4. Elementos fundamentales del plan de continuidad 1.
-
Upload
luz-aguilera-chavez -
Category
Documents
-
view
240 -
download
2
Transcript of 4. Elementos fundamentales del plan de continuidad 1.
1
4. Elementos fundamentales del plan de continuidad
2Definición de servicios de Tecnologías de Información
1. Evaluación de análisis de riesgo
2. Análisis de impacto en el negocio
3. Desarrollo de estrategias de continuidad
4. Respuesta a incidentes
5. Plan de acción
6. Plan de vuelta a la normalidad
7. Pruebas y actualización
3
Caso Walmart
Walmart ha sufrido los estragos de desastres naturales en numerosas ocasiones
Cuenta con oficina donde se realizan todos los planes de continuidad de negocio: Centro de Continuidad de Operaciones en la Ciudad de México
ObjetivoReestablecer operaciones después de un desastre natural«las empresas dan estabilidad a la sociedad»
Tres simulacros al año para desarrollar una cultura de prevención de desastres
4
Caso WalmartCentro de Continuidad de Operaciones
Maneja toda la información que surge sobre un fenómeno natural
Caso de los huracanes Seguimiento: inicio,
trayectoria, primeras consecuencias, proyecciones
Contacto con las tiendas: revisión de instalaciones, análisis de abasto completo de las mercancías más demandadas, proyección de las posibles vías de comunicación, …
Otras acciones Teleconferencias con cada
departamento involucrado en la operación
Solicitud de procuración de bienestar de los asociados
Mantener en contacto con las autoridades
Efecto Recuperación de sus
operaciones con mayor prontitud
Mexicali: primera en reabrir y atender las necesidades de la población
5
Beneficios
«seguro de vida» que ayuda a las empresas a salir a flote de un desastre natural
ConocimientoControlConsistenciaResilienciaAgilidad
Beneficios de un plan de continuidad de negocios
6
Conocimiento Control
Sabe lo que tiene que hacer en cada uno de los frentes de la organización (relación con los clientes, operaciones, control de staff)
Se cuenta con los procesos, documentos, roles, responsabilidades para cubrir con las necesidades básicas
Beneficios de un plan de continuidad de negocios
7
Consistencia Resiliencia
Mantiene viva la operación del negocio y le permite dar seguimiento a sus relaciones internas, externas
Tiene la capacidad de regresar ordenadamente a su operación normal conforme la situación de contingencia se controla
Beneficios de un plan de continuidad de negocios
8
Agilidad
Tiene un tiempo de respuesta definido para recuperar su operación básica
Beneficios de un plan de continuidad de negocios
9
Plan de continuidad de negocioalcance
Diseñado para crear una situación de preparación que proporcione una respuesta inmediata diseñada en función de una serie de posibles escenarios previamente definidos
Documento de Microsoft Word 97-2003
10
Plan de continuidad de negociofunciones de la Dirección
Cuidadosa elaboración e implementaciónPropuesto a la Dirección para su aprobación
Documento de Microsoft Word 97-2003
11
Evaluación de análisis de riesgo
Haga clic en el icono para agregar una imagen
12
Evaluación de análisis de riesgo
Estudio de las amenazas a que están sometidos los activos de una organización y evaluación de su vulnerabilidad
Estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que están puedan producir
13
Evaluación de análisis de riesgo¿Cómo realizarlo?
1. Identificar los peligros
2. Decidir quien puede ser dañado y cómo
3. Evaluar los riesgos y decidir las precauciones
4. Registrar sus hallazgos e implementarlos
5. Revisar su análisis y poner al día si es necesario
14
Evaluación de análisis de riesgomatriz
Basada en el método de análisis de riesgo con un grafo de riesgo usando la fórmula:
riesgo = probabilidad de amenaza × magnitud de daño
15
Evaluación de análisis de riesgomatriz
La Matriz contiene una colección de diferentes Amenazas (campos verdes) y elementos de información (campos rojos)
Para llenar la Matriz, tenemos que estimar los valores de la Probabilidad de Amenaza (campos azules) por cada Amenaza y la Magnitud de Daño (campos amarillas) por cada Elemento de Información
16
Evaluación de análisis de riesgomatriz
Algunas medidas de protección necesarias Proteger los datos de RR.HH, Finanzas contra virus Proteger los datos de finanzas y el coordinador contra robo Evitar que se compartan las contraseñas de los portátiles
Hoja de cálculo de Microsoft Excel 97-200
17
Evaluación de análisis de riesgoidentificación de recursos
HardwareProcesadores, tarjetas, teclados, terminales, estaciones de trabajo, computadoras personales, impresoras, unidades de disco, líneas de comunicación, routers, …
SoftwareCódigos fuentes y objeto, utilidades, programas de diagnóstico, sistemas operativos, programas de comunicación
InformaciónEn ejecución, almacenados en línea, almacenados fuera de línea, en comunicación, bases de datos, …
PersonasUsuarios, operadores, …
AccesoriosPapel, cintas, toners, …
18
Evaluación de análisis de riesgoidentificación de amenazas
Desastres de entornoDesastres naturales, desastres producidos por elementos cercanos (cortes de suministro eléctrico, …), peligros relacionados con operadores, programadores o usuarios del sistema
Amenazas en el sistemaVulnerabilidades de los equipos y su software (fallas del sistema operativo, medidas de protección, fallas en las sistemas, copias de seguridad, …
Amenazas en la redAnalizar aspectos relativos al cifrado de los datos en tránsito por la red, proteger una red local del resto de internet, instalar sistemas de autenticación de usuarios remotos que necesitan acceder a ciertos recursos internos a la organización
19
Análisis de impacto en el negocio
Haga clic en el icono para agregar una imagen
20
Análisis de impacto en el negocio
Determinar los procesos críticos de la empresa, evaluar sus impactos económicos y operacionales sobre el negocio en caso de no disponer de los recursos humanos, logísticos o tecnológicos para ejecutarlos además de establecer un orden de prioridad de recuperación de dichos procesos
21
Análisis de impacto en el negocioimpactos más comunes y tiempos de recuperación
1. Recuperación en el mismo día
2. 1-2 días
3. 3-7 días
4. Más de una semana
22
Análisis de impacto en el negociorecuperación en el mismo día
1. Respuesta de llamadas telefónicas de clientes
2. Procesamiento de funciones financieras muy voluminosas y sensibles al tiempo
3. Aspectos relacionados con la salud y la seguridad
4. Impactos medi0ambientales5. Daño grave a la imagen o reputación
23
Análisis de impacto en el negocio1-2 días
La mayor parte de los negocios puede sobrevivir durante un día de interrupción sin que haya consecuencias amenazadoras para la compañíaSin embargo,1. El servicio a clientes comienza a
deteriorarse2. La información relativa a clientes necesita
estar restaurada y disponible para satisfacer las necesidades de entregas y gestión de pedidos
3. Los impactos en ingresos comienzan a hacerse patentes
24
Análisis de impacto en el negocio3-7 días
Pocas compañías pueden soportar que las funciones de sus negocios principales estén interrumpidas más de un par de días1. Notoriedad extremadamente alta (informaciones
negativas en la prensa económica, impacto en la cotización de las acciones)
2. Pérdida de clientes (a largo plazo y quizás permanentemente)
3. Problemas contractuales graves (plazos incumplidos, cláusulas de penalización, pleitos)
4. Amenaza financiera o quiebra
25
Análisis de impacto en el negociomás de una semana
La mayor parte de las organizaciones no pueden predecir exactamente los impactos de interrupciones de larga duración
Las interrupciones largas son escasasLos plazos son tan grandes, que la mayor parte de las
organizaciones gastarán todos los recursos que sean necesarios para recuperar un cierto nivel de servicio dentro del plazo de una semana
1. La reconstrucción de la información es enormemente costosa
2. La pérdida permanente de información impacta en la competitividad a largo plazo
3. La desmotivación y altas tasas de rotación de personal son frecuentes después de que ocurra una interrupción demasiado prolongada
26
Análisis de impacto en el negocioresumen de la Dirección: objetivos
Definir los tipos de impacto que se deberían considerar (económico, comercial, operacional, de imagen, jurídico, …)
Identificar las funciones críticas de la organización
Identificar el impacto causado a la organización por la interrupción de cada una de ellas
Informar a la dirección de los resultados anteriores para a que puedan fijar prioridades definiendo cuáles son las funciones consideradas prioritarias y establecer los umbrales máximos de recuperación para cada una de dichas funciones
Posibilitar la identificación de los recursos mínimos necesarios para una recuperación satisfactoria de las funciones definidas como críticas y justificar su adquisición
27
Análisis de impacto en el negocioresumen de la Dirección: alcance del análisis
Se refiere a los efectos, tangibles como intangibles, que causarían en la organización la interrupción de las funciones consideras como críticas por el equipo directivo de la organización
28
Valoración cuantitativa Valoración cualitativa
Análisis de impacto en el negocioresumen de la Dirección: resumen de resultados
Documento de Microsoft Word 97-2003
Documento de Microsoft Word 97-2003
29
Análisis de impacto en el negocioresumen de la Dirección: resumen de resultados
Calificación de impactos
Documento de Microsoft Word 97-2003
30
Resultados del análisisRequisitos para la recuperación
Valoración cuantitativa de los impactos producidos por la interrupción de funciones
Costos de recuperación
Pérdidas asumiblesUmbrales de
recuperaciónRequisitos mínimos
aceptables para la recuperación (REMAR)
Análisis de impacto en el negocio
Documento de Microsoft Word 97-2003
Documento de Microsoft Word 97-2003
31
Análisis de impactosoluciones para registros vitales
Selección de las instalaciones de almacenamiento externo
Consideraciones: seguridad y accesibilidad
Ubicaciones posibles
Documento de Microsoft Word 97-2003
32
Análisis de impactoestrategias de respuesta
Diferir la realización de las funciones de negocio
Reubicar las operaciones de negocio durante el tiempo de recuperación
Posponer las funciones de negocio
33
Análisis de impactoestrategias de reubicación
Instalaciones de operación alternativas, instalaciones informáticas y de telecomunicaciones
Centro de gestión de crisis/áreas de traslado
Consideraciones ¿se pueden modificar las operaciones normales?
¿qué dependencias de entradas y salidas existen?
¿qué procesos de reporteo se pueden suprimir?
¿qué operaciones y procesos concurrentes son posibles?
¿se puede minimizar la logística operando en un centro de respaldo?
¿cuál es la capacidad necesaria para operar en este modo de supervivencia?
¿cuál es la posibilidad de los diversos sistemas y aplicaciones informáticas?
34
Análisis de impactoestrategias de centros alternativos
Documento de Microsoft Word 97-2003
35
Análisis de impactoanexos: cuestionarios de valoración
Impacto económico
Impacto comercial
Impacto operacional
Impacto en imagen
Impacto legal
Hoja de cálculo de Microsoft Excel 97-200
36
Desarrollo de estrategias de continuidad
Haga clic en el icono para agregar una imagen
37
Desarrollo de estrategias de continuidad
Desarrollarlas y valorarlas hasta llegar a un equilibrio entre los gastos incurridos, los riesgos a mitigar y los beneficios económicos aportados
38
Desarrollo de estrategias de continuidad
No se puede dar un modelo fijo de estrategiaDependencia
características de cada organización grado de criticidad de sus funciones y aplicaciones disponibilidad de servicios alternativos …
Basarse en la disponibilidad de un centro alternativo, propio o subordinado, en el que se realizarán las operaciones que permitan continuidad de las funciones críticas en un período inferior al definido por los umbrales de respuesta y recuperación
39
Centro de control Centro alternativo
Lugar de reunión para las actividades de valoración inicial, la coordinación y toma de decisiones
Equipo de gestión de incidentes y asesores durante las fases iniciales de respuesta y recuperación
Centro fríoCentro calienteCentro espejoCentro móvil
Desarrollo de estrategias de continuidad
40
Centro frío Centro caliente
Sala vacía preparada con las condiciones ambientales para albergar equipos informáticosInstalación de energía
eléctricaClimatizaciónFalso sueloCierta estructura de
comunicaciones
Instalación totalmente configurado a las especificaciones del cliente y disponible en pocas horas
Recomendado para organizaciones en las cuales su umbral de recuperación no superar las 24/48 horas
Desarrollo de estrategias de continuidadcentro alternativo
41
Centro espejo Centro móvil
En caso de necesidades de respuesta inmediatas
Instalaciones idénticas y actualizadas permanentemente con objeto de que una de ellas se haga cargo automáticamente del trabajo si la otra sufre una interrupción
Trasladar las facilidades informáticas de respaldo al lugar determinado previamente en el plan de contingencia
Consiste en una sala acondicionada, equipada y configurable en pocas horas
Umbrales de recuperación: 6-8 horas en adelante
Desarrollo de estrategias de continuidadcentro alternativo
42
Desarrollo de estrategias de continuidad
Otra localización dentro de la organizaciónAcuerdos de ayuda mutuaAcuerdos con los proveedores de equiposEmpresas de servicio
43
Desarrollo de estrategias de continuidadprocedimientos de backup
Dirección de Sistemas: servicio centralizado para ayudar al resto de las entidades en el proceso de protección de la información mediante la obtención de copias de seguridad
Cada entidad debe ser individualmente responsable de la identificación y protección de todos los registros vitales para una recuperación satisfactoria de la información contenida en los equipos locales
Documento de Microsoft Word 97-2003
44
Solución propia
Accesibilidad: 24 horas, 365 días al año
Resistencia al fuego (RF-120)
Temperatura controlada (20°C)
Humedad controlada (50%) Resistencia al
aplastamiento Hermeticidad ante gases
Hermeticidad ante agua Medidas de seguridad
adicionales Sistema de detección Sistema de extinción Cierre rápido Protección contra robo
Desarrollo de estrategias de continuidadcentro de almacenamiento externo
45
Solución externa
Almacén vigilado y conectado a una central de alarmas 24 horas, 365 días y dotado con sistemas de seguridad pasiva
Sala de almacenamiento de soportes presurizada: no polvo y exenta de campos magnéticos
Sistema de extinción de incendios mediante gas inerte
Control automatizado de parámetros de: temperatura, humedad, pureza de aire, accesos, …
Sistemas alimentación eléctrica redundantes
Vehículos sin distintivos con aire acondicionado
Transporte en maletines o contenedores
Transporte con comunicación con la base (radio, teléfono, buscapersonas, …)
Disponibilidad las 24 horas, 365 días al año
Recogida y entrega planificada en las instalaciones del cliente
Desarrollo de estrategias de continuidadcentro de almacenamiento externo
46
Posibilidad de acceso inmediato y/o posibilidad de solicitudes de urgencia con un tiempo de respuesta aceptable (2/3 horas)
Cobertura de seguro adecuada
Conceptos de facturación claros y cerrados, incluidas las tarifas para servicios de emergencia en horario normal, nocturno, fines de semana, fiestas, …
Software de administración y logística integrados
Confidencialidad de los datos almacenados
Desarrollo de estrategias de continuidadcentro de almacenamiento externo
47
Respuesta a incidentes
Haga clic en el icono para agregar una imagen
48
Equipo de gestión de incidentes
Formado por los jefes de equipo de los equipos restantes y dirigido por una persona con suficiente nivel jerárquico dentro de la estructura de la organización
Funciones Planificar y controlar
actividades Decidir la ubicación del
centro de control Realizar los informes de
situación Evaluar los daños
Planificación de reuniones periódicas para revisar el plan y organizar pruebas
Respuesta a incidentes
Documento de Microsoft Word 97-2003
49
Equipo de operaciones informáticas
Responsable de la rápida y efectiva reimplantación de las instalaciones informáticas después del desastre
Respuesta a incidentes
Documento de Microsoft Word 97-2003
50
Equipo de operaciones informáticas: funciones
Instalación de la solución de recuperación Aviso a la empresa de servicios de respaldo Solicitud de copias de seguridad adecuadas de programas y datos Prueba de la máquina de respaldo Restauración de la comunicaciones locales y remotas Obtención de soportes magnéticos para backup, material preimpreso
y suministros Recuperación de copias de seguridad del sistema operativos,
programas y datos Realizar pruebas de comprobación de la calidad de las aplicaciones
restauradas
Respuesta a incidentes
51
Equipo de administración
Provisión de recursos a los demás equipos
Asignación y administración de una caja para gastos de menor cuantía
Coordinar la seguridad del edificio
Relaciones con los servicios públicos (bomberos, policía, protección civil, …)
Notificación a la compañías de seguros adecuadas y relaciones con los peritos
Relaciones con el personal y tratamiento de los problemas que se les puedan presentar
Relación con los medios de comunicación y edición de notas de prensa
Respuesta a incidentes
Documento de Microsoft Word 97-2003
52
Equipo de atención a usuarios
Mantener informado a todos demás departamentos usuarios del progreso realizado mediante la publicación regular de boletines informativos actuando como intermediario entre los departamentos usuarios y el proceso de recuperación
Respuesta a incidentes
Documento de Microsoft Word 97-2003
53
Equipo de inmuebles
Responsable de la reconstrucción y reacondicionamiento de la sala
Coordinación de un cierto número de subcontratistas y proveedores
Respuesta a incidentes
Documento de Microsoft Word 97-2003
54
Equipo de servicios generales
Soporte de cualquier servicio auxiliar que pueda ser necesario para la completa recuperación de todas las áreas afectadas
Coordinar un cierto número de subcontratistas y proveedores
Respuesta a incidentes
Documento de Microsoft Word 97-2003
55
Plan de acción
Haga clic en el icono para agregar una imagen
56
Plan de acción
Documenta la evaluación inicial y actividades de puesta en marcha de equipo y toma decisiones efectuadas por el equipo de gestión incidentes
Importante: inmediata notificación al responsable apropiado de cualquier suceso que pueda causar interrupción en las operaciones informáticas
Enemigo a batir: el tiempo
57
Plan de accióntipos de desastre
Desastre menorAquel que provoca una parada que no sobrepase las cuatro horasEjemplos: fallas de hw debidos a usuarios, daños menores o problemas de sw
Desastre mayorAquel que provoca una parada de más de cuatro horas y que no sobrepase un díaEjemplos: inundación de la sala, rotura del aire acondicionado
Desastre catastróficoFuera de servicio más de un día que no sobrepase una semanaEjemplo: destrucción total del centro informático
58
Plan de acciónactivación de procedimientos de emergencia
Notificación de primera alerta
Escalamiento de problemas
Informe de emergencia
Evaluación de daños
Documento de Microsoft Word 97-2003
Documento de Microsoft Word 97-2003
Documento de Microsoft Word 97-2003
59
Plan de acciónprocedimientos de respuesta
Coordinación de actuaciones por el equipo de gestión de incidentes
Procedimientos del departamento de Administración
departamento de Asesoría Jurídica
departamento Comercial
departamento de Producción
departamento de Recursos Materiales
departamento de Inmuebles
departamento de Logística
departamento de Recursos Humanos
60
Plan de acciónprocedimientos de respuesta
departamento de Relaciones Públicas
departamento de Seguridad
departamento de Sistemas de Información
servicio de Archivo Central
servicio de Correos
servicio de Viajes
servicio de Telecomunicaciones
61
Plan de acciónprocedimientos de recuperación
Necesitan más tiempo para ser puestos en marcha
Son a menudo más costosos y complicados a implantar
Ejemplo: reconstrucción de los registros perdidos y las computadoras personales dañadas pueden llevar días o semanas y requiere mayor dedicación del personal
62
Plan de acciónprocedimientos de recuperación
Coordinar la preparación del lugar de recuperación
Traslado al centro de respaldo
Procedimientos de recuperación del sistema operativo
Procedimientos de recuperación de aplicaciones
Procedimientos de recuperación de datos
63
Plan de vuelta a la normalidad
Haga clic en el icono para agregar una imagen
64
Plan de vuelta a la normalidad
La reanudación de las operaciones no debe poner un riesgo adicional
Planificar cuidadosamente la vuelta a la normalidadAcciones
Reunión de planificación Fecha, hora de disponibilidad para el regreso Estado de los servicios de soporte (teléfonos, servicios informáticos, …) Cualquier requisito o apoyo logístico especial
Sesión de planificación dirigida por el jefe de cada equipo de recuperación
Desarrollar un programa final aprobado y revisado Poner en marcha los procedimientos modificados de continuidad de
negocio reanudando las operaciones en el lugar de trabajo permanente
65
Pruebas y actualización
Haga clic en el icono para agregar una imagen
66
Pruebas y actualización
La buena documentación de un manual no es suficiente para garantizar que el plan de continuidad de negocio va a responder según lo previesto
Necesidad de entrenamiento y pruebas periódicas
Actualización de los planesContenido del programa de pruebas y
entrenamiento Revisiones periódicas Ejercicios de entrenamiento Pruebas técnicas
67
Pruebas y actualizaciónrevisiones periódicas
¿siguen siendo válidas las premisas de partida sobre las que se construyó el plan?
¿se han transformado en críticas, funciones de negocio que antes no lo eran?
¿están todavía disponibles los recursos de recuperación, incluyendo las copias de seguridad actualizadas en el almacenamiento externo?
¿son todavía apropiados, en cantidades y umbrales de recuperación, los recursos críticos que se han definido?
¿ha habido algún cambio en la criticidad de alguna información, que ahora la haga esencial para la recuperación?
¿son todavía apropiados los umbrales de recuperación de las funciones de negocio identificadas como críticas?
68
Pruebas y actualizaciónejercicios de entrenamiento
Recomendación: ejercicio anual similar a la revisión de procedimientos de respuesta y recuperación efectuada durante el desarrollo del plan
69
Pruebas y actualizaciónpruebas técnicas
Base: buen funcionamiento de la tecnologíaRecomendación: prueba anual de determinados elementos
tecnológicos y logísticos del planEjemplos
Restaurar todos los backups de PCs y LANs Conmutar las telecomunicaciones de voz y datos al centro alternativo Comprobar la idoneidad de los backups existentes en el
almacenamiento externo y su posibilidad de lectura Verificar la disponibilidad de los proveedores de recursos críticos
(substitución de PCs, impresoras y consumibles) Recuperar los elementos custodiados en el almacenamiento externo Efectuar algunas transacciones y procesos reales utilizando los
recursos y registros identificados en el plan
70
Pruebas y actualizaciónmantenimiento del plan
Mantener actualizado el plan de continuidad de negocio
Revisión y validación de necesidades y estrategias
Actualizaciones (coordinador del plan) Mantener una copia actualizada en casa y en la oficina Asegurarse de que todos los miembros del equipo y el personal
alternativo tienen una copia actualizada en su casa Asegurarse que todo el personal de los equipos de recuperación
considera la preparación de las actividades de recuperación como parte de sus actividades diarias
Asegurarse de que las actividades de backup y almacenamiento de registros vitales están siendo ejecutadas
Participar en el programa de pruebas del plan de continuidad de negocio
71
Fin