Continuidad de Negocio

PER
Gestin de Continuidad del Negocio:

Compartiendo Experiencias
Lima, 28 de Mayo de 2014
Fernando De los Ros

Director Gerente
fdelosrios@cognotek.net
PER
Fernando De los Ros, Asesor

Cognotek
Cencosud / E.Wong
Telefnica Per
Banco Latino
Procesos de Negocio, Gobierno y Gestin de TI

Sistemas de Informacin
Infraestructura Tecnolgica
Desarrollo de Sistemas
PA2K
Proyectos de Sistemas
Pruebas de Software
Oficial de Seguridad de Informacin
Servicios Generales
Hobbies
La lectura, pasin por la tecnologa, su evolucin y aplicacin prctica
a la vida diaria, y la prctica del squash.
www.cognotek.net
Pg. 2
CIO Per GCN, 28/05/14
Cognotek, 2014
www.cognotek.net
PER
Video
Pg. 3
Cognotek, 2014
www.cognotek.net
Estamos preparados para ??
Pg. 4
Cognotek, 2014
www.cognotek.net
PER
O para?
Pg. 5
PER
Cognotek, 2014
www.cognotek.net
Estamos atentos a nuestro entorno?
Pg. 6
Cognotek, 2014
www.cognotek.net
PER
Cules son los desafos actuales?
Pg. 7
Cognotek, 2014
www.cognotek.net
PER
Recordemos
PER
Jeolla Corea del Sur, 27 de mayo 2014.- Un incendio en hospital rural cobr la vida de al
menos 21 personas e hiri a muchas otras, algunas de gravedad.
Soma, Manisa Turqua, 13 de mayo 2014.- Un incendio provocado por la explosin de un
transformador en una mina de carbn ocasion > 274 muertes.
Gwaechon Corea del Sur, 20 de abril 2014.- Un incendio en un data center de Samsung
provoca errores en terminales de todo el mundo.
Lima, 14 de diciembre 2013.- Usuarios de Claro reportan cada masiva de su sistema de
telefona mvil.
Caracas, 22 de noviembre 2013 Noticias24.- Usuarios de Twitter reportaron que en la
Torre IBM, ubicada en la Av. Ernesto Blohn de Chuao, hay un incendio desde la 1:00pm.
Cercado de Lima, 28 de julio 2000.- Vndalos rompan lunas, prendan fuego y arrojaban
bombas incendiarias al interior del Banco de la Nacin.
Cercado de Lima, 20 de marzo 1999.- Se produjo un incendio en el edificio del Data Center
(Nicols de Pirola) de Telefnica.
Lima, xx de xxxxx de xxxx.- (Nuestra empresa) sufri una corte de servicio debido a....
Pg. 8
Cognotek, 2014
www.cognotek.net
Encuesta de Symantec 2012
PER
Muestra
2,053 Organizaciones
30 pases
NAM
LATAM
EMEA
APJ
2
14
5
9
(500)
(250)
(503)
(800)
Copyright 2012 Symantec Corporation. All rights reserved.
Pg. 9
Cognotek, 2014
www.cognotek.net
Cmo se deben preparar las empresas
PER
Requieren gestionar
la Continuidad del
Negocio
Pg. 10
Cognotek, 2014
www.cognotek.net
Definicin
PER
Qu es Gestin de la Continuidad del Negocio

Es un proceso de gestin integral para
establecer y mantener un plan que
permita al Negocio y a TI responder a
incidentes e interrupciones de
servicio para la operacin continua de
los procesos crticos para el negocio y
los servicios de TI requeridos, y
mantener la disponibilidad de la
informacin a un nivel aceptable para la
empresa.
Pg. 11
Cognotek, 2014
www.cognotek.net
Definicin
PER
Qu NO es Gestin de la
Continuidad del Negocio
Un trabajo solo para el equipo de TI
Solo un Plan de continuidad del negocio
Un trabajo / esfuerzo de una sola vez

Pg. 12
Cognotek, 2014
www.cognotek.net
Dependencias de una Organizacin
PER
Dependencia de Infraestructura (energa,

telecomunicaciones, etc.)
Proveedores
Clientes /
Usuarios
Subcontratistas
Organizacin
Distribuidores
Suministradores
Disponibilidad de los Sistemas (aplicaciones, datos,

redes de comunicaciones, etc.)
Pg. 13
Cognotek, 2014
www.cognotek.net
Dependencias de una Organizacin
Pg. 14
Cognotek, 2014
www.cognotek.net
PER
Marco Metodolgico
Pg. 15
Cognotek, 2014
PER
www.cognotek.net
Procesos COBIT5
PER
Procesos de Gobierno de TI Empresarial

Evaluar, Dirigir y Monitorear
EDM01 Asegurar el
Establecimiento y
Mantenimiento del
Marco de Gobierno
EDM02 Asegurar
la Optimizacin
del Valor
EDM03 Asegurar
la Optimizacin
del Riesgo
EDM05 Asegurar
la Transparencia
a los
Stakeholders
EDM04 Asegurar
la Optimizacin
de los Recursos
Alinear, Planear y Organizar

APO01
Gestionar el
Marco de
Gestin de TI
APO08
Gestionar
las
Relaciones
APO02
Gestionar la
Estrategia
APO09
Gestionar los
Acuerdos de
Servicios
APO03
Administrar la
Arquitectura
Empresarial
APO04
Gestionar la
Innovacin
APO10
Gestionar a los
Proveedores
APO11
Gestionar la
Calidad
APO05
Gestionar la
Cartera
APO06
Gestionar los
Costos y el
Presupuesto
APO12
Gestionar
el Riesgo
APO13
Gestionar la
Seguridad
APO07
Gestionar los
Recursos
Humanos
Monitorear, Medir y
Evaluar
MEA01 Monitorear, Medir

y Evaluar el Rendimiento
y la Conformidad
Construir, Adquirir e Implementar

BAI01
Gestionar
Programas y
Proyectos
BAI03 Gestionar la
Identificacin y
Construccin de
Soluciones
BAI02 Gestionar la
Definicin de
Requerimientos
BAI06
Gestionar los
Cambios
BAI07 Gestionar la
Aceptacin y
Transicin de los
Cambios
BAI05 Gestionar la
Habilitacin del
Cambio
Organizacional
BAI04 Gestionar la
Disponibilidad y
Capacidad
BAI08
Gestionar el
Conocimiento
BAI10
Gestionar la
Configuracin
BAI09
Gestionar los
Activos
MEA03 Monitorear, Medir y

Evaluar el Cumplimiento de
los Requerimientos
Externos
Operacin, Servicio y Soporte

DSS01
Gestionar las
Operaciones
DSS02 Gestionar los

Requerimientos de
Servicio e Incidentes
MEA02 Monitorear,
Medir y Evaluar el
Sistema de Control
Interno
DSS03
Gestionar los
Problemas
DSS04
Gestionar la
Continuidad
DSS05 Gestionar los

Servicios de Seguridad
DSS06 Gestionar los

Controles de los
Procesos de Negocio
Procesos de Gestin de TI Empresarial

Pg. 16
Cognotek, 2014
www.cognotek.net
Gestionar la Continuidad (DSS04)

OBJETIVOS
PER
MTRICAS
Informacin crtica disponible

segn los niveles de servicio
mnimos requeridos
% servicios TI que cumplen con la

disponibilidad requerida
% restauraciones ok
% back-ups transferidos y
almacenados de manera segura
Servicios crticos robustos
# sistemas crticos no cubiertos

en el plan
Pruebas de efectividad del plan
# ejercicios y pruebas exitosas
Frecuencia de pruebas
Plan de continuidad actualizado
% mejoras incorporadas al plan
Stakeholders capacitados en el
plan
% stakeholders capacitados
% de mejoras incorporadas en la
capacitacin
Pg. 17
Cognotek, 2014
www.cognotek.net
Gestionar la Continuidad (DSS04)

PRCTICAS DE GESTIN
SALIDAS / ENTREGABLES
Definir la poltica de continuidad del

negocio, objetivos y alcance
Mantener una estrategia de continuidad
Desarrollar e implementar una respuesta a
la continuidad del negocio
Ejecutar, probar y revisar el PCN
Revisar, mantener y mejorar el PCN
Proporcionar capacitacin en el PCN
Gestionar acuerdos de respaldo
Ejecutar revisiones post-reanudacin
Pg. 18
PER
Polticas y objetivos de continuidad del negocio
Escenarios de incidentes que causan una interrupcin
Valoraciones de las capacidades actuales y vacos de

continuidad
Anlisis de impacto en el negocio
Requerimientos de continuidad
Opciones estratgicas aprobadas
Acciones y recomendaciones de respuesta a incidentes
Plan de Continuidad del negocio (PCN)
Pruebas de objetivos
Pruebas de ejercicios
Pruebas de resultados y recomendaciones
Resultados de las revisiones de los planes
Cambios recomendados a los planes
Requerimientos de capacitacin
Resultados de la supervisin de habilidades y competencias
Probar los resultados de las copias de seguridad de los datos
Informe de revisin post-reanudacin
Cambios aprobados a los planes
Cognotek, 2014
www.cognotek.net
Secuencia de Eventos de un Incidente

Incidente
PER
Objetivo General de Recuperacin:

Retornar a la normalidad lo antes posible
Lnea de Tiempo
Respuesta al Incidente
De minutos a horas:
- Identificar al personal y
terceros afectados
- Atender vctimas
- Contener / limitar
daos
- Evaluar daos
- Invocar al PCN
Pg. 19
Continuidad del Negocio
De minutos a das:
- Contactar al personal,
clientes, proveedores,
etc.
- Restablecer procesos
crticos de negocio
- Reconstruir el trabajo
perdido
Recuperacin / Reanudacin a Operacin Normal
De semanas a meses:
- Reparacin de daos
- Reubicacin al lugar de trabajo permanente
- Recuperacin de gastos de las aseguradoras
Cognotek, 2014
www.cognotek.net
Gestin de Continuidad del Negocio GCN PER

CICLO DE VIDA
Entender la
Organizacin
Entrenar,
mantener y
revisar
Administracin
del Programa
de GCN
Definir la
estrategia
de GCN
Desarrollar e
implementar
el PCN
Pg. 20
Cognotek, 2014
www.cognotek.net

Administracin del
Programa GCN
Alcance de la GCN
Acuerdo y firma de polticas
Identificacin y compromiso de
las partes interesadas
(stakeholders)
Acuerdo sobre el enfoque
Roles y responsabilidades
Considerar el uso de una
herramienta de SW
Entender a la
Organizacin
Pg. 21
Identificar los productos y servicios clave y las

actividades crticas que los soportan
Identificar los objetivos, obligaciones y
deberes de la organizacin
Identificar las actividades, activos y recursos
de soporte
Evaluar el impacto de fallos en las
actividades, activos y recursos (BIA)
Identificar y evaluar las amenazas
Identificar todas las interdependencias de las
actividades
Entender la fortaleza de los terceros
Cognotek, 2014
www.cognotek.net

Entender a la
Organizacin
Nivel de
Servicio
Nivel de Servicio Normal
OK!
TMCS
TOR
Mnimo Nivel de Servicio
Lnea de Tiempo
Plan de Gestin de Incidente

TMCS: Tolerancia Mxima de Corte de Servicio
TOR: Tiempo Objetivo de Restablecimiento
Pg. 22
Plan de Continuidad del Negocio
Cognotek, 2014
www.cognotek.net

Entender a la
Organizacin
Nivel de
Servicio
Nivel de Servicio Normal
Desastre!!
TMCS
TOR
Mnimo Nivel de Servicio
Lnea de Tiempo
Plan de Gestin de Incidente

TMCS: Tolerancia Mxima de Corte de Servicio
TOR: Tiempo Objetivo de Restablecimiento
Pg. 23
Plan de Continuidad del Negocio
Cognotek, 2014
www.cognotek.net

Definir la
Estrategia de GCN
Desarrollar e
Implementar el PCN
Definir una estructura de respuesta a

incidentes habilitando una respuesta y
recuperacin efectiva
Identificar los plazos y niveles de
servicio despus de una disrupcin del
servicio
Acordar los plazos para restablecer los
niveles de servicio normales
Gestionar a las partes interesadas
La estrategia puede variar, producto de
una revisin de eventos externos o
internos
Pg. 24
Alineado a los objetivos de la estrategia

de la GCN de la organizacin
Desarrollo de planes para gestionar de
manera efectiva un corte del servicio
hasta contenerlo
Crear planes de continuidad del
negocio diseados para facilitar el
restablecimiento de las actividades
crticas
Planes detallados incluyendo personas,
comunicaciones, roles y
responsabilidades, locaciones,
recursos, etc.
Cognotek, 2014
www.cognotek.net

Entrenar,
mantener y revisar
Valida la efectividad de los

planes
Asegura el entendimiento de
los planes, roles y
responsabilidades
Identifica oportunidades de
mejora
Mantiene la relevancia de
los planes como resultado
de cambios en el negocio
Pg. 25
Diferentes tipos de ejercicios:
Comprobacin de puestos de trabajo
Revisin de instalaciones
Simulaciones
Componentes / actividades
Prueba completa
Apoyos al ejercicio
Programas de sensibilizacin
Desarrollo de competencias
Cognotek, 2014
www.cognotek.net
Planificar Hacer Verificar Actuar
PER
Mejora Continua del Sistema de Gestin

de Continuidad del Negocio (SGCN)
Partes
Interesadas
Actuar :
Mantener y
Mejorar
Requisitos
para la
Continuidad
del Negocio
Pg. 26
Partes
Interesadas
Planificar :
Establecer
Hacer :
Implementar
y Operar
Verificar :
Monitorear y
Revisar
Cognotek, 2014
Continuidad
del Negocio
Gestionada
www.cognotek.net
Consideraciones a Tener en Cuenta
PER
Compromiso de la Alta Direccin
Capacitacin constante
Compromiso e involucramiento de las

reas de negocio
Actualizacin de planes, incorporar

mejoras y difundirlas
NO es un proyecto de TI
Arquitectura empresarial
Comunicacin, comunicacin,
comunicacin
Arquitectura tecnolgica
Monitoreo de mtricas sugeridas
Utilizar una herramienta de SW para

la GCN
Asegurar que respaldos funcionan
Almacenar respaldos en otro site
Hablar el idioma de los clientes /

usuarios: $$$
Probar, probar, probar
Automatizar pruebas de
transferencia automtica de fuente
de energa (comercial / grupo elect)
Contratar servicios de diferentes

proveedores (datos, energa)
Justificacin viene por la parte

econmica Anlisis de Impacto
Foco en los procesos crticos de

negocio
Procesos y procedimientos de
El PCN es un documento vivo y se
contingencia: manuales o automticos debe mantener como tal
Pg. 27
Cognotek, 2014
www.cognotek.net
Justificacin Econmica
PER
En funcin a los ingresos de la empresa

En funcin a los costos de operacin
Ejemplo
Empresa A tiene ingresos por S/.250M / ao

Ingresos por hora de empresa A
Un corte de servicio de 2 horas le

cuesta a la empresa:
250M / 52 sem / 5 das / 12h = S/.80,128 / h
2 x (80,128+37,500) = S/.235,256
Empresa A tiene 1,250 empleados

Remuneracin mensual promedio de un
empleado S/.3,500
1 da sin servicio le cuesta:
(12 x 80,128) + (8 x 37,500)

= S/.1,261,536
Costo por hora de 1 empleado

3,500 x 1.5 / 22 / 8 = S/.30 / h
Costo por hora de 1,250 empleados

1,250 x 30 = S/.37,500 / h
Pg. 28
Cognotek, 2014
www.cognotek.net
Beneficios de un SGCN
Pg. 29
PER
Preserva los intereses de los stakeholders
Mejora el resultado operacional de la

empresa:
Reduce riesgos, se traduce en reduccin de costos.
Reduce tiempos de inactividad.
Mejora la competitividad.
Mayor eficacia operativa: reingeniera de

negocios
Proteje los bienes materiales y el

conocimiento (know-how) del negocio
Mejora en el cumplimiento de las

legislaciones de Seguridad y Salud
Mejora la seguridad global
Cognotek, 2014
www.cognotek.net
Conclusiones
PER
Los desafos actuales demandan que las

empresas tengan una GCN
La GCN es responsabilidad de la Alta

Direccin
El aporte de TI a la GCN es fundamental
Visin holstica:
Velocidad de respuesta para restablecer

los procesos crticos
Respuesta al incidente TMCS
Continuidad del negocio
Recuperacin / restablecimiento a las condiciones

normales de operacin (BAU)
Ciclo de vida de la GCN
Partes interesadas
Entender la organizacin
Procesos crticos de negocio
Definir la estrategia
Facilidades / optimizar uso de recursos
Desarrollar e implementar el PCN
Contratos
Entrenar, mantener y revisar
Obligaciones
Proveedores de servicios pblicos
Marco metodolgico
Evaluar el uso de un software (nube)
Hablar el idioma del usuario $$$
Nuevos sistemas: incorporarlos desde la

planificacin en la GCN
COBIT 5
ISO 22301 / BS 25999
ITIL v3
Capacitar, capacitar, capacitar
ISO 27002
Probar, probar, probar
Entrenar, entrenar, entrenar
Pg. 30
Cognotek, 2014
www.cognotek.net
Estar atentos a los riesgos
Pg. 31
Cognotek, 2014
PER
www.cognotek.net
En resumen. Estar Preparados!!
PER
Cuanto ms se
suda en la paz,
menos se
sangra en la
guerra
Pg. 32
Cognotek, 2014
www.cognotek.net
Estndares existentes
PER
ISACA: COBIT5
ISO 22301
ANSI/ASIS/BSI BCM.01:2010 Business Continuity Management Systems
British Standards Institute: BS 25999, Parts 1 and 2: Business Continuity
National Fire Protection Association: NFPA 1600:2010 Standard on Disaster / Emergency Management and Business
Continuity Programs
ASIS International: ASIS SPC.1-2009: Organizational Resilience: Security, Preparedness, and Continuity Management
Systems Requirements with Guidance for Use
Australia / New Zealand Standard AS/NZS 5050: Business Continuity Managing disruption-related risk
Singapore Standard SS540: Business Continuity Management
Canadian Standard: CSA Z1600: Emergency Management and Business Continuity Programs
Government of Japan BCP Guideline
Japanese Corporate Code BCP
ISO 24762: Information Technology Security Techniques Guidelines for information and communications
technology disaster recovery services
National Association of Stock Dealers: NASD 3510/3520: Business Continuity Plans and Emergency Contact
Information
National Institute of Standards and Technology: NIST SP 800-34: Contingency Planning Guide for Federal Information
Systems
New York Stock Exchange: NYSE Rule 446: Corporate-Wide BCP
Pg. 33
Cognotek, 2014
www.cognotek.net
Enlaces de Inters
PER
www.isaca.org/cobit
www.iso.org
www.25999.info
http://www.cirmagazine.com/cir/reports/BCSoftwareReport2013-14.pdf
https://drii.org/
http://www.fema.gov/es
http://www.pas56.com/
www.london.gov.uk/sites/default/files/guide-for-small-businesses.pdf
www.gov.uk/government/uploads/system/uploads/attachment_data/file/1
37994/Business_Continuity_Managment_Toolkit.pdf
http://www.slideshare.net/symantec/2012-smb-disaster-preparednesssurvey-global-results-may-2012
Pg. 34
Cognotek, 2014
www.cognotek.net
PER
Fernando De los Ros

www.cognotek.net
www.linkedin.com/fernandelos
@fernandelos
www.slideshare.net/fernandelos
Pg. 35
Cognotek, 2014
www.cognotek.net

Continuidad de Negocio

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Continuidad de Negocio

Hochgeladen von

Copyright:

Verfügbare Formate

PER

Gestin de Continuidad del Negocio:

Fernando De los Ros

Fernando De los Ros, Asesor

Procesos de Negocio, Gobierno y Gestin de TI

CIO Per GCN, 28/05/14

CIO Per GCN, 28/05/14

Estamos preparados para ??

CIO Per GCN, 28/05/14

CIO Per GCN, 28/05/14

Estamos atentos a nuestro entorno?

CIO Per GCN, 28/05/14

Cules son los desafos actuales?

CIO Per GCN, 28/05/14

CIO Per GCN, 28/05/14

Encuesta de Symantec 2012

Copyright 2012 Symantec Corporation. All rights reserved.

CIO Per GCN, 28/05/14

Cmo se deben preparar las empresas

CIO Per GCN, 28/05/14

Qu es Gestin de la Continuidad del Negocio

CIO Per GCN, 28/05/14

Solo un Plan de continuidad del negocio

Un trabajo / esfuerzo de una sola vez

CIO Per GCN, 28/05/14

Dependencias de una Organizacin

Dependencia de Infraestructura (energa,

Disponibilidad de los Sistemas (aplicaciones, datos,

CIO Per GCN, 28/05/14

Dependencias de una Organizacin

CIO Per GCN, 28/05/14

CIO Per GCN, 28/05/14

Procesos de Gobierno de TI Empresarial

Alinear, Planear y Organizar

MEA01 Monitorear, Medir

Construir, Adquirir e Implementar

MEA03 Monitorear, Medir y

Operacin, Servicio y Soporte

DSS02 Gestionar los

DSS05 Gestionar los

DSS06 Gestionar los

Procesos de Gestin de TI Empresarial

CIO Per GCN, 28/05/14

Gestionar la Continuidad (DSS04)

Informacin crtica disponible

% servicios TI que cumplen con la

Servicios crticos robustos

# sistemas crticos no cubiertos

Pruebas de efectividad del plan

# ejercicios y pruebas exitosas

Plan de continuidad actualizado

% mejoras incorporadas al plan

CIO Per GCN, 28/05/14

Gestionar la Continuidad (DSS04)

Definir la poltica de continuidad del

Proporcionar capacitacin en el PCN

Gestionar acuerdos de respaldo

Ejecutar revisiones post-reanudacin

CIO Per GCN, 28/05/14

Polticas y objetivos de continuidad del negocio

Escenarios de incidentes que causan una interrupcin

Valoraciones de las capacidades actuales y vacos de

Anlisis de impacto en el negocio

Opciones estratgicas aprobadas