Mayo de 2007

Continuidad de Negocios:

Componente importante de la Seguridad de la Información

Pág 2

Dos experiencias diferentes

Empresa A

Centro Alterno

Empresa A

Centro Primario

Empresa B

Centro Primario

Pág 3

Lecciones aprendidas

• Pruebas del Plan de Continuidad de Negocios (Business Continuity Plan – BCP) fueron clave.

• Operaciones críticas en un solo sitio no es una buena idea.

• Las personas no quieren trabajar lejos de sus familias.

• Empresa B no tuvo problemas por negocios, sino por edificios.

• El transporte fue problemático los primeros días.

¿Qué es un Plan de Continuidad del Negocio?

Pág 5

Definiciones

• Un Plan de Continuidad de Negocios (BCP), es un conjunto de procedimientos que definen cómo un negocio va a continuar o reiniciar sus funciones críticas ante un evento que cause una interrupción no planeada a su operación normal.

• Estos procedimientos describen una secuencia preestablecida de eventos para facilitar la continuación o recuperación de funciones de negocios, servicios de tecnología, redes de comunicación y edificios.

Pág 6

¿Qué hacer en una emergencia?

¿A dónde voy?¡Mi casa está destruida, no puedo llegar!

Necesito suministros y una PC para trabajar.

Todos mis archivos se perdieron, ¿qué hago ahora?

¿Cómo me comunico con mis clientes?

¿Qué les digo a mis clientes?

¿Qué le digo a los periodistas?

¿Cómo me comunico con mis empleados y les digo a donde llegar?

Pág 7

Lo crítico para nuestro negocio

¿Quién lo hará y cómo?

Tareas Equipos de Trabajo

Empleados

PROCESOS

Proveedores

Clientes

Localidades

¿Qué Recursos se Requieren?

Equipo Suministros Registros Vitales

Activos

Software Telecom

¿Qué conforma un Plan de Continuidad del Negocio?

Pág 8

Continuidad de Negocios: ¿Qué interrelación hay?

Fuente: National Institute of Standards and Technology (NIST) - USA

Pág 9

Si la participación es incompleta…

Pág 10

Reubicando personal

Site Recovery Planning

Business Continuity

Management

Administración

Business Continuity Planning

Work Area Recovery Planning

Human Resources

Planning

Technology Recovery Planning

CrisisManagement

Planning

Salvataje y recuperación del

sitio

“Business as Usual”

Personal crítico

Restaurando los servicios de TI

Administrando la crisis

Fuente: Business Continuity Institute (BCI)

BCP – No es un papel, es un programa en vivo

Implementación del BCP

Pág 12

Caso de ejemplo: Metodología PR4 de Strohl

Reparar/Restaurar Facilidades y ContenidosRegreso a Casa

Recuperar Todas las Demás Operaciones

Reanudar las Operaciones Sensibles alTiempo en la Localidad Alterna

Manejo de CrisisContener el DañoActivar Organización de Recuperación

Protección de los Activos CorporativosManejo de Riesgos

RRECUPERACIONECUPERACION

RREANUDACIONEANUDACION

RRESPUESTAESPUESTA

PPREVENCIONREVENCION

RRESTAURACIONESTAURACIONPR4

Pág 13

Organización de los planes: Metodología PR4

Prevención

Respuesta

Restauración

ANTES DURANTE DESPUES

PROCESOS

INSTALACIONES

Reanudación

Vuelta a la Normalidad

Recuperación Decisión

Pág 14

Enfoque Metodológico

Estruc-tura de

BCM

Análisis de

Impacto al

Negocio

Creación y

manteni-miento

continuo

Pruebas, Inciden-cias e Indica-dores

Org

an

izació

n

Pri

ori

zació

n

Pla

nes

Cu

mp

lim

ien

to

2 3 5 6

Business Impact Analysis Desarrollo del Plan de Continuidad

Desarrollo del Plan de Recuperación de Desastres

Estra-tegia

departa-mental

Estr

ate

gia

s

4

Plan Estratégico y Plan Comunicacional1

Documentación, Seguridad y Auditoría

Mejora Continua

Pág 15

Pasos 1 y 2: Plan Estratégico y Estructura BCM

Definición de alcance por áreas y/o procesos:

La organización delimita el alcance y se establece un programa de trabajo para realizar el BCP

Sede

Adminis-tración

Présta-mos

Pasivos

Teso-rería

OtrosTI

Alcance 2: BCP Áreas principales Alcance 1: DRP

Alcance 3: BCP Otras áreas

Estruc-tura de

BCM

Análisis de

Impacto al Negocio

Creación y manteni-miento

continuo

Pruebas, Inciden-cias e Indica-dores

Org

an

izació

n

Pri

ori

zació

n

Pla

nes

Cu

mp

lim

ien

to

2 3 5 6

Business Impact Analisys Desarrollo del Plan de Continuidad

Estra-tegia

departa-mental

Estr

ate

gia

s

4

Plan Estratégico y Plan Comunicacional1

Mejora Continua

Pág 16

Paso 3: Análisis de Impacto al Negocio (cont.)

El “Business Impact Analysis (BIA)”:

Permitirá identificar y priorizar en función del impacto económico u operacional al negocio, lo siguiente:

• Funciones y/o procesos críticos

• Tiempo de recuperación objetivo - “Recovery Time Objective (RTO)”

• Información crítica

• Sistemas y aplicaciones críticas

• Recursos requeridos

Estruc-tura de

BCM

Análisis de

Impacto al Negocio

Creación y manteni-miento

continuo

Pruebas, Inciden-cias e Indica-dores

Org

an

izació

n

Pri

ori

zació

n

Pla

nes

Cu

mp

lim

ien

to

2 3 5 6

Business Impact Analisys Desarrollo del Plan de Continuidad

Estra-tegia

departa-mental

Estr

ate

gia

s

4

Plan Estratégico y Plan Comunicacional1

Mejora Continua

Pág 17

Ejemplo de un análisis BIA

LDRPSFunctionID

FunctionName

Mailzone Risk Code

F = FinancialC = CustomerR = Regulatory

Time beforeimpact

0 = > 3 days

1 = 3 days

5 = 2 days

10 = day 1

20 = 4hours

40 = immediate

CustomerImpact

0 = none

1 = Low

3 = Med

5 = High

RegulatoryImpact

0 = none

1 = Low

3 = Med

5 = High

FinancialImpact

0 = none

1= 0 to 10K

2 = >10K but <100K

3 = >100K but<500K

4 = > 500K but< 1 Mil

5 = > 1 Mil

RatingTotal

Sum of1 thru 4

RecoveryTimeSensitivityCode

Alt. site

Pág 18

Paso 4: Definición de la estrategia

Evaluar y presentar estrategias para el desarrollo de planes:

Permitirá a la organización la selección de la(s) alternativa(s) más conveniente(s) en función de tiempo/costo/necesidad:

– Hot site– Cold site– Outsourcing– In house, etc.– Backups

Estruc-tura de

BCM

Análisis de

Impacto al Negocio

Creación y manteni-miento

continuo

Pruebas, Inciden-cias e Indica-dores

Org

an

izació

n

Pri

ori

zació

n

Pla

nes

Cu

mp

lim

ien

to

2 3 5 6

Business Impact Analisys Desarrollo del Plan de Continuidad

Estra-tegia

departa-mental

Estr

ate

gia

s

4

Plan Estratégico y Plan Comunicacional1

Mejora Continua

Pág 19

Desarrollar y mantener los planes:

De manera coordinada, en función de la(s) estrategia(s) y de los recursos asignados:

– Implementar la función de Business Continuity Management

– Elaborar los Planes de Continuidad del Negocio

– Definir los procedimientos para el mantenimiento y actualización periódica de los planes

Paso 5: Elaboración y mantenimiento continuo

Estruc-tura de

BCM

Análisis de

Impacto al Negocio

Creación y manteni-miento

continuo

Pruebas, Inciden-cias e Indica-dores

Org

an

izació

n

Pri

ori

zació

n

Pla

nes

Cu

mp

lim

ien

to

2 3 5 6

Business Impact Analisys Desarrollo del Plan de Continuidad

Estra-tegia

departa-mental

Estr

ate

gia

s

4

Plan Estratégico y Plan Comunicacional1

Mejora Continua

Pág 20

Se realizan con el objetivo de:

• Probar y evaluar la funcionalidad del plan

• Capacitar y ejercitar al personal en su utilización

• Asegurar la disponibilidad de los recursos

• Identificar ajustes por cambios en las organizaciones/funciones

Paso 6: Pruebas periódicas

Estruc-tura de

BCM

Análisis de

Impacto al Negocio

Creación y manteni-miento

continuo

Pruebas, Inciden-cias e Indica-dores

Org

an

izació

n

Pri

ori

zació

n

Pla

nes

Cu

mp

lim

ien

to

2 3 5 6

Business Impact Analisys Desarrollo del Plan de Continuidad

Estra-tegia

departa-mental

Estr

ate

gia

s

4

Plan Estratégico y Plan Comunicacional1

Mejora Continua

Pág 21

¿Cómo queremos estar cuando ocurra una contingencia?