1. @
FIST Conference September/Madrid 2005
Continuidad de Negocio
Manuel Ballester
Manuel Ballester IEEE,MBA,CISA,CISM
2. Reflexión Inicial
“El tiempo de la reflexión es una
economía de tiempo”
Siro , Publius (Siglo I A.C.)
Manuel Ballester IEEE,MBA,CISA,CISM
3. Contenido
Proceso de planificación de la continuidad del
negocio /recuperación frente a desastres
Análisis de Impacto en el negocio (BIA)
Clasificación de Operaciones, Análisis Criticidad
Objetivo Punto Recuperación (RPO) y
Objetivo Tiempo de Recuperación (RTO)
Estrategias de Recuperación
Manuel Ballester IEEE,MBA,CISA,CISM
4. Contenido
Alternativas de Recuperación
Desarrollo de (BCP y DRP)
Organización y Asignación de Responsables
Otros aspectos del Desarrollo del Plan
Componentes Claves de un BCP
Pruebas del Plan
Resumen
Manuel Ballester IEEE,MBA,CISA,CISM
5. Antecedentes
A pesar de los efectos negativos en las organizaciones, muchas empresas aún no toman
medidas para contar con planes que les permitan lograr la Continuidad del Negocio.
• 72% de todos los negocios tienen alguna de estas condiciones:
– No tienen Plan de Continuidad del Negocio.
– Si lo tienen, nunca lo han probado.
– Su Plan falló cuándo lo probaron.
• Solamente 18% de los datos de usuario final están protegidos. *
*VERITAS Disaster Recovery Survey 2004.
Manuel Ballester IEEE,MBA,CISA,CISM
6. Proceso de planificación de la continuidad del
negocio /recuperación frente a desastres
Los desastres:
Impactan adversamente las operaciones del negocio
Interrumpen la operación de procesamiento de
información crítica
No todas las interrupciones son desastres
Tipos de desastres e interrupciones
Causas de interrupción del servicio
Manuel Ballester IEEE,MBA,CISA,CISM
7. Análisis del Impacto sobre el Negocio (BIA)
Criticidad de los recursos de información
Participación del personal de SI y los usuarios finales
Análisis de todos los tipos de recursos de información
Tres aspectos claves para el análisis:
Criticidad de los recursos de información relacionados con los
procesos críticos del negocio
Período de tiempo de recuperación crítico antes de incurrir en
pérdidas significativas
Sistema de clasificación de riesgos
Manuel Ballester IEEE,MBA,CISA,CISM
10. Objetivo Punto Recuperación (RPO) y
Objetivo Tiempo de Recuperación (RTO)
Manuel Ballester IEEE,MBA,CISA,CISM
11. Estrategias de Recuperación
Una estrategia de Recuperación es una
combinación de medidas preventivas,
detectivas y correctivas
- Eliminar la amenaza completamente
- Minimizar la probabilidad de que ocurra
- Minimizar el efecto
Manuel Ballester IEEE,MBA,CISA,CISM
12. Estrategias de Recuperación
Identificar las estrategias de recuperación
La criticidad de los procesos del negocio y
aplicaciones que soportan los procesos
Coste
Tiempo requerido para la recuperación
Seguridad
Manuel Ballester IEEE,MBA,CISA,CISM
14. Alternativas de Recuperación
Las interrupciones más prolongadas y más
costosas, en particular los desastres que
afectan a las instalaciones, requieren
recuperación (offsite)
Manuel Ballester IEEE,MBA,CISA,CISM
15. Alternativas de Recuperación
Tipos de instalaciones de respaldo Hardware alternativos
Hot Sites
Warm Sites
Cold Sites
Instalaciones de procesamiento duplicados
Sitios Móviles
Acuerdos recíprocos con otras organizaciones
Manuel Ballester IEEE,MBA,CISA,CISM
17. Desarrollo de (BCP y DRP)
Basado en en BIA y la estrategia de
recuperación seleccionada por la gerencia
Debería abarcar todos los temas
involucrados en la recuperación de un
desastre
Debería resolver todos los problemas
involucrados en la interrupción del
negocio
Manuel Ballester IEEE,MBA,CISA,CISM
18. Desarrollo de (BCP y DRP)
Factores que se deben considerar:
Estar preparados antes de un desastre cubriendo todas las
incidencias
Procedimientos de evacuación
Procedimientos para declarar desastres
Circunstancias en que se debe declarar desastre
Clara identificación de responsabilidades en el plan
Manuel Ballester IEEE,MBA,CISA,CISM
19. Desarrollo de (BCP y DRP)
Factores que se deben considerar:
Clara identificación de personas y funciones en el plan
Clara identificación de información de los contratos
Explicación paso a paso de la recuperación
Clara identificación de recursos necesarios
Aplicación paso por paso de la etapa de recuperación
Manuel Ballester IEEE,MBA,CISA,CISM
20. Organización y asignación de
responsabilidades
Equipo de respuesta a incidentes
Equipo de atención de emergencias
Equipo de determinación de los daños
Equipo de administración de la
emergencia
Manuel Ballester IEEE,MBA,CISA,CISM
21. Organización y asignación de
responsabilidades
Equipo de almacenamiento externo
Equipo de software
Equipo de aplicaciones
Equipo de seguridad
Equipo de operaciones de emergencia
Manuel Ballester IEEE,MBA,CISA,CISM
22. Organización y asignación de
responsabilidades
Equipo de recuperación de red
Equipo de Comunicaciones
Equipo de Transporte
Equipo de Hardware de Usuario
Equipo de preparación de datos y registros
Equipo de soporte administrativo
Manuel Ballester IEEE,MBA,CISA,CISM
23. Organización y asignación de
responsabilidades
Equipo de suministros
Equipo de salvamento
Equipo de reubicación
Equipo de Coordinación
Equipo de Asuntos Legales
Equipo de prueba de recuperación
Equipo de Entrenamiento
Manuel Ballester IEEE,MBA,CISA,CISM
24. Otros aspectos del Desarrollo del Plan
Los componentes de este plan incluyen:
Personal clave para toma de decisiones
Información de contacto
Respaldo de los suministros requeridos
Configuración de las instalaciones
Mesas, sillas, teléfonos…
Métodos de recuperación de desastres para redes
de telecomunicaciones
Manuel Ballester IEEE,MBA,CISA,CISM
25. Componentes de un Plan Efectivo
de Continuidad del Negocio (BCP)
Incluyen:
Plan de Continuidad de negocio (BCP)
Plan de Recuperación de Negocio (BRP)
Plan de Continuidad de Operaciones (COOP)
Plan de Soporte de Continuidad
Manuel Ballester IEEE,MBA,CISA,CISM
26. Componentes de un Plan Efectivo
de Continuidad del Negocio (BCP)
Incluyen:
Plan de Contingencia T.I.
Plan de Comunicación de Crísis
Plan de Respuestas a incidentes
Plan de Recuperación del desastre (DRP)
Plan de Emergencia de ocupantes (OEP)
Manuel Ballester IEEE,MBA,CISA,CISM
27. Componentes de un Plan Efectivo
de Continuidad del Negocio (BCP)
Para las fases de planificación, implementación
y evaluación se debe acordar:
Metas/requerimientos/productos de cada fase
Instalaciones alternativas para las tareas y operaciones
Recursos de información crítica a instalar
Personas responsables de su ejecución
Recursos disponibles para Plan de ejecución
Cronograma de actividades y prioridades
Manuel Ballester IEEE,MBA,CISA,CISM
28. Componentes de un Plan Efectivo
de Continuidad del Negocio (BCP)
Personal Clave para la toma de decisiones
Lista de prioridades de contactos
Teléfonos y direcciones de personas críticas a contactar
Teléfonos y direcciones de representantes de los
equipos y software
Teléfonos de suministradores de equipos y servicios
Manuel Ballester IEEE,MBA,CISA,CISM
29. Componentes de un Plan Efectivo
de Continuidad del Negocio (BCP)
Personal Clave para la toma de decisiones
Teléfonos de personas en sitio de recuperación
Teléfonos de personas instalaciones de
almacenamiento externo
Teléfonos de agentes de seguros
Teléfonos de personas de empresas contratadas
Teléfonos de agencias legales
Manuel Ballester IEEE,MBA,CISA,CISM
30. Componentes de un Plan Efectivo
de Continuidad del Negocio (BCP)
Respaldo de los suministros Requeridos
Procedimientos escritos, detallados y actualizados
Formularios requeridos
Pedidos
Albaranes
Facturas
Considerar conexiones con otros sistemas
Manuel Ballester IEEE,MBA,CISA,CISM
31. Componentes de un Plan Efectivo
de Continuidad del Negocio (BCP)
Métodos de prevención para redes:
Redundancia
Enrutamiento alternativo
Diversidad de red de largo alcance
Protección del circuito de "Último Kilómetro"
Recuperación de voz
Manuel Ballester IEEE,MBA,CISA,CISM
32. Componentes de un Plan Efectivo
de Continuidad del Negocio (BCP)
Métodos de recuperación frente a desastres
para servidores
- Suministro de dos proveedores de energía
- Uso de generadores eléctricos (gasoleo)
- Uso de Sistemas ininterumpidos (SAI)
Manuel Ballester IEEE,MBA,CISA,CISM
33. Componentes de un Plan Efectivo
de Continuidad del Negocio (BCP)
Servidores tolerantes a fallos
Redundantes
Cluster
Balanceo de carga
Manuel Ballester IEEE,MBA,CISA,CISM
34. Componentes de un Plan Efectivo
de Continuidad del Negocio (BCP)
Seguros
Equipo de SI e instalaciones
Reconstrucción de medios (software)
Gastos adicionales
Interrupción del negocio
Manuel Ballester IEEE,MBA,CISA,CISM
35. Componentes de un Plan Efectivo
de Continuidad del Negocio (BCP)
Manuel Ballester IEEE,MBA,CISA,CISM
36. Componentes de un Plan Efectivo
de Continuidad del Negocio (BCP)
Manuel Ballester IEEE,MBA,CISA,CISM
37. Pruebas del Plan
Especificaciones
Medir la habilidad y capacidad del lugar de respaldo
Evaluar la capacidad de recuperación de registros vitales
Evaluar estado y cantidad de equipos y suministros en el lugar
de recuperación
Medir el desempeño general de actividades operativas y de
sistemas relacionados con el negocio
Manuel Ballester IEEE,MBA,CISA,CISM
38. Pruebas del Plan
Especificaciones
Verificar si el plan es completo y preciso
Evaluar el desempeño del personal involucrado
Evaluar el entrenamiento y conocimiento del personal que no
pertenece al negocio
Evaluar la coordinación entre equipo continuidad y proveedores
externos
Manuel Ballester IEEE,MBA,CISA,CISM
39. Pruebas del Plan
Realización de Pruebas
Etapas
Pre-Prueba
Prueba
Post-Prueba
Tipos de Prueba
Prueba sobre papel
Prueba del estado de preparación
Prueba operativa completa
Manuel Ballester IEEE,MBA,CISA,CISM
40. Pruebas del Plan
Documentación de los resultados
Análisis de resultados
Tiempo
Cantidad
Conteo
Exactitud
Manuel Ballester IEEE,MBA,CISA,CISM
41. Pruebas del Plan
Mantenimiento del plan
Factores que impactan
- Cambios en la organización
- Nuevos recursos/aplicaciones
- Cambios en la estrategia del negocio
- Cambios en software o hardware
Manuel Ballester IEEE,MBA,CISA,CISM
42. Pruebas del Plan
Mantenimiento del plan
Responsabilidades del plan incluyen
- Desarrollar un plan para revisión y mantenimiento periódico
- Exigir revisiones no programadas ante cambios significativos
- Examinar las revisiones y actualizarlas después de las revisiones
- Coordinar pruebas programadas y no programadas evaluar suficiencia
- Participar en las pruebas anuales
Manuel Ballester IEEE,MBA,CISA,CISM
43. Pruebas del Plan
Mantenimiento del plan
Responsabilidades del plan incluyen
Desarrollar un programa de entrenamiento
- Mantener registro de las actividades de
- Mantenimiento
- Pruebas
- Entrenamiento
- Revisiones
- Actualizar, por lo menos trimestralmente, lista de contactos
Manuel Ballester IEEE,MBA,CISA,CISM
45. RESUMEN
- Preparar análisis de impacto del negocio
- Identificar y clasificar sistemas y recursos (críticos)
- Escoger estrategias apropiadas para la recuperación
- Desarrollar un plan detallado para recuperar instalaciones (TIC)
- Desarrollar un plan detallado para las funciones críticas
- Probar los planes
- Mantener actualizados los planes
Manuel Ballester IEEE,MBA,CISA,CISM
46. Reflexión Final
“Lo que no es útil para la colmena no
es útil para la abeja”
Marco Aurelio (121-180 D.C.)
Manuel Ballester IEEE,MBA,CISA,CISM
47. Creative Commons
Attribution-NoDerivs 2.0
You are free:
•to copy, distribute, display, and perform this work
•to make commercial use of this work
Under the following conditions:
Attribution. You must give the original author
credit.
No Derivative Works. You may not alter, transform, or
build upon this work.
For any reuse or distribution, you must make the license terms of this work
clear to others.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivs
License. To view a copy of this license, visit
http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative
Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.
Manuel Ballester IEEE,MBA,CISA,CISM
48. @
Muchas Gracias
FIST Conference www.fistconference.org
Manuel Ballester
Madrid, September 2005
mballester@borrmart.es
Manuel Ballester IEEE,MBA,CISA,CISM