Continuidaddenegocio

@
FIST Conference September/Madrid 2005
Continuidad de Negocio
Manuel Ballester
Manuel Ballester IEEE,MBA,CISA,CISM

Reflexión Inicial
“El tiempo de la reflexión es una

economía de tiempo”
Siro , Publius (Siglo I A.C.)

Contenido
Proceso de planificación de la continuidad del

negocio /recuperación frente a desastres
Análisis de Impacto en el negocio (BIA)
Clasificación de Operaciones, Análisis Criticidad
Objetivo Punto Recuperación (RPO) y
Objetivo Tiempo de Recuperación (RTO)
Estrategias de Recuperación

Contenido
Alternativas de Recuperación
Desarrollo de (BCP y DRP)
Organización y Asignación de Responsables
Otros aspectos del Desarrollo del Plan
Componentes Claves de un BCP
Pruebas del Plan
Resumen

Antecedentes
A pesar de los efectos negativos en las organizaciones, muchas empresas aún no toman
medidas para contar con planes que les permitan lograr la Continuidad del Negocio.
• 72% de todos los negocios tienen alguna de estas condiciones:

– No tienen Plan de Continuidad del Negocio.
– Si lo tienen, nunca lo han probado.
– Su Plan falló cuándo lo probaron.
• Solamente 18% de los datos de usuario final están protegidos. *
*VERITAS Disaster Recovery Survey 2004.

Proceso de planificación de la continuidad del
negocio /recuperación frente a desastres
Los desastres:
Impactan adversamente las operaciones del negocio
Interrumpen la operación de procesamiento de
información crítica
No todas las interrupciones son desastres
Tipos de desastres e interrupciones
Causas de interrupción del servicio

Análisis del Impacto sobre el Negocio (BIA)
Criticidad de los recursos de información

Participación del personal de SI y los usuarios finales
Análisis de todos los tipos de recursos de información
Tres aspectos claves para el análisis:
Criticidad de los recursos de información relacionados con los
procesos críticos del negocio
Período de tiempo de recuperación crítico antes de incurrir en
pérdidas significativas
Sistema de clasificación de riesgos

Análisis del Impacto sobre el Negocio (BIA)

Clasificación de Operaciones, Análisis Criticidad

Objetivo Punto Recuperación (RPO) y
Objetivo Tiempo de Recuperación (RTO)

Una estrategia de Recuperación es una
combinación de medidas preventivas,
detectivas y correctivas
- Eliminar la amenaza completamente

- Minimizar la probabilidad de que ocurra
- Minimizar el efecto

Identificar las estrategias de recuperación
La criticidad de los procesos del negocio y

aplicaciones que soportan los procesos
Coste
Tiempo requerido para la recuperación
Seguridad


Las interrupciones más prolongadas y más

costosas, en particular los desastres que
afectan a las instalaciones, requieren
recuperación (offsite)

Tipos de instalaciones de respaldo Hardware alternativos
Hot Sites
Warm Sites
Cold Sites
Instalaciones de procesamiento duplicados
Sitios Móviles
Acuerdos recíprocos con otras organizaciones


Basado en en BIA y la estrategia de
recuperación seleccionada por la gerencia
Debería abarcar todos los temas
involucrados en la recuperación de un
desastre
Debería resolver todos los problemas
involucrados en la interrupción del
negocio

Factores que se deben considerar:
Estar preparados antes de un desastre cubriendo todas las

incidencias
Procedimientos de evacuación
Procedimientos para declarar desastres
Circunstancias en que se debe declarar desastre
Clara identificación de responsabilidades en el plan

Factores que se deben considerar:
Clara identificación de personas y funciones en el plan

Clara identificación de información de los contratos
Explicación paso a paso de la recuperación
Clara identificación de recursos necesarios
Aplicación paso por paso de la etapa de recuperación

Organización y asignación de
responsabilidades
Equipo de respuesta a incidentes
Equipo de atención de emergencias
Equipo de determinación de los daños
Equipo de administración de la
emergencia

responsabilidades
Equipo de almacenamiento externo

Equipo de software
Equipo de aplicaciones
Equipo de seguridad
Equipo de operaciones de emergencia

responsabilidades
Equipo de recuperación de red
Equipo de Comunicaciones
Equipo de Transporte
Equipo de Hardware de Usuario
Equipo de preparación de datos y registros
Equipo de soporte administrativo

responsabilidades
Equipo de suministros
Equipo de salvamento
Equipo de reubicación
Equipo de Coordinación
Equipo de Asuntos Legales
Equipo de prueba de recuperación
Equipo de Entrenamiento

Otros aspectos del Desarrollo del Plan
Los componentes de este plan incluyen:

Personal clave para toma de decisiones
Información de contacto
Respaldo de los suministros requeridos
Configuración de las instalaciones
Mesas, sillas, teléfonos…
Métodos de recuperación de desastres para redes
de telecomunicaciones

Componentes de un Plan Efectivo
de Continuidad del Negocio (BCP)
Incluyen:
Plan de Continuidad de negocio (BCP)
Plan de Recuperación de Negocio (BRP)
Plan de Continuidad de Operaciones (COOP)
Plan de Soporte de Continuidad

Incluyen:
Plan de Contingencia T.I.
Plan de Comunicación de Crísis
Plan de Respuestas a incidentes
Plan de Recuperación del desastre (DRP)
Plan de Emergencia de ocupantes (OEP)

Para las fases de planificación, implementación
y evaluación se debe acordar:
Metas/requerimientos/productos de cada fase

Instalaciones alternativas para las tareas y operaciones
Recursos de información crítica a instalar
Personas responsables de su ejecución
Recursos disponibles para Plan de ejecución
Cronograma de actividades y prioridades

Personal Clave para la toma de decisiones
Lista de prioridades de contactos

Teléfonos y direcciones de personas críticas a contactar
Teléfonos y direcciones de representantes de los
equipos y software
Teléfonos de suministradores de equipos y servicios

Personal Clave para la toma de decisiones
Teléfonos de personas en sitio de recuperación

Teléfonos de personas instalaciones de
almacenamiento externo
Teléfonos de agentes de seguros
Teléfonos de personas de empresas contratadas
Teléfonos de agencias legales

Respaldo de los suministros Requeridos
Procedimientos escritos, detallados y actualizados

Formularios requeridos
Pedidos
Albaranes
Facturas
Considerar conexiones con otros sistemas

Métodos de prevención para redes:

Redundancia
Enrutamiento alternativo
Diversidad de red de largo alcance
Protección del circuito de "Último Kilómetro"
Recuperación de voz

Métodos de recuperación frente a desastres
para servidores
- Suministro de dos proveedores de energía

- Uso de generadores eléctricos (gasoleo)
- Uso de Sistemas ininterumpidos (SAI)

Servidores tolerantes a fallos
Redundantes
Cluster
Balanceo de carga

Seguros
Equipo de SI e instalaciones
Reconstrucción de medios (software)
Gastos adicionales
Interrupción del negocio



Pruebas del Plan
Especificaciones
Medir la habilidad y capacidad del lugar de respaldo
Evaluar la capacidad de recuperación de registros vitales
Evaluar estado y cantidad de equipos y suministros en el lugar

de recuperación
Medir el desempeño general de actividades operativas y de

sistemas relacionados con el negocio

Pruebas del Plan
Especificaciones
Verificar si el plan es completo y preciso
Evaluar el desempeño del personal involucrado
Evaluar el entrenamiento y conocimiento del personal que no

pertenece al negocio
Evaluar la coordinación entre equipo continuidad y proveedores

externos

Pruebas del Plan
Realización de Pruebas
Etapas
Pre-Prueba
Prueba
Post-Prueba
Tipos de Prueba
Prueba sobre papel
Prueba del estado de preparación
Prueba operativa completa

Pruebas del Plan
Documentación de los resultados

Análisis de resultados
Tiempo
Cantidad
Conteo
Exactitud

Pruebas del Plan
Mantenimiento del plan
Factores que impactan

- Cambios en la organización
- Nuevos recursos/aplicaciones
- Cambios en la estrategia del negocio
- Cambios en software o hardware

Pruebas del Plan
Responsabilidades del plan incluyen
- Desarrollar un plan para revisión y mantenimiento periódico
- Exigir revisiones no programadas ante cambios significativos
- Examinar las revisiones y actualizarlas después de las revisiones
- Coordinar pruebas programadas y no programadas evaluar suficiencia
- Participar en las pruebas anuales

Pruebas del Plan
Responsabilidades del plan incluyen

Desarrollar un programa de entrenamiento
- Mantener registro de las actividades de
- Mantenimiento
- Pruebas
- Entrenamiento
- Revisiones
- Actualizar, por lo menos trimestralmente, lista de contactos

Pruebas del Plan

RESUMEN
- Preparar análisis de impacto del negocio

- Identificar y clasificar sistemas y recursos (críticos)
- Escoger estrategias apropiadas para la recuperación
- Desarrollar un plan detallado para recuperar instalaciones (TIC)
- Desarrollar un plan detallado para las funciones críticas
- Probar los planes
- Mantener actualizados los planes

Reflexión Final
“Lo que no es útil para la colmena no

es útil para la abeja”
Marco Aurelio (121-180 D.C.)

Creative Commons
Attribution-NoDerivs 2.0
You are free:
•to copy, distribute, display, and perform this work
•to make commercial use of this work
Under the following conditions:
Attribution. You must give the original author

credit.
No Derivative Works. You may not alter, transform, or

build upon this work.
For any reuse or distribution, you must make the license terms of this work
clear to others.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivs

License. To view a copy of this license, visit
http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative
Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.

@
Muchas Gracias
FIST Conference www.fistconference.org
Manuel Ballester
Madrid, September 2005
mballester@borrmart.es

Continuidaddenegocio

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Continuidaddenegocio

Hochgeladen von

Copyright:

Verfügbare Formate

@

FIST Conference September/Madrid 2005

Manuel Ballester IEEE,MBA,CISA,CISM

“El tiempo de la reflexión es una

Siro , Publius (Siglo I A.C.)

Manuel Ballester IEEE,MBA,CISA,CISM

Proceso de planificación de la continuidad del

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

• 72% de todos los negocios tienen alguna de estas condiciones:

• Solamente 18% de los datos de usuario final están protegidos. *

*VERITAS Disaster Recovery Survey 2004.

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

Criticidad de los recursos de información

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

- Eliminar la amenaza completamente

Manuel Ballester IEEE,MBA,CISA,CISM

Identificar las estrategias de recuperación

La criticidad de los procesos del negocio y

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

Las interrupciones más prolongadas y más

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

Estar preparados antes de un desastre cubriendo todas las

Manuel Ballester IEEE,MBA,CISA,CISM

Factores que se deben considerar:

Clara identificación de personas y funciones en el plan

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

Equipo de almacenamiento externo

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

Los componentes de este plan incluyen:

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

Metas/requerimientos/productos de cada fase

Manuel Ballester IEEE,MBA,CISA,CISM

Lista de prioridades de contactos

Manuel Ballester IEEE,MBA,CISA,CISM

Teléfonos de personas en sitio de recuperación

Manuel Ballester IEEE,MBA,CISA,CISM

Procedimientos escritos, detallados y actualizados

Manuel Ballester IEEE,MBA,CISA,CISM

Métodos de prevención para redes:

Manuel Ballester IEEE,MBA,CISA,CISM

- Suministro de dos proveedores de energía

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

Manuel Ballester IEEE,MBA,CISA,CISM

Evaluar la capacidad de recuperación de registros vitales

Evaluar estado y cantidad de equipos y suministros en el lugar

Medir el desempeño general de actividades operativas y de