Continuidad del Negocio y

Recuperación de Desastres

Conceptos de PCN y PRD

Plan de Continuidad del Negocio:

“Conjunto de acciones orientadas a

contrarrestar las interrupciones de las

actividades del negocio y para proteger los

procesos críticos del negocio de los efectos

de fallas mayores o desastres.”

Algunas Definiciones

Plan de Recuperación ante Desastres:

“Procedimientos para respuesta ante

emergencias, operaciones de respaldo

ampliado y recuperación post-desastre para

una instalación computacional que

experimente una pérdida parcial o total de los

recursos computacionales e instalaciones

físicas.”

Conceptos de PCN y PRD

Conceptos de PCN y PRD

Plan de Contingencias:

“Procedimientos orientados a recuperar las

operaciones computacionales ante la ocurrencias

de fallas menores (aquellas no consideradas como

desastres p.e., fallas de hardware, cortes de luz,

corrupción de datos, etc. )”

PCN/BCP

Plan RD

Plan de

contingencia

Relación

• Se crean para prevenir las interrupciones, a la actividad normal.

• Se diseñan para proteger los procesos críticos del

negocio Ante:

–Desastres Naturales –Fallas humanas –Pérdidas de Capital.

29/07/2015 Jorge Zientarski B. 6

Conceptos de PCN y PRD

Terremotos Fuego Temporales Tornados Sequía

Inundaciones

Tormenta Eléctrica

Viento

Huracán

Plagas

Conceptos de PCN y PRD

Desastres Naturales

• Terrorismo

• Huelga

• Armas de Destrucción

Masiva

• Personal Disgustado

• Publicidad

• Espionaje

• Accidente Químico

• Errores

• Virus Computacional

Conceptos de PCN y PRD

Desastres Causados por el Hombre

Un evento ocurre - seguido del efecto

dominó

Una vez ocurrido el evento …..la causa es irrelevante

Cual el valor de la planificación?

Recuperación

Cuatro elementos principales de BCP

• Alcance e iniciación del Plan – Marca el comienzo del proceso, exige la creación del alcance y otros elementos

para definir los parámetros del plan.

• BIA – Ayuda a las unidades a entender el impacto de una interrupción, evaluación de

vulnerabilidades.

• Desarrollo del BCP – La información recogida en el BIA sirve para desarrollar el plan real de continuidad

del negocio. • Área de implementación • Plan de Pruebas • Mantenimiento del plan en curso

• Aprobación del Plan e Implementación – Aprobación final de la Alta Gerencia

• Concienciación del plan • Implementación de un procedimiento de mantenimiento

29/07/2015 Jorge Zientarski B. 11

Alcance e Iniciación del Plan Implicación de responsabilidades

¿Quién? ¿Qué hace?

Ejecutivos Inician el proyecto, dan la aprobación final y soporte en curso

Alta Gerencia Identifica y prioriza tiempos críticos

Comité de BCP

Direcciona los procesos de: planificación, implementación y

pruebas

Jefaturas Participan en la implementación y pruebas

Jorge Zientarski B. 12 29/07/2015

Pla

n R

ayo

s

Pla

n T

orn

ad

o

Pla

n

Terre

mo

to

Pla

n R

ev

olu

cio

n

Planes de Continuidad de Negocio

Planeación basada en escenarios

Planeación basada en escenarios

• El desarrollo del plan es multi-

disciplinario y requiere la coordinación

de todos los grupos funcionales.

• Puede ser el mejor enfoque pero

consume muchísimo tiempo.

• El contenido se repite en múltiples

documentos.

• Es difícil mantener todos actualizados

Planeación basada en

consecuencias

Consecuencia

Respuesta Productos

Provisions

Ganancias

Recuperación

Objetivo de Punto de Recuperación y Objetivo de Tiempo de Recuperación

• RPO y RTO están basados en parámetros de tiempo.

• Cuanto más bajo sea el tiempo de recuperación requerido, más elevado será el costo de las estrategias de recuperación.

• Los parámetros a considerar para definir las estrategias de recuperación: – Ventana de interrupción.

– Objetivo de entrega de servicio (SDO).

– Cortes máximos tolerables.

Objetivo Punto Recuperación (RPO) y Objetivo Tiempo de Recuperación (RTO)

Alternativas de Recuperación

Estrategias de Recuperación

• Las acciones más efectivas serían:

– Eliminar la amenaza completamente.

– Minimizar la probabilidad y el efecto de la ocurrencia.

• Una estrategia de recuperación es una combinación de

medidas preventivas, detectivas y correctivas.

• La selección de una estrategia de recuperación dependería de:

– La criticidad del proceso del negocio y las aplicaciones que soportan los

procesos.

– Costo.

– El tiempo requerido para recuperarse.

– Seguridad.

Estrategias de Recuperación

Aspectos a Tener en Cuenta en el Desarrollo del Plan

• La participación de la Gerencia y de los usuarios es vital para el éxito del BCP

– Es esencial para la identificación de los procesos críticos, sus tiempos de recuperación y la especificación de los recursos.

– Participación de los servicios de soporte, las operaciones del negocio y el soporte de procesamiento de la información.

• Considerar a toda la organización en el BCP

Aspectos a Tener en Cuenta en el Desarrollo del Plan

• Donde no exista un BCP para toda la organización, el Plan de Continuidad Tecnológica debe extenderse

• Incluir en el plan los siguientes puntos:

– Una lista de información detallada del personal

– La configuración de las instalaciones físicas

Organigrama BCM

Estrategias de Recuperación

Desarrollo del BCM

GERENCIAMIENTO BCM

PRUEBAS, MANTENIMIENTO Y AUDITORÍA

CONSTRUCCIÓN E INSERCIÓN DE

CULTURA DEL BCM

DESARROLLO E IMPLEMENTACIÓN

PLANES Y SOLUCIONES

ESTRATEGIAS DE CONTINUIDAD

ENTENDIMIENTO DEL NEGOCIO

Organigrama BCM

GOLD TEAM

Evacuación

Oficial BCM

Comunicación ex/in Infraestructura Seguridad Continuidad Operativa Sistemas de

Información

Equipo de Evacuación Equipo IT Titulares / Suplentes

SILVER TEAM

BRONCE TEAM

Pruebas del Plan

• Programar la prueba durante un tiempo que minimice las interrupciones a las operaciones normales.

• La prueba debe simular las condiciones reales de procesamiento.

• Ejecución de la prueba – Documentación de Resultados.

– Análisis de Resultados.

– Mantenimiento del Plan.

Auditoría al Plan de Continuidad del Negocio / Recuperación de Desastres

• Revisión del Plan de Continuidad del Negocio

• Evaluación de los Resultados de las Pruebas Anteriores

• Evaluar el Sitio de Almacenamiento Alterno

• Entrevistar al Personal Clave

• Evaluar la Seguridad del Sitio Alterno

• Revisar el Contrato de Procesamiento Alternativo

• Revisar la Cobertura de Seguros

Revisión del Plan de Continuidad del Negocio

• Cuando se está revisando el plan desarrollado, los

Auditores de SI deben verificar que sean evidentes los

elementos básicos de un buen plan.

• Los elementos básicos incluyen:

– Actualización de documentos.

– Efectividad de los documentos.

– Entrevistas al personal para verificar si el plan es apropiado y

completo.

– Etc.

Evaluación de los Resultados de las Pruebas Anteriores

• Documentación histórica de las pruebas anteriores

debe ser mantenida.

• El Auditor SI debe revisar los resultados de las pruebas

para:

– determinar que se hayan incorporado al plan las acciones

correctivas.

– evaluar cumplimiento y precisión.

– determinar las tendencias de problemas y las resoluciones de los

problemas.

Evaluar el Sitio de Almacenamiento Alterno

• El Auditor SI debe:

– evaluar las condiciones para asegurar la presencia,

sincronización y vigencia de los medios y de la

documentación.

– realizar una revisión detallada del inventario.

– revisar toda la documentación .

– evaluar la disponibilidad de la instalación.

Entrevistar al Personal Clave

• El personal clave debe tener un entendimiento de

las responsabilidades que se le ha asignado.

• Documentación detallada y actualizada debe ser

mantenida.

Evaluar la Seguridad del Sitio Alterno

• El Auditor SI debe:

– evaluar los controles de acceso físico y ambiental.

– examinar el equipo para verificar si tiene

actualizadas las tarjetas de inspección y de

calibración.

Revisar el Contrato de Procesamiento Alternativo

• Se deben verificar las referencias del proveedor del sitio de

procesamiento alterno listadas en el contrato; las ofertas

del proveedor deben constar por escrito.

• Se debe revisar el contrato contra los lineamientos

siguientes:

– el contrato esté redactado con claridad y sea

comprensible

– acuerdo de la organización con las reglas

– Acuerdos de Niveles de Servicio

Revisar la Cobertura de Seguros

• La cobertura del seguro debe reflejar el costo real de

recuperación.

• Una adecuada cobertura de lo siguiente debe ser

revisada:

– daños de los medios.

– interrupción del negocio.

– reemplazo de equipo.

– procesamiento de la continuidad del negocio.

Esito sería …..

Solo una pequeña muestra del PCN o BCP!!!

MSc. Jose Marcial Flores Guerrero, CISA, CGEIT