Mayo de 2007
Continuidad de Negocios:
Componente importante de la Seguridad de la Información
Pág 2
Dos experiencias diferentes
Empresa A
Centro Alterno
Empresa A
Centro Primario
Empresa B
Centro Primario
Pág 3
Lecciones aprendidas
• Pruebas del Plan de Continuidad de Negocios (Business Continuity Plan – BCP) fueron clave.
• Operaciones críticas en un solo sitio no es una buena idea.
• Las personas no quieren trabajar lejos de sus familias.
• Empresa B no tuvo problemas por negocios, sino por edificios.
• El transporte fue problemático los primeros días.
¿Qué es un Plan de Continuidad del Negocio?
Pág 5
Definiciones
• Un Plan de Continuidad de Negocios (BCP), es un conjunto de procedimientos que definen cómo un negocio va a continuar o reiniciar sus funciones críticas ante un evento que cause una interrupción no planeada a su operación normal.
• Estos procedimientos describen una secuencia preestablecida de eventos para facilitar la continuación o recuperación de funciones de negocios, servicios de tecnología, redes de comunicación y edificios.
Pág 6
¿Qué hacer en una emergencia?
¿A dónde voy?¡Mi casa está destruida, no puedo llegar!
Necesito suministros y una PC para trabajar.
Todos mis archivos se perdieron, ¿qué hago ahora?
¿Cómo me comunico con mis clientes?
¿Qué les digo a mis clientes?
¿Qué le digo a los periodistas?
¿Cómo me comunico con mis empleados y les digo a donde llegar?
Pág 7
Lo crítico para nuestro negocio
¿Quién lo hará y cómo?
Tareas Equipos de Trabajo
Empleados
PROCESOS
Proveedores
Clientes
Localidades
¿Qué Recursos se Requieren?
Equipo Suministros Registros Vitales
Activos
Software Telecom
¿Qué conforma un Plan de Continuidad del Negocio?
Pág 8
Continuidad de Negocios: ¿Qué interrelación hay?
Fuente: National Institute of Standards and Technology (NIST) - USA
Pág 9
Si la participación es incompleta…
Pág 10
Reubicando personal
Site Recovery Planning
Business Continuity
Management
Administración
Business Continuity Planning
Work Area Recovery Planning
Human Resources
Planning
Technology Recovery Planning
CrisisManagement
Planning
Salvataje y recuperación del
sitio
“Business as Usual”
Personal crítico
Restaurando los servicios de TI
Administrando la crisis
Fuente: Business Continuity Institute (BCI)
BCP – No es un papel, es un programa en vivo
Implementación del BCP
Pág 12
Caso de ejemplo: Metodología PR4 de Strohl
Reparar/Restaurar Facilidades y ContenidosRegreso a Casa
Recuperar Todas las Demás Operaciones
Reanudar las Operaciones Sensibles alTiempo en la Localidad Alterna
Manejo de CrisisContener el DañoActivar Organización de Recuperación
Protección de los Activos CorporativosManejo de Riesgos
RRECUPERACIONECUPERACION
RREANUDACIONEANUDACION
RRESPUESTAESPUESTA
PPREVENCIONREVENCION
RRESTAURACIONESTAURACIONPR4
Pág 13
Organización de los planes: Metodología PR4
Prevención
Respuesta
Restauración
ANTES DURANTE DESPUES
PROCESOS
INSTALACIONES
Reanudación
Vuelta a la Normalidad
Recuperación Decisión
Pág 14
Enfoque Metodológico
Estruc-tura de
BCM
Análisis de
Impacto al
Negocio
Creación y
manteni-miento
continuo
Pruebas, Inciden-cias e Indica-dores
Org
an
izació
n
Pri
ori
zació
n
Pla
nes
Cu
mp
lim
ien
to
2 3 5 6
Business Impact Analysis Desarrollo del Plan de Continuidad
Desarrollo del Plan de Recuperación de Desastres
Estra-tegia
departa-mental
Estr
ate
gia
s
4
Plan Estratégico y Plan Comunicacional1
Documentación, Seguridad y Auditoría
Mejora Continua
Pág 15
Pasos 1 y 2: Plan Estratégico y Estructura BCM
Definición de alcance por áreas y/o procesos:
La organización delimita el alcance y se establece un programa de trabajo para realizar el BCP
Sede
Adminis-tración
Présta-mos
Pasivos
Teso-rería
OtrosTI
Alcance 2: BCP Áreas principales Alcance 1: DRP
Alcance 3: BCP Otras áreas
Estruc-tura de
BCM
Análisis de
Impacto al Negocio
Creación y manteni-miento
continuo
Pruebas, Inciden-cias e Indica-dores
Org
an
izació
n
Pri
ori
zació
n
Pla
nes
Cu
mp
lim
ien
to
2 3 5 6
Business Impact Analisys Desarrollo del Plan de Continuidad
Estra-tegia
departa-mental
Estr
ate
gia
s
4
Plan Estratégico y Plan Comunicacional1
Mejora Continua
Pág 16
Paso 3: Análisis de Impacto al Negocio (cont.)
El “Business Impact Analysis (BIA)”:
Permitirá identificar y priorizar en función del impacto económico u operacional al negocio, lo siguiente:
• Funciones y/o procesos críticos
• Tiempo de recuperación objetivo - “Recovery Time Objective (RTO)”
• Información crítica
• Sistemas y aplicaciones críticas
• Recursos requeridos
Estruc-tura de
BCM
Análisis de
Impacto al Negocio
Creación y manteni-miento
continuo
Pruebas, Inciden-cias e Indica-dores
Org
an
izació
n
Pri
ori
zació
n
Pla
nes
Cu
mp
lim
ien
to
2 3 5 6
Business Impact Analisys Desarrollo del Plan de Continuidad
Estra-tegia
departa-mental
Estr
ate
gia
s
4
Plan Estratégico y Plan Comunicacional1
Mejora Continua
Pág 17
Ejemplo de un análisis BIA
LDRPSFunctionID
FunctionName
Mailzone Risk Code
F = FinancialC = CustomerR = Regulatory
Time beforeimpact
0 = > 3 days
1 = 3 days
5 = 2 days
10 = day 1
20 = 4hours
40 = immediate
CustomerImpact
0 = none
1 = Low
3 = Med
5 = High
RegulatoryImpact
0 = none
1 = Low
3 = Med
5 = High
FinancialImpact
0 = none
1= 0 to 10K
2 = >10K but <100K
3 = >100K but<500K
4 = > 500K but< 1 Mil
5 = > 1 Mil
RatingTotal
Sum of1 thru 4
RecoveryTimeSensitivityCode
Alt. site
Pág 18
Paso 4: Definición de la estrategia
Evaluar y presentar estrategias para el desarrollo de planes:
Permitirá a la organización la selección de la(s) alternativa(s) más conveniente(s) en función de tiempo/costo/necesidad:
– Hot site– Cold site– Outsourcing– In house, etc.– Backups
Estruc-tura de
BCM
Análisis de
Impacto al Negocio
Creación y manteni-miento
continuo
Pruebas, Inciden-cias e Indica-dores
Org
an
izació
n
Pri
ori
zació
n
Pla
nes
Cu
mp
lim
ien
to
2 3 5 6
Business Impact Analisys Desarrollo del Plan de Continuidad
Estra-tegia
departa-mental
Estr
ate
gia
s
4
Plan Estratégico y Plan Comunicacional1
Mejora Continua
Pág 19
Desarrollar y mantener los planes:
De manera coordinada, en función de la(s) estrategia(s) y de los recursos asignados:
– Implementar la función de Business Continuity Management
– Elaborar los Planes de Continuidad del Negocio
– Definir los procedimientos para el mantenimiento y actualización periódica de los planes
Paso 5: Elaboración y mantenimiento continuo
Estruc-tura de
BCM
Análisis de
Impacto al Negocio
Creación y manteni-miento
continuo
Pruebas, Inciden-cias e Indica-dores
Org
an
izació
n
Pri
ori
zació
n
Pla
nes
Cu
mp
lim
ien
to
2 3 5 6
Business Impact Analisys Desarrollo del Plan de Continuidad
Estra-tegia
departa-mental
Estr
ate
gia
s
4
Plan Estratégico y Plan Comunicacional1
Mejora Continua
Pág 20
Se realizan con el objetivo de:
• Probar y evaluar la funcionalidad del plan
• Capacitar y ejercitar al personal en su utilización
• Asegurar la disponibilidad de los recursos
• Identificar ajustes por cambios en las organizaciones/funciones
Paso 6: Pruebas periódicas
Estruc-tura de
BCM
Análisis de
Impacto al Negocio
Creación y manteni-miento
continuo
Pruebas, Inciden-cias e Indica-dores
Org
an
izació
n
Pri
ori
zació
n
Pla
nes
Cu
mp
lim
ien
to
2 3 5 6
Business Impact Analisys Desarrollo del Plan de Continuidad
Estra-tegia
departa-mental
Estr
ate
gia
s
4
Plan Estratégico y Plan Comunicacional1
Mejora Continua
Pág 21
¿Cómo queremos estar cuando ocurra una contingencia?
Top Related