• Like
Continuidad de Negocio
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Continuidad de Negocio

  • 481 views
Published

 

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
481
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
25
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. @ FIST Conference September/Madrid 2005 Continuidad de Negocio Manuel BallesterManuel Ballester IEEE,MBA,CISA,CISM
  • 2. Reflexión Inicial “El tiempo de la reflexión es una economía de tiempo” Siro , Publius (Siglo I A.C.)Manuel Ballester IEEE,MBA,CISA,CISM
  • 3. Contenido Proceso de planificación de la continuidad del negocio /recuperación frente a desastres Análisis de Impacto en el negocio (BIA) Clasificación de Operaciones, Análisis Criticidad Objetivo Punto Recuperación (RPO) y Objetivo Tiempo de Recuperación (RTO) Estrategias de RecuperaciónManuel Ballester IEEE,MBA,CISA,CISM
  • 4. Contenido Alternativas de Recuperación Desarrollo de (BCP y DRP) Organización y Asignación de Responsables Otros aspectos del Desarrollo del Plan Componentes Claves de un BCP Pruebas del Plan ResumenManuel Ballester IEEE,MBA,CISA,CISM
  • 5. Antecedentes A pesar de los efectos negativos en las organizaciones, muchas empresas aún no toman medidas para contar con planes que les permitan lograr la Continuidad del Negocio. • 72% de todos los negocios tienen alguna de estas condiciones: – No tienen Plan de Continuidad del Negocio. – Si lo tienen, nunca lo han probado. – Su Plan falló cuándo lo probaron. • Solamente 18% de los datos de usuario final están protegidos. * *VERITAS Disaster Recovery Survey 2004.Manuel Ballester IEEE,MBA,CISA,CISM
  • 6. Proceso de planificación de la continuidad del negocio /recuperación frente a desastres Los desastres: Impactan adversamente las operaciones del negocio Interrumpen la operación de procesamiento de información crítica No todas las interrupciones son desastres Tipos de desastres e interrupciones Causas de interrupción del servicioManuel Ballester IEEE,MBA,CISA,CISM
  • 7. Análisis del Impacto sobre el Negocio (BIA) Criticidad de los recursos de información Participación del personal de SI y los usuarios finales Análisis de todos los tipos de recursos de información Tres aspectos claves para el análisis: Criticidad de los recursos de información relacionados con los procesos críticos del negocio Período de tiempo de recuperación crítico antes de incurrir en pérdidas significativas Sistema de clasificación de riesgosManuel Ballester IEEE,MBA,CISA,CISM
  • 8. Análisis del Impacto sobre el Negocio (BIA)Manuel Ballester IEEE,MBA,CISA,CISM
  • 9. Clasificación de Operaciones, Análisis CriticidadManuel Ballester IEEE,MBA,CISA,CISM
  • 10. Objetivo Punto Recuperación (RPO) y Objetivo Tiempo de Recuperación (RTO)Manuel Ballester IEEE,MBA,CISA,CISM
  • 11. Estrategias de Recuperación Una estrategia de Recuperación es una combinación de medidas preventivas, detectivas y correctivas - Eliminar la amenaza completamente - Minimizar la probabilidad de que ocurra - Minimizar el efectoManuel Ballester IEEE,MBA,CISA,CISM
  • 12. Estrategias de Recuperación Identificar las estrategias de recuperación La criticidad de los procesos del negocio y aplicaciones que soportan los procesos Coste Tiempo requerido para la recuperación SeguridadManuel Ballester IEEE,MBA,CISA,CISM
  • 13. Estrategias de RecuperaciónManuel Ballester IEEE,MBA,CISA,CISM
  • 14. Alternativas de Recuperación Las interrupciones más prolongadas y más costosas, en particular los desastres que afectan a las instalaciones, requieren recuperación (offsite)Manuel Ballester IEEE,MBA,CISA,CISM
  • 15. Alternativas de Recuperación Tipos de instalaciones de respaldo Hardware alternativos Hot Sites Warm Sites Cold Sites Instalaciones de procesamiento duplicados Sitios Móviles Acuerdos recíprocos con otras organizacionesManuel Ballester IEEE,MBA,CISA,CISM
  • 16. Alternativas de RecuperaciónManuel Ballester IEEE,MBA,CISA,CISM
  • 17. Desarrollo de (BCP y DRP) Basado en en BIA y la estrategia de recuperación seleccionada por la gerencia Debería abarcar todos los temas involucrados en la recuperación de un desastre Debería resolver todos los problemas involucrados en la interrupción del negocioManuel Ballester IEEE,MBA,CISA,CISM
  • 18. Desarrollo de (BCP y DRP) Factores que se deben considerar: Estar preparados antes de un desastre cubriendo todas las incidencias Procedimientos de evacuación Procedimientos para declarar desastres Circunstancias en que se debe declarar desastre Clara identificación de responsabilidades en el planManuel Ballester IEEE,MBA,CISA,CISM
  • 19. Desarrollo de (BCP y DRP) Factores que se deben considerar: Clara identificación de personas y funciones en el plan Clara identificación de información de los contratos Explicación paso a paso de la recuperación Clara identificación de recursos necesarios Aplicación paso por paso de la etapa de recuperaciónManuel Ballester IEEE,MBA,CISA,CISM
  • 20. Organización y asignación de responsabilidades Equipo de respuesta a incidentes Equipo de atención de emergencias Equipo de determinación de los daños Equipo de administración de la emergenciaManuel Ballester IEEE,MBA,CISA,CISM
  • 21. Organización y asignación de responsabilidades Equipo de almacenamiento externo Equipo de software Equipo de aplicaciones Equipo de seguridad Equipo de operaciones de emergenciaManuel Ballester IEEE,MBA,CISA,CISM
  • 22. Organización y asignación de responsabilidades Equipo de recuperación de red Equipo de Comunicaciones Equipo de Transporte Equipo de Hardware de Usuario Equipo de preparación de datos y registros Equipo de soporte administrativoManuel Ballester IEEE,MBA,CISA,CISM
  • 23. Organización y asignación de responsabilidades Equipo de suministros Equipo de salvamento Equipo de reubicación Equipo de Coordinación Equipo de Asuntos Legales Equipo de prueba de recuperación Equipo de EntrenamientoManuel Ballester IEEE,MBA,CISA,CISM
  • 24. Otros aspectos del Desarrollo del Plan Los componentes de este plan incluyen: Personal clave para toma de decisiones Información de contacto Respaldo de los suministros requeridos Configuración de las instalaciones Mesas, sillas, teléfonos… Métodos de recuperación de desastres para redes de telecomunicacionesManuel Ballester IEEE,MBA,CISA,CISM
  • 25. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Incluyen: Plan de Continuidad de negocio (BCP) Plan de Recuperación de Negocio (BRP) Plan de Continuidad de Operaciones (COOP) Plan de Soporte de ContinuidadManuel Ballester IEEE,MBA,CISA,CISM
  • 26. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Incluyen: Plan de Contingencia T.I. Plan de Comunicación de Crísis Plan de Respuestas a incidentes Plan de Recuperación del desastre (DRP) Plan de Emergencia de ocupantes (OEP)Manuel Ballester IEEE,MBA,CISA,CISM
  • 27. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Para las fases de planificación, implementación y evaluación se debe acordar: Metas/requerimientos/productos de cada fase Instalaciones alternativas para las tareas y operaciones Recursos de información crítica a instalar Personas responsables de su ejecución Recursos disponibles para Plan de ejecución Cronograma de actividades y prioridadesManuel Ballester IEEE,MBA,CISA,CISM
  • 28. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP)Personal Clave para la toma de decisiones Lista de prioridades de contactos Teléfonos y direcciones de personas críticas a contactar Teléfonos y direcciones de representantes de los equipos y software Teléfonos de suministradores de equipos y serviciosManuel Ballester IEEE,MBA,CISA,CISM
  • 29. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Personal Clave para la toma de decisiones Teléfonos de personas en sitio de recuperación Teléfonos de personas instalaciones de almacenamiento externo Teléfonos de agentes de seguros Teléfonos de personas de empresas contratadas Teléfonos de agencias legalesManuel Ballester IEEE,MBA,CISA,CISM
  • 30. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Respaldo de los suministros Requeridos Procedimientos escritos, detallados y actualizados Formularios requeridos Pedidos Albaranes Facturas Considerar conexiones con otros sistemasManuel Ballester IEEE,MBA,CISA,CISM
  • 31. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Métodos de prevención para redes: Redundancia Enrutamiento alternativo Diversidad de red de largo alcance Protección del circuito de "Último Kilómetro" Recuperación de vozManuel Ballester IEEE,MBA,CISA,CISM
  • 32. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Métodos de recuperación frente a desastres para servidores - Suministro de dos proveedores de energía - Uso de generadores eléctricos (gasoleo) - Uso de Sistemas ininterumpidos (SAI)Manuel Ballester IEEE,MBA,CISA,CISM
  • 33. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Servidores tolerantes a fallos Redundantes Cluster Balanceo de cargaManuel Ballester IEEE,MBA,CISA,CISM
  • 34. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Seguros Equipo de SI e instalaciones Reconstrucción de medios (software) Gastos adicionales Interrupción del negocioManuel Ballester IEEE,MBA,CISA,CISM
  • 35. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP)Manuel Ballester IEEE,MBA,CISA,CISM
  • 36. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP)Manuel Ballester IEEE,MBA,CISA,CISM
  • 37. Pruebas del Plan Especificaciones Medir la habilidad y capacidad del lugar de respaldo Evaluar la capacidad de recuperación de registros vitales Evaluar estado y cantidad de equipos y suministros en el lugar de recuperación Medir el desempeño general de actividades operativas y de sistemas relacionados con el negocioManuel Ballester IEEE,MBA,CISA,CISM
  • 38. Pruebas del Plan Especificaciones Verificar si el plan es completo y preciso Evaluar el desempeño del personal involucrado Evaluar el entrenamiento y conocimiento del personal que no pertenece al negocio Evaluar la coordinación entre equipo continuidad y proveedores externosManuel Ballester IEEE,MBA,CISA,CISM
  • 39. Pruebas del Plan Realización de Pruebas Etapas Pre-Prueba Prueba Post-Prueba Tipos de Prueba Prueba sobre papel Prueba del estado de preparación Prueba operativa completaManuel Ballester IEEE,MBA,CISA,CISM
  • 40. Pruebas del Plan Documentación de los resultados Análisis de resultados Tiempo Cantidad Conteo ExactitudManuel Ballester IEEE,MBA,CISA,CISM
  • 41. Pruebas del Plan Mantenimiento del plan Factores que impactan - Cambios en la organización - Nuevos recursos/aplicaciones - Cambios en la estrategia del negocio - Cambios en software o hardwareManuel Ballester IEEE,MBA,CISA,CISM
  • 42. Pruebas del Plan Mantenimiento del plan Responsabilidades del plan incluyen - Desarrollar un plan para revisión y mantenimiento periódico - Exigir revisiones no programadas ante cambios significativos - Examinar las revisiones y actualizarlas después de las revisiones - Coordinar pruebas programadas y no programadas evaluar suficiencia - Participar en las pruebas anualesManuel Ballester IEEE,MBA,CISA,CISM
  • 43. Pruebas del Plan Mantenimiento del plan Responsabilidades del plan incluyen Desarrollar un programa de entrenamiento - Mantener registro de las actividades de - Mantenimiento - Pruebas - Entrenamiento - Revisiones - Actualizar, por lo menos trimestralmente, lista de contactosManuel Ballester IEEE,MBA,CISA,CISM
  • 44. Pruebas del PlanManuel Ballester IEEE,MBA,CISA,CISM
  • 45. RESUMEN - Preparar análisis de impacto del negocio - Identificar y clasificar sistemas y recursos (críticos) - Escoger estrategias apropiadas para la recuperación - Desarrollar un plan detallado para recuperar instalaciones (TIC) - Desarrollar un plan detallado para las funciones críticas - Probar los planes - Mantener actualizados los planesManuel Ballester IEEE,MBA,CISA,CISM
  • 46. Reflexión Final “Lo que no es útil para la colmena no es útil para la abeja” Marco Aurelio (121-180 D.C.)Manuel Ballester IEEE,MBA,CISA,CISM
  • 47. Creative Commons Attribution-NoDerivs 2.0 You are free: •to copy, distribute, display, and perform this work •to make commercial use of this work Under the following conditions: Attribution. You must give the original author credit. No Derivative Works. You may not alter, transform, or build upon this work. For any reuse or distribution, you must make the license terms of this work clear to others. Any of these conditions can be waived if you get permission from the author. Your fair use and other rights are in no way affected by the above. This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.Manuel Ballester IEEE,MBA,CISA,CISM
  • 48. @ Muchas Gracias FIST Conference www.fistconference.org Manuel Ballester Madrid, September 2005 mballester@borrmart.esManuel Ballester IEEE,MBA,CISA,CISM