de continuidad del servicio: Planes de Contingencia
![Page 3: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/3.jpg)
La importancia de la continuidad del servicio:
- La supervisión del sector financiero requiere la actuación en todo momento y circunstancia
- Se enmarca dentro de la estabilidad financiera general del país
- Es obligada por las organizaciones internacionales en el marco de la estabilidad financiera global
- Al soportarse el servicio en administración electrónica se requier continuidad 24 X 7
- Solo se garantiza con políticas previas de continuidad
Introducción
Políticas de continuidad del servicio: Planes de Contingencia
![Page 4: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/4.jpg)
La importancia de disponer de un Plan de Contingencias
- Hay que desarrollarlo en un largo periodo de meses
- Con medios propios o con consultoría externa
- Involucra a medios humanos, físicos y procedimentales
- Hay que documentarlo, implantarlo y probarlo
- Concienciar y formar a la organización y mantener el Plan
Introducción
Políticas de continuidad del servicio: Planes de Contingencia
![Page 5: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/5.jpg)
Plan de Contingencias:
Gestión del Riesgo
- Objetivos, compromisos, responsabilidades y entorno
- Procesos, actividades, activos y recursos
- Análisis de Riegos ante amenazas
Análisis del impacto de la actividad
- Procesos críticos de la actividad
- Determinar prioridades ante la contingencia
Políticas de continuidad del servicio: Planes de Contingencia
![Page 6: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/6.jpg)
Plan de Contingencias:
Gestión de situaciones de crisis
- Procedimiento de Alerta
- Evaluación de la Incidencia
- Declaración de desastre Planes de Recuperación
Marco de Gobierno de la continuidad
- Comité de Continuidad
- Comité de Apoyo
Políticas de continuidad del servicio: Planes de Contingencia
![Page 7: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/7.jpg)
Políticas de continuidad del servicio: Planes de Contingencia
Procedimiento de Gestión de Crisis
![Page 8: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/8.jpg)
Políticas de continuidad del servicio: Planes de Contingencia
Procedimiento de Alerta
Responsable
Empleado
Seguridad
Acción / Procedimiento
Procedimientode Alerta Utilización de
ProcedimientosHabituales
Aviso al Comité de Continuidad (Presidente)
Resultado
¿Incidente afecta sólo a los Sistemas de Información?
No
Dirección de Sistemas de Información
Sí A. Comunicación de la incidencia
B. Valoración de la incidencia
C. Comunicación de la situación
![Page 9: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/9.jpg)
Políticas de continuidad del servicio: Planes de Contingencia
Procedimiento de Evaluación
Responsable
Procedimientode Evaluación
Aviso al Coordinador del Comité deContinuidad
Aviso a los Órganos de Gobierno
Presidente del Comité de Continuidad
Aviso al Comité de Continuidad (Presidente)
Procedimiento de Alerta
Procedimiento de Evaluación
Acción / Procedimiento Resultado
A. Evaluación de la situación
B. Comunicación de la decisión
![Page 10: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/10.jpg)
Plan de Contingencias:
Planes de Recuperación
- Recuperación de procesos críticos ante las situaciones de contingencia consideradas
- Detallar y documentar perfectamentelos procedimientos de recuperación
- Siempre hay una parte importante de “Sistemas de Información”
- Implantar los requerimientos físicos
Políticas de continuidad del servicio: Planes de Contingencia
![Page 11: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/11.jpg)
Plan de Contingencias:
Planes de Recuperación: Prueba y Mantenimiento
- Probar los Planes de recuperación- medir viabilidad y eficacia de los planes- valorar rendimiento de los procedimientos- formar al personal en las gestión de las crisis
- Mantener y actualizar los Planes, para que sean efectivos y duraderos
- Contemplar la Formación y Divulgación entre el personal. Cultura de seguridad
Políticas de continuidad del servicio: Planes de Contingencia
![Page 12: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/12.jpg)
Plan de Contingencias de la CNMVSituación
- Plan parcial de Sistemas de Información. 2000- Plan general abordado en 2007- Elaboración con apoyo externo- Adquisiciones e implantación en 2008 - Primeras pruebas reales en 2009
Presupuesto- Inversiones: Dotaciones informáticas para centro IT principal, de
respaldo y centro alternativo de usuarios ............ 1.400.000 euros- Gastos corrientes: .................................. 550.000 euros/año
- arrendamiento centro IT de respaldo, centro alternativo de usuarios y asistencia técnica ............................. 240.000 euros/año
- comunicaciones de unión ...215.000 euros/año- auditorías de redes .................100.000 euros/año
Políticas de continuidad del servicio: Planes de Contingencia
![Page 13: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/13.jpg)
32 Procesos críticos / distinta Criticidad
- 15, recuperación entre 0 y 3 horas
- 9, recuperación entre 3 y 12 horas
- 5, recuperación entre 12 y 24 horas
- 3, recuperación entre 24 y 48 horas
- 6, recuperación > 48 horas
Plan de Contingencias de la CNMV
Políticas de continuidad del servicio: Planes de Contingencia
![Page 14: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/14.jpg)
- 32 Procesos críticos
- 85 puestos de trabajo necesarios ante contingencia
- 4 escenarios de contingencia
- 2 Planes específicos de recuperación
Plan de Contingencias de la CNMV
Políticas de continuidad del servicio: Planes de Contingencia
![Page 15: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/15.jpg)
Políticas de continuidad del servicio: Planes de Contingencia
Los posibles escenarios de contingencia que se han contemplado son los siguientes:
•PÉRDIDA DE LOS SISTEMAS DE INFORMACIÓN DE LA CNMV.•IMPOSIBILIDAD DE ACCESO AL EDIFICIO PRINCIPAL DE LA CNMV.•IMPOSIBILIDAD DE ACCESO AL EDIFICIO SECUNDARIO DE LA CNMV.•IMPOSIBILIDAD DE ACCESO A AMBOS EDIFICIOS DE LA CNMV.
Los Planes de Recuperación específicos desarrollados para cada uno de los escenarios anteriores son dos:
•PLAN DE RECUPERACIÓN POR PÉRDIDA DE SISTEMAS DE INFORMACIÓN.•PLAN DE RECUPERACIÓN POR INACCESIBILIDAD A LOS EDIFICIOS DE LA CNMV (incluye los tres últimos escenarios anteriores).
![Page 16: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/16.jpg)
Políticas de continuidad del servicio: Planes de Contingencia
PRESIDENTE2 •
COORDINADOR
RESPONSABLE DE SISTEMAS
RESPONSABLE DE SEGURIDAD FÍSICA Y SERVICIOS GENERALES
RESPONSABLE DE CONTROL INTERNO
RESPONSABLE DE GABINETE DE PRESIDENCIA
SECRETARIO
Comité Permanente de Continuidad
![Page 17: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/17.jpg)
Políticas de continuidad del servicio: Planes de Contingencia
Planes de Recuperación
- Totalmente documentados, con todos los procedimientos a seguir
- Gestionados por el Comité de Contingencias y por el Grupo de Apoyo a la Contingencia
- Se basan en la implantación previa de dos importantes infraestructuras:
- Centro de Tecnologías de la Información (IT) de Respaldo
- Centro alternativo de Usuarios
![Page 18: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/18.jpg)
Políticas de continuidad del servicio: Planes de Contingencia
Centro alternativo de Usuarios
- 350 m2 con 85 puestos de trabajo, en tres áreas
- Sala de Consejo de la CNMV
- Sala de Comité de Continuidad
- Sala de secretarias
- Sala de equipamiento, comunicaciones y auxiliar informática
- Cocina y otros
![Page 19: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/19.jpg)
Políticas de continuidad del servicio: Planes de Contingencia
Centro alternativo de Tecnologías de la Información (IT)
- 20 m2 en “Jaula” diferenciada, en sala de edificio de alta seguridad y con continuidad asegurada.
- Equipamiento informático totalmente redundadocon centro IT Principal (en sede CNMV)
- Servidores de base de datos y 15 servidores independientes en cada centro- Almacenamiento en SAN de 12 Teras en cada centro. Copia remota Síncrona- Chasis “blade” para virtualización de 19 servidores en cada centro
- Redundancia: 70 % “on line”, 30 % “off line”
![Page 20: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/20.jpg)
Políticas de continuidad del servicio: Planes de Contingencia
Dotación y situación de los Centros alternativos
- Diseño realizado por la CNMV con OK de empresa consultora
- Arrendamiento de locales frente a centros propios
- Concurrencia limitada con expediente secreto, para:- “Jaula” de 20 m2 en edificio de alta seguridad, como centro IT- Oficina de 350 m2 para centro Usuarios en mismo edificio(6-25 Km)
- Asistencia técnica para monitorización de centro IT- Dotaciones informáticas para centro IT, Principal y de Usuarios- Comunicaciones redundantes entre Centros IT y Principal
-Centro de Usuarios finalizado, centro IT en instalación
![Page 21: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/21.jpg)
ESTRUCTURA GENERAL DE RED DE COMUNICACIONES
JULIO - 2008 ESQUEMA 1
![Page 22: X Reunión de Responsables de Sistemas de Información. IIMV · La importancia de disponer de un Plan de Contingencias - Hay que desarrollarlo en un largo periodode meses ... Gestión](https://reader031.vdocuments.co/reader031/viewer/2022022104/5bc8521509d3f25c258d3b2d/html5/thumbnails/22.jpg)
Políticas de continuidad del servicio: Planes de Contingencia