Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Plan de Continuidad de Negocio - Parte 1 de 2

333 views

Published on

Primera de 2 presentaciones Plan de Continuidad de Negocio.

En esta primera presentación se desarrollan todos estos temas:
1. Contingencias y Resiliencia organizacional
2. DRP y BCP
3. Plan de Continuidad de Negocio: Principios generales
4. Estructura y fases de un Plan de Continuidad del Negocio
5. Business Impact Analysis (BIA)

Published in: Business
  • Be the first to comment

  • Be the first to like this

Plan de Continuidad de Negocio - Parte 1 de 2

  1. 1. 1 ramirocid.com Ramiro Cid | @ramirocid Plan de Continuidad de Negocio Primera parte
  2. 2. 2 ramirocid.com 2 Índice 1. Contingencias y Resiliencia organizacional Slide 3 2. DRP y BCP Slide 15 3. Plan de Continuidad de Negocio: Principios generales Slide 30 4. Estructura y fases de un Plan de Continuidad del Negocio Slide 57 5. Business Impact Analysis (BIA) Slide 71
  3. 3. 3 ramirocid.com 1. Contingencias y Resiliencia organizacional
  4. 4. 4 ramirocid.com “El único sistema que es realmente seguro es uno apagado y desconectado de la red, encerrado en una caja fuerte forrada de titanio, enterrado en un bunker, rodeado de gas nervioso y custodiado por guardas armados y muy bien pagados. Incluso entonces, no daría mi vida por ello…” Gene Spafford Director de Computer Operations, Audit, and Security Technology (COAST), Universidad de Purdue Introducción 4
  5. 5. 5 ramirocid.com Introducción 5
  6. 6. 6 ramirocid.com Posibles tipos de desastres
  7. 7. 7 ramirocid.com Posibles tipos de desastres 7 Torre Windsor
  8. 8. 8 ramirocid.com Posibles tipos de desastres
  9. 9. 9 ramirocid.com Ejemplo de contingencias 9 09 de septiembre de 2017 – La Razón 12 de mayo de 2017 – El Periódico de Catalunya
  10. 10. 10 ramirocid.com Ejemplo de contingencias 10 10 de julio de 2015 – El Periódico de Catalunya
  11. 11. 11 ramirocid.com Posibles tipos de desastres (contingencias) 11
  12. 12. 12 ramirocid.com Este concepto proviene de las características físicas de los materiales (es un concepto físico), relacionado con la capacidad de recuperación de un material para absorber energía cuando se deforma elásticamente, y liberando esa energía al descargarla, volviendo a su forma inicial, previa a la energía que provocó su cambio. La resiliencia a prueba se define como la energía máxima que se puede absorber dentro del límite elástico, sin crear una distorsión permanente. Resiliencia 12
  13. 13. 13 ramirocid.com 13 Ahora que entendemos lo que significa resiliencia, estamos listos para comprender el significado de "Resiliencia organizativa”. El mismo concepto utilizado en "Resiliencia organizativa" también se puede usar para la seguridad cibernética o " “Cyber Resiliencia”. Una organización está protegida con diferentes "controles cibernéticos" (parte de los controles de seguridad de TI) para obtener una adecuada "Resistencia cibernética", sin crear una distorsión permanente en la organización de acuerdo con el apetito de riesgo de la organización. Resiliencia en Cyber Security
  14. 14. 14 ramirocid.com 14 Al agregar más controles y desarrollarlos (relacionados con “seguridad cibernética”), podemos mejorar nuestra capacidad de recuperación o Cyber Resiliencia. Por otro lado, contar con un gran número de controles Cyber no garantizará una Resistencia de Ciberseguridad adecuada si tenemos un gobierno de seguridad de TI de baja madurez. Tener un buen gobierno de seguridad de TI puede brindar buenas opciones para llegar a una buena administración de seguridad de TI, que es el tema más importante para obtener una buena resiliencia de seguridad cibernética (como consecuencia de ello). Resiliencia en Cyber Security
  15. 15. 15 ramirocid.com 2. DRP y BCP
  16. 16. 16 ramirocid.com “Dentro y fuera del ring, no tiene nada de malo caer, lo malo es quedarse abajo”. Muhammad Ali Ex Boxeador. Campeón del mundo. DRP y BCP
  17. 17. 17 ramirocid.com 1)¿Cuál sería el impacto para una organización financiera (un banco) si la aplicación de banca electrónica o los cajeros “se cayeran” un día al mes?. 2)¿Cómo se dañaría la reputación de una empresa de transportes si su sistema de venta de pasajes “se cayera” durante el período cercano a la “operación salida?. 3)¿Cuánto dinero podría perder una cadena de autoservicio sí cada 2 horas la infraestructura de su punto de venta “se cae”?. DRP y BCP
  18. 18. 18 ramirocid.com Disaster Recovery Plan (DRP): Alcance: Contempla un entorno limitado, puede ser una aplicación, un servicio, un proceso crítico, un área, un data center, etc. Internamente: Son los procedimientos utilizados por los administradores (de sistemas o de una parte del negocio/proceso) relacionados con la restauración de las condiciones normales de flujo de trabajo. Diferencia entre DRP y BCP
  19. 19. 19 ramirocid.com Business Continuity Plan (BCP): Alcance: Es toda la organización. Un BCP es mucho más que una sumatoria de todos los DRP, debe tener un BIA, un análisis de riesgos, plan de comunicación ante emergencias, un SGCN, un comité de SGCN, un manager del SGCN y la implicación completa de dirección. Internamente: Es lo que los usuarios finales (es decir todos/as) deben realizar para mantener la producción normal de negocios sí el flujo de trabajo se interrumpe. Diferencia entre DRP y BCP
  20. 20. 20 ramirocid.com Un DRP define cómo volver a las operaciones normales después de una interrupción del negocio o desastre (es como el “Back office” del SGCN). Se centra en “cómo salir de la contingencia lo antes posible”. Un BCP define cómo operar durante una interrupción del negocio de desastres (es como el “Front end” del SGCN). Se centra en el “como operar mientras estamos en contingencia”. Ambos son necesarios y complementarios. Uno sin el otro es insuficiente para poder garantizar la operatividad y la continuidad de la organización. Diferencia entre DRP y BCP
  21. 21. 21 ramirocid.com El Plan de continuidad del negocio (BCP) es el último eslabón de la cadena y se aplica únicamente para proteger las aplicaciones (del impacto ocasionado por una contingencia) que son vitales para la actividad de la empresa. Diferencia entre DRP y BCP
  22. 22. 22 ramirocid.com Diferencia entre DRP y BCP IS Continuity Management: También conocido como DRP para IS. Es un proceso asociado con los DRP y con responsabilidad de IS. Business Continuity: El BCP está bajo la responsabilidad del negocio.
  23. 23. 23 ramirocid.com Los desastres suceden y pueden causar daños contundentes en las organizaciones, sean estas pequeñas, medianas o grandes. Las empresas pueden sufrir contingencias de impactos similares, sean estas originadas por un fenómeno climatológico, por daños tecnológicos o, incluso, movimientos sociales o culturales, como una manifestación (offline u online), cyberterrorismo, etc. El Universo puede conspirar en nuestra contra
  24. 24. 24 ramirocid.com Infalible: Debe contar con una correcta planeación, una profunda administración (actualización de los planes) del cambio de tecnología, y que sea probado de forma constante. Fácil de justificar: Estas soluciones no sólo son redituables cuando existe una contingencia. Además de reducir los riesgos ante un desastre, fortalecen la operación diaria y optimizan procesos existentes (pero para ello es muy importante la puesta en práctica o testeo del SGCN). Características mínimas de los DRP’s y BCP’s
  25. 25. 25 ramirocid.com Automatizado: En caso de desastre, cabe la posibilidad de que no se pueda acceder a las instalaciones, la infraestructura tecnológica podría no estar disponible y el personal clave podría o no estar en condiciones de operar. Por todo esto, la importancia de mantener un respaldo y automatización de los procesos desde otra sede y con equipo preparado (distintas soluciones existen en el mercado como veremos en otros slides más adelante). Características mínimas de los DRP’s y BCP’s
  26. 26. 26 ramirocid.com Garantizar la operación no es una opción. Los clientes, proveedores, empleados y accionistas (puede haber más actores externos como gobierno, colaboradores externos, distribuidores, etc.) esperan una respuesta sin importar lo que suceda en el exterior. Por ello, contar con un Plan de Continuidad de Negocios (BCP) y Recuperación ante Desastres (DRP) no es un gasto sino una inversión. Características mínimas de los DRP’s y BCP’s
  27. 27. 27 ramirocid.com Reservas de memoria: Sí las cintas de reserva (de contingencia) son llevadas fuera de sitio es necesario controlarlas. Si se usan servicios remotos de contingencia, se requerirá una conexión de red a la posición remota de reserva (o Internet) para poder contar con los datos en caso de contingencia (se puede aplicar al Cloud también). Clientes: La notificación a los clientes sobre el problema (contingencia) que hemos tenido, reduce en gran medida el pánico. Instalaciones: Teniendo sitios calientes o sitios fríos para empresas más grandes. Instalaciones de recuperación móviles están también disponibles en muchos proveedores. Objetivos principales de un DRP
  28. 28. 28 ramirocid.com Trabajadores con conocimiento: Durante la operación posterior a la contingencia, es posible que a los empleados se les requiera trabajar jornadas más largas y agotadoras. Debe haber un sistema de apoyo interno para aliviar de tensión (es importante contar por ello con la implicación de RRHH). La información de negocio: Las copias de seguridad de contingencia deben estar almacenadas completamente separadas de la empresa. La seguridad y la fiabilidad (integridad) de los datos es clave en ocasiones como estas. Objetivos principales de un DRP
  29. 29. 29 ramirocid.com Los objetivos principales del plan de continuidad del negocio, pueden ser resumidos de la siguiente forma:  Prevenir: Limitar al máximo la probabilidad de que tenga lugar cualquier interrupción.  Contener: Reducir el impacto de cualquier interrupción.  Recuperar: Asegurar una pronta recuperación.  Transferir el riesgo residual (seguros, contratos con terceros, etc.). Objetivos principales de un BCP
  30. 30. 30 ramirocid.com 3. Plan de Continuidad del Negocio: Principios Generales
  31. 31. 31 ramirocid.com Es un conjunto de Planes de Actuación, Planes Financieros, Planes de Comunicación y Planes de Contingencias, etc., destinados a “mitigar el impacto” provocado por la concreción de determinadas amenazas (contingencias) sobre la Información y los Procesos de Negocio de una compañía (recordar los “activos esenciales” o “activos principales” en Magerit). Plan de Continuidad del Negocio 31
  32. 32. 32 ramirocid.com Se puede considerar, que los Planes de Continuidad de Negocio, no son más, que la suma de los diferentes planes de contingencia (DRP’s) que se han presentado anteriormente, y que en su totalidad, confeccionan todos los procesos que se han de llevar a cabo en caso de que sucediera una determinada situación no controlada, pero no es así, ya que tienen distintos enfoques como se ha visto. Plan de Continuidad del Negocio 32
  33. 33. 33 ramirocid.com 1. El Plan de continuidad de negocio es un elemento que se encuentra en un proceso de mejora continua, en relación con la Gestión de Riesgos de la organización (lo veremos al analizar la ISO 22301:2012). 2. Deben estar totalmente orientados en la recuperación de los procesos de negocio críticos para la organización. Características del Plan de Continuidad del negocio 33
  34. 34. 34 ramirocid.com 3. Deben estar diseñados para integrarse con el resto de elementos de seguridad que tenga implantados la organización. 4. El objetivo de un plan de continuidad de negocio es automatizar un conjunto de tareas para evitar tener que dedicar tiempo a su planificación en momentos de crisis. Características del Plan de Continuidad del negocio 34
  35. 35. 35 ramirocid.com Es un plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o desastre. Plan de Continuidad del Negocio 35 Es importante destacar que los planes de continuidad de negocio equivalen a QUE HACER EN CASO DE QUE TODO LO DEMÁS FALLE.
  36. 36. 36 ramirocid.com Mantener el nivel de servicio en los límites definidos por la compañía. Establecer un periodo de recuperación mínimo (RTO) para garantizar la continuidad de negocio. Objetivos del Plan de Continuidad del Negocio 36
  37. 37. 37 ramirocid.com Recuperar la situación inicial de los procesos y servicios. Analizar el resultado de la aplicación del Plan de Contingencias y los motivos del fallo para optimizar las acciones (testeo del BCP) Objetivos del Plan de Continuidad del Negocio 37
  38. 38. 38 ramirocid.com Plan de Continuidad del Negocio Las organizaciones tratan de evitar las situaciones de riesgos a través de la instalación de medidas de seguridad preventivas. A pesar de la inversión que se pueda realizar, hay que asumir que nunca se podrá obtener una seguridad del 100%.
  39. 39. 39 ramirocid.com Plan de Continuidad del Negocio Para tratar de reducir estos riesgos se deben pensar y desarrollar planes de reacción (medidas correctivas) ante las situaciones de riesgo que se consideren más críticas (con el alcance de los procesos y servicios críticos). Los planes de continuidad de negocio se definen para CUANDO falle el sistema, no POR SI FALLA.
  40. 40. 40 ramirocid.com Plan de Continuidad del Negocio Un Plan de Continuidad de Negocio es la respuesta prevista por una organización ante aquellas situaciones de riesgo que afectan de forma crítica a los servicios que ofrecen y que son los que le permiten la realización de sus actividades diarias que se quieren protegen (las críticas). En esencia, un Plan de Continuidad de Negocio se centra en obtener el mínimo tiempo de recuperación ante una determinada situación de riesgo así como la minimización de las consecuencias que estas acciones podrían llegar a provocar.
  41. 41. 41 ramirocid.com Plan de Continuidad del Negocio Tienen que responder a las diferentes situaciones de riesgos que están definidas (escenarios planteados a través del BIA para adelantarse a los impactos de las posibles amenazas en caso de manifestarse estas). Recogen todas las acciones a llevar a cabo desde el momento que se detecta la emergencia hasta que la empresa vuelve a sus condiciones de funcionamiento (el plan completo de actuación).
  42. 42. 42 ramirocid.com Plan de Continuidad del Negocio Resulta fundamental para el éxito de un Plan de Continuidad de Negocio que se tengan en consideración los siguientes aspectos de cara al éxito de este tipo de proyectos: Detectar todos los recursos necesarios (TI, personas, etc.). que se requieren tanto para la protección como para la recuperación de los procesos a salvaguardar. Definir la disponibilidad, mantenimiento y operatividad de todos los recursos implicados en el Plan de Continuidad de Negocio. Establecer claramente el momento de disparo de los Planes de Continuidad. Asignar un responsable al Plan de Contingencias específico y al BCP. Asignar responsabilidades claramente para cada acción definida. Establecer un proceso de revisión una vez recuperada la situación.
  43. 43. 43 ramirocid.com Plan de Continuidad del Negocio Los Planes de Continuidad de Negocio buscan: 1. Mantener el nivel de servicio en los límites definidos por la organización. 2. Establecer un período de recuperación mínimo para garantizar la continuidad del negocio. 3. Recuperar la situación inicial de los servicios y procesos hasta la situación anterior al incidente de seguridad que lo provocó. 4. Analizar el resultado de la aplicación del Plan de Continuidad de Negocio y los motivos del fallo para optimizar las acciones que la comprenden.
  44. 44. 44 ramirocid.com Plan de Continuidad del Negocio Los Planes de Continuidad de Negocio deben estar en consonancia con el Análisis de Riesgos de la organización ya que este último permite identificar las medidas de seguridad que se deben implantar en una organización así como ante que situaciones se deberá pensar en el Plan de Continuidad de Negocio (causas que pueden disparar el inicio del PCN).
  45. 45. 45 ramirocid.com Análisis de Riesgos y Planes de Continuidad De un proceso de Análisis de Riesgos se obtienen: 1. Situación a controlar. 2. Situación objetivo. 3. Controles implementados. 4. Controles del plan de continuidad. 5. Activos implicados. 6. Amenazas. 7. Áreas de la empresa implicadas.
  46. 46. 46 ramirocid.com Diferentes enfoques de Business Continuity Plan  Disaster Recovery Planning (DRP): Recuperación de los servicios TIC y los recursos, dado un evento que ocasiona un interrupción mayor en su funcionamiento.  Business Resumption Planning (BRP): Reanudación de los procesos de negocio afectados por un fallo en las aplicaciones de IT.  Continuity of Operations Planning: Busca la recuperación de las funciones estratégicas de una organización que son desempeñadas en sus instalaciones corporativas.
  47. 47. 47 ramirocid.com  Contingence Planning (CP): Se enfoca en la recuperación de los servicios y recursos de TI después de un desastre de dimensiones mayores a una interrupción menor.  Emergency Response Planning (ERP): El objetivo es el de salvaguardar, a los empleados, público, ambiente y a los activos de la empresa. Diferentes enfoques de Business Continuity Plan
  48. 48. 48 ramirocid.com Disaster Recovery Plan (DRP) Business Resumption Planning (BRP) Continuity of Operations Planning (COOP) Contingence Planning (CP) Emergency Response Planning Objetivo: Conseguir recuperar todos los servicios TIC así como los recursos que los conforman, en el menos tiempo posible. Objetivo: Tratar de reanudar todos y cada uno de los procesos de negocio que posee la organización y que se hayan podido ver afectados por un fallo o incidente en las diferentes aplicaciones IT. Objetivo: Tratar de conseguir la recuperación de las funciones estratégicas de una organización que son desempeñadas en sus instalaciones corporativas. Objetivo: Conseguir la recuperación de los servicios y recursos de TI después de que suceda un desastre de dimensiones mayores a una posible interrupción menor. Objetivo: Salvaguardar, a los empleados, público, ambiente así como al resto de activos de la organización ante una situación que se hubiera producido en la misma. Enfoques planes de continuidad 48
  49. 49. 49 ramirocid.com Estrategias para la creación del PCN Existen varios aspectos fundamentales a la hora de la decisión de una solución:
  50. 50. 50 ramirocid.com Estrategias posibles para los Centro de Respaldo
  51. 51. 51 ramirocid.com Estrategias posibles para los Centro de Respaldo Cold Site Solo tienen: • Cableado eléctrico. • Aire Acondicionado.
  52. 52. 52 ramirocid.com Estrategias posibles para los Centro de Respaldo Warm Site Configuraciones parciales solamente. Conexiones de red. • Equipos periféricos. • Carecen generalmente de los ordenadores in situ. La disponibilidad depende del acopio e instalación de los ordenadores. Deben ser compatibles, (equipo, red y software). Necesitan ordenadores, personal, programas, datos y documentación. Destinado para operaciones de emergencia para periodos cortos.
  53. 53. 53 ramirocid.com Estrategias posibles para los Centro de Respaldo Hot Site Configuraciones totales. Listas para ser usadas dentro de pocas horas. Deben ser compatibles: equipos, red y software. Necesitan personal, programas, datos y documentación. Destinados a: Operaciones de emergencia para periodos cortos. Operaciones de emergencia para procesos de negocio muy críticos. Caros  Compartidos.
  54. 54. 54 ramirocid.com Estrategias posibles para los Centro de Respaldo Lugares dedicados Son lugares dedicados (generalmente propios). Para asegurar su viabilidad es necesario: No debe estar sujeto a los mismos desastres que el lugar primario. Debe haber coordinación de estrategias de actualización (hard/soft) entre ambos centros. Debe asegurar la disponibilidad de los recursos. Debe haber acuerdos para agregar aplicaciones (carga de trabajo) para la recuperación. Es necesario una prueba periódica.
  55. 55. 55 ramirocid.com Estrategias posibles para los Centro de Respaldo Sitios móviles Remolque diseñado para ser trasladado rápidamente Suelen contener: Servidores. Estaciones de trabajo. Equipos de comunicaciones. Enlaces vía satélite. Útiles para: • Desastres que afectan a una amplia zona geográfica. • Organizaciones de oficinas múltiples.
  56. 56. 56 ramirocid.com Estrategias posibles para los Centro de Respaldo Acuerdos recíprocos Los participantes acuerdan proveerse mutuamente instalaciones en caso de emergencia. Ventajas • Bajo Costo. • Es posible que sea la única alternativa. Inconvenientes • Estos acuerdos NO suelen OBLIGAR a las partes. • Pueden existir INCOMPATIBILIDADES de equipos y configuración. • Los cambios sobre carga de trabajo afectan a los participantes.
  57. 57. 57 ramirocid.com 4. Estructura y fases de un Plan de Continuidad del Negocio
  58. 58. 58 ramirocid.com Activos críticos Definición situaciones críticas Procesos de trabajo Análisis de riesgos Asignación de responsabilidades Comité de emergencia Responsables de planes Disparo situación de alarma Indicadores de disparo y acciones de respuesta Secuencia de acciones Registros Planes de mantenimientos Datos de pruebas y disparo Propuestas de mejora o cambios Estructura de un BCP
  59. 59. 59 ramirocid.com Estructura de un BCP Esquema de un BCP: 1. Objetivo. 2. Alcance. 3. Descripción de la situación a controlar. 1. Riesgos a controlar. 2. Activos que intervienen. 3. Nivel de servicio exigido. 4. Tiempos para cada respuesta: tiempo total de reacción. 5. Recursos necesarios en cada uno de los planes. Disponibilidad y operatividad.
  60. 60. 60 ramirocid.com Estructura de un BCP 4. Listado de Procedimientos concretos y responsables. 5. Disparo de Alarma. 6. Plan de respuesta. 7. Plan de respaldo. 8. Plan de recuperación. 9. Plan de análisis y mejora. 10. Planes de prueba.
  61. 61. 61 ramirocid.com Estructura de un BCP 1. Objetivo: Recoge brevemente el objetivo del plan de contingencia concreto. 2. Alcance: Recoge el ámbito de aplicación del PC. Se define el servicio, localización en la empresa, personal responsable, etc.
  62. 62. 62 ramirocid.com Estructura de un BCP 3. Descripción de la situación a controlar: Recoge los datos de la situación analizada y los parámetros que se quieren mantener. Situaciones de riesgo: Descripción de amenazas y forma de actuación. Activos involucrados: Listado y consecuencias producidas. Niveles exigidos: Situación requerida de la empresa para la situación descrita en los PC en los momentos de interrupción del servicio. Tiempos de respuesta: Tiempo máximo para alcanzar cada una de las fases. Recursos necesarios para los planes de respuesta, respaldo y recuperación.
  63. 63. 63 ramirocid.com Estructura de un BCP 4. Planes desarrollados y responsables en cada uno de los planes: Listado de los planes o procedimientos concretos con los responsables de los mismos. Se especifica versión, aprobación y distribución, así como la persona responsable de su implantación y mantenimiento. 5. Disparo de alarma: Recoge claramente las situaciones o indicadores que hacen que las acciones indicadas arranquen. Se define quién puede detectar estas situaciones de inicio y qué primera acción debe efectuar.
  64. 64. 64 ramirocid.com Estructura de un BCP 6. Plan de respuesta: Procedimiento que describe las acciones a realizar tras el disparo de la alarma o emergencia: Acciones para proteger a las personas (RRHH, Seguridad). Acciones para cortar la situación de riesgo: control de las amenazas. Acciones para proteger los activos. Acciones de notificaciones públicas (Departamento de Comunicación). Registro de las acciones que se van realizando.
  65. 65. 65 ramirocid.com Estructura de un BCP 7. Plan de respaldo: Procedimiento donde se describen las acciones a llevar a cabo para mantener el servicio mientras se resuelve la situación de emergencia. Trata de mantener el servicio en los niveles requeridos por la organización. Recursos necesarios para mantener la operación. Mantenimiento de los recursos. Activación de las diferentes acciones. Registro de las acciones llevadas a cabo: inicio, desarrollo y resultados. Personal implicado.
  66. 66. 66 ramirocid.com Estructura de un BCP 8. Plan de recuperación: Procedimiento donde se describen los pasos a realizar para restaurar el servicio a los niveles que existían antes de las emergencias. Restitución de activos, suministros, entorno. Arranque de los sistemas, servicios, etc. Pruebas para comprobar los sistemas restaurados. Puesta en operación. Retirada de los planes de respaldo. Registro de las acciones realizadas y resultados.
  67. 67. 67 ramirocid.com Estructura de un BCP 9. Plan de análisis y mejora: Procedimiento donde se describe qué datos analizar y cómo hacerlo una vez finalizada la emergencia y restaurados los sistemas. Datos sobre situación de emergencia, causas, duración, daño producido. Datos sobre el desarrollo y adecuación de los planes de respuesta, respaldo y restauración. Registros tomados durante el desarrollo de los planes. Problemas detectados en el proceso del PC. Informe para comité de seguridad/emergencia. Propuesta de acciones correctoras y de mejora. Seguimiento.
  68. 68. 68 ramirocid.com Estructura de un BCP 10. Planes de prueba: Descripción de las pruebas a realizar del plan de contingencias para verificar que funcione correctamente, están los recursos necesarios disponibles, están los procedimientos disponibles y son conocidos. Planificación de las pruebas. Responsables de realizar las pruebas. Pasos a realizar, simulacros. Análisis de los resultados. Presentación de mejoras al responsable del plan de contingencias y al comité de seguridad/emergencia.
  69. 69. 69 ramirocid.com Fases de un BCP 69 ANÁLISIS Y DISEÑO DESARROLLO DEL PCN IMPLANTACIÓN DEL PCN TEST DEL PCN MANTENIMIENTO DEL PCN MANTENIMIENTO DEL PCN RECOPILACIÓN DE INFORMACIÓN FASE 1 FASE 2 FASE 3
  70. 70. 70 ramirocid.com Relación de procesos de los BCP Disparo de alarma Plan de respuesta Plan de respaldo Plan de recuperación Plan de Análisis y Mejora Plan de pruebas Resultados Pruebas Registros Propuestas de cambios y mejora si no
  71. 71. 71 ramirocid.com 5. Business Impact Analysis (BIA)
  72. 72. 72 ramirocid.com BIA: Aspectos generales Un business impact analysis (BIA) diferencia funciones/actividades críticas (urgentes) y no críticas (no urgentes) de la organización. Las funciones críticas son aquellas cuya interrupción se considera inaceptable. Las percepciones de aceptabilidad se ven afectadas por el coste de las soluciones de recuperación. Una función también puede considerarse crítica si así lo establece la ley (compliance).
  73. 73. 73 ramirocid.com BIA: Aspectos generales Para cada función crítica (incluidas en el alcance), se asignan dos valores: Recovery Point Objective (RPO): La latencia aceptable de los datos que no se recuperarán. Por ejemplo, ¿es aceptable que la empresa pierda los últimos 2 días de datos? Recovery Time Objective (RTO): La cantidad de tiempo aceptable para restaurar la función.
  74. 74. 74 ramirocid.com Business Impact Analysis (BIA) Consiste en identificar los procesos relacionados con la misión de la organización y analizar con mucho detalle los impactos en la gestión comercial del negocio (con el soporte del negocio a través de entrevistas, etc.) si esos procesos se vieran interrumpidos como resultado de un desastre. Se identifican las áreas críticas para el alcance de la organización, así como la magnitud potencial del impacto operativo y financiero. BIA: Aspectos generales
  75. 75. 75 ramirocid.com El BIA resulta el proceso más complejo dentro de un Plan de Continuidad de Negocio ya que es a partir del mismo que se consigue identificar los valores fundamentales de todo PCN:  Tiempo máximo de inactividad por proceso / actividad de negocio.  Tiempo de recuperación de la información que se requiere para ofrecer un proceso /actividad de negocio.  Mínimo nivel de servicio que se requiere para ofrecer los procesos/actividades de negocio BIA: Aspectos generales
  76. 76. 76 ramirocid.com Business Impact Analysis (BIA) Resulta una de las fases más importantes a la hora de la creación de los planes de continuidad de negocio. Se realiza a nivel de proceso y no a nivel de activo. Es necesario contar con una clara y precisa comprensión del negocio. La información se extrae de entrevistas con diferentes personas de alta dirección del negocio.
  77. 77. 77 ramirocid.com Business Impact Analysis (BIA) Permite decidir que procesos deberán recuperarse con anterioridad en caso de desastre. Incluye aspectos como: • Pérdida de ingresos. • Sanciones y multas. • Pérdida de imagen. • Incremento de costes.
  78. 78. 78 ramirocid.com La organización debe establecer, implementar y mantener un proceso de evaluación formal y documentado para determinar prioridades, objetivos y metas de continuidad y recuperación. Este proceso debe incluir la evaluación de los impactos de las actividades disruptivas que respaldan los productos y servicios de la organización. BIA: Definición de la ISO 22301:2012
  79. 79. 79 ramirocid.com El business impact analysis incluirá lo siguiente: a) Identificar actividades que respalden la provisión de productos y servicios. b)Evaluar los impactos a lo largo del tiempo de no realizar estas actividades. c) Establecer plazos prioritarios para reanudar estas actividades a un nivel mínimo aceptable específico, teniendo en cuenta el momento en que los impactos de no reanudarlos serían inaceptables. d)Identificar las dependencias y los recursos de apoyo para estas actividades, incluidos proveedores, socios externos y otras partes interesadas relevantes. BIA: Definición de la ISO 22301:2012
  80. 80. 80 ramirocid.com BIA: Clasificación de las funciones del negocio
  81. 81. 81 ramirocid.com BIA: Ejemplo ID# Business process Application Description, including who/what uses it, and why it's important to the business Services additional to the main system required for the business processes Business Owner Availability Requireme nts for User/Custo mer Activity Availability Requireme nts for Non- User Processing Cost impact Other factors Mitigating actions Cost impact Other factors M itigating actions Cost impact Other factors M itigating actions APP1 Process 1; Enable Process 2; Establish Process 3; Execute Process 4; M anage CRM Application used as historic data. Only used by legal entity XX. Now all data migrated to SAP Customers, Products, Contracts, Prices, Deliveries and Warehouse M anagement Convert Prospect to Customer None John Smith (USA) 24/7 (with some agreed downtime slots if needed) None Low Customer goodwill, legal & compliance issues Check printed documents Low Customer goodwill, legal & compliance issues Check printed documents M edium Customer goodwill, legal & compliance issues Check printed documents M anual operations must take place (extra resources) APP 2 Process 1; Enable Optimizator Supply Chain Optimization APP4 Thomas Jones (Canada) 24/7 (with some agreed downtime slots if needed) None Low Corporate image, legal & compliance issues M anual operations Low Corporate image, legal & compliance issues M anual operations M edium Corporate image, legal & compliance issues M anual operations APP 3 Do not exist SAP Front Office application for Corporate Intranet Website M ichael Chang (Japan) 24/7 (with some agreed downtime slots if needed) 24/7 (with some agreed downtime slots if needed) High Corporate image. Legal & compliance. Compromise d patient health Printed documents. M anual operations. BCP exist High Corporate image. Legal & compliance. Compromise d patient health Printed documents. M anual operations. BCP exist High Corporate image. Legal & compliance. Compromise d patient health Printed documents. M anual operations. BCP exist D irect C o sts o f D o wntime - 3 days System/ Service D escriptio n A vailability R equirements D irect C o sts o f D o wntime - 3 weeks D irect C o sts o f D o wntime - 8 hr
  82. 82. 82 ramirocid.com ¿Preguntas? ¡Muchas gracias! Ramiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL ramiro@ramirocid.com @ramirocid http://www.linkedin.com/in/ramirocid http://ramirocid.com http://es.slideshare.net/ramirocid http://www.youtube.com/user/cidramiro

×