Gestion de TIC y Seguridad de La Ion 2011 (3 de 3)

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Ing. Maurice Frayssinet Delgado

Semana III PLAN DE CONTINUIDAD DE NEGOCIOS
Data Hurfana Toda informacin creada, modificada eliminada entre la ltima copia de seguridad y el punto de falla. Tiempo de Tolerancia Tiempo aceptable de inoperatividad de los procesos segn los usuarios. Tiempo de Recuperacin Tiempo estimado de recuperacin de la infraestructura que soporta la operatividad de los procesos (local, sistemas, servicios, etc.)
Proceso Conjunto de actividades, tareas y procedimientos organizados y repetibles. Proceso Crtico Proceso considerado como indispensable para la continuidad de las operaciones y servicios de la empresa, y cuya falta o ejecucin deficiente puede tener un impacto financiero significativo para la empresa.
Aplicacin: Programa diseado para asistir en la realizacin de un proceso o tarea especfica.
Aplicacin Crtica: Aplicaciones que soportan los
procesos crticos
Es una estrategia planificada y constituida por: un conjunto de recursos de respaldo, una organizacin de emergencia y unos procedimientos de actuacin encaminada a conseguir la restauracin
progresiva y gil de los servicios de negocios afectados por una

paralizacin total o parcial de la capacidad operativa de la empresa. Esta estrategia que se materializa en un manual es el resultado de todo un proceso de anlisis y definiciones.
Identificacin
proteccin
de
los
procesos crticos del negocio y los recursos requeridos para mantener un
nivel
aceptable
de
operaciones,
para de la
preparando asegurar la
procedimientos supervisin
organizacin
en
el
caso
de
una
interrupcin significativa
Implantar la Continuidad del Negocio a nivel de toda la empresa.
Conocer el impacto financiero y no financiero en el negocio

Los propietarios de la informacin debern definir el Tiempo de Recuperacin adecuado Contar con los procedimientos de continuidad del negocio por cada unidad de negocio y de la empresa Concientizar y capacitar a los usuarios acerca de las actividades que deben hacer en caso se active el plan Contar con un Centro de Cmputo Alterno de acuerdo a los requerimientos de las necesidades de la Empresa. Realizar pruebas y proponer mejoras del Plan de Continuidad del Negocio desarrollado, ciclo continuo.
Dada
la
probabilidad
de
un
evento,
generalmente el planeamiento se enfoca a los
escenarios de desastre:
Prdida o no disponibilidad del local ni del equipamiento por efectos del fuego , falta de energa o cualquier otro evento (inundacin, terremoto, etc.) Falla de componente de TI, prdida o no disponibilidad del centro de cmputo En ese sentido los escenarios tpicos son: Desastre total del local principal Desastre total del centro de GESTION DE TIC Y SEGURIDAD DE LA INFORMACION cmputo
Operacin Normal
Interrupcin
Continuidad de procesos crticos de negocio Procesos crticos parcial o totalmente recuperados
Respuesta inmediata
Proceso de Recuperacin
Proceso de Restauracin
Operaciones Normales restauradas
Que la alta direccin o gerencia tenga pleno conocimiento y este alerta a las posibilidades de un evento negativo que pueda afectar la operacin del negocio total o parcialmente. Obtener el compromiso gerencial que ponga en marcha un programa de recuperacin de negocios.
ALERTA Y COMPROMISO Demostrar como los eventos,
basados en riesgos y amenazas, pueden

afectar las operaciones de la empresa Demostrar cual es la importancia para la empresa de contar con un plan de continuidad
Que criterios debe utilizar para obtener el compromiso gerencial? Conocer su audiencia Entender como se logra las planificaciones en su empresa Alertar, luego obtener el compromiso Usar ejemplos relevantes Tratar que lo escuchen no que lo oigan El compromiso debe iniciarse luego de la presentacin Conseguir un patrocinador que sea proactivo y que elimine obstculos.
OBJETIVO: GANAR EL COMPROMISO DE LOS PARTICIPANTES PARA INICIAR UN PLAN DE CONTINUIDADGESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Personal
Planes Orientado a la Accin Simple y Concreto Checklists: Procesos Crticos Sistemas y respaldos Roles y responsabilidades Equipo de recuperacin
Infraestructura Centro de Direccin Instalaciones del Negocio Recursos Equipamiento (negocio) Equipamiento (tecnologa Mobiliario Acuerdos con Proveedores Comunicaciones
Equipo Integrado:
Caractersticas destreza, entrenado autoridad especialistas alternos Proceso de escalabilidad Roles claros Conciencia Responsabilidad
Material de referencia
Nmeros de Contacto
Anlisis
Etapa I Planificacin del Proyecto
A Planificacin del proyecto B Evaluacin de los planes existentes C Procesos y Funciones Crticas D Riesgos Amenazas
Diseo
Etapa III Seleccin de Estrategia de Recuperacin
F G
Implementacin
Etapa IV Elaboracin del PCN
K Curso de Accin L Preparacin del Plan
Etapa II
Etapa V
Anlisis de Impacto del Negocio

E Periodo
Prueba y Manten.
M Prueba y Mantenimiento Del Plan
Hallazgos Recursos Recursos EstrategiMnimos Mnimos as de de y conclu- de Recupe de Recupe Recuperaracin racin Inoperancia siones cin y (no-comp) (comp) Respaldo Aceptada
j Locacin de Respald o
Identificar un responsable del proyecto PCN Definir las actividades detalladas
Conformacin de equipos de trabajo

Elaborar los cronogramas de trabajo, hitos de control del proyecto Validar actividades anteriormente definidas Cronograma final del proyecto
Actividades
Revisin de documentacin existente que tenga relacin con el planeamiento de la continuidad, como son los procesos, inventarios, aplicaciones, etc. Coordinar con TI, logstica, riesgos, etc. Desarrollar y adecuar plantillas y herramientas de trabajo Entender la cultura de la empresa Definir los supuestos del plan Identificar las personas claves para la direccin del proyecto (Sponsor) Desarrollo del plan del proyecto (Alcance, plan de trabajo, cronograma, roles y responsabilidades) GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Etapa I Planificacin del Proyecto Documentacin
existente
Informacin de procesos crticos Inventario de tecnologa crtica que soporta los procesos Organigramas Informacin de Seguros Anlisis de Riesgo Evaluaciones de seguridad fsica Informacin de ocurrencias /eventos/desastres. Supuestos Deben ser realistas y limitados en nmeros Deben proveer suficiente detalle de tal manera que las personas comprendan lo que necesitan ejecutar en sus planes.
El PCN puede ser dirigido por TI, Riesgos, Auditoria, Finanzas, Operaciones, Legal, Administracin, Seguridad, etc. En el sector financiero existe la tendencia a ser liderado por el rea corporativa de riesgos.
Es responsable de:
Definir los miembros del equipo de trabajo y asegurar el xito de la

iniciativa Administrar y motivar al equipo de trabajo para una entrega oportuna de los documentos. Asegurar que la organizacin y el equipo de trabajo del PCN comprenda el propsito, proceso y requerimiento del PCN. Actuar como punto central de contacto entre las reas de negocio y el equipo de desarrollo. Informar el estado del proyecto a la alta gerencia y obtener la aceptacin formal del BCP
El equipo de desarrollo trabajar en conjunto para: Desarrollar el material para el BCP, definir las plantillas y las herramientas a usar. Brindar asesora metodolgica para el desarrollo del BCP Facilitar los talleres y las reuniones de trabajo.
Coordinar el comportamiento de informacin y facilitar el aprendizaje entre

las diferentes unidades de negocio. Proveer control de calidad al proceso y a los documentos finales. Personal dedicado a tiempo completo.
El equipo de lderes trabajar en conjunto para: Coordinar el desarrollo del BCP para los procesos crticos asignados Actuar como punto central de contacto con los expertos, durante el proyecto Asegurar que los problemas sean resueltos apropiada y rpidamente Considerar e incluir las unidades de negocios interdependientes.
Obtener la aprobacin de las gerencias

El equipo trabajar en conjunto para:

Asegurar el cumplimiento de las actividades en los plazos definidos en el cronograma. Identificar los procesos de negocio crtico en la fase de Anlisis de Impacto Identificar a corto y largo plazo las estrategias para continuar con sus funciones ante la eventualidad de una emergencia, evaluar la
estrategia y determinar cul sera la mas exitosa.

Definir los procedimientos necesarios para continuar con las funciones de acuerdo a las estrategias del BCP. Actualizar y mantener el BCP.
Documentacin existente recolectada Cronograma preliminar
Organigrama de proyecto
Plan del proyecto
Presentacin del proyecto a la gerencia
Etapa I Planificacin del Proyecto1
Plan del Proyecto PCN

Objetivo y Alcance Plan de Trabajo Supuestos Cronograma preliminar Roles y responsabilidades Entregables parciales y finales Gestin del proyecto Seguimiento del avance
Comunicar el objetivo del proyecto
Definir el PCN
Delinear el alcance y cronograma del proyecto Describir los de roles los y
responsabilidades miembros proyecto. de la
diferente del
organizacin
Soporte y compromiso de la alta gerencia. Uso de un enfoque de planeamiento basado en escenarios. Respuesta a incidentes / emergencia claramente definida.
Procedimientos muy bien establecidos para el almacenamiento

electrnico de los registros vitales del negocio. Locales alternos. Una robusta estrategia de recuperacin tecnolgica. Pruebas regulares y consistentes del PCN. Un fuerte programa de administracin y mantenimiento del plan.
Falta de compromiso de la organizacin (recursos, presupuesto, gestin del proyecto) Delegar a TI todo el esfuerzo del PCN
Planeamiento inadecuado de los supuestos

Plan de administracin de la crisis / emergencia insuficiente Estrategias de recuperacin inviables
Falta de compromiso, educacin y entrenamiento

Falta de mantenimiento y prueba.
Etapa II Anlisis de Impacto del Negocio
Acumular la informacin y/o entrevistas de la Gerencia de las Unidades del Negocio Validar Funciones, recursos y tiempos de recuperacin Crticos del Negocio Presentacin del Anlisis de Impacto final a la Gerencia Inventario de los procesos crticos y Necesarios del Negocio Evaluacin de las medidas existentes de reduccin de riesgos (Control)
El anlisis de impacto debe ser utilizado de dos maneras ; como herramientas para la evaluacin de las amenazas y como una herramienta para determinar los requerimientos del negocio en el evento de una contingencia.
Anlisis de Impacto
Evaluacin de las Amenazas

Cul es el impacto al negocio debido a una contingencia?
Determinacin requerimientos de negocio

Cul es el costo en funcin del tiempo?
Cul es el tiempo mximo aceptable de una interrupcin?

Cules son los principales procesos a recuperar? Cules son los activos y recursos crticos con los que debo contar para continuar con las operaciones crticas?
Prdida de imagen Responsabilidades legales Prdida de mercado Costos financieros Prdida de Ventas
Costos adicionales
operativos El tipo de impacto depende de la naturaleza del negocio. La evaluacin de la amenaza ser directamente proporcional al impacto en el negocio y a la probabilidad de ocurrencia.
En varios de los casos la imagen tiene mayor impacto, debido a que es difcilmente cuantificable y se traduce finalmente en prdida de mercado
Oportunidad para que la competencia demuestre su capacidad de brindar soluciones mas seguras. Prdida de nuevos clientes y exposicin ante nuestros actuales clientes que utilizan nuestros servicios.
Para cada amenaza no tolerable se debe desarrollar el anlisis de impacto por la ocurrencia de la misma, identificando para cada proceso afectado los recursos, tiempos de recuperacin y otros elementos a considerar para la continuidad del proceso.
Procesos de Negocio Costo de Interrupcin Recursos crticos Aplicaciones crticas Capacidad de generar manualmente Tiempo de recuperacin
Actividades Relevar informacin sobre las unidades de negocio a travs del cuestionario de anlisis de impacto, con los representante de cada rea (expertos) Revisar y discutir con las gerencias y/o jefaturas la informacin relevada en los cuestionarios de anlisis de impacto Validar procesos, recursos y tiempos de recuperacin crticos del negocio Identificar las amenazas y/o vulnerabilidades, evaluar probabilidad de ocurrencia Evaluar las medidas implantadas para mitigar las consecuencias Presentacin del anlisis de impacto y evaluacin de riesgos final a la Alta Gerencia
Regla del 80/20 Basado en la experiencia de la industria , tpicamente el 20% de
los procesos o subprocesos cubre el 80% de las funciones del

negocio ms crtico
100% de los procesos de la Organizacin Anlisis de Impacto 20% Procesos Crticos
Es una evaluacin de las funciones de negocio de una empresa, con el objetivo de comprender los procesos de negocio crticos, dependencias y requerimientos
Objetivo: Determinar la criticidad de los procesos de cada rea evaluada para la Ca.
Identificar el tiempo objetivo de recuperacin y recursos necesarios para

concretar la recuperacin Identificar las aplicaciones que soportan cada proceso Determinar el impacto operacional y financiero de la prdida o interrupcin
del rea.
Procesos que ejecuta el rea
Informacin de entrada y salida

Proveedores y terceros Documentacin de soporte Dependencia de las telecomunicaciones Dependencia de los aplicativos Equipamiento especializado Impacto cuantitativo y cualitativo Existencia de procedimientos manuales alternativos Tiempos
Transferencia del Riesgo Seguros
Programa de Seguridad
Programa de Seguridad de la Informacin Plan de Emergencia Programa de Registros Vitales
Estimacin sustentada en las prdidas de ingreso en las que se

incurre como consecuencia de la ocurrencia de un evento adverso establecido en definicin de escenarios. Esta prdida es diferente de la prdida de los ingresos generados por un negocio debido a que la ocurrencia del evento no afecta a todos los factores generadores de ingreso. Es decir: la prdida estimada de un da no es tan simple como
dividir los ingresos del negocio del ltimo trimestre en 90 das.
Cul sera la prdida mxima que podra sufrir la empresa ante la ocurrencia del escenario definido si no contara con un PCN? No contar con PCN normalmente implica cesar operaciones hasta que la situacin normal pueda restaurarse Cunto tiempo demorara esta restauracin en funcin del
escenario definido?
Si durante este tiempo de demora, la empresa cesa sus operaciones, Cul es la prdida total? La empresa podra sobrevivir ese lapso sin operar?
En el extremo la empresa desaparece y los accionistas pierden el

valor de la empresa.
Objetivo: Aqu el objetivo es definir cules sern los procesos de negocio que estarn comprendidos en el plan (alcance) Establecer en qu tiempo podr restaurarse la operacin de dichos procesos (RTO: Recovery Time Objective) Los procesos comprendidos en el alcance sern restaurados en el plazo definidos por el RTO Los procesos fuera del alcance cesarn su ejecucin hasta que pueda ser restaurada la operacin normal.
El impacto o peso final de cada proceso ser una evaluacin de la gerencia en base al impacto financiero y no financiero.
Costo de Interrupcin US$
Valor total del Negocio
Momento de la Quiebra
Mximo costo tolerable
Tiempo mximo de Interrupcin
Tiempo de Interrupcin
El impacto o peso final del proceso ser un proceso de evaluacin comparativo entre los procesos y determinar la criticidad del proceso.
Extender el alcance del plan reduce el impacto de las prdidas de ingresos pero incrementa el costo de montar y mantener el plan Reducir el RTO reduce el impacto de las prdidas de ingreso, pero incrementa el costo de montar y mantener el plan
Prdida
Costo
Costo
Prdida
Alcance
RTO
Inventario de procesos crticos del negocio Anlisis de las potenciales amenazas para el negocio Evaluacin de las medidas existentes de reduccin de riesgos Determinacin del impacto financiero y operacional de una interrupcin sobre un proceso de negocio no crtico Establecimiento del tiempo de inoperancia aceptada para la recuperacin de cada proceso crtico del negocio para un nivel aceptable de operacin de emergencia seguida de la interrupcin Establecimiento de recursos mnimos requeridos por procesos de negocio crticos para la recuperacin.
Discutir Acerca de las estrategias de recuperacin para proveer los recursos requeridos de recuperacin.
Evaluacin de estrategias de recuperacin propuestas

por los proveedores. Requerimientos de ubicacin fsica de recuperacin Identificacin y Anlisis costo/beneficio de las
estrategias de recuperacin. Revisar y aprobar la mejor forma de operar disponible para la estrategia de recuperacin.
Para Tecnologa de la Informacin y facilidades, identificar la ms adecuada estrategia de recuperacin de acuerdo a los requerimientos del negocio, considerando el tiempo de recuperacin y el costo asociado. Para los procesos de negocio, identificar la estrategia para el proceso de negocio, mientras se espera la recuperacin de TI y las facilidades Para la empresa, identificar la estrategia de negocio con proveedores, alianzas, seguros, registros vitales, seguridad del empleado, comunicaciones, etc. Definir nivel de servicio
Desastre declarado (2 hrs.) Evacuacin Evaluacin del dao Reunir al personal Definir lugar de recuperacin Traslado al lugar de la recuperacin Avisar al lugar de la recuperacin Traslado del personal
Tiempo de recuperacin Comunicaciones
Servidores
Hardware Data (Backup) Esfuerzos Adicionales Sincronizacin de data Verificar aplicaciones y comunicaciones Ejecucin de procesos batch
Listo para Usuarios

Desastre declarado Evacuacin Evaluacin del dao
PCs y accesos disponibles
Procedimientos manuales alternativos

Ingreso de transacciones manualmente Volver a crear la data perdida Reanudar procesamiento normal
Reunir al personal
Traslado al lugar de la recuperacin
Avisar al lugar de la recuperacin

Traslado del personal Asignar equipos no TI Telefona
Se debe identificar los elementos requeridos para poder continuar con la operacin en caso de una contingencia Conectividad Localidades Servicios de Oficina Tecnologa Transporte
Telefona
Espacio para usuarios
En la medida que los sistemas se vuelven ms crticos se debern desarrollar soluciones acordes para mantener la capacidad de continuar con las operaciones crticas en caso de desastre. El diseo debe tomar en consideracin: Tiempo de recuperacin Cunta informacin puede perderse Cunto representa econmicamente prdida Capacidad de procesamiento manual Plataforma tecnolgica
la
Costo de Implementacin US$ Centro alterno dedicado
Espejo o rplica de bases de datos
Sistema operativo en espera
Bveda electrnica remota
Centro de cmputo alterno
Minutos
Horas
Das Tiempo de Recuperacin
COLD SITE: Espacio propio de la compaa o de un proveedor que

permita la recuperacin de slo el local, sin recursos ni conectividad especial.
RTO: + 10 das Capacidad: para un grupo de empleados Ubicacin: local Uso: espacio que puede no estar disponible, falta de recursos necesarios dificultad para realizar pruebas Costo: bajo Ejemplo: oficinas vacas
WARM SITE: Espacio con comunicaciones disponibles pero sin equipamiento

RTO: de 24 hrs. A 5 das para el funcionamiento del local Capacidad: Para muchos empleados Ubicacin: local Uso: se podra contar con todo el equipo para trabajar, considera tiempo de configuracin. Coordinar para realizar pruebas. Costo: medio, considerando comunicaciones y equipamiento Ejemplo: teletrabajo, en oficinas de terceros o propias del grupo o compaa
HOT SITE: Ubicacin que cuenta con las instalaciones, equipos de cmputo, telecomunicaciones, lneas dedicadas y Personal preparado para manejar las operaciones realizadas en otro centro de cmputo, el cual ha sido afectado por algn evento.
RTO: de 4 a 24 hrs. Capacidad: para un nmero determinado de empleados Ubicacin: otro local de la Compaa o proveedor especializado Uso: seguridad, mantenimiento de equipamiento, local conocido, siempre disponible, realizacin de pruebas. Costo: slto, se considera comunicaciones, equipamiento, mantenimiento Ejemplo: agencia, otro local de la Ca., centro de contingencia de terceros.
Obras Civiles Instalaciones elctricas Equipos Auxiliares Sistemas de Seguridad Cableado estructurado
Hardware Software Equipos de Comunicaciones Medios de Comunicaciones Soporte de Hardware Soporte de Software Soporte de Comunicaciones Soporte de Produccin y Operaciones
Adicionalmente se requiere personal para la seguridad del local y limpieza del local
Factor de E valuacin Administracin del cambio e implantacin de soluciones
Centro Propio Los constantes cambios en los negocios y la tecnologa requiere una constante maejo de cambios y actualizaciones, con personal disponible y preparado. Constante inversin en equipamiento, contratos de mantenimientos y seguros. La operacin del centro de cmputo requiere de personal dedicado y entrenado en el manejo y mantenimiento del mismo
Centro Proveedor de Servicio Cuentan con personal con experiencia en la problemtica y entrenada. E general las n inversiones son recuperadas en un esquema de econompia en escala
Sistema Operacional
E equipo de operaciones tiene un manejo l optimizado al contar con un equipo de produccin y operacin dedicado a los distintos servicios del centro. Incluyendo personal de mantenimiento (Hw/ Sw) de seguridad, servicios auxiliares y de limpieza E equipo de coordinacin del servicio tiene l personal asignado a estas responsabilidades y en constante coordinacin con otras reas u terceros
Manejo de la capacidad de recuperacin
Requiere constantes pruebas, mantenimiento y personal entrenados para reaccionar. Asi como el manejo de las relaciones entre reas afines u terceros para complementar los servicios
Soporte tcnico
E caso de contingencia se requiere del empleo Los proveedores cuentan con un grupo de n del personal tcnico para la recuperacin, lo cual soporte tcnico, instalaciones y manteniemento estara limitado al personal de la empresa de hardware pudiendo incluso afectar la realizacin de algunas tareas por no contar con los recursos humanos disponibles
Desarrollar una matriz de opciones para comparar sus debilidades y fortalezas
sobre las siguientes reas

Cumplimiento Satisfaccin de de tiempo de de
recuperacin objetivo requerimientos negocio para la recuperacin (personal, procesos y tecnologa) Costos (inicial, en operacin, reutilizacin de activos) Capacidad y tiempo de ejecucin Seguridad y continuidad
Costo US$
Costo de la Solucin Costo de la Interrupcin Del Servicio
Ventana
Tiempo GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Resumen de estrategias seleccionadas. Detalle de estrategias seleccionadas: Negocios De la ubicacin fsica De la operacin alternativa (manual) De comunicaciones Detalle de estrategias seleccionadas: Sistemas Descripcin de la estrategia seleccionada por cada recurso TI crtico (Infraestructura, servidores, servicios, comunicaciones, etc.) Consideraciones para la validez de cada estrategia Data crtica y frecuencia de backups Contrato con proveedores Actividades principales y tiempo de recuperacin estimado Restricciones por la estrategia seleccionada
- Centro de comando (disponible siempre) Alberga a la alta gerencia inmediatamente despus de lo sucedido el desastre, a fin de proveerles un lugar adecuado para la toma de decisiones - Centro de Cmputo Alterno Alberga los equipos de computo y personal encargado de continuar con el soporte tecnolgico que permite la ejecucin de los procedimientos crticos del negocio - Centro de Negocio Alterno Alberga los equipos encargados de continuar con la ejecucin de los procedimientos crticos del negocio.
Identificacin y anlisis costo/beneficio de las estrategias de recuperacin alternas (aprobada por la gerencia) Requerimientos de ubicacin fsica de recuperacin. Requerimientos para estimar/requerir la preparacin y distribucin de propuestas Estrategias de recuperacin recomendadas para las funciones crticas de negocio. Evaluacin de soluciones crticas de negocio. Acuerdos formales del site alterno. Medidas para la reduccin de riesgos. Establecimiento del tiempo de inoperancia aceptada para la recuperacin de cada proceso crtico del negocio para un nivel aceptable de operacin de emergencia seguida de la interrupcin. Establecimiento de recursos mnimos requeridos por procesos de negocio crticos para la recuperacin.
Definir los equipos de recuperacin de desastre. Preparar la declaracin de procedimientos de desastre (Gua de Referencia Rpida). Organizacin y Planificacin Recuperacin de Infraestructura Fsica Recuperacin de Infraestructura de Cmputo Recuperacin de Aplicaciones de cmputo Actividades de Post- Recuperacin Preparar el marco del trabajo del plan Preparar los procedimientos de los equipos departamentos crticos Documentar los arreglos de recuperacin Elaborar el borrador del Plan de Continuidad del Negocio.
La mayor debilidad de los esquemas de continuidad del negocio es la falta de documentacin
Es necesario que alguien o algn equipo se haga cargo de desarrollar y mantener la documentacin
La documentacin: Registrar situaciones y lo pensado antes que se produzca una interrupcin Establecer responsabilidades
Sin documentacin no hay plan de recuperacin Sin plan de recuperacin NO hay continuidad del negocio
Durante el tiempo que no se cuente con soporte Informtico las operaciones, de manera restringida debe continuar si es necesario. Procedimientos Formatos impresos Base de datos respaldados Listados e impresiones Documentacin
Ejemplos de documentacin
Software y Datos
Sistema operativo y subsistemas Bibliotecas de sistemas Bases de datos Biblioteca de procedimientos Procesos batch Diccionario de datos
Ejemplos de documentacin Inventario de Software Las versiones de documentacin debe ser la mas reciente y en medios magnticos Tener un conjunto de datos de prueba y los resultados que se deberan obtener. Diagramas de flujo y tablas de decisin Detalle de cualquier configuracin o condicin de operacin requerida, incluyendo requerimientos de sistemas operativo. Instrucciones de procesamiento y mensajes, comprobacin y respuesta.
Ejemplos de documentacin Contratos

Hardware Software
Ejemplos
de
documentacin
Personas a contactar Miembro del equipo Nombres, telfonos Contactos de: direcciones y
Comunicaciones
Acuerdos recprocos Usuarios externos Nivel de servicios
Sistemas, usuarios, Cruz Roja, de

Defensa Civil, Bomberos, Seguros, Proveedores,
Departamento
servicios Seguros Alquileres
compras, finanzas; etc.

Ejemplos de documentacin Comunicacin de datos
Ejemplos de documentacin Suministros
Lneas, protocolos
velocidad,
Formularios legales Fuentes de suministros Suministros para oficina Formatos de ingreso de datos
Especificacin de equipos de comunicacin
Configuraciones
Procedimientos
Formatos
procedimientos
de
Misin: Asegurar que toda la informacin a recuperar est completa, almacenada en un local externo seguro, utilizable y que pueda ser obtenida fcilmente por las persona autorizadas.
Objetivos: Debe cumplir con reducir la ventana de recuperacin y los acuerdos de niveles de servicio, al nivel requerido por el negocio. Los procedimientos deben considerar: Tiempo de recuperacin del ambiente operacional (hw, sw, comunicaciones, S.O., programas, productos y aplicaciones) La disponibilidad acordado en los SLA. Tiempo de recuperacin de la data huerfana
Revise las etiquetas con los detalles del respaldo previo Emita reportes de excepciones que indiquen data que no esta siendo respaldada Peridicamente emita otros reportes mostrando el contenido de las cintas o volmenes Que cintas estn libres? Qu cintas tiene informacin? Dnde estn las cintas XYZ en este instante? Qu cintas deben salir hoy ? Qu cintas estn viejas? Se prueban las cintas?
Responsabilidades Verificar los procesos de respaldo. Probar el estado de los respaldos. Notificar del desvo de los objetivos de respaldo. Mantener los medios de respaldo. Revisar el manejo de los registros vitales. Mantener un sistema que permita el manejo de los registros entre: Centro de Cmputo Almacn externo y recuperarlos en forma controlada
Mayor respaldos tiempo
frecuencia reducen
de el
de
recuperacin,
reduce la data hurfana y
mejora la actualidad de la
informacin.
El plan debe minimizar las interrupciones y la duracin y el impacto de las mismas. En el rea de TI existen una serie de disciplinas que afectan directamente
el manejo de la continuidad como son:

Administracin de los niveles de servicio. Administracin del cambio. Operacin de los servicios. Administracin de la disponibilidad. Administracin de los procesos de respaldo y recuperacin. Administracin de la capacidad y rendimiento. Administracin de problemas. GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Administracin de los niveles de servicio
Administracin de Cambio El cambio ha sido probado y documentado? Existe un plan de contingencia en caso de que el cambio traiga problemas? Todas las referencias documentadas han sido actualizadas y el personal preparado?
Cul es el horario de atencin?

Cul es el tiempo de respuesta para Cuntas mximas debo momentos pico? las principales transacciones atender en transacciones ?
Qu nivel de disponibilidad
requiero?
Operacin de los Servicios

Est documentado y se tiene copia del plan de operaciones?
Administracin de la disponibilidad Qu nivel de disponibilidad hemos obtenido este mes? Existe una mejor forma de medir y controlar la
Se ha revisado el consumo de
suministros y estn identificados los proveedores? En caso de interrupciones existen documentados soporte? procedimientos para solicitar
disponibilidad?
Administracin de los procesos de respaldo y recuperacin Con qu frecuencia debemos tomar respaldo? Se han probado los procesos de recuperacin? El tiempo de recuperacin es el adecuado?
Administracin de la capacidad y rendimiento El equipamiento actual tiene la capacidad suficiente para manejar la demanda futura? Es el uso de los recursos el adecuado? El equipamiento podr soportar la nueva aplicacin sin afectar las otras?
Administracin de problemas
Qu acciones se toman cuando se

presenta un problema? Existe un registro de problemas y un responsable de revisarlo? Existen criterios para determinar el nivel de impacto del problema?
Introduccin que documente el propsito y criterio para
determinar cuando se utilizar el plan. Seccin que documente los pasos a seguir inmediatamente luego de ocurrido el desastre. Procedimientos para recuperar las operaciones de los procesos crticos. Responsabilidades y actividades para todos los equipos de recuperacin. Informacin sobre acuerdos coordinados previamente a la ocurrencia del desastre. Apndices para listas de inventario, contactos, mapas, diagramas y procedimientos de recuperacin, procedimientos manuales y otra informacin detallada.
Un plan no es la solucin Un plan no recupera el negocio Un plan son papeles con informacin Las personas recuperan el negocio Las personas requieren de toda la infraestructura para recuperar el negocio.
Preguntas que debe contestar el plan: quin?, qu?, cundo? dnde?, porqu?, cmo?
El plan debe reunir la informacin necesaria para comprender y dar continuidad a las funciones del: Personal, Local, Tecnologa, Proveedores
El alcance, sofisticacin y tamao del plan depender de los requerimientos del negocio y de cada proceso. El plan necesita ser: Tctico, Detallado, Ejecutable GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
Etapa V Plan de Pruebas
Planificacin de las Pruebas. Definicin de Escenarios de Pruebas. Participantes en las pruebas. Documentacin de las pruebas. Revisin de los resultados de las pruebas. Actualizacin del Plan. Cronograma de las pruebas.
Definir el alcance y los escenarios de prueba

Identificar a los participantes de la prueba del PCN
Medir los tiempos de la prueba y programar el staff Asignar eventos responsabilidades para resolver los
fortuitos de la prueba
Dirigir el mantenimiento del PCN basado en los resultados de las pruebas del mismo.
Los objetivos del plan de pruebas son: Asegurar la familiaridad y habilidad de los equipos con sus actividades en caso de contingencia. Validar, identificar expuestos y realizar ajustes a la capacidad de recuperacin Consideraciones a tomar en cuenta en la planificacin de pruebas: Las pruebas pueden ser ejecutadas en forma total o parcial Se debe obtener informacin detallada del desarrollo de la prueba para el anlisis Se debe simular las condiciones de una situacin real de recuperacin Se debe utilizar slo informacin que se encuentra en el almacenamiento externo.
1.
Personal
- Gerencia comprometida - Equipos participantes
2.
Objetivos y Alcance de la Prueba - Definir alcance de la prueba (a nivel procesos, aplicacin u componente) - Listar los objetivos primarios de la prueba y los resultados esperados. - Listar los objetivos secundarios de la prueba y los resultados esperados. - Fijar lmite de tiempo para completar los objetivos. Medicin de la Prueba - Registro de la hora inicio y trmino de las tareas y de la prueba. - Documentar los problemas encontrados. - Registrar cualquier desviacin del plan de prueba. Revisin post prueba - Fueron correctos los parmetros? - Se consiguieron los objetivos? - Fue correcto el criterio de medicin? - Identifique reas de problemas, fortalezas y desviaciones del plan - Recomendaciones para mejoras
3.
4.

Definicin
de pruebas de elementos del plan
Diseada
para evaluar lo comprensible y efectivo que es lo especificado en cada procedimiento de recuperacin. El aislamiento de procedimientos de recuperacin clave permite a los equipos enfocar sus esfuerzos a una prueba limitada que puede ser afectada al realizar una prueba total.
Los
procedimientos que pueden ser considerados son:
Procedimientos de evacuacin Notificacin de la emergencia Recuperacin de aplicaciones
Acceso remoto
Recuperacin de un proceso crtico.
Definicin de pruebas integral
Este tipo de pruebas requieren de la

planificacin y preparacin extensiva y no debe realizarse hasta que no se haya probado cada componente del plan. Esta prueba debe incluir pruebas que se crucen crtico. las diferentes unidades de negocios que intervienen en un proceso
Determinar
si
la
documentacin
de
las
estrategias
de
recuperacin y procedimientos de recuperacin son viables y permiten la recuperacin en el tiempo requerido Validar las premisas y los supuestos definidos Identificar debilidades y fortalezas Incorporar la exigencia de la participacin conjunta de sistemas y
negocios
Incrementar la familiaridad con los procedimientos.
Determinar el alcance
Determinar los objetivos Determinar el mtodo de prueba que permita cumplir con el alcance y objetivo Determinar los participantes Definir el tiempo de prueba Crear el ambiente de prueba (escenario,
facilidades, coordinacin con proveedores, etc.)

Conducir la prueba
Realizar el seguimiento por medio de cuestionarios o reuniones Realizar crticas sobre la prueba y el plan Llevar las discusiones formales sobre los problemas presentados en la prueba Documentar las pruebas realizadas y los
problemas ocurridos
Actualizacin del plan Considerar los problemas ocurridos para la siguiente prueba
El plan es un documento vivo que necesita que constantemente sea actualizado
Mantenimiento programado
Revisiones trimestrales Revisin semestral Revisin mensual Mantenimiento no programado por cambios importantes en la organizacin
Personal entrenado: elemento clave para la continuidad operacional ante contingencias

El mantenimiento del plan es responsabilidad del lder del comit de recuperacin y de los lderes de los grupos participantes Los cambios son integrados al plan a travs de procesos de manejo de cambios y problemas Los cambios son identificados a travs de la revisin peridica integral o parcial del plan El plan puede requerir actualizacin como resultado de las pruebas El plan puede requerir actualizacin en base a las recomendaciones de la auditoria.
Roles y responsabilidades continuas sobre el PCN Escenarios significativos de pruebas Definicin de objetivos, cronogramas y disponibilidad de recursos para la prueba Prueba y reportes con los resultados de las pruebas Revisin del ciclo de mantenimiento despus de la prueba Informe de estado del plan para la gerencia
Estados del Plan

Operatividad Normal Estado de Emergencia Estado de Recuperacin Estado inmediato posterior al deastre en el que se ejecutan las actividades de respuesta a la emergencia Estado en el que se ejecutan las actividades de recuperacin de negocios y TI
Estado de Contingencia
Estado en el que se ejecutan las actividades de recuperacin de negocios y TI

Estado en el que se ejecutan las actividades para el retorno a la operatividad normal
Estado de Resturacin
Organizacin y planificacin 1. Introduccin 2. Objetivo y Alcance 3. Supuestos y premisas 4. Polticas de pruebas y mantenimiento
Plan de pruebas
Plan mantenimiento de
5. Distribucin del Plan
6. Equipos de contingencia * Comit de contingencia * Lder del plan * Central de monitoreo * Equipo de evacuacin * Equipo de evaluacin de daos * Equipo de soporte corporativo * Equipo de soporte de negocios * Equipo de soporte de tecnologa de informacin
Plan de Recuperacin de Negocios Plan que direcciona la recuperacin y la operacin en contingencia de
todos
los
procesos
crticos
del
negocio requeridos para mantener un nivel aceptable de operacin ante una interrupcin de los mismos y/o de los recursos que lo soportan
Plan de Recuperacin de Negocios 1. Objetivo principal 2. Diagrama de escalamiento
3. Centro de Negocios alterno

5. Equipos de plan de recuperacin de negocios Equipo de finanzas Equipo de ventas Equipo de operaciones Equipo de Administracin Equipo de ...................
Los procedimientos manuales sern documentados como anexos al plan

Plan de Recuperacin de Sistemas Plan que direcciona la recuperacin y operacin en contingencia de las
aplicaciones
crticas,
incluyendo
comunicaciones, redes, hardware, software y datos ante un evento que origine la interrupcin de la
operatividad de los mismos.
Plan de Recuperacin de Sistemas

1.
2. 3. 5.
Objetivo principal
Diagrama de escalamiento Centro de Cmputo de Contingencia o Alterno Equipos de Plan de Recuperacin de Sistemas
Equipo de Recuperacin
Equipo de Operacin y Produccin Equipo de Soporte Tecnolgico Equipo de Comunicaciones y Redes
Equipo de ...................
Se documentarn los procedimientos manuales de recuperacin de cada recurso de TI como anexo al plan
...En una poca de cambios radicales,

el futuro pertenece a los que siguen aprendiendo.
Aquel que ya aprendi est preparado

para vivir en un mundo que ya no existe
A. Toffler

Gestion de TIC y Seguridad de La Ion 2011 (3 de 3)

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Gestion de TIC y Seguridad de La Ion 2011 (3 de 3)

Hochgeladen von

Copyright:

Verfügbare Formate

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Ing. Maurice Frayssinet Delgado

Semana III PLAN DE CONTINUIDAD DE NEGOCIOS

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Aplicacin: Programa diseado para asistir en la realizacin de un proceso o tarea especfica.

Aplicacin Crtica: Aplicaciones que soportan los

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

progresiva y gil de los servicios de negocios afectados por una

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

procesos crticos del negocio y los recursos requeridos para mantener un

Implantar la Continuidad del Negocio a nivel de toda la empresa.

Conocer el impacto financiero y no financiero en el negocio

generalmente el planeamiento se enfoca a los

Operaciones Normales restauradas

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

ALERTA Y COMPROMISO Demostrar como los eventos,

basados en riesgos y amenazas, pueden

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Anlisis de Impacto del Negocio

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto

Identificar un responsable del proyecto PCN Definir las actividades detalladas

Conformacin de equipos de trabajo

Etapa I Planificacin del Proyecto Documentacin

Etapa I Planificacin del Proyecto

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto

Definir los miembros del equipo de trabajo y asegurar el xito de la

Etapa I Planificacin del Proyecto

Coordinar el comportamiento de informacin y facilitar el aprendizaje entre

Etapa I Planificacin del Proyecto

Obtener la aprobacin de las gerencias

Etapa I Planificacin del Proyecto

El equipo trabajar en conjunto para:

estrategia y determinar cul sera la mas exitosa.

Etapa I Planificacin del Proyecto

Documentacin existente recolectada Cronograma preliminar

Presentacin del proyecto a la gerencia

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto1

Plan del Proyecto PCN

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto

Comunicar el objetivo del proyecto

responsabilidades miembros proyecto. de la

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto

Procedimientos muy bien establecidos para el almacenamiento

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto

Planeamiento inadecuado de los supuestos

Falta de compromiso, educacin y entrenamiento

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

Evaluacin de las Amenazas

Determinacin requerimientos de negocio

Cul es el tiempo mximo aceptable de una interrupcin?

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio