Plan de Continuidad de Negocio - BCP: Este documento detalla los aspectos relacionados con el desarrollo del mismo. Detallando los pasos necesarios en todo el proceso, así como los puntos más importantes que no se pueden dejar de analizar en el proceso de formulación y ejecución del BCP. Se desarrollan los puntos importantes de la BS 25999. En el documento se presentan los aspectos relacionados con la estrategia de creación de un centro de respaldo.
En esta presentación se describen los objetivos, tareas y resultados de cada una de las fases de un Plan de Continuidad de Negocio y de un Plan de Contingencia de TI
Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...Mario Ureña
Presentación de la conferencia "Caso práctico para la ejecución de un análisis de impacto al negocio" del 01 de Octubre del 2013 en Latin CACS realizado en Medellín, Colombia.
En esta presentación se describen los objetivos, tareas y resultados de cada una de las fases de un Plan de Continuidad de Negocio y de un Plan de Contingencia de TI
Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...Mario Ureña
Presentación de la conferencia "Caso práctico para la ejecución de un análisis de impacto al negocio" del 01 de Octubre del 2013 en Latin CACS realizado en Medellín, Colombia.
La importancia de la información y la tecnología relacionada sigue creciendo, y los líderes empresariales necesitan buena información para agudizar su visión y tomar decisiones comerciales acertadas, y esto deben asegurarlo a lo largo del tiempo. Por eso, la organización que desee conseguir un plan eficiente para garantizar la resiliencia en su negocio debe estar integrada y organizada a través de la concientización diaria, la capacitación periódica y por la generación de procesos de negocio y tecnológicos que hayan sido creados bajo un concepto de resiliencia.
¿El desafío? Establecer un proceso de continuidad y resiliencia que aporte un marco de gobierno de ciberseguridad y tecnológico, ayudando a minimizar y prevenir los ataques internos y externos como por ejemplo las violaciones de datos o actividades fraudulentas, que dejan a las organizaciones vulnerables a los riesgos de pérdida o exposición de su información.
Introducción a la Continuidad de Negocio
En primer lugar se presentan conceptos de la Gestión de Continuidad de Negocio. A continuación se muestran las ventajas de adopción de un esquema de continuidad de negocio. Asimismo se muestra una relación con iniciativas actuales en la industria
financiera y por último se propone una serie de recomendaciones.
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONALFabián Descalzo
Desarrollo e implementación de estrategias y planes de continuidad operativa tecnológica (DRP) y funcionales de áreas de negocio (BCP), pruebas de verificación a procedimientos y recursos de recuperación, awareness y capacitación.
En este curso aprenderemos a desarrollar un Plan de Continuidad de Negocio para nuestra empresa que nos permita estar preparados ante posibles contingencias que de otra manera podrían impedir la actividad o incluso al cierre de nuestro negocio.
Un curso eminentemente práctico enfocado a adquirir conocimientos de utilidad directa en nuestro día a día para nuestro negocio que además está alineado con los requisitos de las normas relacionadas con Sistemas de Gestión dela Continuidad del Negocio ISO22301 (antesBSI25999), con Sistemas de Gestión de Seguridad de la Información ISO27000 e incluso con la norma nacional UNE 71599 sobre Gestión de la Continuidad de Negocio.
Se pone el énfasis en que este curso no es un curso de certificación en ninguna de las normas anteriormente citadas convirtiéndose en un curso eminentemente práctico donde obtener conocimientos profundos de rápida aplicación a las necesidades de la empresa además y por supuesto alineados condichas normas.
¿Que es una contingencia informatica? Contingencia suele referirse a algo que es probable que ocurra, aunque no se tiene una certeza al respecto. La contingencia, por lo tanto, es lo posible o aquello que puede, o no, concretarse, un acontecimiento cuya realización no está prevista.
Si necesitas implantar una certificación ISO 22301 en tu empresa, el bagaje profesional de Ingertec te ofrece un servicio de consultoría de calidad, caminando en la misma dirección que las necesidades de tu entidad y focalizando los servicios de nuestra empresa en la consecución de este tipo de certificación lo más rápido posible y con las máximas garantías.
Presentación de la Conferencia: ¿Sobrevivirá mi negocio ante una contingencia?. Claves para la continuidad de negocio.
Acto realizado en el Colegio de Economistas de Catalunya el 24 de noviembre del 2009
La importancia de la información y la tecnología relacionada sigue creciendo, y los líderes empresariales necesitan buena información para agudizar su visión y tomar decisiones comerciales acertadas, y esto deben asegurarlo a lo largo del tiempo. Por eso, la organización que desee conseguir un plan eficiente para garantizar la resiliencia en su negocio debe estar integrada y organizada a través de la concientización diaria, la capacitación periódica y por la generación de procesos de negocio y tecnológicos que hayan sido creados bajo un concepto de resiliencia.
¿El desafío? Establecer un proceso de continuidad y resiliencia que aporte un marco de gobierno de ciberseguridad y tecnológico, ayudando a minimizar y prevenir los ataques internos y externos como por ejemplo las violaciones de datos o actividades fraudulentas, que dejan a las organizaciones vulnerables a los riesgos de pérdida o exposición de su información.
Introducción a la Continuidad de Negocio
En primer lugar se presentan conceptos de la Gestión de Continuidad de Negocio. A continuación se muestran las ventajas de adopción de un esquema de continuidad de negocio. Asimismo se muestra una relación con iniciativas actuales en la industria
financiera y por último se propone una serie de recomendaciones.
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONALFabián Descalzo
Desarrollo e implementación de estrategias y planes de continuidad operativa tecnológica (DRP) y funcionales de áreas de negocio (BCP), pruebas de verificación a procedimientos y recursos de recuperación, awareness y capacitación.
En este curso aprenderemos a desarrollar un Plan de Continuidad de Negocio para nuestra empresa que nos permita estar preparados ante posibles contingencias que de otra manera podrían impedir la actividad o incluso al cierre de nuestro negocio.
Un curso eminentemente práctico enfocado a adquirir conocimientos de utilidad directa en nuestro día a día para nuestro negocio que además está alineado con los requisitos de las normas relacionadas con Sistemas de Gestión dela Continuidad del Negocio ISO22301 (antesBSI25999), con Sistemas de Gestión de Seguridad de la Información ISO27000 e incluso con la norma nacional UNE 71599 sobre Gestión de la Continuidad de Negocio.
Se pone el énfasis en que este curso no es un curso de certificación en ninguna de las normas anteriormente citadas convirtiéndose en un curso eminentemente práctico donde obtener conocimientos profundos de rápida aplicación a las necesidades de la empresa además y por supuesto alineados condichas normas.
¿Que es una contingencia informatica? Contingencia suele referirse a algo que es probable que ocurra, aunque no se tiene una certeza al respecto. La contingencia, por lo tanto, es lo posible o aquello que puede, o no, concretarse, un acontecimiento cuya realización no está prevista.
Si necesitas implantar una certificación ISO 22301 en tu empresa, el bagaje profesional de Ingertec te ofrece un servicio de consultoría de calidad, caminando en la misma dirección que las necesidades de tu entidad y focalizando los servicios de nuestra empresa en la consecución de este tipo de certificación lo más rápido posible y con las máximas garantías.
Presentación de la Conferencia: ¿Sobrevivirá mi negocio ante una contingencia?. Claves para la continuidad de negocio.
Acto realizado en el Colegio de Economistas de Catalunya el 24 de noviembre del 2009
En las últimas décadas, las entidades a nivel nacional, han concedido una importancia creciente a la implementación de planes detallados y precisos que garanticen la continuidad
de sus procesos ante eventualidades de diversa índole que afecten la prestación de sus servicios. Si en un principio los factores de riesgo estaban asociados principalmente a
contingencias de carácter natural y tecnológico, las consecuencias derivadas de sucesos como el terrorismo, han mostrado la necesidad de incorporar nuevas amenazas en el
proceso de gestión del riesgo. Es así, que los denominados Planes de Continuidad del negocio (BCP)1 buscan sostener los procesos críticos de una entidad durante y después de una interrupción.
Webinar EXIN "Gestión de continuidad de negocio"EXIN
Principales beneficios de contar con un proceso de Gestión de Continuidad de Negocio
Objetivo de la Continuidad de Negocio
Definiciones más importantes relacionados con la Gestión de Continuidad de Negocio
La relación entre el proceso de Gestión de Riesgos y la Gestión de Continuidad de Negocio
Problema e identificacion de solucion para la obtencion de Informacion en una...oscdia
Solucion a la problematica de la empresa DIMAUTO para obtener datos precisos de venta y utilidad de sus productos a traves de la implementacion de Business Intelligence
Presentacion de proyecto "Obtencion de Datos de venta y Utilidad"oscdia
Empresa del sector automotriz cuya necesidad radica en la obtencion de informacion de forma rapida y precisa sobre montos de venta y porcentajes de utilidad por familia e producto.
Cybersecurity seminar which include a long list of topics like introduction to cybersecurity, logic and physical control, digital threats, social engineering, tehnical and non-technical cyber solutions/controls, IT assets best practices, confidential information management, password management, etc.
Captación y registro de comunicaciones orales y de imagenRamiro Cid
La presentación detalla los conceptos principales de la Ley Orgánica 13/2005 que regula en España la captación de comunicaciones orales y de imagen - Registros remotos de dispositivos informáticos. Una de las características principales de modificación de la Ley de Enjuiciamiento Criminal (LECrim) para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica permite a la Policía Judicial la captación y grabación de comunicaciones orales mediante la utilización de dispositivos electrónicos y la utilización de dispositivos técnicos de captación de la imagen, seguimiento y de localización.
In the last years we are reading more and more news about massive (millions) breach of passwords in web services as communities, emails services, cloud services and others.
Hackers simply are obtaining money stealing passwords and selling or misusing them.
This presentation is focus on how to protect our accounts and with this also keep sure our digital identity, our image and also our money safe from hackers businesses.
The current presentation is based on different Cyber Security Threats for 2017 published in Internet. All threats are explained at a high level but at the end of this presentation all references URL are present if you want to investigate deeply any threat.
¿Cuáles son los peligros a los que se enfrenta su sistema informático?Ramiro Cid
Cada vez es mayor el reto que supone proteger nuestros activos TI frente a las crecientes amenazas y ataques.
Una vez que alguna aplicación maliciosa entra en nuestras redes, puede desplazarse rápidamente con el tráfico y causar estragos en toda la red.
Lean Six Sigma is a process improvement methodology that relies on a collaborative team effort to improve performance by systematically removing waste, combining Lean and Six Sigma to eliminate the eight kinds of waste
Lean Six Sigma projects comprise aspects of Lean's waste elimination and the Six Sigma focus on reducing defects
IT Governance or Corporate governance of information technology is a subset discipline of corporate
governance, focused on information and technology (IT) and its performance and risk management.
The interest in IT Governance is due to the ongoing need within organizations to focus value creation efforts
on an organization's strategic objectives and to better manage the performance of those responsible for creating this value in the best interest of all stakeholders.
This presentation talks about the relation between Cyber Security Resilience & risk aggregation. Both concepts have a near relationship because Risk aggregation refers to efforts done by firms to develop quantitative risk measures that incorporate multiple types or sources of risk.
Cyber Security Resilience is the capacity to have different Cyber controls which can provide the organization an adequate resilience according the organization risk appetite by doing risk management of the aggregation of multiple types or sources of risk.
On 14/4/2016 EU Data Privacy had been approved the regulation which is, nowadays, mandatory. However companies have 2 years to carry out its suitability before receiving an economic penalty for not having completed it - deadline: 25/05/2016
Nowadays the payment fraud landscape is changing quite fast. Changing from classic schemes as bank cheque fraud, faked manual payment orders to organized crime with corporates as targets
Currently, market has a wide range of systems, products and services focused on computer security services: Antivirus, Antispyware, Firewalls, IPS, WAF, SIEM systems, etc.
All these measures are indispensable and have become a priority for any company or organization towards ensuring its assets, but social engineering plays with the advantage that you can use techniques that violate own vulnerabilities inherent in human beings and, as is well known, for this there is no patch or upgrade that provides effective protection against such attacks.
People is normally “the weak link in the chain”.
Some of you maybe made some risk analysis in the past, and maybe some others use to do risk analysis in a regular basis.
Some people use Octave, CRAMM, NIST or other risk analysis methodologies, but… Have you ever though if you have a GAP in the way you use to do your analysis?
Have you ever thought that you may have a lack of visibility in the way it makes your analysis?
This presentation if focuses on the last question.
Drones and their use on critical infrastructureRamiro Cid
The use of unmanned aerial vehicles (drones) is increasing for both leisure and commercial purposes, so it is more and more an extended practice.
The different uses are many and the list continue growing, thus some issues started to appear which need regulations and best practices to try to control the use in a correct way.
Internet of things, big data & mobility vs privacyRamiro Cid
Relationship between Internet of things, big data & mobility vs privacy.
How to protect ourselves against a misuse of our private data and protect our privacy?
Until now, when people talk about cloud computing, it’s usually understood that the cloud is a metaphor for groups of remote, networked servers. Now “space computing” means it literally: physical servers operating in outer space.
Internet of Things ( IoT ) will be all in the future, are we ready for this 4th revolution ? My presentation will show the main topics regarging IoT, including the history, the applications and some arguments behind it, including criticism and controversies.
Cyber Security introduction. Cyber security definition. Vulnerabilities. Social engineering and human error. Financial cost of security breaches. Computer protection. The cyber security job market
Cyber Security Awareness introduction. Why is Cyber Security important? What do I have to do to protect me from Cyber attacks? How to create a IT Security Awareness Plan ?
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
2. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
2
Índice
1. Posibles tipos de desastres Pág. 4
2. Plan de continuidad Pág. 7
3. Diferentes enfoques de Business Continuity Plan Pág. 14
4. BS 25999 Pág. 17
5. Business Impact Analysis (BIA) Pág. 23
6. Estrategias para la creación de BCP Pág. 25
7. Estrategias posibles para los centros de respaldo Pág. 26
8. Estructura de los BCP Pág. 32
9. Relación de procesos de los BCP Pág. 42
3. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
¿100% Seguridad?
“El único sistema que es realmente seguro es uno apagado y desconectado
de la red, encerrado en una caja fuerte forrada de titanio, enterrado en un
bunker, rodeado de gas nervioso y custodiado por guardas armados y muy
bien pagados. Incluso entonces, no daría mi vida por ello …”
Gene Spafford
Director de Computer Operations, Audit, and Security Technology (COAST), Universidad de Purdue
4. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Posibles tipos de desastres
Otras
2%
Errores Hardware
8%
Errores Humanos
2%
Inundaciones
10%
Caídas de Red
2%
Tormentas y Rayos
12% Terremotos
5%
Fuego
6%
Sabotaje
3%
Chispas y Subidas de Tensión
3%
Huracanes
6%
Atentados
7%
Fugas de agua
1%
Caídas de Energía
27%
Fallos en el Servicio
1%
Errores Software
5%
6. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Posibles tipos de desastres
Despacho de un Responsable de Área TIC después de un incendio y la utilización
de extinción automática por agua.
7. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Plan de continuidad
Las organizaciones tratan de evitar las situaciones de riesgos a través de la
instalación de medidas de seguridad preventivas.
A pesar de la inversión que se pueda realizar, hay que asumir que nunca se
podrá obtener una seguridad del 100%.
Para tratar de reducir estos riesgos se deben pensar planes de reacción
antes las situaciones de riesgo que se consideren más críticas.
Los planes de continuidad de negocio se definen para CUANDO falle el
sistema, no POR SI FALLA.
8. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Plan de continuidad
Un Plan de Continuidad de Negocio es la respuesta prevista por una
organización ante aquellas situaciones de riesgo que afectan de forma
crítica a los servicios que ofrecen y que son los que le permiten la
realización de sus actividades diarias y que deben ser las que se quieren
protegen.
En esencia, un Plan de Continuidad de Negocio se centra en obtener el
mínimo tiempo de recuperación ante una determinada situación de riesgo
así como la minimización de las consecuencias que estas acciones
podrían llegar a provocar.
9. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Plan de continuidad
Los Planes de Continuidad de Negocio buscan:
1. Mantener el nivel de servicio en los límites definidos por la organización.
2. Establecer un período de recuperación mínimo para garantizar la
continuidad del negocio.
3. Recuperar la situación inicial de los servicios y procesos hasta la situación
anterior al incidente de seguridad que lo provocó.
4. Analizar el resultado de la aplicación del Plan de Continuidad de Negocio y
los motivos del fallo para optimizar las acciones que la comprenden.
Deben estar en consonancia con el Análisis de Riesgos de la organización ya
que permite identificar las medidas de seguridad que se deben implantar
en una organización así como ante que situaciones se deberá pensar en
el Plan de Continuidad de Negocio.
10. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Análisis de Riesgos y Planes de Continuidad
De un proceso de Análisis de Riesgos se obtienen:
1. Situación a controlar
2. Situación objetivo
3. Controles implementados
4. Controles del plan de continuidad
5. Activos implicados
6. Amenazas
7. Áreas de la empresa implicadas
11. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los Planes de Continuidad
Activos críticos
Definición situaciones críticas Procesos de trabajo
Análisis de riesgos
Asignación de responsabilidades Comité de emergencia
Responsables de planes
Disparo situación de alarma Indicadores de disparo
y acciones de respuesta Secuencia de acciones
Registros
Planes de mantenimientos Datos de pruebas y disparo
Propuestas de mejora o cambios
12. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Planes de Continuidad
Tienen que responder a las diferentes situaciones de riesgos que están
definidas.
Recogen todas las acciones a llevar a cabo desde el momento que se
detecta la emergencia hasta que la empresa vuelve a sus condiciones de
funcionamiento.
13. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Planes de Continuidad
Resulta fundamental para el éxito de un Plan de Continuidad de Negocio
que se tengan en consideración los siguientes aspectos de cara al éxito
de este tipo de proyectos:
Detectar todos los recursos necesarios que se requieren tanto para la
protección como para la recuperación de los procesos a salvaguardar.
Definir la disponibilidad, mantenimiento y operatividad de todos los recursos
implicados en el Plan de Continuidad de Negocio.
Establecer claramente el momento de disparo de los Planes de Continuidad.
Asignar un responsable al Plan de Contingencias específico.
Asignar responsabilidades claramente para cada acción definida.
Establecer un proceso de revisión una vez recuperada la situación.
14. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Diferentes enfoques de Business Continuity Plan
Disaster Recovery Planning (DRP)
Recuperación de los servicios TIC y los recursos, dado un evento que
ocasiona un interrupción mayor en su funcionamiento.
Bussiness Resumption Planning (BRP)
Reanudación de los procesos de negocio afectados por un fallo en las
aplicaciones de IT.
Continuity od Operations Planning (COOP)
Busca la recuperación de las funciones estratégicas de una organización que
son desempeñadas en sus instalaciones corporativas.
15. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Contingencia Planning (CP)
Se enfoca en la recuperación de los servicios y recursos de TI después de un
desastre de dimensiones mayores a una interrupción menor.
Emergency Response Planning
Es de salvaguardar, a los empleados, público, ambiente y a los activos de la
empresa.
Diferentes enfoques de Business Continuity Plan
16. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Normativas para la creación de los Planes de Continuidad de Negocio
Durante este año 2007 se presentó la primera normativa de carácter
internacional en la que se indica que aspectos deben tenerse en
consideración a la hora de la creación e implantación de un Plan de
Continuidad de Negocio en una organización. Esta normativa se
denomina BS 25999.
Es la primera norma con carácter internacional (durante el próximo año
pasará a ser ISO) que aporta unas buenas prácticas para la gestión de la
continuidad del negocio.
Incluso está en elaboración la segunda parte de esta norma con el objetivo de
poder certificar dichos PCN.
Determina como deben gestionarse de la forma correcta los planes de
continuidad de negocio con el objetivo de que se integren en las
organizaciones.
17. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
BS 25999
Este estándar describe las diferentes fases que tienen que establecerse
para la creación y gestión continua de un plan de continuidad de negocio.
Programa de
Gestión del
PCN
Comprensión de la
Organización
Determinación de
la estrategia del
PCN
Desarrollo e
implementación del
PCN
Prueba,
mantenimiento y
revisión del PCN
18. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
BS 25999: Primera Fase
Comprensión de la organización
Esta primera fase a la hora de la creación de un Plan de Continuidad de Negocio
resulta la más crítica y fundamental de cara al éxito de este tipo de proyectos. El
objetivo fundamental consiste en la comprensión total de las actividades que se
realizan por parte de la organización así como todos los elementos que se requieren
para la realización de estos procesos.
Para la elaboración de esta primera fase se divide en dos sub-fases:
Gestión del riesgo
Tratar de minimizar los riesgos detectado en el Análisis de Riesgo con el fin de
reducir los riesgos existentes, preferentemente aquellos que podrían provocar
grandes daños para la organización.
19. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Business Impact Analysis (BIA)
Consiste en identificar los procesos relacionados con la misión de la organización y
analizar con mucho detalle los impactos en la gestión comercial del negocio si
esos procesos se vieran interrumpidos como resultado de un desastre.
Se identifican las áreas críticas para el alcance de la organización, así como la
magnitud potencial del impacto operativo y financiero.
El BIA resulta el proceso más complejo dentro de un Plan de Continuidad de
Negocio ya que es a partir del mismo que se consigue identificar los valores
fundamentales de todo PCN:
Tiempo máximo de inactividad por proceso / actividad de negocio.
Tiempo de recuperación de la información que se requiere para ofrecer un proceso
/actividad de negocio.
Minimo nivel de servicio que se requiere para ofrecer los procesos /actividades de
negocio
BS 25999: Primera Fase
20. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
BS 25999: Segunda Fase
Determinación de la estrategia del PCN
Consiste en la realización del estudio de las posibles soluciones que existen
para poder recuperar los procesos más críticos en el menor tiempo posible
con una menor inversión.
El objetivo es garantizar que no se superará el tiempo máximo de inactividad
de negocio permitido desde el momento en el que sucede la contingencia
hasta que el servicio se vuelve a ofrecer.
21. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
BS 25999: Tercera Fase
Desarrollo e implantación del Plan de Continuidad de Negocio
Consiste en la creación de:
Los equipos de continuidad de negocio.
Preparación de las infraestructuras requeridas para la ejecución de estos planes
de continuidad.
Determinación de los momentos de ejecución de los diferentes planes.
Elaboración de las diferentes acciones que se deberán ejecutar en el momento de
uso del Plan de Continuidad de Negocio.
Determinación de las personas que deben ejecutar todas y cada una de las
acciones que se deberán desarrollar.
22. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Prueba, mantenimiento y revisión del Plan de Continuidad de Negocio
Prueba de los PCN
Se deben efectuar de forma periódica pruebas para verificar que el plan de continuidad
de negocio consigue los objetivos marcados a la hora de la determinación y creación
de estos planes
Estas pruebas sirven para la realización de mejoras en el Plan de Continuidad de
Negocio.
Mantenimiento del PCN
Se trata de mantener el Plan de Continuidad de Negocio en un estado de preparación
constante para dado un desastre poder ejecutarlo minimizando las posibilidades de
error.
BS 25999: Tercera Fase
23. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Business Impact Analysis
Resulta una de las fases más importantes a la hora de
la creación de los planes de continuidad de negocio.
Se realiza a nivel de proceso y no a nivel de activo.
Conviene una clara y precisa comprensión del negocio
La información se extrae de entrevistas con diferentes
personas de alta dirección del negocio así
Permite decidir que procesos deberán recuperarse con
anterioridad en caso de desastre
Incluye aspectos como:
• pérdida de ingresos,
•sanciones y multas,
• pérdida de imagen
• incremento de
costes.
25. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estrategias para la creación del PCN
Existen varios aspectos fundamentales a la hora de la decisión de una
solución:
26. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estrategias posibles para los Centro de Respaldo
Cold Site
Solo tienen:
Cableado eléctrico
Aire Acondicionado
Warm Site
Configuraciones parciales, solo
Conexiones de red
Equipos periféricos
Carecen generalmente de la CPU
La disponibilidad depende del acopio e instalación de la CPU
Deben ser compatibles, (equipo, red y software)
Necesitan CPU, personal, programas, datos y documentación
Destinado para operaciones de emergencia para periodos cortos
27. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estrategias posibles para los Centro de Respaldo
Hot Site
Configuraciones totales
Listas para ser usadas dentro de pocas horas
Deben ser compatibles: equipos, red y software
Necesitan personal, programas, datos y documentación
Destinados a
operaciones de emergencia para periodos cortos
operaciones de emergencia para procesos de negocio muy críticos
Caros compartidos
28. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estrategias posibles para los Centro de Respaldo
Lugares dedicados
Son lugares dedicados (generalmente propios)
Para asegurar su viabilidad es necesario:
No debe estar sujeto a los mismos desastres que el lugar primario
Debe haber coordinación de estrategias de actualización (hard/soft) entre ambos
centros
Debe asegurar la disponibilidad de los recursos
Debe haber acuerdos para agregar aplicaciones (carga de trabajo) para la
recuperación
Es necesario una prueba periódica
29. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estrategias posibles para los Centro de Respaldo
Sitios móviles
Remolque diseñado para ser trasladado rápidamente
Suelen contener
Servidores
Estaciones de trabajo
Equipos de comunicaciones
Enlaces vía satélite
Útiles para
desastres que afectan a una amplia zona geográfica
organizaciones de oficinas múltiples
30. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estrategias posibles para los Centro de Respaldo
Acuerdos recíprocos
Los participantes acuerdan proveerse mutuamente instalaciones en caso de
emergencia
Ventajas
Bajo Costo
Es posible que sea la única alternativa
Inconvenientes
Estos acuerdos NO suelen OBLIGAR a las partes
Pueden existir INCOMPATIBILIDADES de equipos y configuración
Los cambios sobre carga de trabajo afectan a los participantes
32. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP
Esquema de los BCP:
1. Objetivo
2. Alcance
3. Descripción de la situación a controlar
1. Riesgos a controlar
2. Activos que intervienen
3. Nivel de servicio exigido
4. Tiempos para cada respuesta: tiempo total de reacción
5. Recursos necesarios en cada uno de los planes. Disponibilidad y
operatividad
4. Listado de Procedimientos concretos y responsables
5. Disparo de Alarma
33. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP
6. Plan de respuesta
7. Plan de respaldo
8. Plan de recuperación
9. Plan de análisis y mejora
10. Planes de prueba
34. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP
Objetivo: recoge brevemente el objetivo del plan de contingencia concreto
Alcance: recoge el ámbito de aplicación del PC. Se define el servicio,
localización en la empresa, personal responsable, etc.
35. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP
3. Descripción de la situación a controlar: Recoge los datos de la situación
analizada y los parámetros que se quieren mantener.
Situaciones de riesgo: descripción de amenazas y forma de actuación
Activos involucrados: listado y consecuencias producidas
Niveles exigidos: situación requerida de la empresa para la situación
descrita en los PC en los momentos de interrupción del servicio
Tiempos de respuesta: tiempo máx. para alcanzar cada una de las fases
Recursos necesarios para los planes de respuesta, respaldo y recuperación
36. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP
4. Planes desarrollados y responsables en cada uno de los planes: listado
de los planes o procedimientos concretos con los responsables de los
mismos. Se especifica versión, aprobación y distribución, así como la
persona responsable de su implantación y mantenimiento.
5. Disparo de alarma: Recoge claramente las situaciones o indicadores que
hacen que las acciones indicadas arranquen. Se define quién puede
detectar estas situaciones de inicio y qué primera acción debe efectuar.
37. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP
6. Plan de respuesta: procedimiento que describe las acciones a realizar
tras el disparo de la alarma o emergencia:
Acciones para proteger a las personas
Acciones para cortar la situación de riesgo: control de las amenazas
Acciones para proteger los activos
Acciones de notificaciones públicas
Registro de las acciones que se van realizando
38. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP
7. Plan de respaldo: procedimiento donde se describen las acciones a llevar
a cabo para mantener el servicio mientras se resuelve la situación de
emergencia. Trata de mantener el servicio en los niveles requeridos por la
organización.
Recursos necesarios para mantener la operación
Mantenimiento de los recursos
Activación de las diferentes acciones
Registro de las acciones llevadas a cabo: inicio, desarrollo y resultados
Personal implicado
39. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP
8. Plan de recuperación: procedimiento donde se describen los pasos a
realizar para restaurar el servicio a los niveles que existían antes de las
emergencias.
Restitución de activos, suministros, entorno
Arranque de los sistemas, servicios, etc.
Pruebas para comprobar los sistemas restaurados
Puesta en operación
Retirada de los planes de respaldo
Registro de las acciones realizadas y resultados.
40. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP
9. Plan de análisis y mejora: procedimiento donde se describe qué datos
analizar y cómo hacerlo una vez finalizada la emergencia y restaurados
los sistemas
Datos sobre situación de emergencia, causas, duración, daño producido
Datos sobre el desarrollo y adecuación de los planes de respuesta,
respaldo y restauración. Registros tomados durante el desarrollo de los
planes
Problemas detectados en el proceso del PC
Informe para comité de seguridad/emergencia
Propuesta de acciones correctoras y de mejora. Seguimiento.
41. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP
10.Planes de prueba: descripción de las pruebas a realizar del plan de
contingencias para verificar que funcione correctamente, están los
recursos necesarios disponibles, están los procedimientos disponibles y
son conocidos.
Planificación de las pruebas
Responsables de realizar las pruebas
Pasos a realizar, simulacros
Análisis de los resultados
Presentación de mejoras al responsable del plan de contingencias y al
comité de seguridad/emergencia.
42. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Relación de procesos de los BCP
Disparo
de alarma
Plan de respuesta
Plan de respaldo Plan de recuperación
Plan de Análisis y
Mejora
Plan de pruebas
Resultados
Pruebas
Registros
Propuestas de
cambios y
mejora
si
no
43. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Desarrollo de los PCN
Nº FUNCIÓN Responsable Resultado
1 Considerando el Análisis de Riesgos. Describir
el esquema de los PC
Comité Seguridad
Responsable Seguridad
Estructura PC
PC a desarrollar por los
responsables PC
2 Para cada PC describir los puntos y procesos
de cada uno de ellos
Responsable de los PC PC
Registros definitivos
3 Revisar los PC para coordinar acciones y
asegurar la coherencia
Comité seguridad
Responsable Seguridad
Aprobación formal de los planes
4 Establecer y aprobar la programación de las
pruebas y revisiones de los PC
Comité seguridad
Responsable seguridad
Aprobación formal de los planes
de pruebas
5 Asegurar la disponibilidad de los recursos
necesarios para aplicar los planes
Responsables del PC Recursos disponibles
6 Distribución de los planes y formación del
personal
Responsable de los PC Conocimiento y preparación del
personal implicado
7 Desarrollo de pruebas y revisiones Responsable de PC Mejora y mantenimiento de los
PC
44. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
¿Dudas? ¿preguntas?
¡¡ Muchas Gracias !!
ramiro@ramirocid.com
@ramirocid
http://www.linkedin.com/in/ramirocid
http://ramirocid.com http://es.slideshare.net/ramirocid
http://www.youtube.com/user/cidramiro
Ramiro Cid
CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL