3. Introducción
Pretende minimizar las
pérdidas de productividad
dada la ocurrencia de un
incidente que genere una
interrupción
Continuidad vs. Recuperación
del negocio
4. Motivación
Eventos no esperados (New York,
11 de Septiembre)
Alta dependencia de la información
y de las infraestructuras
informáticas
Alta motivación para atacantes
Planes de contingencia ya no son
un lujo sino una necesidad
5. Historia
60’s
Primeros planes de
recuperación
Solo Sistemas de Información
Solo en EU
70’s
Recuperación de Desastres
Alguna actividad fuera de EU
Dependencia de Sistemas
centralizados
6. Historia (cont.)
80’s
Recuperación, no continuidad
Planes probados por fuegos,
terremotos, huracanes
Transición de planes de SI a
planes corporativos
Aparece software especializado
90’s
Planes corporativos
Centrado en el negocio
7. Disaster Recovery Institute
Fundado en 1.988 (Washington
University)
Propone los lineamientos para los
profesionales en la planeación de
recuperación de negocios mediante
la definición de áreas de
conocimiento
Ofrece capacitación y asesorías
Certifica profesionales
8. Disaster Recovery Institute (cont.)
Actualmente, al menos 1500 empresas
aplican los conceptos y metodología del DRI.
Algunas de ellas son:
Texas Instruments
AT & T
Bell South
National Bank
World Bank
Merrill Lynch
Banco Central de Venezuela
9. Áreas de conocimiento base del DRI
1. Administración e iniciación del proyecto
2. Evaluación de riesgos y controles
3. Análisis de Impacto del negocio
4. Estrategias de recuperación
5. Respuesta a la emergencia
6. Desarrollo e implementación del plan
7. Programas de concientización y entrenamiento
8. Pruebas y ejercicios del plan
9. Mantenimiento y actualización del plan
10. Definiciones
Desastre: Es cualquier evento que crea
inhabilidad para una parte de una
organización para proveer sus funciones
críticas del negocio por algún periodo de
tiempo (inconveniencia o desastre).
11. Definiciones (cont.)
Plan de recuperación de desastres: Un
conjunto aprobado de actividades y
procedimientos los cuales hacen
posible a una organización responder a
un desastre y reiniciar sus funciones
críticas en una condición aceptable, en
un marco de tiempo determinado.
12. Definiciones (cont.)
Plan de continuidad del negocio: Son
todas las actividades y procedimientos
aprobados que hacen posible a una
organización responder a un evento en
tal forma que las funciones críticas del
negocio continúen sin interrupción o
cambio significativo
13. Plan
de
Manejo
del
Riesgo
Consecuencias
Respuesta a Continuidad de Negocio
Respuesta al Riesgo
(Monitoreo, mantenimiento y Atención de incidentes)
Opciones de Tratamiento Mitigar, Reducir, Aceptar,
Asumir, Evitar, Transferir
Plan estratégico de Administración de Riesgos
Administración de Crisis
Financiero
Relaciones
legales
y
comerciales
Cambios
Tecnológicos
Cambios
Políticos
Eventos
naturales
Cambios
procedimentales
Software
Presión
de
la
competencia
Comportamie
nto
humano
Dispositivos
o
equipos
Económico Objetivos
Integridad
Disponibilidad
Accidentalidad
Continuidad
Confidencialidad
Fuentes
de
Riesgo
Donde encaja la administración de riesgos?
14. Proceso de planeación de contingencias
Tomado de IT Contingency Planning Guide (NIST)
16. Etapas durante un desastre
Recuperación de las capacidades
Declaración de la emergencia
Toma del control
Toma de decisiones
Reanudación de operaciones
Restauración
Normalidad
DESASTRE
Normalidad
17. Fase 1: Definición
Definir el problema (Recuperación de desastres vs.
Continuidad del negocio)
Conciencia en la alta gerencia y políticas de
continuidad del negocio
Definición de los objetivos y requerimientos de
continuidad (Quien, que, cuando, donde y como)
Alcance y objetivos del proyecto
Comité de seguimiento al proyecto
18. Fase 2: Requerimientos funcionales
Identificación de los bienes a ser protegidos
Efectuar el análisis de riesgos
Realizar el análisis de impacto del negocio
(BIA)
Identificación de las estrategias
Costo-beneficio de las estrategias
Selección de la estrategia
Presupuesto de inversión
19. Bienes a ser protegidos
Hardware (Mainframe,
PC’s, LAN)
TELECOMUNICACIONES
20. Análisis de Riesgos
El análisis de riesgos permite identificar las
vulnerabilidades de la compañía, evaluar los
controles existentes, así como prever si son
necesarios nuevos controles.
Puede ser cualitativo o cuantitativo
21. Análisis de Riesgos (cont.)
Actividades:
Identificar las amenazas y vulnerabilidades
sobre los elementos críticos
Establecer los riesgos utilizando A.L.E (Anual
Loss Exposure, Riesgo=frec x exposic,
Benef=R-r-c)
Identificar y analizar controles existentes
Analizar el valor de los controles adicionales
Recomendar la implantación de controles para
mitigar los riesgos
22. Análisis de impacto del negocio
Basados en los riesgos ya identificados:
Determinar los procesos, funciones,
departamentos y áreas de trabajo del
negocio sensibles en el tiempo
Determinar los sistemas, datos y
telecomunicaciones sensibles en el tiempo
Determinar el tiempo de disponibilidad
requerido (RTO)
23. Análisis de impacto del negocio (cont.)
Es importante definir el criterio de criticidad
de las funciones y procesos
Definir las consecuencias de las caídas del
negocio
Establecer el RTO (tiempo objetivo de
recuperación) de los procesos críticos
24. Recovery Time Objective
Recovery Time Objective
Reinicio de las
operaciones
Los sistemas críticos
son operativos y
con datos actuales
Punto de
interrrupción
tiempo
Es el tiempo entre el punto de interrupción, y el punto en el cuál
los sistemas sensibles en el tiempo deben estar funcionando
nuevamente, con los datos actualizados
Procesos del
negocio
funcionando
25. Identificación de estrategias
Identificar los requerimientos de las
estrategias de recuperación:
Tiempos
Personal requerido
Sitios (recuperación, coordinación, reinicio)
Tipos (CdeC, funciones del negocio, comunic.)
Identificar las posibles alternativas de
recuperación :
No hacer nada
26. Identificación de estrategias (cont.)
Diferir acciones
Procedimientos manuales
Acuerdos recíprocos
Sitios alternos
Servicios comerciales (recuperación interna,
hot site, cold site, warm site, nada)
Consorcio con otras compañías
Procesamiento distribuido
Comunicaciones alternas
27. Identificación de estrategias (cont.)
Seleccionar el almacenamiento fuera del
sitio
Seleccionar el sitio alterno
Realizar un análisis costo beneficio
28. Fase 3: Diseño y desarrollo
Definir el alcance del plan
Estructurar una organización jerárquica
paralela para administrar emergencias, con
esquemas de notificación
Definición de escenarios
Programas de control de personal
Detallar la administración general del plan
29. Fase 4: Implementación
Crear procedimientos de atención a al
emergencia
Crear procedimientos para controlar la crisis
Designar la autoridad
Crear procedimientos para encadenar
respuesta a la emergencia y recuperación
Detallar procedimientos de reinicio,
recuperación y restauración
Contratos y recursos para recuperación
30. Fase 5: Pruebas y ejercicios
Diseñar programas de entrenamiento,
conciencia corporativa y mecanismos de
distribución del plan
Programar ejercicios con objetivos claros
Preparar los escenarios
Efectuar ejercicios
Evaluar resultados
31. Fase 6: Mantenimiento y actualización
Programar y calcular la inversión en
actividades de actualización y mantenimiento
Evaluar herramientas de software como apoyo
Establecer criterios de revisión
Procedimientos de mantenimiento del plan:
Procedimientos de actualización
Procedimientos de reporte de estado
32. Fase 6: Mantenimiento y actualización
(cont.)
Procedimientos de auditoría y control
Establecer mecanismos de distribución de la
actualización del plan y procedimientos de
control
33. Fase 7: Ejecución
Cada empleado sabe que hacer, donde ir, a
quien reportarse durante la emergencia.
Se inicia el plan de respuesta a la
emergencia
Se inicia el procedimiento de recuperación
del negocio, si es necesario