View
2
Download
0
Category
Preview:
Citation preview
Estrategias de continuidad Tecnológica. ¿Qué hemos aprendido?Sandra Patricia Camacho Bonilla, M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008ISO 27001:2005 e ISO 9001:2008
Nadie duda de la importancia de las estrategias de continuidad tecnológica, sin embargo, día a día se experimentan pérdidas de ti id d i t l i i bi f ll i lcontinuidad que impactan a las organizaciones bien por fallas parciales o
totales. Así las cosas, la presentación busca recapitular los diferentes momentos de esta práctica y ver qué podemos seguir avanzando de cara
al reto de un mundo más interconectado y dependiente de las y ptecnologías de información
Continuidad TecnológicaContinuidad Tecnológica
Contenido• IntroducciónIntroducción
• Evolución - Metodologías y mejores prácticasg y j p
• Caso – Banco de la República
• Recomendaciones y factores claves
• Preguntas
Introducción
I t i l i ióImportancia en la organización
• Cada vez más la operación del negocio reposa sobre tecnología
• Los tiempos “de no disponibilidad” de un servicio impactan cada vez más transversalmente
Clave Identificar lo qué es lo importante para la organización?q p p gDatos y procesamiento
Cli t / iProcesos críticosOperación del negocio
Procesos “core” Cadena valor
P d
Clientes/usuariosAdquirir y mantener la lealtad y confianza del
clienteProcesos de apoyo cliente
Continuidad TecnológicaContinuidad Tecnológica
Contenido• IntroducciónIntroducción
• Evolución - Metodologías y mejores prácticasg y j p
• Caso – Banco de la República
• Recomendaciones y factores claves
• Preguntas
Continuidad del Negocio – Continuidad Tecnológica
Eventos que han marcado su desarrolloAvances tecnológicos
virtualización, cloud‐computing, balanceo, mayores velocidades,
Circular 052
Voz ip, granjas de servidores, etc.
GTC 176
ITIL v3ITIL v2
ISO-2700x BS-25777BS-25999
Y2K 9-11BS 17799-x
1988 1995 2000 2001 2005 2007 2008 2010
Continuidad del Negocio
BS 25999 / DRIIBS‐25999 / DRIIDisaster Recovery Institute International
Y
Continuidad de TecnologíaBS‐25777 / BRCCIBusiness Resilience
Certification ConsortiumInternational
Continuidad del negocioContinuidad del negocio
• “Conjunto de políticas y procedimientos usados para minimizar el impacto de los eventos negativos para la operación normal del negocio, manteniéndose las pérdidas operativas y financieras en un nivel aceptable ”operativas y financieras en un nivel aceptable.
• Objetivo Business Resilience / flexibilidadj
Definición tomada de: “BRCCI - Business Resilience ertification Consortium International”
Business resilience & Business continuity
Mi ió
Valor para“stake-holders”Proteger e
Incrementar valorBusiness resilience / flexibilidad
* Capacidad para ajustarse rápidamente * Transformación del negocio en respuesta a cualquier
Misión y objetivos
Estrategia del negocio
Transformación del negocio en respuesta a cualquiercambio anticipado o no anticipado
* Prevención y mitigación de las amenazas* Capturar oportunidades, crear posición competitiva y
aumentar el valor para los involucrados.Políticas y
procedimientos
Organización y personalBusiness Continuity
p
Procesos del negocio
Información y tecnología
Business Continuity
Disaster Recovery IT
Instalaciones
Definición tomada de: “BRCCI - Business Resilience ertification Consortium International”
Disaster Recovery
Desastre tecnológicog
• Qué es un desastre en tecnología?“Evento de interrupción que causa que los sistemas o servicios
tecnológicos no estén disponibles por un periodo de tiempo en el cual las pérdidas operacionales o financieras para la
organización son inaceptables.”
• Pérdidas operacionales imagen, confianza, relaciones, cumplimiento, flujo de caja
• Pérdidas financieras penalizaciones, sobrecostos, costo de renta de equipos, pérdida de ventas
Definición tomada de: “BRCCI - Business Resilience ertification Consortium International”
Recuperación de Desastres de tecnologíaRecuperación de Desastres de tecnología
• “Conjunto de políticas y procedimientos usados por las área de tecnología para recuperarse de los impactos de eventos negativos para las operaciones de tecnología dentro de los marcos de tiempo acordados ”marcos de tiempo acordados.
• Rol de tecnología como proveedor del serviciog p
• Acuerdos de servicio
• Costos por las pérdidas de los servicios de tecnología
Definición tomada de: “BRCCI - Business Resilience ertification Consortium International”
Recuperación de desastres de tecnologíaecupe ac ó de desast es de tec o og a
• Objetivos
• Cumplir con las prioridades de recuperación de acuerdo al momento del “negocio” en que se presentag q p
• Cumplir con los tiempos esperados de recuperación (R.T.O.)
• Cumplir con el punto esperado de recuperación de i f ió (R PO )información (R.P.O.)
Recuperación de desastres de tecnologíaRecuperación de desastres de tecnología
• Cómo lograrlo
• Directrices claras Políticas, estándares
• Procedimientos Viables, completos, verificados
• Equipos roles definidos, entrenados y probados
• Recursos Financieros, humanos, técnicos y tecnológicos etctecnológicos, etc.
Estándares BS25‐999 y BS 25‐777
Understanting Understanting
Embedding continuity management
BCM DeterminingBCM
UnderstantingThe organization
ExercisingICT
continuityDeterminingICT ti it
The ICT continuityrequirements
Exercisingprogrammemanagement
BCMStrategy
Exercising,Maintaining& reviewing
Developing and
continuityprogrammemanagement
ICT continuityStrategy
Exercising,Maintaining& reviewing
Developing andI l ti
Developing andImplementing
BCM response
ImplementingICT continuity
strategies
In the organization’s cultureDRIIDisaster Recovery
BRCCIBusiness ResilienceDisaster Recovery
InstituteInternational
Business ResilienceCertification Consortium
International
Comparación “Continuidad del Negocio”
Disaster Recovery Institute (1988) BS – 25999 (2008)
Inicio y administración del proyecto Gestión del programa BCM
DRII vs BS‐25999
Evaluación y análisis de riesgos Entender la organización
Análisis de impacto al negocio
Desarrollo de estrategias BC/DR Determinar la estrategia de Continuidad (*)g g ( )
Preparación y respuesta de emergencia Desarrollar e implementar una respuesta BCM
Programas de concientización y capacitación Embeber BCM en la cultura de la organización
M t i i t t li ió d l Ej it t d i l dMantenimiento y actualización de planes Ejercitar, mantener and revisar los acuerdos BCM
Comunicación de crisis Determinar las estrategias de continuidad “Stakeholders” (*)
Coordinación con autoridades externas Determinar las estrategias de continuidad (emergencias civiles) (*)
Comparación “Continuidad de TI”
BRCCI (Business ResilienceCertification Consortium
BS – 25777 (2008)
BRCCI vs BS‐25777
Certification ConsortiumInternational )
Identificar los sistemas y su uso Programa de continuidad de ITCEntender la organizaciónIdentificar BIA RTO y RPO gIdentificar BIA, RTO y RPO
Determinar estrategias de recuperación Desarrollar e implementar estrategias de recuperaciónIdentificar equipos de recuperación de TI
Responsabilidades de los equipos de RDTI
Desarrollar procedimientos de RDTI
Entrenamiento del equipo de RDTI Ejercitar y probar
Mantenimiento del plan Mantenimiento, revisión y mejora
RDTI = Recuperación de Desastres de TI
Ot tá d l ti id dOtros estándares que apoyan la continuidad
BS 25999 / DRI Programa de continuidad
BS 25777 / CBRIT
BS 25999 / DRI
Buenas prácticas en IT DR
Programa de continuidad del negocio
BS 25777 / CBRIT
COBIT, ITIL, ISO 20000, ISO 27001 Buenas prácticas en tecnología
Buenas prácticas en IT DR
ISO 9001 Procesos
Método da foco y estandariza los protocolos para brindar efectividad y eficiencia en la recuperación y reanudación del servicio
Continuidad TecnológicaContinuidad Tecnológica
Perspectiva desde ITIL versión 3
C l i ióConocer la organización
Gestión de la demanda, del portafolio y del catálogo, SLAs, requerimientos
Prevención
Gestión de disponibilidad, eventos, cambios, liberaciones e implementación , activos y
configuración seguridad y acceso capacidadconfiguración, seguridad y acceso, capacidad,
Acción
Gestión de eventos, incidentes, problemas, disponibilidad y continuidad, proveedores,
Continuidad Tecnológica g
Contenido• Introducción
• Evolución - Metodologías y mejores prácticas
• Caso – Banco de la República• Evolución• Planeación• Planeación• Acción
• Recomendaciones y factores claves
Evolucióno uc óBanco de la República
1996 Acciones alternas para fallas en el servicio DCV e inicios de un nodo alterno local (hotsite) con salas para las áreas operativas
1997 Investigación de mejores prácticas en el mercado (D R I I )1997 Investigación de mejores prácticas en el mercado (D.R.I.I.)1998 Aplicación de DRI a los servicios y áreas de misión crítica, construcción de BCPs1999 Enfoque para preparación para el Y2K
2001 Conformación de área específica para trabajar en continuidad
2002-2005 Desarrollo nodo alterno tecnológico remoto (Barranquilla)
2006 Conformación del Programa de continuidad del negocio externa a InformáticaCertificación ISO 27001 para seguridad informática
2007 Complemento con BS – 25999
2008 Complemento con BS - 25777
2009 Evolución tecnológica clusters, virtualización, balanceos, granjas de servidores, replicación, sincronización
2010 Evolución en las pruebas de contingencia para autonomía de los nodos local y remoto
Estrategias de continuidad Tecnológica
Caso Banco de la RepúblicapPlaneación
Sandra Patricia Camacho BonillaM.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
scamacbo@banrep.gov.co
Pl ió l ti id d t ló iPlaneación para la continuidad tecnológicaBanco de la República
0. Programa de continuidad tecnológica (apoyo, políticas, gerencia)0. Programa de continuidad tecnológica (apoyo, políticas, gerencia)
1. Conocer la organización
2. Desarrollar e implementar estrategias de recuperaciónBS 25-777
3. Ejercitar y probar
4. Mantenimiento, revisión y mejora ICT continuityprogramm
DeterminingICT continuity
UnderstantingThe ICT continuity
requirements
Exercising,M i t i i e
management
StrategyMaintaining& reviewing
Developing andImplementingICT continuity
strategies
0 Programa de continuidad tecnológica0. Programa de continuidad tecnológicaBanco de la República
• Apoyo de la gerencia
• Gerencia del proyecto
• Políticas
• Programas de concientización
• Certificaciones
ISO-9001 e 27001
1 Conocer y entender la organización1. Conocer y entender la organizaciónBanco de la República
A. Identificar las funciones operativas de la organización y procesos críticos
1. Banco de Bancos1. Banco de Bancos2. Prestamista de última Instancia3. Emisión de moneda legal 4. Promotor del desarrollo científico, cultural y social 5 Ad i i t ió d i t i l5. Administración de reservas internacionales6. Funciones cambiarias y de crédito7. Banquero, agente fiscal y fideicomiso del gobierno8. Informe de la Junta Directiva al Congreso de la Repúblicag p
Operación del negocio
Tecnología
1. Conocer y entender la organizacióny gBanco de la República
B. Conocer los servicios de TI y que proceso de negocio apoyan
• Servicios tecnológicos de misión crítica• Operación bancaria (DCV, CUD, SEN, CEDEC, CENIT, SWIFT, OPICS, etc.)• Industrial y tesorería (MASTER, SMV, SAP, etc.)• Cultural (BLAA, Museo, etc.)• Estudios económicos (Serankua, SISEC, publicación de tasas, etc.)( , , p , )• Reservas Internacionales
• Servicios tecnológicos de uso general• Correo, FS, red, voz ip, web BR, internet, etc.
S i i t ló i d i i t ti• Servicios tecnológicos administrativos• RH, Contaduría, Cartera, SM, etc.
• Servicios de plataforma informática• SEBRA, PKI, SOA, WAN, LAN, etc.
1. Conocer y entender la organizaciónBanco de la República
C. Definir las expectativas
• Definir acuerdos de servicio
• Análisis de riesgosAnálisis de riesgos
• Análisis de impacto para el negocio (BIA)
• Gestión de la demanda (horarios críticos)Gestión de la demanda (horarios críticos)
• RTO y RPO
Proceso BIA
Determinar Impactos Cuantitativos y Cualitativos Priorización RTOIdentificar Funciones
Criticas Cuantitativos y CualitativosCriticas
•INTERFACES
•USUARIOS
•PÉRDIDA FINANCIERA $$$
•PÉRDIDA INTANGIBLE
•ESTABLECER PRIORIDADES
•DESARROLLAR ESTRATEGIAS•USUARIOS
•TIEMPOS CRITICOS
•PÉRDIDA INTANGIBLE •DESARROLLAR ESTRATEGIAS
•¿CUÁNDO ES INTERRUPCIÓN
Y CUÁNDO DESASTRE?Y CUÁNDO DESASTRE?
Método
Análisis de riesgos ESCENARIOS DE FALLA Y SU PROBABILIDAD
Identificar vulnerabilidades y amenazas para implantar controles de disminución de probabilidad y estrategias de mitigación del impacto
BASILEA, SEI‐OCTAVE, NIST, ISO 27001
ÓBIA PRIORIZACIÓNPriorización de procesos del negocio Priorización de servicios de tecnología Niveles de continuidad (tier), RTOs/RPOs/RTADi ñ t t i iti ió d l iDiseñar estrategias para mitigación del riesgoAnálisis costo-beneficioMetodología DRI
2. Estrategias de recuperaciónBanco de la República
A. Definición de los recursos tecnológicos
• Determinar estrategias de recuperación Adquisiciones basadas en costo beneficio identificado con el BIAcosto-beneficio identificado con el BIA
• Identificar equipos de recuperación y responsabilidades para la ejecución de los procedimientos RACI, esquemas de notificación, funciones de grupos de trabajo, entrenamiento, conocimiento, etc.
• Desarrollar procedimientos de recuperación basado en las tecnologías disponibles y evaluar la viabilidad de optimizar los RTOstecnologías disponibles y evaluar la viabilidad de optimizar los RTOsy RPOs con nueva tecnología en caso de requerirse
2 Estrategias de recuperación2. Estrategias de recuperaciónBanco de la República
• Determinar estrategias de recuperación netamente técnicas g pTecnologías disponibles en el banco: Cluster, discos SAN, NAS, balanceo, virtualización, granja de servidores, “hosting” externo, nodos externos local y remoto.
• Estrategias con las áreas usuarias Acuerdos con otras entidades o áreas, mini-aplicativos, accesos alternativos, proceso alternativo, desarrollos complementariosp
Estrategias
• Sitios alternos (vendedores comerciales, acuerdos recíprocos con otras compañías, sitios remotos propios)• Hot site• Hot site• Cold site• Warm site• Mobile siteMobile site
• Opciones• Adquisición (pre-establecidos, pre-acordados, adquiridos
cuando se necesiten)• Área de trabajo alterna (Sitio de trabajo móvil, sitio de trabajo
fijo, “Home-office”)
Estrategias
• Almacenamiento• Datos críticos (frecuencia/ tipos/ método/ infraestructura para• Datos críticos (frecuencia/ tipos/ método/ infraestructura para
los backup, acuerdos de recuperación, agenda de retención, infraestructura)
• Copia en cintas/CD, Sincronización y ReplicaciónCopia en cintas/CD, Sincronización y Replicación
• Comunicaciones de voz y datos• Conectividad• Ancho de banda y capacidad• Características (calidad, velocidad, etc.)• Requerimientos de seguridad
Estrategias de recuperación de TI
• TecnologíasTecnologías • Cluster• Virtualización• RAID• SAN• NAS• Deduplicación de datos• Replicación• Balanceo de cargas• Granja de servidores
“Clo d comp ting”• “Cloud-computing”
Alta disponibilidadAlta disponibilidad
• Característica de un sistema que asegura que estará disponible según la demanda de los usuarios (proteger contra las caídas y fallas de los componentes)
• Cumplir los acuerdos de servicio• Cumplir los acuerdos de servicio
• 99.9 %
• 99.99 %99.99 %
• 99.999 %
2 Estrategias de recuperación2. Estrategias de recuperaciónBanco de la República
B. Definición de responsabilidades y equipos de trabajop y q p jEquipo de recuperación del servicioEquipo de reanudación del servicioEquipo de notificaciónEquipo de logísticaEquipo de logísticaEquipo de soporte en los nodosGestión de Crisis
C t d C d
Comando tecnológico
Gestión de crisis
Centro de Comando
Equipo Reanudación
Equipo Logística
Equipo Planeación
Equipo Finanzas
3. Ejercitar y probar3. Ejercitar y probarBanco de la República
• Pruebas funcionales y operativas de las estrategiasPruebas funcionales y operativas de las estrategias• Son requeridas para aprobar un cambio en producción en algún componente
del servicio• Escenario Incidente del servicio
• Verificaciones de procedimientos de activación y retorno• Se realizan 2 veces al año (Marzo y Septiembre)• Escenario Emergencia tecnológica
• Ejercicios integrales del plan• Semestralmente junto con los planes de BCP (Junio y Diciembre)• Duración en contingencia 2 semanas• Escenario Desastre tecnológico/ catástrofe en instalacionesEscenario Desastre tecnológico/ catástrofe en instalaciones
3. Ejercitar y probarBanco de la República
4. Mantenimiento, revisión y mejora4. Mantenimiento, revisión y mejoraBanco de la República
• Políticas de mantenimiento Control de documentos y registros (ISO 9001)Políticas de mantenimiento Control de documentos y registros (ISO 9001)• Políticas de revisión Indicadores de gestión, auditorías internas (ISO 9001)• Políticas de mejora Seguimiento acciones correctivas y preventivas (ISO 9001)
Planeación para la continuidad tecnológicaB d l R úbliBanco de la República
0. Programa de continuidad tecnológica (apoyo, políticas, gerencia) PMP
1 C l i ió1. Conocer la organización• Identificar los sistemas y su uso Gestión de portafolio y catálogo ITIL• Identificar BIA y análisis de riesgos DRI e ISO 27001• RTO y RPO Gestión de acuerdos de servicio y de la demanda ITIL
2. Desarrollar e implementar estrategias de recuperación• Determinar estrategias de recuperación ISO 25777, BRCCI y “Estado del arte TI”• Identificar equipos de recuperación y responsabilidades DRI y PMP• Desarrollar procedimientos de recuperación de TI ISO 25777 y BRCCI
3. Ejercitar y probar DRI y ISO 25777, BRCCI• Verificaciones de procedimientos de act/ret, pruebas funcionales y operativas de la
estrategia y ejercicios integrales del plan
4. Mantenimiento, revisión y mejora ISO 9001• Medición, seguimiento, trazabilidad, acciones correctivas y preventivas enfocadas a la
mejora
Estrategias de continuidad Tecnológica
Banco de la RepúblicapAcción
Sandra Patricia Camacho BonillaM.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
scamacbo@banrep.gov.co
Alertas
Verde – Normalidad
Amarilla – Contingencia
Naranja – Emergencia
Roja ‐ CrisisRoja Crisis
M j d l t t ló iManejo de alertas tecnológicas
• Gestión de continuidad Prevención de emergencias y desastres
• Atención de contingencia Atención de incidentes del serviciog
• Atención de emergencias Atención de desastres tecnológicos
• Gestión de crisis Catástrofes
0. Normalidad Servicios operando normalmente Prevención de eventos
1. Incidentes de impacto altoInterrupción de un servicio tecnológico crítico
Hw, Sw, Comm, BD, Apl, etc.
(correlación monitoreos, alertas)
2. Evacuación edificio o no acceso (Sin afectar las instalaciones físicas)
El RH de tecnología se ve obligado a salir y/o no ingresar al Edificio por un periodo de tiempo, pero las instalaciones físicas OK.
Intoxicación, emergencia sanitaria, terrorismo, etc.
3. Pérdida total CDC PPAL controlado(Apagado controlado y previsto)
No hay servicio del Centro de Cómputo PPAL no red ed PPAL
Amenaza de Red, Potencia o ambiente Inundación
4. Pérdida total CDC PPAL inesperado(Apagado abrupto e inesperado)
No hay servicio del Centro de Cómputo PPAL no red ed PPAL
Evento de falla en la Red, potencia, ambiente, inundación
Ni d l d d t ló i
(Apagado controlado y previsto) PPAL no red ed PPALambiente, Inundación
6. Desastre total Edificio PPAL Recurso humano e Instalaciones físicas afectadas del Ed PPALIncendio, explosión,
Temblor en el edificio
Interrupción en el suministro potencia, comunicaciones o
evento severo en los dos nodos
Ninguno de los dos nodos tecnológicos en Bogotá están operativos, afectándose tecnológicamente los servicios del BR
5. Desastre tecnológico Bogotá
Temblor en el edificioGran parte de Bogotá afectada, incluyendo tanto BR como gran parte de los clientes externos. El recurso humano pudo haber sido afectado.
Terremoto Bogotá 7. Catástrofe Bogotá
SubgerentesDirectores áreas
G tió d i i Subgerente SGINF
Centro de Comando Directores áreas
Toma de decisionesEjecución Agenda Tecnológica
Comando tecnológico Directora USCIE i d E i
Gestión de crisis Subgerente SGINFDirectores SGINF
Coordinación de comm. Internas y externas
Coordinación de la CrisisIntegración de notificaciones
Comando tecnológicoEquipos de EmergenciasCoordinación de comm. Internas y externas
Control de impactos en los negocios Evaluación de riesgos residuales
Gestión de recursos, preacuerdos, administración de accesos seguros claves etc
Equipo Reanudación Equipo LogísticaEquipo Planeación
(Impacto ITy Notificaciones)
Equipo Finanzas
E d i
Apoyo a la sala de operacionesCorreo contactos
Conmutación de servicios
accesos seguros, claves, etc.
Presupuesto y adquisicionesEn caso de requerirse,
gestiona las adquisiciones y el Presupuesto
de operacionesCorreo contactosSemáforos Srv.Centro soporte
de servicios adquisiciones
Gestión de continuidad
Correlación de eventos
Prevención de emergencias y desastresChequeos diarios
Monitoreos y alertas de servicios
Acuerdos de servicio
Gestión de continuidad Prevención de emergencias y desastres
• Gestión de eventos• Gestión de eventos
• Gestión de cambios en producción
• Medición, mejora y prevención Indicadores de gestión
• Gestión de problemas (reunión de problemas)
• Gestión de continuidad
Atención de contingencias INCIDENTESAtención de incidentes tecnológicosAtención de incidentes tecnológicos
Atención de contingencias INCIDENTESAtención de incidentes tecnológicos
• Identificación oportuna del incidente
• “Primeros auxilios” y diagnóstico inicial confiables y oportunosBase de datos de conocimiento••
• Notificación ágil a los equipos de recuperación (TI) y reanudación (TI y/o Usuarios)
• Gestión de acuerdos de servicio Control del RTO y RPO esperado por las áreas para este escenario
Atención de emergencias DESASTREAtención de desastres tecnológicos
• Conmutación controlada o abrupta de TODO el nodo principal h i l d d ( ió d i d )hacia el segundo nodo (operación cruzada con primer nodo)
• Movilización de personal hacia el segundo nodo
• Notificaciones a las partes interesadas
• Control del riesgoControl del riesgo
• Mitigación y control del impacto
E D I F I C I O P R I N C I P A LE D I F I C I O P R I N C I P A LARQUITECTURA PLATAFORMA SUNARQUITECTURA PLATAFORMA SUN
E D I F I C I O C D EE D I F I C I O C D E
BD: BAN 4Srv: - SAC
BD: BAN 8Srv: - CUD
BD: BRSrv: - Cedec
- Cenit
BD: BRSrv: - Cedec Pruebas
- Cenit Pruebas
BD: BAN 3Srv: - Ares
- Carteleras
C: Swift A. A.Srv: - Int. Swift - SOI
- Swift
C: Swift A. A.
A: Activo - ActivoBD: Base de DatosC: ComponenteF: IP FísicaV: IP VirtualSrv: Servicios
SUN Fire V880SBAN2B
SUN Fire V880SBAN1A
SUN Fire V240SBAN5A
A
Cenit
SUN Fire V440SACH1A
SUN Fire V440SACH2B
Cenit Pruebas
C: Apache C: Apache
Carteleras (Wsebra)
- Cumbre- Htrans- Interfaces SEN- SAFD- SEC- SGU Certicámara - SOI- Subastas
P
Swift
SUN Fire V240SWAL1A
A SUN Fire V240SWAL2B
P
C: Apache Srv: - Htrans------------------------------C: Apache Srv: - Interfaces SEN------------------------------C: IASSrv: - Aurora
C: ApacheSrv: - Ares
- FAEP- SEC
-----------------------------C: IASSrv: - SIC
- SAC-----------------------------
SUN Fire V240SBAN6B
P
Srv: - SMV
SUN Fire V240TCS2SUN Fire V880
SBAN4A
BD: BAN 2 Srv: - SIC
SUN Fire V880SBAN3B
BD: BAN 1 Srv: - Sisec
SUN Fire V240SWEB1A
C: OC4JSrv: - Fic-----------------------------C: JbossSrv: - SAFD Intranet-----------------------------C: PropietarioV: N/ASrv: - SMART
Srv: - SMV
SUN Fire V240TCS1
BD: PROD Srv: - SAP
Discos Sun StorEdge
6920
BD: BAN5 New
BD: MFNSYSSrv: - DCV
SUN Fire V240 SWEB2B
C: Apache
Discos Sun StorEdge
6920
SUN Enterprise 280RSPKI1A
Srv: - PKI
SUN Enterprise 280RSPKI2B
Srv: - PKI
C: Alliance GatewaySrv: - Swift Gateway
C: Alliance GatewaySrv: - Swift Gateway
SUN Fire V480SIND1A
BD: BAN5_NewSrv: - Fic
- Faep- JANO - Master- Master - Antares- Neón Web- Sidef- Siged- Simed- Sipres
SUN Fire V440SATL1A
C: Apache------------------------C: OAS
S CUD
C: Business Intel.OC4J, OAS
Srv: - Cumbre------------------------------C: OASSrv: - Master
- Jano- SOI
C: ApacheSrv: - SEC
- Web Banco
SUN Fire V240SPOR2B /
QUIMBAYA II
C: PlatformSrv: - Cud Compensación
C: PlatformSrv: - Master – Antares--------------------------------C: Jboss
SPKI1A
SUN Fire V215SWAG1A
A SUN Fire V215SWAG2B
P
C: Apache Tomcat
Srv: - DCV----------------------------C: Apache
TomcatSrv: Subastas - Smart
- SRH
SUN Fire V440SATL2B
SUN Fire V890SWAT2B
C: Tomcat
SUN Fire 240SWEB3A
Srv: - CUD
SUN Fire 240SWEB4B
SUN Fire V240SPOR1A / QUIMBAYASUN Fire T2000
SPOR3A
Srv: Cud Compensación- SGU (Certicámara)
C: JbossSrv: - SAFD Internet
SUN Fire T2000SPOR4B
Srv: - Subastas
SUN Fire V890SWAT1A
Atención de emergencias
Centro de operacionesArchivadores
1415SGEESGMRSuper
DRIDRI DRI13
3816 3815
SALA DE CONTINGENCIA – CENTRAL DE EFECTIVO
38221655
38143817
5756
SICSIC
9URCPIReuters
Bloomberg
DRI
Mesa de
DRI
URCPIURCPI
URCPIURCPIURCPIFAEP
BALANZA
SEN48 4750 4952 51
10ABCABC
RPCSIC
URCPI
54 53 DRI
DRIDRI DRI
12
3823 3957 3821 3819 3820
3954 3811
3822
11
3818
3812 3813MasterMaster
Cedec
SICSIC
DODM
Dinero 2
DODM DODM SET FX
URCPIURCPI
DCVDCV Cedec
45 4644434241
8 7 6 5
RPCSIC
URCPI
SEN32 313336 35
OPIOPI
4039
38 373958
382938273825
3834 3832 38333810 3809 3847 3807
34DCV
383139563835
3830382838263824
Cedec
Cenit
Mesa de Dinero 1
DODM DODM SENDCVDCV Cedec
AL&CR
172021 19 18
1 4
SEN
27 2826252423OPI CenitOPIOPI
OPIOPI
29 302 3
22
395538393836383738053953 3806
DCV
384238433844
DCV DCV DCV
3841384038383804
CUDBodega
Entrada
CUD CUD
172021 19 18
CUDCUDUPCI
22
Archivadores
384238433844Lector PKI
Disarchivo
Gestión de crisisCatástrofes
• Nodo remoto Barranquilla (más 800 km)W it l i i d i ió íti l t f• Warm-site para los servicios de misión crítica y plataforma informática (RTO = 2 horas y RPO = 20 minutos)
• Personal técnico de alto nivel
Etapas atención de crisis
Etapa UnoPRE CRISISPRE-CRISIS
Analizar el riesgoDeterminar el potencial efecto
Etapa DosCRISIS AGUDA
Necesario tomar alguna acciónNo visible fuera empresa Activar Equipos
Reanudar OperacionesComunicar interna/externa
Etapa TresPOST-CRISIS
Ahora visible para todos Recuperación de actividades
Evaluar desempeño de la organización durante la crisis
Instalaciones BR Barranquilla
Edificio Principal
InstalacionesCentral de EfectivoBogotá
Enlace Fibra Oscura
Sincronización
Central de EfectivoEdificio PrincipalEnlace Fibra Oscura10 km aprox
C t d
Centro de OperacionesTercerDiagrama Tercer Nodo Tecnológico
Centro de Operaciones
NodoTercer Nodo Tecnológico
Usuarios Banco República
InternetIntermediarios
Financieros
ISDN
Fibra Óptica
Principal Segundo Nodo
access lineFibra Óptica
I t di iProveedor
DeComunicaciones
IntermediariosFinancieros
Continuidad TecnológicaContinuidad Tecnológica
Contenido• IntroducciónIntroducción
• Evolución - Metodologías y mejores prácticasg y j p
• Caso – Banco de la República
• Recomendaciones y factores claves
• Preguntas
Continuidad Tecnológica
Recomendaciones y factores claves
• Contar con el apoyo de la alta gerenciaContar con el apoyo de la alta gerencia• Involucrar a toda la organización• Seguir mejores prácticas a nivel de documentación, continuidad,
gestión tecnológica y medicióng g y
• Identificación de procesos de la cadena valor de la organización• Conocimiento del cliente, su demanda y expectativas• Conocimiento de las propias limitaciones • Claridad hacia la organización• Sinergia Continuidad tecnológica con Continuidad del negocio
Continuidad Tecnológica g
Resumen
• Evolución - Metodologías y mejores prácticas
• Caso – Banco de la República• Planeación
A ió• Acción
• Recomendaciones y factores clavesRecomendaciones y factores claves
Continuidad Tecnológica
Bibliografía y referencias
• “Disaster Recovery Testing” – Exercising your contingency plan. y g g y g y pPhilip Jan Rothstein, FBCI, ed. 2007
• Managing Catastrophic loss of sensitive Data. ConstantinePhotopoulos. Syngress. Ed. 2008
• Disaster Recovery Institute. http://www.drii.org
• British Standards http://www.bsigroup.com/
• Business Resilience Certification Consorcium International• Business Resilience Certification Consorcium International http://www.brcci.org/cbritp.htm
Estrategias de continuidad Tecnológica
Sandra Patricia Camacho BonillaM Sc CBCP PMP ITIL v3 auditor ISO 27001:2005 e ISO 9001:2008M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
scamacbo@banrep.gov.co
Estrategias de continuidad Tecnológica
Gracias
S d P t i i C h B illSandra Patricia Camacho BonillaM.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
scamacbo@banrep.gov.co
Estándar 25‐777 “Information and communicationtechnology continuity management”
CBRITPCBRITP
IT Continuity and Disaster Recovery Planning
• Business Resilience & Business Continuity
• IT disaster & IT disaster recovery
• High availability vs Continuous availability
• IT DR plan development steps
• IT recovery concepts & strategies
Plan de recuperación de desastres de tecnología ‐ CBRITP
Pasos para su desarrollo
1. Identificar los sistemas y aplicaciones en uso
2 Analizar el impacto para el negocio (BIA) de una interrupción en la capacidad tecnológica y2. Analizar el impacto para el negocio (BIA) de una interrupción en la capacidad tecnológica y determinar los marcos de tiempo esperados y prioridades de recuperación (RTO y RPO)
3. Determinar las estrategias de recuperación de desastres tecnológicos (Sitios alternos, costo‐beneficio)
4 D l i ió d l i d l ITDR (RACI i líd d4. Documentar la organización de los equipos del ITDR (RACI, organigrama, líderes de equipos, notificaciones, listas de chequeo)
5. Documentar las responsabilidades de los equipos ITDR (tareas, dependencias, protocolos, agendas)
6. Desarrollar y documentar los procedimientos de recuperación de IT (detallado, adecuado, completo, viable, prevenir síndrome del “héroe”)
7. Documentar el entrenamiento del ITDR (concientización, conocimiento del procedimiento, trabajo de equipo, nuevas contrataciones, refuerzo y recordación)trabajo de equipo, nuevas contrataciones, refuerzo y recordación)
8. Documentar el mantenimiento del plan (Revisión, validación, liberación, distribución)
7 “tiers” de recuperación de desastres7 tiers de recuperación de desastres
Tier 0 – No off‐site data – posibly no recoveryTier 0 No off site data posibly no recovery
Tier 1 – Data backup with no hot site
Tier 2 – Data backup with a hot site
Tier 3 – Electronic vaulting
Tier 4 – Point‐in‐time copies
Tier 5 – Transaction integrityTier 5 Transaction integrity
Tier 6 – Zero or near zero data loss
Tier 7 – Highly automated, business integrated solution
Estrategias según el escenarios de desastre
Catástrofes en la ciudad
O ió i d dOperación en otra ciudad
Desastres de infraestructura física (CDC, edificio, potencia, ambiente, sabotajes, terrorismo, huelgas)
Nodos alternos distantes al principal (Cold sites, hot sites, propios, contratados, SLAs)
Desastres de tecnología (máquina servicio)Desastres de tecnología (máquina, servicio)
(HA) Virtualización / cloud computing/ granja / balanceo / cluster
Fail tolerance
“Resilience” / FlexibilidadResilience / Flexibilidad
• Ajustarse rápidamente
• Transformación del negocio en respuesta a cualquier cambio anticipado o no anticipado
ió i i ió d l• Prevención y mitigación de las amenazas
• Capturar oportunidades, crear posición competitiva y aumentar el valor para los involucrados.aumentar el valor para los involucrados.
Recommended