Upload
hernangq
View
17
Download
0
Embed Size (px)
DESCRIPTION
Continuidad del Negocio yRecuperación de Desastres
Citation preview
Continuidad del Negocio y
Recuperación de Desastres
Conceptos de PCN y PRD
Plan de Continuidad del Negocio:
“Conjunto de acciones orientadas a
contrarrestar las interrupciones de las
actividades del negocio y para proteger los
procesos críticos del negocio de los efectos
de fallas mayores o desastres.”
Algunas Definiciones
Plan de Recuperación ante Desastres:
“Procedimientos para respuesta ante
emergencias, operaciones de respaldo
ampliado y recuperación post-desastre para
una instalación computacional que
experimente una pérdida parcial o total de los
recursos computacionales e instalaciones
físicas.”
Conceptos de PCN y PRD
Conceptos de PCN y PRD
Plan de Contingencias:
“Procedimientos orientados a recuperar las
operaciones computacionales ante la ocurrencias
de fallas menores (aquellas no consideradas como
desastres p.e., fallas de hardware, cortes de luz,
corrupción de datos, etc. )”
PCN/BCP
Plan RD
Plan de
contingencia
Relación
• Se crean para prevenir las interrupciones, a la actividad normal.
• Se diseñan para proteger los procesos críticos del
negocio Ante:
–Desastres Naturales –Fallas humanas –Pérdidas de Capital.
29/07/2015 Jorge Zientarski B. 6
Conceptos de PCN y PRD
Terremotos Fuego Temporales Tornados Sequía
Inundaciones
Tormenta Eléctrica
Viento
Huracán
Plagas
Conceptos de PCN y PRD
Desastres Naturales
• Terrorismo
• Huelga
• Armas de Destrucción
Masiva
• Personal Disgustado
• Publicidad
• Espionaje
• Accidente Químico
• Errores
• Virus Computacional
Conceptos de PCN y PRD
Desastres Causados por el Hombre
Un evento ocurre - seguido del efecto
dominó
Una vez ocurrido el evento …..la causa es irrelevante
Cual el valor de la planificación?
Recuperación
Cuatro elementos principales de BCP
• Alcance e iniciación del Plan – Marca el comienzo del proceso, exige la creación del alcance y otros elementos
para definir los parámetros del plan.
• BIA – Ayuda a las unidades a entender el impacto de una interrupción, evaluación de
vulnerabilidades.
• Desarrollo del BCP – La información recogida en el BIA sirve para desarrollar el plan real de continuidad
del negocio. • Área de implementación • Plan de Pruebas • Mantenimiento del plan en curso
• Aprobación del Plan e Implementación – Aprobación final de la Alta Gerencia
• Concienciación del plan • Implementación de un procedimiento de mantenimiento
29/07/2015 Jorge Zientarski B. 11
Alcance e Iniciación del Plan Implicación de responsabilidades
¿Quién? ¿Qué hace?
Ejecutivos Inician el proyecto, dan la aprobación final y soporte en curso
Alta Gerencia Identifica y prioriza tiempos críticos
Comité de BCP
Direcciona los procesos de: planificación, implementación y
pruebas
Jefaturas Participan en la implementación y pruebas
Jorge Zientarski B. 12 29/07/2015
Pla
n R
ayo
s
Pla
n T
orn
ad
o
Pla
n
Terre
mo
to
Pla
n R
ev
olu
cio
n
Planes de Continuidad de Negocio
Planeación basada en escenarios
Planeación basada en escenarios
• El desarrollo del plan es multi-
disciplinario y requiere la coordinación
de todos los grupos funcionales.
• Puede ser el mejor enfoque pero
consume muchísimo tiempo.
• El contenido se repite en múltiples
documentos.
• Es difícil mantener todos actualizados
Planeación basada en
consecuencias
Consecuencia
Respuesta Productos
Provisions
Ganancias
Recuperación
Objetivo de Punto de Recuperación y Objetivo de Tiempo de Recuperación
• RPO y RTO están basados en parámetros de tiempo.
• Cuanto más bajo sea el tiempo de recuperación requerido, más elevado será el costo de las estrategias de recuperación.
• Los parámetros a considerar para definir las estrategias de recuperación: – Ventana de interrupción.
– Objetivo de entrega de servicio (SDO).
– Cortes máximos tolerables.
Objetivo Punto Recuperación (RPO) y Objetivo Tiempo de Recuperación (RTO)
Alternativas de Recuperación
Estrategias de Recuperación
• Las acciones más efectivas serían:
– Eliminar la amenaza completamente.
– Minimizar la probabilidad y el efecto de la ocurrencia.
• Una estrategia de recuperación es una combinación de
medidas preventivas, detectivas y correctivas.
• La selección de una estrategia de recuperación dependería de:
– La criticidad del proceso del negocio y las aplicaciones que soportan los
procesos.
– Costo.
– El tiempo requerido para recuperarse.
– Seguridad.
Estrategias de Recuperación
Aspectos a Tener en Cuenta en el Desarrollo del Plan
• La participación de la Gerencia y de los usuarios es vital para el éxito del BCP
– Es esencial para la identificación de los procesos críticos, sus tiempos de recuperación y la especificación de los recursos.
– Participación de los servicios de soporte, las operaciones del negocio y el soporte de procesamiento de la información.
• Considerar a toda la organización en el BCP
Aspectos a Tener en Cuenta en el Desarrollo del Plan
• Donde no exista un BCP para toda la organización, el Plan de Continuidad Tecnológica debe extenderse
• Incluir en el plan los siguientes puntos:
– Una lista de información detallada del personal
– La configuración de las instalaciones físicas
Organigrama BCM
Estrategias de Recuperación
Desarrollo del BCM
GERENCIAMIENTO BCM
PRUEBAS, MANTENIMIENTO Y AUDITORÍA
CONSTRUCCIÓN E INSERCIÓN DE
CULTURA DEL BCM
DESARROLLO E IMPLEMENTACIÓN
PLANES Y SOLUCIONES
ESTRATEGIAS DE CONTINUIDAD
ENTENDIMIENTO DEL NEGOCIO
Organigrama BCM
GOLD TEAM
Evacuación
Oficial BCM
Comunicación ex/in Infraestructura Seguridad Continuidad Operativa Sistemas de
Información
Equipo de Evacuación Equipo IT Titulares / Suplentes
SILVER TEAM
BRONCE TEAM
Pruebas del Plan
• Programar la prueba durante un tiempo que minimice las interrupciones a las operaciones normales.
• La prueba debe simular las condiciones reales de procesamiento.
• Ejecución de la prueba – Documentación de Resultados.
– Análisis de Resultados.
– Mantenimiento del Plan.
Auditoría al Plan de Continuidad del Negocio / Recuperación de Desastres
• Revisión del Plan de Continuidad del Negocio
• Evaluación de los Resultados de las Pruebas Anteriores
• Evaluar el Sitio de Almacenamiento Alterno
• Entrevistar al Personal Clave
• Evaluar la Seguridad del Sitio Alterno
• Revisar el Contrato de Procesamiento Alternativo
• Revisar la Cobertura de Seguros
Revisión del Plan de Continuidad del Negocio
• Cuando se está revisando el plan desarrollado, los
Auditores de SI deben verificar que sean evidentes los
elementos básicos de un buen plan.
• Los elementos básicos incluyen:
– Actualización de documentos.
– Efectividad de los documentos.
– Entrevistas al personal para verificar si el plan es apropiado y
completo.
– Etc.
Evaluación de los Resultados de las Pruebas Anteriores
• Documentación histórica de las pruebas anteriores
debe ser mantenida.
• El Auditor SI debe revisar los resultados de las pruebas
para:
– determinar que se hayan incorporado al plan las acciones
correctivas.
– evaluar cumplimiento y precisión.
– determinar las tendencias de problemas y las resoluciones de los
problemas.
Evaluar el Sitio de Almacenamiento Alterno
• El Auditor SI debe:
– evaluar las condiciones para asegurar la presencia,
sincronización y vigencia de los medios y de la
documentación.
– realizar una revisión detallada del inventario.
– revisar toda la documentación .
– evaluar la disponibilidad de la instalación.
Entrevistar al Personal Clave
• El personal clave debe tener un entendimiento de
las responsabilidades que se le ha asignado.
• Documentación detallada y actualizada debe ser
mantenida.
Evaluar la Seguridad del Sitio Alterno
• El Auditor SI debe:
– evaluar los controles de acceso físico y ambiental.
– examinar el equipo para verificar si tiene
actualizadas las tarjetas de inspección y de
calibración.
Revisar el Contrato de Procesamiento Alternativo
• Se deben verificar las referencias del proveedor del sitio de
procesamiento alterno listadas en el contrato; las ofertas
del proveedor deben constar por escrito.
• Se debe revisar el contrato contra los lineamientos
siguientes:
– el contrato esté redactado con claridad y sea
comprensible
– acuerdo de la organización con las reglas
– Acuerdos de Niveles de Servicio
Revisar la Cobertura de Seguros
• La cobertura del seguro debe reflejar el costo real de
recuperación.
• Una adecuada cobertura de lo siguiente debe ser
revisada:
– daños de los medios.
– interrupción del negocio.
– reemplazo de equipo.
– procesamiento de la continuidad del negocio.
Esito sería …..
Solo una pequeña muestra del PCN o BCP!!!
MSc. Jose Marcial Flores Guerrero, CISA, CGEIT