Continuidad de Negocio

707 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
707
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
31
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Continuidad de Negocio

  1. 1. @ FIST Conference September/Madrid 2005 Continuidad de Negocio Manuel BallesterManuel Ballester IEEE,MBA,CISA,CISM
  2. 2. Reflexión Inicial “El tiempo de la reflexión es una economía de tiempo” Siro , Publius (Siglo I A.C.)Manuel Ballester IEEE,MBA,CISA,CISM
  3. 3. Contenido Proceso de planificación de la continuidad del negocio /recuperación frente a desastres Análisis de Impacto en el negocio (BIA) Clasificación de Operaciones, Análisis Criticidad Objetivo Punto Recuperación (RPO) y Objetivo Tiempo de Recuperación (RTO) Estrategias de RecuperaciónManuel Ballester IEEE,MBA,CISA,CISM
  4. 4. Contenido Alternativas de Recuperación Desarrollo de (BCP y DRP) Organización y Asignación de Responsables Otros aspectos del Desarrollo del Plan Componentes Claves de un BCP Pruebas del Plan ResumenManuel Ballester IEEE,MBA,CISA,CISM
  5. 5. Antecedentes A pesar de los efectos negativos en las organizaciones, muchas empresas aún no toman medidas para contar con planes que les permitan lograr la Continuidad del Negocio. • 72% de todos los negocios tienen alguna de estas condiciones: – No tienen Plan de Continuidad del Negocio. – Si lo tienen, nunca lo han probado. – Su Plan falló cuándo lo probaron. • Solamente 18% de los datos de usuario final están protegidos. * *VERITAS Disaster Recovery Survey 2004.Manuel Ballester IEEE,MBA,CISA,CISM
  6. 6. Proceso de planificación de la continuidad del negocio /recuperación frente a desastres Los desastres: Impactan adversamente las operaciones del negocio Interrumpen la operación de procesamiento de información crítica No todas las interrupciones son desastres Tipos de desastres e interrupciones Causas de interrupción del servicioManuel Ballester IEEE,MBA,CISA,CISM
  7. 7. Análisis del Impacto sobre el Negocio (BIA) Criticidad de los recursos de información Participación del personal de SI y los usuarios finales Análisis de todos los tipos de recursos de información Tres aspectos claves para el análisis: Criticidad de los recursos de información relacionados con los procesos críticos del negocio Período de tiempo de recuperación crítico antes de incurrir en pérdidas significativas Sistema de clasificación de riesgosManuel Ballester IEEE,MBA,CISA,CISM
  8. 8. Análisis del Impacto sobre el Negocio (BIA)Manuel Ballester IEEE,MBA,CISA,CISM
  9. 9. Clasificación de Operaciones, Análisis CriticidadManuel Ballester IEEE,MBA,CISA,CISM
  10. 10. Objetivo Punto Recuperación (RPO) y Objetivo Tiempo de Recuperación (RTO)Manuel Ballester IEEE,MBA,CISA,CISM
  11. 11. Estrategias de Recuperación Una estrategia de Recuperación es una combinación de medidas preventivas, detectivas y correctivas - Eliminar la amenaza completamente - Minimizar la probabilidad de que ocurra - Minimizar el efectoManuel Ballester IEEE,MBA,CISA,CISM
  12. 12. Estrategias de Recuperación Identificar las estrategias de recuperación La criticidad de los procesos del negocio y aplicaciones que soportan los procesos Coste Tiempo requerido para la recuperación SeguridadManuel Ballester IEEE,MBA,CISA,CISM
  13. 13. Estrategias de RecuperaciónManuel Ballester IEEE,MBA,CISA,CISM
  14. 14. Alternativas de Recuperación Las interrupciones más prolongadas y más costosas, en particular los desastres que afectan a las instalaciones, requieren recuperación (offsite)Manuel Ballester IEEE,MBA,CISA,CISM
  15. 15. Alternativas de Recuperación Tipos de instalaciones de respaldo Hardware alternativos Hot Sites Warm Sites Cold Sites Instalaciones de procesamiento duplicados Sitios Móviles Acuerdos recíprocos con otras organizacionesManuel Ballester IEEE,MBA,CISA,CISM
  16. 16. Alternativas de RecuperaciónManuel Ballester IEEE,MBA,CISA,CISM
  17. 17. Desarrollo de (BCP y DRP) Basado en en BIA y la estrategia de recuperación seleccionada por la gerencia Debería abarcar todos los temas involucrados en la recuperación de un desastre Debería resolver todos los problemas involucrados en la interrupción del negocioManuel Ballester IEEE,MBA,CISA,CISM
  18. 18. Desarrollo de (BCP y DRP) Factores que se deben considerar: Estar preparados antes de un desastre cubriendo todas las incidencias Procedimientos de evacuación Procedimientos para declarar desastres Circunstancias en que se debe declarar desastre Clara identificación de responsabilidades en el planManuel Ballester IEEE,MBA,CISA,CISM
  19. 19. Desarrollo de (BCP y DRP) Factores que se deben considerar: Clara identificación de personas y funciones en el plan Clara identificación de información de los contratos Explicación paso a paso de la recuperación Clara identificación de recursos necesarios Aplicación paso por paso de la etapa de recuperaciónManuel Ballester IEEE,MBA,CISA,CISM
  20. 20. Organización y asignación de responsabilidades Equipo de respuesta a incidentes Equipo de atención de emergencias Equipo de determinación de los daños Equipo de administración de la emergenciaManuel Ballester IEEE,MBA,CISA,CISM
  21. 21. Organización y asignación de responsabilidades Equipo de almacenamiento externo Equipo de software Equipo de aplicaciones Equipo de seguridad Equipo de operaciones de emergenciaManuel Ballester IEEE,MBA,CISA,CISM
  22. 22. Organización y asignación de responsabilidades Equipo de recuperación de red Equipo de Comunicaciones Equipo de Transporte Equipo de Hardware de Usuario Equipo de preparación de datos y registros Equipo de soporte administrativoManuel Ballester IEEE,MBA,CISA,CISM
  23. 23. Organización y asignación de responsabilidades Equipo de suministros Equipo de salvamento Equipo de reubicación Equipo de Coordinación Equipo de Asuntos Legales Equipo de prueba de recuperación Equipo de EntrenamientoManuel Ballester IEEE,MBA,CISA,CISM
  24. 24. Otros aspectos del Desarrollo del Plan Los componentes de este plan incluyen: Personal clave para toma de decisiones Información de contacto Respaldo de los suministros requeridos Configuración de las instalaciones Mesas, sillas, teléfonos… Métodos de recuperación de desastres para redes de telecomunicacionesManuel Ballester IEEE,MBA,CISA,CISM
  25. 25. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Incluyen: Plan de Continuidad de negocio (BCP) Plan de Recuperación de Negocio (BRP) Plan de Continuidad de Operaciones (COOP) Plan de Soporte de ContinuidadManuel Ballester IEEE,MBA,CISA,CISM
  26. 26. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Incluyen: Plan de Contingencia T.I. Plan de Comunicación de Crísis Plan de Respuestas a incidentes Plan de Recuperación del desastre (DRP) Plan de Emergencia de ocupantes (OEP)Manuel Ballester IEEE,MBA,CISA,CISM
  27. 27. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Para las fases de planificación, implementación y evaluación se debe acordar: Metas/requerimientos/productos de cada fase Instalaciones alternativas para las tareas y operaciones Recursos de información crítica a instalar Personas responsables de su ejecución Recursos disponibles para Plan de ejecución Cronograma de actividades y prioridadesManuel Ballester IEEE,MBA,CISA,CISM
  28. 28. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP)Personal Clave para la toma de decisiones Lista de prioridades de contactos Teléfonos y direcciones de personas críticas a contactar Teléfonos y direcciones de representantes de los equipos y software Teléfonos de suministradores de equipos y serviciosManuel Ballester IEEE,MBA,CISA,CISM
  29. 29. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Personal Clave para la toma de decisiones Teléfonos de personas en sitio de recuperación Teléfonos de personas instalaciones de almacenamiento externo Teléfonos de agentes de seguros Teléfonos de personas de empresas contratadas Teléfonos de agencias legalesManuel Ballester IEEE,MBA,CISA,CISM
  30. 30. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Respaldo de los suministros Requeridos Procedimientos escritos, detallados y actualizados Formularios requeridos Pedidos Albaranes Facturas Considerar conexiones con otros sistemasManuel Ballester IEEE,MBA,CISA,CISM
  31. 31. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Métodos de prevención para redes: Redundancia Enrutamiento alternativo Diversidad de red de largo alcance Protección del circuito de "Último Kilómetro" Recuperación de vozManuel Ballester IEEE,MBA,CISA,CISM
  32. 32. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Métodos de recuperación frente a desastres para servidores - Suministro de dos proveedores de energía - Uso de generadores eléctricos (gasoleo) - Uso de Sistemas ininterumpidos (SAI)Manuel Ballester IEEE,MBA,CISA,CISM
  33. 33. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Servidores tolerantes a fallos Redundantes Cluster Balanceo de cargaManuel Ballester IEEE,MBA,CISA,CISM
  34. 34. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Seguros Equipo de SI e instalaciones Reconstrucción de medios (software) Gastos adicionales Interrupción del negocioManuel Ballester IEEE,MBA,CISA,CISM
  35. 35. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP)Manuel Ballester IEEE,MBA,CISA,CISM
  36. 36. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP)Manuel Ballester IEEE,MBA,CISA,CISM
  37. 37. Pruebas del Plan Especificaciones Medir la habilidad y capacidad del lugar de respaldo Evaluar la capacidad de recuperación de registros vitales Evaluar estado y cantidad de equipos y suministros en el lugar de recuperación Medir el desempeño general de actividades operativas y de sistemas relacionados con el negocioManuel Ballester IEEE,MBA,CISA,CISM
  38. 38. Pruebas del Plan Especificaciones Verificar si el plan es completo y preciso Evaluar el desempeño del personal involucrado Evaluar el entrenamiento y conocimiento del personal que no pertenece al negocio Evaluar la coordinación entre equipo continuidad y proveedores externosManuel Ballester IEEE,MBA,CISA,CISM
  39. 39. Pruebas del Plan Realización de Pruebas Etapas Pre-Prueba Prueba Post-Prueba Tipos de Prueba Prueba sobre papel Prueba del estado de preparación Prueba operativa completaManuel Ballester IEEE,MBA,CISA,CISM
  40. 40. Pruebas del Plan Documentación de los resultados Análisis de resultados Tiempo Cantidad Conteo ExactitudManuel Ballester IEEE,MBA,CISA,CISM
  41. 41. Pruebas del Plan Mantenimiento del plan Factores que impactan - Cambios en la organización - Nuevos recursos/aplicaciones - Cambios en la estrategia del negocio - Cambios en software o hardwareManuel Ballester IEEE,MBA,CISA,CISM
  42. 42. Pruebas del Plan Mantenimiento del plan Responsabilidades del plan incluyen - Desarrollar un plan para revisión y mantenimiento periódico - Exigir revisiones no programadas ante cambios significativos - Examinar las revisiones y actualizarlas después de las revisiones - Coordinar pruebas programadas y no programadas evaluar suficiencia - Participar en las pruebas anualesManuel Ballester IEEE,MBA,CISA,CISM
  43. 43. Pruebas del Plan Mantenimiento del plan Responsabilidades del plan incluyen Desarrollar un programa de entrenamiento - Mantener registro de las actividades de - Mantenimiento - Pruebas - Entrenamiento - Revisiones - Actualizar, por lo menos trimestralmente, lista de contactosManuel Ballester IEEE,MBA,CISA,CISM
  44. 44. Pruebas del PlanManuel Ballester IEEE,MBA,CISA,CISM
  45. 45. RESUMEN - Preparar análisis de impacto del negocio - Identificar y clasificar sistemas y recursos (críticos) - Escoger estrategias apropiadas para la recuperación - Desarrollar un plan detallado para recuperar instalaciones (TIC) - Desarrollar un plan detallado para las funciones críticas - Probar los planes - Mantener actualizados los planesManuel Ballester IEEE,MBA,CISA,CISM
  46. 46. Reflexión Final “Lo que no es útil para la colmena no es útil para la abeja” Marco Aurelio (121-180 D.C.)Manuel Ballester IEEE,MBA,CISA,CISM
  47. 47. Creative Commons Attribution-NoDerivs 2.0 You are free: •to copy, distribute, display, and perform this work •to make commercial use of this work Under the following conditions: Attribution. You must give the original author credit. No Derivative Works. You may not alter, transform, or build upon this work. For any reuse or distribution, you must make the license terms of this work clear to others. Any of these conditions can be waived if you get permission from the author. Your fair use and other rights are in no way affected by the above. This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.Manuel Ballester IEEE,MBA,CISA,CISM
  48. 48. @ Muchas Gracias FIST Conference www.fistconference.org Manuel Ballester Madrid, September 2005 mballester@borrmart.esManuel Ballester IEEE,MBA,CISA,CISM

×