Marzo 2015

De la teoría a lo real Un enfoque práctico del

BCP y el DRP

Lic. Cristián P. FourcadeCristián Fourcade & Asociados

Presentada por:

Marzo 2015

Aclaración:

© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

Marzo 2015

Agenda

Marco conceptual• BCM • BCP• DRP

Ciclo de vida de una Contingencia con BCM / BCP

Enfoque Metodológico• Análisis de impacto en negocio (BIA) • Selección de Estrategia• Desarrollo del Plan• Prueba y mantenimiento del plan

Síntesis y Beneficios esperados

Marzo 2015

Definiciones – Marco Conceptual

Business Continuity Management (BCM):

• Dota a la organización de capacidades de gestión y acción para:

o Identificar y valorar amenazas potenciales,

o Definir estrategias acordes a los impactos y necesidades concretas y reales del negocio,

o Planificar y construir la respuesta de la organización a las amenazas, resguardando los intereses de toda la organización. (Reputación, marca, empleados, actividades de valor agregado, y rentabilidad),

o Estructurar un esquema de mantenimiento y mejora continua que garantice la efectividad y validez en el tiempo.

(1) Normas y Prácticas: NFPA 1600; DRII; ASIS/BCI; PAS56; BS-25999-1/2; ISO 22301/2012

• Es un activo de la organización. No es un gasto.

Marzo 2015

Definiciones – Marco Conceptual

Plan de Continuidad de Negocios (BCP) :

• “Es la capacidad que tiene la organización para continuar la entrega de productos o servicios a niveles predefinidos aceptables después de que haya sucedido un incidente perjudicial” (ISO 22301),

• Procesos y acciones desarrollados para prevenir interrupciones de actividades del Negocio, que minimizan el impacto de un evento o incidente en el negocio,

• Tiene un alcance Operativo y Tecnológico.

Plan de Recuperación ante Desastres (DRP) :

• Subconjunto del BCP,

• Está focalizado en los aspectos Tecnológicos. Es un conjunto de acciones y procedimientos, medios, y responsables,

• Recupera la funcionalidad y operación de la infraestructura y las aplicaciones.

Marzo 2015

Ciclo de vida de la Contingencia con BCM - BCP

Plan de Recuperación de Desastres (DRP)

t

t1t4

RPO

Sitio Alternativo

RPO: Punto de

Recuperación

Objetivo

t5

Período en Contingencia

Operaciónen

Contingencia

Mantener Contingencia y Soporte a la Operación

Actividadespara la vuelta atrás

t6

Tiempo para

retornar a la

Normalidad

Vuelta a la normalidad

Ejecutar Vuelta a la Normalidad

t2

Detección y

Ejecución

Arbol de

Llamados

Comité Continuidad de

Negocio

Comité Administración

de Crisis

RTO

t3

RTO: Tiempo de

Recuperación

Objetivo

Contención

Mitigación

Actividades para activar Sitio y/o

Sistemas Alternosy Puesta en marcha

Unidades de

Negocio

UnidadesOperativas

Sistemas yTecnología

Administración, RRHH,Otros

Plan de Contingencia y Procedimientos (PCP)

Marzo 2015

Evaluación general de riesgos

Evaluación de procesos y aplicaciones de negocio, con el objetivo de determinar:

o Criticidad,

o Tiempos de recuperación,

o Interdependencias entre procesos y tecnología (internos /terceros),

o Requerimientos mínimos para su recuperación.

Enfoque Metodológico de la Gestión de continuidad de Negocio

Desarrollar Plan de recuperación detallado:

o Roles & responsabilidades,

o Criterios de decisión,

o Procedimientos detallados,

o Logística.

Diseño de las pruebas del plan y su periodicidad,

Políticas y procedimientos para mantener actualizado y vigente el plan desarrollado,

Entrenamientos,

Ejecución de pruebas.

Determinación de las estrategias viables de continuidad y recuperación, evaluando:

o Requerimientos mínimos,

o Estrategias de Backup & Recovery,

o Posibles sitios alternos de procesamiento.

Marzo 2015

Análisis de impacto en negocio (BIA) Procesos / Impacto de Negocio / RTO / Dependencias

Procesos / Impacto de Negocio / Tiempos máximos de interrupción

- Sin dependencia No aplica

1 Baja dependencia No impacta en el proceso

2 Dependencia media Puede trabajar con medios alternativos

3 Dependencia absoluta Imposibilita trabajar o producir

Nivel de dependencia

Marzo 2015

Análisis de impacto en negocio (BIA) Evaluación de Riesgos

Marzo 2015

Análisis de impacto en negocio (BIA) Evaluación de Riesgos – Distribución del Riesgo

Marzo 2015

Selección de Estrategia

Para evaluar las estrategias a utilizar se debe tener en cuenta:

• Resultado del BIA – VAR

• Análisis Costo / Beneficio (ROI) de las alternativas propuestas

o Los costos para cada alternativa. (Capex – Opex)

o Beneficios: Comerciales – Seguro – Tasas bancarias, VAR, otros

• Factibilidades técnicas y operativas

• Desarrollar acuerdos recíprocos y/o con proveedores de servicios y validarlos.

Evaluar el alcance y alternativas de Mitigación / Recuperación y sus niveles de activación:

• Sitios internos o externos,

• Hot , Warm o Cold Sites.

• Generación de capacidad ociosa para reprogramación de producción,

• Gestión de Stocks,

• Distribución en locaciones.

(1) VAR (Value at risk)

Marzo 2015

Selección de EstrategiaEjemplo Sistemas & Tecnología

Marzo 2015

Desarrollo del Plan El plan debe ser una guía de decisión y respuesta que

Identifica como mínimo:

El daño potencial y recursos mínimos para recuperar los servicios en función a la estrategia,

Secuencia de Fases y estados de alerta , R & R,

Funciones críticas y priorización de la ejecución de procedimientos alternos y de restauración,

Area Afectada

Incendio

Falla

electrica

(apagon) o

Propio

Vandalismo,

Terrorismo,

Piquete

Placa de

Red Discos Sistema operativo Core Switch

Switch de

Borde Storage Un Vinculo Todos los vinculos

Nivel de Emergencia 4 Plan A

Nivel de emergencia 3 Plan B

Nivel de emergencia 2 Plan C

NO Nivel de emergencia 1 Plan D

Nivel de Emergencia 4

Plan A1

Nivel de emergencia 3

Plan B1

Nivel de emergencia 2

Plan C1

NO Nivel de emergencia 1 Plan D1

Data Center

Servidor SAP

Acción

SI No existe alternativa de DRP

SI No existe alternativa de DRP

Fallas Tecnicas componentes

Net workingFallas Proveedor de Comunicaciones (unico)

Interrumpe el Servicio

Amenaza Amenaza

Fallas Tecnicas componentes Servidores o

sabotaje

Rie

sg

o

Nombre

Rol en el

plan

BCP

Responsab.

en el Plan

BCP

Participa en Planes

A1

.1

A1

.2

A

2

A

3A4

B1

.2

B1

.2

B

2

B

3

B

4

C

1

C

2

C

3

C

4

Persona 1 Steering

Commitee

Argentina CFO

Persona 2 Steering

Commitee

CFO Latam

Persona 3 Steering

Commitee

Latam IS IA

Persona 5 SAP Platform

Manager

Idem DRP Director ? ? ? ? ? ? ? ? ? ? ? ? ? ?

Persona 6 DRP Manager Coordina

actividades DRP

Según plan en

ejecución.

Procedimientos detallados (alternativos y recuperación),

Criterios de aceptación,

Equipos de trabajo, insumos y logística requerida.

Marzo 2015

Plan de Pruebas

• Su objetivo es medir efectividad y capacidad del plan

Contiene:

o Todos los aspectos a probar (Secuencia o fases, prioridad, logística, aspectos técnicos, RR.HH),

o Criterios de aceptación, resultados esperados,

o Revisión preliminar, Simulación (Dry run), Prueba real.

• Todo el personal involucrado debe ser entrenado.

Prueba y Mantenimiento

Mantenimiento y mejora continua del plan

• Un único responsable con autoridad necesaria para:

o Requerir y obtener de todas las áreas los ajustes que aseguren la vigencia del plan,

o Realizar las revisiones periódicas de cada uno de los planes de continuidad del negocio, y el entrenamiento requerido.

• La periodicidad con la que realizará la revisión, pruebas subsiguientes y auditorias.

Marzo 2015

Factores críticos de éxitoDesarrollo del BCP

• Involucramiento y compromiso del Senior Management,

• Liderazgo preferiblemente en el negocio,

• Los resultados del BIA y la definición de estrategia debe ser aprobada por el Sr. Management,

• Es un proyecto de toda la Empresa – No es un proyecto de IT,

• IT es clave, pero es sólo una parte,

• Presentación niveladora en conceptos de BCP, y entrenamiento continuo,

• Se deben utilizar técnicas de Gestión de proyectos (PMI – Prince2 - PMO),

• Todos los procedimientos o especificaciones técnicas requeridas por el proyecto deberían ser confeccionas por personal de la empresa,

• Los consultores externos participan fuertemente en las primeras etapas, acompañan durante el desarrollo y auditan pruebas,

• El proyecto y el plan deben contar con criterios de aprobación formales,

• La responsabilidades deben especificarse claramente.

Marzo 2015

Síntesis

Beneficios esperados

• Contar con una solución de continuidad para la producción y entrega de productos o servicios de la compañía después de la ocurrencia de un incidente,

• Potenciar la obtención de nuevos negocios por contar con un BCP,

• Disminución de la prima de seguros por pérdidas de beneficios,

• Previene sobre-inversión o inversión inefectiva,

• Disminución de la exposición a riesgos y pérdidas en el Negocio,

• Toma de decisiones rápidas, controladas y probadas ante las contingencias,

• Contar con una solución que permita evitar la interrupción y que facilite la rápida recuperación de la infraestructura tecnológica en caso de ocurrir un incidente o un desastre.

Para ello hemos considerado

Marzo 2015

Gracias por asistir a esta sesión…

Marzo 2015

Para mayor información:

Lic. Cristián P. Fourcade

cfourcade@cfourcade.com.ar

Para descargar esta presentación visite www.segurinfo.org

Los invitamos a sumarse al grupo “Segurinfo” en