Beruflich Dokumente
Kultur Dokumente
1. 2. 3. 4. 5. 6.
INTRODUCCIN ....................................................................................................................... 1 OBJETO DE LA GUIA ............................................................................................................... 2 ANTECEDENTES ........................................................................................................................ 3 QU ES UN PLAN DE CONTINUIDAD DE NEGOCIO? ................................................ 5 POR DNDE EMPEZAMOS ..................................................................................................... 7 FASE I. ANLISIS DEL NEGOCIO Y EVALUACIN DE RIESGOS ............................ 9 ANLISIS DE IMPACTO ................................................................................................... 10 RELACIN DE PROCESOS.................................................................................................... 11 RELACIN DE APLICACIONES............................................................................................... 11 RELACIN DE DEPARTAMENTOS Y USUARIOS ....................................................................... 12 DETERMINAR LOS PROCESOS CRTICOS ............................................................................... 12 PERIODO MXIMO DE INTERRUPCIN ................................................................................... 12 IDENTIFICAR ACTIVOS ......................................................................................................... 15 IDENTIFICAR AMENAZAS ...................................................................................................... 16 EVALUAR VULNERABILIDADES ............................................................................................. 17 EVALUACIN DEL IMPACTO ................................................................................................. 18 EVALUACIN DEL RIESGO ................................................................................................... 18 EVALUAR CONTRAMEDIDAS ................................................................................................. 20
6.1
6.1.1 6.1.2 6.1.3 6.1.4 6.1.5 6.2 6.2.1 6.2.2 6.2.3 6.2.4 6.2.5 6.2.6 7.
7.1 8.
FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD............................................ 25 ORGANIZACIN DE LOS EQUIPOS.................................................................................. 25 EQUIPO DIRECTOR O COMIT DE CRISIS ............................................................................... 26 EQUIPO DE RECUPERACIN ................................................................................................ 26 EQUIPO LOGSTICO ............................................................................................................. 26 EQUIPO DE RELACIONES PBLICAS Y ATENCIN A CLIENTES.................................................. 27 EQUIPO DE LAS UNIDADES DE NEGOCIO ............................................................................... 27 FASE DE ALERTA ................................................................................................................ 29 FASE DE TRANSICIN ......................................................................................................... 31
8.1
FASE DE RECUPERACIN .................................................................................................... 32 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA ................................................ 33 GENERACIN DE INFORMES Y EVALUACIN .......................................................................... 33
FASE IV. PRUEBAS Y MANTENIMIENTO ....................................................................... 34 PRUEBAS ............................................................................................................................ 34 TIPOS DE PRUEBAS ......................................................................................................... 34 EJERCICIOS TCNICOS ................................................................................................... 35 TEST COMPLETO ............................................................................................................ 35
9.1 9.2
ANEXOS ............................................................................................................................................... 37 ANEXO I CUADROS DE RECOGIDA DE DATOS ANLISIS DE IMPACTO ................................. 38 ANEXO II - LISTADO DE AMENAZAS ................................................................................................ 41 ANEXO III EJEMPLOS DE VULNERABILIDADES .......................................................................... 43 ANEXO IV EJEMPLO RBOL DE LLAMADAS............................................................................... 44 ANEXO V SITIOS DE INTERS........................................................................................................ 45 CASO DE ESTUDIO ............................................................................................................................. 47 ANTECEDENTES ............................................................................................................................. 47 ANLISIS DE IMPACTO ................................................................................................................ 48 COMPONENTES DE LOS PROCESOS ...................................................................................... 48 PROCESO PEDIDOS................................................................................................................... 48 PROCESO DE NMINAS ............................................................................................................ 50 TIEMPO MXIMO DE RECUPERACIN DE LOS PROCESOS .................................................. 52 ANLISIS DE RIESGOS ................................................................................................................ 53 INVENTARIO DE ACTIVOS ......................................................................................................... 53 LISTADO DE AMENAZAS ............................................................................................................ 53 VULNERABILIDADES .................................................................................................................. 54 EVALUACIN DE RIESGOS ....................................................................................................... 55 RECOMENDACIONES - CONTRAMEDIDAS .............................................................................. 55 ESTRATEGIA DE RECUPERACIN .............................................................................................. 56 DESARROLLO DEL PLAN .............................................................................................................. 57 COMIT DE CRISIS ..................................................................................................................... 57 EQUIPO DE RECUPERACIN .................................................................................................... 58
EQUIPO DE COORDINACIN LOGSTICA................................................................................. 59 EQUIPO DE RELACIONES PBLICAS ....................................................................................... 60 EQUIPO DE LAS UNIDADES DE NEGOCIO ............................................................................... 61 FASE DE ALERTA ........................................................................................................................... 62 PROCEDIMIENTO DE NOTIFICACIN DEL DESASTRE ............................................................................ 62 PROCEDIMIENTO DE EJECUCIN DEL PLAN ........................................................................................ 62 PROCEDIMIENTO DE NOTIFICACIN DE EJECUCIN DEL PLAN ............................................................. 62 FASE DE TRANSICIN .................................................................................................................. 64 PROCEDIMIENTO DE CONCENTRACIN Y TRASLADO DE MATERIAL Y PERSONAS ................................... 64 PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIN ......................................... 64 FASE DE RECUPERACIN ............................................................................................................ 65 PROCEDIMIENTO DE RESTAURACIN ................................................................................................ 65 PROCEDIMIENTO DE SOPORTE Y GESTIN ......................................................................................... 65 FASE DE VUELTA A LA NORMALIDAD ....................................................................................... 66 ANLISIS DEL IMPACTO .................................................................................................................... 66 ADQUISICIN DE NUEVO MATERIAL ................................................................................................... 66 FIN DE LA CONTINGENCIA ................................................................................................................. 66 CONCLUSIONES ............................................................................................................................. 67 BIBLIOGRAFA..................................................................................................................................... 68
1. INTRODUCCIN
Dentro de la Gestin de la Seguridad de la Informacin en una compaa es importante contar con un plan alternativo que asegure la continuidad de la actividad del Negocio en caso de que ocurran incidentes graves. Tradicionalmente, los Planes de Continuidad, denominados Planes de Contingencia en sus orgenes, estn asociados a grandes compaas que necesitan reaccionar de forma inmediata ante cualquier evento que interrumpa sus servicios. La realidad es que cualquier compaa puede sufrir un incidente que afecte a su continuidad y, dependiendo de la forma en que se gestione dicho incidente, las consecuencias pueden ser ms o menos graves. Esta gua pretende desglosar las actividades necesarias para desarrollar un Plan de Continuidad de Negocio, proporcionando plantillas y ejemplos que ayuden al lector a entender cada una de las fases y tareas que componen el Plan.
Es importante destacar que la gua puede servir para desarrollar un Plan de Continuidad de Negocio tanto en una gran compaa como en una Pyme, aunque consecuentemente el tiempo, el esfuerzo y el presupuesto a emplear variarn sensiblemente.
2. OBJETO DE LA GUIA
Una de las motivaciones que me ha llevado a desarrollar esta gua es la poca informacin que he encontrado que contenga una descripcin detallada de las fases y tareas que componen un Plan de Continuidad. Por ello, los principales objetivos son:
Dar a conocer la importancia del Plan de Continuidad de Negocio para hacer frente a incidentes graves de seguridad en una compaa. Desarrollar una Gua completa sobre Continuidad de Negocio, donde se muestren cada una de las fases que componen el Plan. Resumir de forma clara y sencilla cada una de las actividades a desarrollar dentro de las Fases del Plan de Continuidad. Establecer ejemplos ilustrativos que ayuden a confeccionar un Plan de Continuidad.
3. ANTECEDENTES
A la velocidad con la que operan los negocios actuales un incidente de unas pocas horas de duracin puede tener un impacto catastrfico en los resultados y en la imagen de la organizacin que lo sufra. La ntima dependencia que existe entre el negocio y los sistemas de informacin exige que stos estn preparados para afrontar las mltiples amenazas que ponen en riesgo su operatividad y, en consecuencia, la continuidad del negocio. El incendio ocurrido en el Edificio Windsor en Madrid en el mes de febrero de 2005 o el Huracn Katrina en agosto de ese mismo ao, son dos ejemplos que vienen a sumarse a sucesos, como los atentados del 11-S del ao 2001. Sin embargo, en no pocas ocasiones no es necesario un desastre de dimensiones parecidas a las de los mencionados anteriormente para poner en peligro no slo la buena marcha del negocio sino su misma supervivencia; eventos como la irrupcin de un virus o la instalacin de un parche de seguridad pueden conducir a la inoperabilidad temporal de los sistemas, la prdida de informacin crtica o, en ltima instancia, la inutilizacin de las infraestructuras.
Tipos de incidentes No slo las catstrofes ambientales, tales como incendios o inundaciones, pueden causar daos adversos a una organizacin. Otros tipos de incidentes, como los que se detallan a continuacin, pueden tener impactos adversos para una compaa:
Incidentes serios de seguridad en los sistemas, como delitos cibernticos, prdida de informacin, robo de informacin sensible o su distribucin accidental, fallos en los sistemas IT, errores de operacin en los sistemas, etc. Daos en las infraestructuras o en los servicios, fallos en el suministro elctrico, fallos en el suministro de agua, fallos en las comunicaciones, huelgas en los servicios de limpieza. Fallos en los equipos o en los sistemas, incluyendo fallos en las fuentes de alimentacin, en los equipos de refrigeracin. Daos deliberados como actos de terrorismo o de sabotaje, guerras, robos, huelgas, etc.
Los accidentes afectan de forma diferente a cada organizacin, dependiendo de su tamao y de su rea de actividad, no siendo el tamao una caracterstica
3
fundamental; las pequeas y medianas organizaciones tambin pueden verse seriamente afectadas. Las consecuencias de estos accidentes sobre las organizaciones que no tienen un plan de continuidad de negocio pueden llegar a ocasionar incluso el cierre de las mismas. Tomemos como ejemplo las siguientes cifras:
Un 43% de las organizaciones despus de un accidente no podrn continuar sus operaciones vindose obligadas a cerrar. Un 80% tendrn que hacerlo en menos de 13 meses. Un 53% de los clientes de estas organizaciones no recuperarn las prdidas causadas por los daos derivados. Un 50% se vern forzadas a cerrar antes de cinco aos despus del desastre.
A pesar de que los efectos inmediatos de un desastre aparentemente son la prdida de beneficios por la parada de actividad puntual y la incapacidad para proveer servicios crticos, no son stos los efectos ms perniciosos que un incidente de este tipo provoca. Otros efectos derivados que pueden causar un gran impacto en la compaa son la prdida de reputacin de cara a los clientes, o la prdida de ventaja competitiva con otras compaas.
Cules son los recursos de informacin relacionados con los procesos crticos del negocio de la compaa? Cul es el perodo de tiempo de recuperacin crtico para los recursos de informacin en el cual se debe establecer el procesamiento del negocio antes de que se experimenten prdidas significativas o aceptables?
Un Plan de Continuidad reducir el nmero y la magnitud de las decisiones que se toman durante un perodo en que los errores pueden resultar mayores. El Plan establecer, organizar y documentar los riesgos, responsabilidades, polticas y procedimientos, acuerdos con entidades internas y externas. La activacin de un Plan de Continuidad debera producirse solamente en situaciones de emergencia y cuando las medidas de seguridad hayan fallado.
BENEFICIOS
Identifica los diversos eventos que podran impactar sobre la continuidad de las operaciones y su impacto financiero, humano y de reputacin sobre la organizacin. Obliga a conocer los tiempos crticos de recuperacin para volver a la situacin anterior al desastre sin comprometer al negocio. Previene o minimiza las prdidas para el negocio en caso de desastre. Clasifica los activos para priorizar su proteccin en caso de desastre. Aporta una ventaja competitiva frente a la competencia.
5
QUIEN DEBE TENER UN PLAN DE RECUPERACIN? Una pregunta que podemos hacernos es si el tamao de una organizacin determina la necesidad o no de tener un Plan de Continuidad. Se puede responder a esta pregunta diciendo que NO. Si una organizacin es muy grande, con beneficios millonarios, con grandes edificios y gran nmero de empleados, o si se trata de una persona trabajando en una pequea oficina con 5 empleados, ambos necesitan asegurar la disponibilidad de su negocio. De hecho, debido a los pocos recursos y a las pocas opciones de respuesta ante un desastre, en algunos casos sera ms vital desarrollar un Plan de Recuperacin de Negocio para los pequeos negocios que para las grandes corporaciones.
El propsito general de un Plan de recuperacin es obtener un mapa de acciones que reduzcan la toma de decisiones durante las operaciones de recuperacin, restaure los servicios crticos rpidamente y permita un normal funcionamiento de los sistemas y procesos lo antes posible, minimizando costes y aumentando la efectividad. Podemos dividir un Plan de Continuidad de Negocio en cuatro Fases:
FASE I ANLISIS DEL NEGOCIO Y EVALUACIN DE RIESGOS Se trata de obtener un conocimiento de los objetivos de negocio y de los procesos que se consideran crticos para el funcionamiento de la compaa. Una vez identificados los procesos crticos, se analizarn cules son los riesgos asociados a dichos procesos para identificar cules son las causas potenciales que pueden llegar a interrumpir un negocio.
FASE II SELECCIN DE ESTRATEGIAS Esta fase tiene dos objetivos: Por un lado, valorar las diferentes alternativas y estrategias de respaldo en funcin de los resultados obtenidos en la fase anterior, para seleccionar la ms adecuada a las necesidades de la compaa. Por otro lado, corregir las vulnerabilidades detectadas en los procesos crticos de negocio identificadas en el Anlisis de Riesgos.
FASE III- DESARROLLO DEL PLAN Una vez que se ha seleccionado la estrategia de respaldo hay que desarrollarla e implantarla dentro de la compaa. En esta fase se desarrollan los procedimientos y planes de actuacin para las distintas reas y equipos, y se organizan los equipos que intervienen en cada fase del Plan.
FASE IV PRUEBAS Y MANTENIMIENTO Una parte importante del Plan de Continuidad, es conocer que realmente funciona y es efectivo. Para ello se define la estrategia de pruebas y se realiza la prueba del Plan, para afinarlo segn los resultados. Adems, en esta ltima fase se definirn los procedimientos de mantenimiento del Plan.
Gua de Desarrollo de Plan de Continuidad de Negocio FASE I. Anlisis del Negocio y Evaluacin de Riesgos
Cules son las actividades ms importantes para la compaa? Cmo afectara econmicamente una interrupcin de los servicios a medida que va pasando el tiempo sin reanudar el servicio? Cul sera la capacidad operativa de la empresa a medida que pasa el tiempo? Cul es el plazo mximo para volver a la normalidad sin llegar a incurrir en graves prdidas?
Las actividades/procesos que se clasifican como esenciales dentro de una compaa suelen ser en su mayora los Operacionales. Estos procesos interactan directamente con los clientes o con otras organizaciones externas a la compaa (Dpto. de Ventas, Dpto. Atencin al Cliente, etc.). Tambin es posible, que estos procesos dependan de otros internos, que tambin deben ser analizados. Para conocer cules son las necesidades de la compaa en cuanto a estrategias de continuidad, vamos a utilizar dos mecanismos de anlisis: Anlisis de Impacto (BIA Business Impact Analysis): Nos permitir identificar la urgencia de recuperacin de cada funcin de negocio, determinando el impacto en caso de interrupcin. Esta informacin nos permitir seleccionar cul es la estrategia ms adecuada.
Anlisis de Riesgos: El Objetivo de un anlisis de riesgos es identificar y analizar los diferentes factores de riesgo que potencialmente podrn afectar a las actividades que queremos proteger. La evaluacin de riesgos supone imaginarse lo que puede ir mal y a continuacin estimar el impacto que supondra para la organizacin. Se ha de tener en cuenta la probabilidad de que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de accin adecuado.
Gua de Desarrollo de Plan de Continuidad de Negocio FASE I. Anlisis del Negocio y Evaluacin de Riesgos
Obtencin de la Relacin de Procesos: Establecer los procesos de negocio que se realizan en la compaa. Obtencin de la Relacin de Aplicaciones: Establecer la relacin de aplicaciones que soportan los procesos de la compaa. Relacin de Departamentos y Usuarios: Se identifican los departamentos que hay en la empresa y el nombre de las personas que la componen y que intervienen en los procesos. Determinar cules son los Procesos Crticos: Pueden darse dos valoraciones, una basada en la importancia para la compaa de los procesos cuya ausencia tendra un impacto alto en la actividad de la compaa (valoracin cualitativa). La otra, se referira a las prdidas econmicas por perodo debido a la ausencia de los procesos (valoracin cuantitativa). Perodo Mximo de Interrupcin: El acumulado de prdidas suele ir creciendo linealmente a medida que pasan los das y las actividades estn interrumpidas. No obstante, a partir de un momento que denominaremos Perodo Mximo de Interrupcin, las prdidas sufren un aumento significativo y las funciones no podran ser reasumidas.
En los casos en que la organizacin tenga varias sedes, ser necesario establecer un alcance geogrfico.
En el Anexo I se incluye un ejemplo de recogida de datos para cada una de las partes que componen el Anlisis de Impacto. La recogida de esta informacin permitir evaluar las necesidades de la organizacin en materia de continuidad, por lo que es importante que la informacin sea lo ms completa posible.
10
Gua de Desarrollo de Plan de Continuidad de Negocio FASE I. Anlisis del Negocio y Evaluacin de Riesgos
Hardware, identificando cada uno de los elementos hardware que soportan los sistemas de informacin de la compaa.
Software Base, recogiendo todos aquellos componentes de software, incluido todos los asociados al sistema operativo, indispensables para el funcionamiento y optimizacin del Sistema de Informacin de la compaa.
Software de Aplicaciones, inventariando las aplicaciones de gestin que son utilizadas en la empresa.
Sistemas
de Infraestructura, considerando aquellos elementos o componentes que sin disponer de una tecnologa enfocada propiamente al tratamiento de la informacin s son requeridos para garantizan la operatividad del servicio.
11
Gua de Desarrollo de Plan de Continuidad de Negocio FASE I. Anlisis del Negocio y Evaluacin de Riesgos
Coste de horas de trabajo perdidas, al no poder usar las aplicaciones que no tengan alternativa manual o cuyo tratamiento manual suponga una prdida de eficiencia importante. Ingresos dejados de percibir. Penalizaciones por incumplimiento de contratos con clientes. Sanciones administrativas por incumplimiento de leyes debido a la falta de control en situacin de desastre (exposicin de datos personales, incumplimiento de normativa internacional como la Ley Sarbanes Oxley, etc.). Gastos financieros.
Para simplificar esta valoracin de los procesos podemos establecer una clasificacin numrica, asignando mayor prioridad (p.e. 1) a aquellos procesos que se consideren ms crticos y menor prioridad (p.e. 3) a aquellos que se consideren menos crticos.
Gua de Desarrollo de Plan de Continuidad de Negocio FASE I. Anlisis del Negocio y Evaluacin de Riesgos
procesos que se han considerado crticos, el tiempo a partir del cual las prdidas econmicas afectaran de forma grave a la compaa (Tiempo mximo de interrupcin). Esta estimacin es importante de cara a seleccionar la estrategia de respaldo adecuada a las necesidades de recuperacin. Pueden existir procesos en los que el tiempo de recuperacin es muy pequeo (horas), por ejemplo el servicio de banca electrnica de un banco, y otros procesos como la facturacin a clientes en una empresa de servicios, pueden tener un periodo de recuperacin mayor (das o semanas).
En definitiva, el Anlisis de Criticidad nos da una visin de los procesos, actividades y recursos a proteger con la prioridad de recuperacin de cada uno de ellos, junto con los tiempos objetivo de puesta en marcha tras un incidente.
13
Gua de Desarrollo de Plan de Continuidad de Negocio FASE I. Anlisis del Negocio y Evaluacin de Riesgos
6.2
ANLISIS DE RIESGOS
El objetivo de un Anlisis de Riesgos es poner de manifiesto aquellas debilidades actuales que por su situacin o su importancia pueden poner en marcha, antes de lo deseable, el Plan de Recuperacin de Negocio. El Anlisis de Riesgo debe centrarse en los procesos/actividades del negocio que se han considerado crticos, aunque tambin puede extenderse a aquellos que no lo son. La evaluacin de riesgos supone imaginarse lo que puede ir mal y a continuacin estimar el coste que supondra. Se ha de tener en cuenta la probabilidad de que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de accin adecuado. En lo fundamental, la evaluacin de riesgos que se ha de llevar a cabo ha de contestar, con la mayor fiabilidad posible, a las siguientes preguntas: