View
221
Download
0
Category
Preview:
Citation preview
Conceptos Generales
Conceptos Generales
DRP• PLAN DE RECUPERACIÓN DE DESASTRES: Estrategias
definidas para asegurar la reanudación oportuna y ordenada de los servicios informáticos críticos en caso de contingencia.
BCP• PLAN DE CONTINUIDAD DEL NEGOCIO: Conjunto de
procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los procesos de negocio generando un impacto mínimo ante un incidente.
BCM
• ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO: Proceso administrativo completo que identifica impactos potenciales que puedan afectar a la organización. Proveela estructura para dar flexibilidad y respuestas efectivaspara salvaguardar los intereses de la organización.
Conceptos Generales
Un DRP responderá a…• Existen respaldos de la información?• Los sistemas de información son de alta
disponibilidad?• Existen centros de datos alternos?• Están documentadas las estrategias de
recuperación de los sistemas de información?
• Cómo se salvaguarda la información vital?
Conceptos Generales
Un programa de BCP responderá a…• Qué es un desastre?• Cuál es el impacto asociado?• Cuánta pérdida puede ser tolerada?• Cuáles son las alternativas?• Cómo restablecer las funciones del
negocio/servicio?• Cuánto costará un plan de recuperación?• Cuánto es suficiente?
Objetivos BCM (I)
• Proteger al personal y los activos corporativos
• Asegurar la continuidad de las operaciones• Garantizar la reanudación de los procesos
críticos dentro de los márgenes de tiempo tolerables
• Minimizar el proceso de toma de decisiones durante una contingencia
Conceptos Generales
Integrales con proveedores
Objetivos BCM (II)
• Reducir los efectos negativos ocasionados por el caos
• Cumplir con requerimientos Legales /Contractuales /Gubernamentales
• Eliminar la necesidad de desarrollar nuevos procedimientos durante la contingencia
• Minimizar la posibilidad de pérdida de información crítica para el negocio
• Mantener el servicio al cliente
Conceptos Generales
Integrales con proveedores
Conceptos Generales
“…la resiliencia [es] la capacidad humana de hacer frente a las adversidades de la vida, superarlas y salir de ellas fortalecido e, incluso, transformado”
(Grotberg, 1996).
Com
unic
acio
nes
Segu
ridad
Rec
.Hum
anos
Con
ocim
ient
o
Tecn
olog
ía
Ope
raci
ones
Cal
idad
Rec
. Des
astr
es
Conceptos Generales
Resiliencia OrganizacionalFi
nanz
as
Emer
genc
ias
Por dónde comienzo?
Evaluación de riesgos
Análisis de impacto
Estrategias de recuperación
Desarrollo del Plan
Actualización del Plan
Coordinación con
autoridades externas
Pruebas y ejercicios
Sensibilización y capacitación
Comunicación de crisis
Conceptos Generales
“…plans are useless but planning is essential”Dwight D. Eisenhower
“…los planes son inútiles, pero la planeación es esencial” Dwight D. Eisenhower
Mejores prácticas y lineamientos aplicables
País origen
MetodologíaEstándar
Guía
Desarrollada por: Propósito Fecha
USA Professional Practices for BusinesssContinuity Management
DisasterRecoveryInstitute (DRII)
Lineamientos. 10 Prácticas Profesionales para gestionar la continuidad del negocio. 2003
USANFPA-1600. Standard on Disaster/Emergency Management and Business Continuity Programs
National FireProtectionAssociation(NFPA)
Lineamientos para manejo de programas de atención de emergencias, atención de desastres y programas de continuidad del negocio.
2004
Basilea BASEL - High level principles for business continuity
Bank forInternational Settlements(BIS)
Principios para apoyar entidades del sector financiero en la gestión de continuidad del negocio con miras a mejorar la resiliencia del sector financiero.
2006
UK BS25999 Business ContinuityManagement
British StandardsInstitute (BSI)
Estándares para desarrolar y gestionar programas de continuidad de negocios.Parte 1: Código de prácticaParte 2: Especificaciones
2006 2007
USA
ISO 22399:2007. Societal security-Guideline for incident preparedness and operational continuity management.
International Organization forStandardizationISO
Principios y elementos para desarrollo e implementación de programas de atención de incidentes y continuidad operacional en las organizaciones.
2007
Mejores prácticas
1. Inicio y Administración del Proyecto2. Evaluación y Control de Riesgo3. Análisis de Impacto del Negocio (BIA)4. Selección y Desarrollo de Estrategias de Continuidad5. Respuesta y Operaciones de Emergencia6. Desarrollo e Implementación Planes de Continuidad7. Programas de Concientización y Entrenamiento8. Prueba, Ejercitación y Mantenimiento de los Planes de Continuidad9. Comunicación de Crisis10.Coordinación con Autoridades Públicas
1. Regulaciones2. Evaluación de riesgos3. Prevención de incidentes4. Mitigación 5. Logística y administración de recursos6. Ayuda y asistencia7. Planeación8. Administración de incidentes9. Comunicaciones10.Procedimientos operacionales11.Entrenamiento12.Ejercicios, evaluaciones y acciones correctivas13.Comunicación de crisis14.Finanzas y administración del programa
Principios:1. Soporte y responsabilidad de la alta gerencia2. Manejo de interrupciones importates en la operatividad3. Objetivos de recuperación4. Comunicaciones internas y externas5. Comunicaciones globales6. Pruebas7. Revisiones de BCM por autoridades financieras
Implementar y mantener un sistema de gestión de continuidad del negocio (BCMS):1. Entender la organización2. Determinar las estrategias de continuidad del negocio3. Desarrollar e implementar las estrategias4. Ejercitar y mantener el BCMS5. Monitorear y revisar el BCMS6. Integrar BCM en la cultura organizacional
1. Entender la organización2. Definir política de cumplimiento3. Planeación 4. Implementación y operación 5. Seguimiento
Mejores prácticas
País origen
MetodologíaEstándar
Guía
Desarrollada por: Propósito Fecha
ColombiaGTC 176. Guía técnicacolombiana. Sistema de Continuidad de Negocio
ICONTEC Lineamientos para la gestión de continuidad del negocio. Enfocada en gestión de procesos. 2008
1. Principios2. Sistema de gestión de la continuidad del negocio3. Gestión del riesgo4. Análisis de impacto5. Estrategias de continuidad6. Desarrollo de los planes de continuidad7. Manejo de crisis8. Gestión de competencias para la continuidad del
negocio9. Mantenimiento y actualización del sistema de gestión
de la continuidad del negocio
Regulaciones que incluyen BCP
País origen
MetodologíaEstándar
GuíaDesarrollada por: Propósito Fecha
UK ISO27001. InformationSecurity Management
British StandardsInstitute (BSI)
Estándares para el desarrollo, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI).A.14 Gestión de la Continuidad del Negocio
2005
UKITIL. IT Infrastructure Library’s Service Delivery Management practices
Office of GovernementCommerce
Lineamientos para mantener la continuidad de servicios de tecnología. 2007
Colombia SARO SuperFinanciera
Reglas relativas a la administración del riesgooperativo.3.1.3.1 Administración de la continuidad del negocio
2006
Colombia Circular 052 SuperFinanciera3.2.3 Exigir que los terceros dispongan de planes de contingencia y de continuidaddebidamente documentados
2007
Proceso metodológicosegún BS25999
Entender la organización
Estrategias de
continuidad
Desarrollo e implementación de respuestas
Probar, mantener y
revisar
Programa deAdministración de
Continuidad del Negocio
Cultura organizacional
Metodología
Entender la organización
Estrategias de
continuidad
Desarrollo e
implementació
n de respue
stas
Probar, mantener y
revisar
Programa deAdministración de
Continuidad del Negocio
Metodología
• Política de continuidad• Gobernabilidad• Implementación del
programa• Gestión del programa
• Identificar:– Objetivos organizacionales– Factores ambientales– Procesos críticos
(interdependencias)– Análisis de riesgos– Análisis de impacto del
Negocio (BIA)• Tiempos de Recuperación (RTO)• Pérdida de información (RPO)• Acuerdos de servicio• Recursos mínimos para operar
MetodologíaEntender la organización
Riesgo
• “Evento que pude ocasionar un daño en un activo”
• Se valora como una función del impacto, amenaza, vulnerabilidad yprobabilidad
MetodologíaEntender la organización
(Análisis de riesgos)
Riesgo = Probabilidad * Impacto
ImpactoConsecuencias para el negocio dado el daño al activo.Ejemplos:
– Financiero– Imagen– Continuidad– Integridad de personas– Clientes…
• Dificultad de cálculo exacto.– Definir y seleccionar una escala de
impactos
MetodologíaEntender la organización
(Análisis de riesgos)
Amenaza• Declaración intencionada de infligir un
daño– Robo, virus, acceso no autorizado
• Potencial de que un incidente no deseado pueda producir daños a la información– Humano: falta de personal, error de
operación…– Técnico: fallo de equipos
• Desastre natural, intencional o accidental:– Inundación, terremoto, incendio…
MetodologíaEntender la organización
(Análisis de riesgos)
VulnerabilidadDebilidad de un activo que puede ser explotada por una amenaza para materializar una agresión sobre dicho activo:– Falta de control de acceso– Equipos en lugares inadecuados– Cables desprotegidos– Falta de personal clave– Mantenimiento inexistente– Puertas abiertas– Personal no capacitado
Metodología
Una vulnerabilidad, por sí misma, no produce daños.Es una condición para que la amenaza afecte al activo.
Entender la organización(Análisis de riesgos)
ProbabilidadCifra que expresa el grado de que un hecho sea absolutamente seguro de que ocurra o no.
Se expresa:– Cualitativamente : Bajo, Moderado, Alto,
Extremo–Cuantitativamente: 0 - 1
MetodologíaEntender la organización
(Análisis de riesgos)
Metodología
Riesgo es la materialización de una amenaza aprovechando la vulnerabilidad de un activo
Impacto¿Cuál es el impacto al negocio?
Probabilidad¿Qué tan probable es la
amenaza dados los controles?
Activo¿Qué trata de
proteger?
Amenaza¿Qué teme que
suceda?
Vulnerabilidad¿Cómo puede
ocurrir la amenaza?
Mitigación¿Cómo se reduce
actualmente el riesgo?
Entender la organización(Análisis de riesgos)
Estándar AS/NZS 4360
1. Establecer el Contexto
2. Identificar Riesgos
3. Analizar Riesgos
4. Evaluar Riesgos
5.Tratar Riesgos
Mon
itori
zar
y R
evis
ar
Com
unic
ar y
co
nsul
tar
Entender la organización(Análisis de riesgos)
Metodología
Establecer el contexto
Entender la organización(Análisis de riesgos)
Metodología
• Estratégico• Organizacional• Administración de riesgos• Criterios• Estructura
Identificar Riesgos
Entender la organización(Análisis de riesgos)
Metodología
Qué puede suceder?Cómo puede suceder?
Analizar Riesgos
Entender la organización(Análisis de riesgos)
Metodología
Nivel Descriptor Ejemplo
1 Insignificante Sin perjuicios, baja pérdida financiera
2 Menor Tratamiento de primeros auxilios, liberado localmente, pérdida financieramedia
3 Moderado Requiere tratamiento médico, pérdida financiera alta
4 Mayor Perjuicios extensivos sin efectos nocivos, pérdida financiera mayor
5 Catastrófico Muerte, efectos nocivos, enorme pérdida financiera
Medidas cualitativas de impacto
Analizar Riesgos
Entender la organización(Análisis de riesgos)
Metodología
Nivel Descriptor Descripción
A Casi certeza Se espera que ocurra en la mayoría de las circunstancias
B Probable Probablemente ocurrirá en la mayoría de las circunstancias
C Posible Podría ocurrir en algún momento
D Improbable Podría ocurrir en algún momento
E Raro Puede ocurrir solo en circunstancias excepcionales
Medidas cualitativas de probabilidad
Analizar Riesgos
Entender la organización(Análisis de riesgos)
Metodología
Matriz de análisis de riesgo cualitativo
Probabilidad
ImpactoInsignif.
1Menores
2Moderadas
3Mayores
4Catastróficas
5
A (casicerteza) H H E E E
B (probable)M H H E E
C (moderado) L M H E E
D (improbable) L L M H E
E (raro)L L M H H
L: BajoM: ModeradoH: AltoE: Extremo
Evaluar riesgos
Entender la organización(Análisis de riesgos)
Metodología
• Comparar contra criterios• Establecer prioridades de riesgos• Decidir entre aceptación o tratamiento
de riesgos
Tratar riesgos
Entender la organización(Análisis de riesgos)
Metodología
Probabilidad
Impact
Tolerar
Tratar
Transferir
Terminar
Monitorizar y revisar
Entender la organización(Análisis de riesgos)
Metodología
Comunicar y consultar
• Condiciones cambiantes exigen seguimiento permanente
• Actualización
• Plan de comunicaciones– Involucrar interesados (internos y externos)
MetodologíaEntender la organización
(BIA)
• Identificar:– Objetivos organizacionales– Factores ambientales– Procesos críticos
(interdependencias)– Análisis de riesgos– Análisis de impacto del
Negocio (BIA)• Tiempos de Recuperación (RTO)• Pérdida de información (RPO)• Acuerdos de servicio• Recursos mínimos para operar
BIA (Análisis de Impacto del Negocio)– Identificar procesos críticos– Valorar impacto en procesos críticos
• Cualitativo / Cuantitativo – Determinar tiempos objetivos de recuperación– Priorizar procesos para su recuperación– Determinar los recursos mínimos de recuperación– Identificar previamente estrategias
MetodologíaEntender la organización
(BIA)
CuantitativoValor aceptable de la pérdidaVolumen promedio de operacionesOperaciones en día críticoPenalidades y multas
CualitativoDescripción del impacto de la NO disponibilidadReconstrucción de imagen y credibilidad
Metodología
Valoración de Impacto Impacto
Empleados
Público en general
Información
Cumplimiento
Reputación
Financiero
Calidad de servicios
Ambiente
Entender la organización(BIA)
Procesos vs. SI SI1 SI2 SI3 SI4 SI5 SI6 SI7
Facturación X X X
Cartera X X X
Pagos X X X
Administración de citasmédicas X X
Adquisición medicamentos X X X
Metodología
Análisis de impacto de aplicaciones
Entender la organización(BIA)
SI: Sistema de información
Tiempos y puntos objetivos de recuperación
Metodología
Punto de Recuperación Tiempo de Recuperación
Sem Días Hrs Min Seg Seg Min Hrs Días Sem
Punto Objetivode Recuperación (RPO)
Qué tan actualizados necesitanestar los datos?
Tiempo Objetivode Recuperación (RTO)Cuál es la tolerancia a
la no disponibilidad?
Entender la organización(BIA)
• Requerimientos mínimos aceptables– Ventanas de recuperación– Información– Recurso humano– Documentos– Instalaciones
MetodologíaEntender la organización
(BIA)
• Recurso humano• Tecnología• Información vital• Proveedores• Socios de negocio
MetodologíaEstrategias de continuidad
• Recurso humano– Mantener habilidades
y conocimiento– Segregación de
actividades críticas– Sitios alternos– Acceso remoto
Estrategias de continuidadMetodología
• Tecnología – Elementos por
considerar:• Hardware• Software• Telecomunicaciones• Backup y recuperación
Estrategias de continuidadMetodología
Las cintas del backupestán dentro del
vehículo!!!
Tecnología• Tolerancia a fallos (fault tolerance)
– Un sistema tolerante a fallos puede continuar brindado servicios a pesar de fallas de hardware.
• Balanceo de carga (load balancing)– Sistemas que comparten la carga de
trabajo para evitar recursos ociosos y bajo desempeño.
• Alta Disponibilidad (high availability)– Sistema que es continuamente
operacional, mediante la implementación de controles preventivos, detectivos y correctivos.
• Virtualización– Abstracción de recursos
computacionales
Estrategias de continuidadMetodología
Disponibilidad Tiempo abajo90% 52,560
min/año=36,5 días/año
99% 5,256 min/año=3,65 días/año
99,9% 526 min/año=8,76 horas/año
99,99% 52,56 min/año99,999% 5,26 min/año99,9999% 30 seg/año
Máquina Virtual 4Máquina Virtual 3
Máquina Virtual 2
Máquina Virtual 1VM2.vmx
SCSI0-0.vmdkSCSI0-1.vmdk
Estrategias de continuidad(Virtualización)
Metodología
• Tecnología – Centros de cómputo
• Distancia• Número• Acceso remoto• Comunicación
redundante• Acuerdos de servicio
(SLA)• Seguridad
Estrategias de continuidadMetodología
Restauración
Recuperación
Reanudación
Respuesta
Prevención
Estrategias de continuidadMetodología
Nivel I Nivel II Nivel III Nivel IV
Tipo de edificio
Compartido Compartido Independiente Independiente
Personal Ninguno 1 turno > 1 turno 7x24
Caminos de acceso
Solo 1 Solo 1 1 activo1 pasivo
2 activos
Redundancia N N+1 N+1 2(N+1)
Climatización ininterrumpida
No No Puede ser Sí
Puntos únicos de fallo
Muchos + error humano
Muchos + error humano
Varios + error humano
Ninguno + error humano
Disponibilidad 99.671% 99.794% 99.982% 99.995%
Meses para implementar
3 3-6 15-20 15-20
Clasificación según Uptime Institute
Tipos de centros de cómputo
• Tecnología – Alternativas de
recuperación• Sitios de recuperación
externos (hot site, cold site, warm site)
• Recuperación interna• Acuerdos recíprocos• Procedimientos
manuales• Suspensión de
servicios
Estrategias de continuidadMetodología
Punto de Recuperación (RPO) Tiempo de Recuperación (RTO)
Sem Días Hrs Min Seg Seg Min Hrs Días Sem
Cintas de respaldo
Replicaciónasíncrona
Replicaciónsíncrona Warm site
Cold site
Acuerdos derespaldo
Hot site
Tecnología – alternativas de recuperación
• Información vital– Almacenamiento y
recuperación– Confidencialidad– Integridad– Disponibilidad– Actualizada – Físico/Digital
Estrategias de continuidadMetodología
• Proveedores/Socios de Negocios– Dependencias – Coordinación– Verificación del plan– Pruebas – Políticas
Estrategias de continuidadMetodología
• Implementación de planes de continuidad
• Respuesta a la emergencia
• Respuesta a incidentes de seguridad
MetodologíaImplementación de respuestas
• Implementación de planes– Equipos de trabajo
• Reanudación• Recuperación
– Controles– Seguridad– Inventarios– Recursos
MetodologíaImplementación de respuestas
BCP
Qué?
Quién?
Cuándo?
Dónde?
Cómo?
• Respuesta a la emergencia– Salvamento de vidas– Sistema de prevención
y atención de emergencias
– Sistemas de protección
– Autoridades locales– Simulacros
MetodologíaImplementación de respuestas
MetodologíaImplementación de respuestas
Pre-planear Responder/Estabilizar/Mitigar/Manejar Recuperar/Normal
Man
ejo
de re
spue
sta
de E
mer
genc
ia P
úblic
aSalvamento de vidas
Protección de PropiedadSeguridad Física
Tecnología
Rec
uper
ar –
Res
taur
ar -
Rea
nuda
r
Normal Evento - Respuesta Recuperación Normal
Identificar
Definir
Categorizar
Escalar
Notificar
MetodologíaProbar, mantener y revisar
“Escucho y olvido; veo y recuerdo;
hago y entiendo.“Tao Te King
• Pruebas• Mantenimiento
– Planes– Programa
• Revisión
MetodologíaProbar, mantener y revisar
• Pruebas– Notificación– Salvamento – Coordinación con
autoridades– Estrategias
• Tecnológicas• Operativas
MetodologíaProbar, mantener y revisar
MetodologíaProbar, mantener y revisar
Complejidad Prueba Objetivo Variantes Frecuencia
Simple Escritorio -simulación Revisión contenido BCP
Act./ValidarAuditoríaVerificaciónInvolucrar roles
Trimestral Semestral
Anual
Media Ejercicio parcial
Situación controlada que no impacte la operación normal
Operacionescríticas en sitio alterno(anunciadas-sorpresa)
Semestral
Alta Ejercicio de todo el plan
Evacuación Activación de contingenciastecnológicas y operativas
Involucrar proveedores(anunciadas-sorpresa)
Semestral
Adaptado de: “Types and methods of execising BCM strategies” BS25999-1:2006, p.37
• Tipos de pruebas
MetodologíaProbar, mantener y revisar
Horarios no hábiles.
Horarios hábiles con todos los clientes.Día Semana Varias semanas.
Alternar producción & contingencia.
Horarios no hábiles con grupos de clientes.Horarios hábiles con grupos de clientes.
MetodologíaProbar, mantener y revisar
MetodologíaProbar, mantener y revisar
• Mantenimiento – Actualización– Registro– Distribución– Criterios de revisión
MetodologíaProbar, mantener y revisar
MetodologíaProbar, mantener y revisar
Modelo de Madurez
MetodologíaProbar, mantener y revisar
Modelo de Madurez
Analogía del atleta
Nivel 1•Capacidadpara avanzarlentamente
Nivel 2•Capacidadpara caminar
Nivel 3•Capacidadpara correr
Nivel 4•Apto paracorrer
Nivel 5•Corredor competitivo
Nivel 6•Corredor olímpico
Organización en riesgo Ejecutor competente Mejor de la clase
Adaptado de: “Modelo Completo de Madurez de Continuidad del Negocio de Dominio Público” Virtual Corporation, 2006
Liderazgo
Conciencia
Estructura
Penetración
Métricas
Recursos
Coordinación
Contenido
Competencias
MetodologíaProbar, mantener y revisar
Liderazgo
Es el compromiso y entendimientodemostrado por la Alta Gerencia con respecto a la implantación, en toda la compañía y de manera escalada del programa de continuidad
Liderazgo
Conciencia
Estructura
Penetración
Métricas
Recursos
Coordinación
Contenido
Competencias
MetodologíaProbar, mantener y revisar
Conciencia
El personal de la organización en todos los niveles, conoce y entiende la importancia de la continuidad del negocio.
Liderazgo
Conciencia
Estructura
Penetración
Métricas
Recursos
Coordinación
Contenido
Competencias
MetodologíaProbar, mantener y revisar
Estructura
Definición del programa de continuidad del negocio con roles y responsabilidades claras. (Nivel y calidad de implementación)
Liderazgo
Conciencia
Estructura
Penetración
Métricas
Recursos
Coordinación
Contenido
Competencias
MetodologíaProbar, mantener y revisar
Penetración
Nivel de coordinación de la continuidad del negocio existente entre las unidades de negocio. Las áreas incorporan iniciativas.
Liderazgo
Conciencia
Estructura
Penetración
Métricas
Recursos
Coordinación
Contenido
Competencias
MetodologíaProbar, mantener y revisar
Métricas
Identificación, medición y reporte frecuente de indicadores cuantificables para monitorearel rendimiento del programa de continuidad. Permiten medir el cumplimiento de objetivos establecidos.
Liderazgo
Conciencia
Estructura
Penetración
Métricas
Recursos
Coordinación
Contenido
Competencias
MetodologíaProbar, mantener y revisar
Recursos
Disponibilidad de recursos humanos y financieros necesarios para asegurar el sostenimiento del programa
Liderazgo
Conciencia
Estructura
Penetración
Métricas
Recursos
Coordinación
Contenido
Competencias
MetodologíaProbar, mantener y revisar
CoordinaciónSocios de negocioAutoridades localesGobierno
Liderazgo
Conciencia
Estructura
Penetración
Métricas
Recursos
Coordinación
Contenido
Competencias
MetodologíaProbar, mantener y revisar
ContenidoActualizaciónMejora permanenteCalidad Administración de seguridad
• Sensibilización • Desarrollo de
competencias• Entrenamiento• Aprender de la
experiencia• Incluir a proveedores y
socios de negocio• Inducción a nuevos
empleados
MetodologíaCultura Organizacional
Metodología
En síntesis….Planeación de la Continuidad del Negocio
Pruebas – Mejora continua
Entrenamiento Mantenimiento
Aseguramiento de la Calidad
Planes Equipos Tareas
BIA Responsabilidades Estrategias
Alcance Políticas Propósito
Objetivos Supuestos
Compromiso y soporte de la Alta Gerencia
Recommended