Haga clic para cambiar el estilo de
título
Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel
Curso de Seguridad de la
Información
Continuidad de Negocios y Planificación de
Recuperación de Desastre
(Business Continuity and Disaster Recovery Planning)
Continuidad y Recuperación ante Desastres
Introducción
Risk Assessment (RIA)
Business Impact Analysis (BIA)
Metodología Disaster Recovery Plan (DRP)
Metodología Business continuity Program (BCP)
Metodología Business Continuity Management (BCM)
Ejercicio de los Planes de Continuidad
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 2
Preocupaciones del CIO
• Qué es lo que no le permite dormir al CIO desde el 2006? En orden de las 10 primeras preocupaciones:
• 1. La Seguridad Informática • 2. La Continuidad del Negocio
• 3. La Recuperación en casos de Desastre
• Fuente- Information Week
Continuidad y Recuperación ante Desastres
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 3
El dinero no es la
El dinero no es la úúnica preocupacinica preocupacióónn
• La pérdida de productividad de los empleados
• Una ruptura en el servicio del cliente
• La pérdida de confianza del cliente y “buena voluntad”
•
El incremento en los costos de asistencia técnica
• Los niveles de servicio acordados con terceros
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 4
El dinero no es la
El dinero no es la úúnica preocupacinica preocupacióón (Cont.)n (Cont.)
Value of Tangible assets
Risk Management – A changing framework
1970’s 2000+ Production based economy Mainly National/Local Founded on Plant, Labour etc Knowledge based economy Value of Intangible assets
Knowledge Reputation Management Image Traditional Asset Protection
Continuidad y Recuperación ante Desastres
Recuperación ante Contingencias
Tareas a definir para …
– Antes de que ocurra una interrupción – Durante la ocurrencia de la interrupción – Después de que ocurrió la interrupción
Toda la Planificación de la Recuperación ante Contingencias debe ser
realizada antes de la ocurrencia de los eventos.
– Proactivo en lugar de Reactivo
La prioridad Número 1 de la recuperación ante contingencias es LA
Haga clic para cambiar el estilo de
título
Haga clic para modificar el estilo de texto del patrón Segundo nivel
Tercer nivel Cuarto nivel Quinto nivel
Risk Assessment (RIA)
Continuidad y Recuperación ante Desastres
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 7
Risk Assessment
• Seguridad de las redes y de la información:
– la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles
• Riesgo:
– estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización
• Activos:
– Son los recursos del sistema de información, o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 8
Valoración de Activos
• Coste que supondría la ocurrencia de una amenaza – valor de reposición
– valor de reconstrucción – horas perdidas de trabajo – lucro cesante
– daños y perjuicios
• No sólo importa lo que cuesta,
importa más para qué vale • Para un estudio comparativo basta alguna escala sencilla:
– 0, 1, 2, ..., 10
– es más importante saber el valor relativo que el absoluto – Para un estudio de costes se requiere una estimación ajustada
Continuidad y Recuperación ante Desastres
Dimensiones de Valoración de activos• Disponibilidad
– ¿Qué importancia tendría que el activo no estuviera disponible? • Integridad
– ¿Qué importancia tendría que el activo fuera modificado fuera de control? • Confidencialidad
– ¿Qué importancia tendría que el activo fuera conocido por personas no autorizadas? • Autenticidad
– ¿Qué importancia tendría que quien accede al activo no sea realmente quien se cree? • Trazabilidad (accountability)
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 10
Amenazas
Son los eventos que pueden desencadenar un incidente en la
organización, produciendo daños materiales o pérdidas inmateriales
Tipos de Amenazas:
Accidentales:
Naturales
Æ
Terremotos, huracanes
Humanos
Æ
errores operativos
Técnicos
Æ
fallas de Hardware
Deliberadas: (intencionales)
Humanas
Æ
terrorismo, robo
Técnicas
Æ
espionaje, hacking
Continuidad y Recuperación ante Desastres
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 11
Cuantificación de Amenazas
• Se trata de estimar la vulnerabilidad de los activos frente a las amenazas • Las amenazas se cuantifican por su efecto sobre los activos afectados
– frecuencia de ocurrencia
– ¿cuántas veces por año? – ARO = annual rate of occurrence
– Degradación
– daño causado
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 12
Impacto
• Consecuencia que sobre un activo tiene la materialización de una amenaza – pérdida posible
Continuidad y Recuperación ante Desastres
Riesgo• Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización
– pérdida probable • Valoración
– cualitativa / subjetiva
– irrelevante …grave …intolerable – cuantitativa / económica
– coste dinerario • Métodos
– cualitativos: tabulares
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 14
Análisis de riesgos
Continuidad y Recuperación ante Desastres
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 15
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 16
Resumiendo Gestión del Riesgo
• Análisis de riesgos:
– proceso sistemático para estimar la magnitud de los riesgos a que estáexpuesta una
organización
• Evaluación de los riesgos:
– proceso en el que se coteja el riesgo estimado contra los criterios de la organización para
determinar la importancia del riesgo
• Tratamiento de riesgos:
– selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar
los riesgos identificados
Continuidad y Recuperación ante Desastres
Risk Assessment
• Metodología orientada a determinar la vulnerabilidades que puede padecer una organización. Con base en los diversos riesgos encontrados, se les asigna un valor específico, según la probabilidad de ocurrencia y de la cobertura del seguro contratado, con el fin de proponer alternativas para reducir el riesgo. • Identificamos:
– Identificacion de escenarios de fallas potenciales. – Probabilidad de Ocurrencia de la Falla.
– Costo de la falla (análisis de impacto). – Costo monetario.
– Gastos operativos adicionales.
– Violación de contratos o requerimientos legales. – Pérdida de ventaja competitiva, confianza del público. – Assumed maximum downtime (tiempo marco de recuperación). – Balance del impacto vs. costo de los controles/ contramedidas.
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 18
• 67% de las compañías que tienen un desastre por más de dos semanas, están fuera del negocio dentro de los
dos años siguientes”. Sun Systems
• Gartner Group estima que, de cinco empresas que sufren una contingencia dos de ellas saldrán del negocio
dentro de los cinco siguientes años. Gartner Group, September 2001
• El 40 % de las empresas dicen que tomará mas de un día regresar o “poner” en línea los sistemas en caso de
que el desastre destruya una localidad principal. Information Week Research, Nov 26, 2001
• El porcentaje de estar fuera de servicio por una hora es de $84,000 dólares en un Call Center. IDC
• El costo estimado por una hora de un empleado por no operar en caso de contingencia de acuerdo a
información de la Industria Aseguradora es de $ 370 USD. Meta Group
• El 45% de las contingencias de los centros de cómputo en EUA es debido a fallas de energía eléctrica.
Contingency Planning Research
• Las Funciones del Negocio no pueden continuar operando después de 4.8 días sin la recuperción de la
Infraestructura tecnológica. Info Security News
• EL 68% de los negocios RECLAMAN Planes de Contingencia. Disaster Recovery Journal
• El 60% de las empresas tienen información crítica de los usuarios en sus laptos o desktops. Network World,
November 26, 2001
Algunos Datos Estadísticos
Haga clic para cambiar el estilo de
título
Haga clic para modificar el estilo de texto del patrón Segundo nivel
Tercer nivel Cuarto nivel Quinto nivel
Business Impact Analysis
(BIA)
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 20
Business Impact Analysis
•Análisis de Impactos al Negocio.
•A través de esta metodología se hace un análisis de todos los procesos y
aplicaciones dentro de la Empresa a través de un CUESTIONARIO que se aplica en diversos niveles.
•Como resultado se llega a determinar el portafolio de PROCESOS Y APLICACIONES CRITICAS, así como los Requerimientos Mínimos y las características de cada uno de ellos.
Continuidad y Recuperación ante Desastres
BIA• Consiste en identificar los impactos de las interrupciones y
escenarios de desastre que pueden afectar la organización:
- Establecer el proyecto
- Evaluar los efectos de las interrupciones, daños e impactos al negocio - Establezca la metodología BIA (cuestionarios, talleres, entrevistas..) - Defina y categorice las funciones y registros críticos
- Determine las franjas de tiempo de recuperación y requerimientos de recursos mínimos
- Identifique y categorice procesos del negocio - Determine tiempos de reemplazo
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 22
BIA
• Consiste en realizar una evaluación de los procesos y sistemas
del negocio, con el objetivo de identificar
: – Áreas, funciones y/o procesos sensibles a interrupciones – Interdependencia entre procesos internos y externos – Impactos financieros de las interrupciones– Impactos Operacionales de las interrupciones – Sistemas de información críticos para la operación – Tiempos objetivo de recuperación (RTO)
– Puntos Objetivo de recuperación (RPO)
– Clientes y proveedores críticos de la organización – Recursos necesarios para la recuperación de operaciones – Épocas críticas para la operación del negocio
Continuidad y Recuperación ante Desastres
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 23
BIA
• Resultados:
– Inventario de los procesos críticos del negocio.
– Secuencia de recuperación de procesos y sistemas críticos
– Estimación del impacto financiero de una interrupción en los procesos críticos del negocio.
– Estimación del impacto operacional de una interrupción en los procesos críticos del negocio.
– Identificación de los tiempos de recuperación para cada proceso crítico del negocio. – Identificación de los requerimientos mínimos de los procesos o aplicaciones críticas
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 24
Cuestionario BIA
• Datos básicos del proceso y de su dueño • Frecuencia del proceso
• Períodos de tiempo críticos • Tiempo máximo de interrupción • Volumen de trabajo del proceso
• Indicadores y medidas de desempeño existentes
• Impactos: Financiero, cliente interno, cliente externo, eficiencia operativa, aspectos legales, imagen - reputación y en general para la organización como negocio. • Dependencias internas y externas
• Aplicaciones informáticas que lo soportan • Procedimientos alternos existentes o sugeridos • Efectividad de los procedimientos alternos • Registros vitales de cada proceso
• Complejidad de recuperación de las dependencias evaluadas • Recursos mínimos para la recuperación de cada dependencia.
Haga clic para cambiar el estilo de
título
Haga clic para modificar el estilo de texto del patrón Segundo nivel
Tercer nivel Cuarto nivel Quinto nivel
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 26
Disaster recovery plan
•Plan de Recuperación en Caso de Desastre. Está orientado a recuperar en el menor tiempo posible la operación de las APLICACIONES CRITICAS, utilizando para ello un equipo de cómputo alterno u otro plan alternativo, minimizando el impacto y el costo de un desastre.
•Permite recuperar las operaciones críticas definidas de IT. •Responsable: Área de Sistemas
Continuidad y Recuperación ante Desastres
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 27
DRP: Disaster Recovery Plan
• Objetivos
– Proteger a la organización de fallas generales de los servicios de información – Minimizar el riesgo generado por la demora en la provisión de servicios de
información
– Garantizar la confianza de los sistemas de backup a través de pruebas y simulaciones
– Minimizar la toma de decisiones del personal durante una contingencia
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 28
DRP: Disaster Recovery Plan
• Continuidad del procesamiento de datos
– Acuerdos de ayuda mutua– Servicios de suscripción – Hot Site – Warm Site – Cold Site – Centros Múltiples – Service Bureaus – Centros Móviles
– Servicios de provisión de Hardware / Software
28
Continuidad y Recuperación ante Desastres
DRP: Disaster Recovery Plan• Mantenimiento del Plan
– El plan es un documento “vivo”– Asegurar que solo la copia más reciente del plan sea distribuida. Evitar la existencia de múltiples versiones
– Asegurar que la información de contactos esté actualizada
– Asegurar que ante la adquisición o modificación o eliminación de elementos críticos, estos serán incorporados al plan
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 30 Finalizar estrategia de recuperación Definir estra-tegia de recu-peración Definir procesos de recuperación Refinar estrategia de recuperación Determinar viabilidad de estrategia Capacitación Pruebas Mantenimiento Documentación del Plan Definición de Recursos Análisis de Impacto Aplicativo Determinar los servicios críticos de soporte Análisis de Amenazas
Fase I
Fase II
Fase III Fase IV Fase IV Metodología DRPHaga clic para cambiar el estilo de
título
Haga clic para modificar el estilo de texto del patrón Segundo nivel
Tercer nivel Cuarto nivel Quinto nivel
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 32
Business Continuity Plan
•A diferencia del DRP, el Plan de Continuidad del Negocio (BCP) está orientado a recuperar en el menor tiempo posible la operación de las FUNCIONES CRITICAS del negocio, estén o no automatizadas.
•Responsable: Dirección
Continuidad y Recuperación ante Desastres
BCP y DRP Conceptos Generales• Business Continuity Plan (BCP)
– Define las acciones a tomar en los casos en que una determinada
contingencia inhabilite algún área de operaciones o tecnología.
– Permite recuperar las operaciones críticas definidas
del negocio.
– Incluye el DRP.
“El objetivo de un BCP es establecer las estrategias y procedimientos que deben ser implementados por un equipo de individuos que provee
direccionamiento, soporte, equipamiento, metodologías y estándares para garantizar la continuidad de las operaciones del negocio”
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 34
Objetivos del BCP
• Proteger al personal y los activos corporativos • Asegurar la continuidad de las operaciones
• Garantizar la reanudación de los procesos críticos dentro de los margenes de tiempo tolerables
• Minimizar el proceso de toma de decisiones durante una contingencia • Reducir los efectos negativos ocasionados por el caos
• Mantener el servicio al cliente • Responder a los Inversionistas
• Cumplir con requerimientos Legales / Contractuales /Gubernamentales • Reducir al máximo los niveles de dependencia sobre personas o grupos
específicos en el proceso de continuidad.
• Eliminar la necesidad de desarrollar nuevos procedimientos durante la contingencia.
• Minimizar la posibilidad de pérdida de información crítica para el negocio. • Cumplir con requerimientos de auditoria
Continuidad y Recuperación ante Desastres
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 35
Metodología BCP Dependencia entre Sistemas Impactos sin servicio Requerimientos Críticos Tiempos / Periódos críticos Análisis de Impacto al Negocio Evaluación de Seguridad Mitigación del Desastre Análisis de
Amenazas Recuperaciónde Usuarios
Recuperación del Negocio Recuperación Técnica Instalaciones de Recuperación Estudio de Riesgos Estrategias de Continuidad Procedimientos documentados Mantenimiento a Procedimientos Estructura de Plan Equipos de Recuperación Procedimientos de la Prueba Evaluación de la Prueba Programación de la Prueba Métodos de la Prueba Desarrollo del Plan Pruebas del Plan
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 36
Definición histórica Realidad
El Business Continuity está limitado, es enfocado con TI, relacionados con activos y normalmente ligados con unidades especificas de negocio o departamento. Con frecuencia son planeados pero no probados o ejecutados. Business Continuity Planning Business Continuity Planning Disaster RecoveryDisaster Recovery
La recuperación de datos y el Centro de Cómputo TI con buenos mecanismos ambientales y de protección pero pobre apalancamiento de la Infraestructura de TI. No se recuperan totalmente los activos de TI.
Disaster Recovery (DR) es una habilidad de la compañía para recuperar en un periodo aceptable de tiempo (basado en el tiempo de recuperación y la recuperación basada en ciertos objetivos) por un incidente mayor o desastre y que asegure que los usuarios, sistemas críticos del negocio son eficientemente restaurados en forma completa y accesible.
Business Continuity Planning (BCP) es un todo que engloba los terminos que describen el proceso de planeación para asegurar que una organización puede sobrevivir ante un evento que cause la interrupción del proceso normal del negocio.
Haga clic para cambiar el estilo de
título
Haga clic para modificar el estilo de texto del patrón Segundo nivel
Tercer nivel Cuarto nivel Quinto nivel
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 38
• Programa funcional determinado por los requerimientos del negocio • Dirigido por un equipo directivo con autoridad para responder a las
interrupciones.
• Modifica las consecuencias de una interrupción a un nivel aceptable por la Dirección.
• Proporciona un medio probado para enfrentar las crisis. Programa de Continuidad de Negocios
Continuidad y Recuperación ante Desastres
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 39 Objetivos del plan de continuidad del negocio
Garantizar una reanudación oportuna y eficiente de las
operaciones de la Empresa, cuando se presente una interrupción
mayor
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 40 •Reducir las decisiones que se
toman durante una contingencia •Reducir los efectos negativos ocasionados por el CAOS
•Evitar la dependencia sobre una persona o grupo de personas en el proceso de recuperación
•Eliminar la necesidad de desarrollar nuevos procedimientos durante la recuperación
•Minimizar la pérdida de Información que se considere CRITICA
Objetivos del plan
Continuidad y Recuperación ante Desastres
BCP: Business Continuity Management•Roles y Responsabilidades
– Alta Gerencia
– Inicia el proyecto, da la aprobación final y apoya la iniciativa a lo
largo de todo su ciclo de vida.
– Gerencia de Unidades de Negocio
– Identifican y priorizan los sistemas / operaciones críticas del
negocio.
– Comité de BCP
– Dirige los procesos de planificación, implementación y prueba del
BCP.
– Unidades Funcionales
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 42
Ciclo de Vida de la Administración de la Continuidad del Negocio
5
1
2
3
4
6
Entendimiento del Negocio Administración de la Estrategia deContinuidad del Negocio
Desarrollo e Implementación de Respuesta del BCM Estructura y Difusión de la cultura del BCM Prueba, Mantenimiento y Plan de Auditoría Programa de Administración del BCM
BCM
Continuidad y Recuperación ante Desastres
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 43
Administración de la Continuidad del Negocio
Productos de Negocio y Servicios (Core del Negocio)
Recursos de Recuperación para la Estrategia del BCM
Plan de Manejo de Crisis
Programa de Entrenamiento del BCM Auditoría al BCM Aseguramiento del BCM Fase 1: Entendimiento del Negocio Fase 3: Desarrollo e Implementación de Respuesta del BCM Fase 2: Administración de la Estrategia de Continuidad del Negocio Fase 4: Estructura y Difusión de la cultura del BCM Fase 6: Administración del programa del BCM Fase 5: Prueba, Mantenimiento y Plan de Auditoría. Estrategia Organizacional del BCM (Corporativo) Plan(es) de Continuidad del Negocio Cultura de BCM y Programa de Concientización
Definición del Programa
Factores Críticos del Negocio (Misión de las
Actividades Críticas)
Niveles de los Procesos de la Estrategia del BCM
Planes de los Recursos de Recuperación Educación y Creación de las Actividades de Cultura Mantenimiento del BCM Política del BCM Pruebas del BCM Estrategia Organizacional y Objetivos del Negocio
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 44
Mejores Prácticas de BCM
• El comité directivo revisa anualmente el programa • La alta gerencia es responsable del BCM
• Personal de BC con presupuesto
• La función de BCM abarca todos los aspectos de la empresa • BCM es un proceso continuo
• Política comprensible de respaldo de registrosvitales
• Existencia de estrategias de recuperación basadas en prioridades, momento e impacto en la empresa (BIA)
• Existencia de un programa de concientización, capacitación, pruebas y ejercicios • El plan de continuidad está actualizado y disponible
• Un programa de continuidad de negocios NO es un proyecto, NO es una tarea de una sola vez, NO es por un período fijo de tiempo.
Debe ser un programa permanente, vivo, consistente en
varios proyectos interdependientes y reiterativos
Continuidad y Recuperación ante Desastres
Beneficios del BCM• Prever y mitigar el desastre de forma positiva, logrando mantener la continuidad de la empresa su reputación, credibilidad y lealtad del cliente.
• Recuperar en forma efectiva en el tiempo a la organización, reduciendo los impactos por el evento de la contingencia.
• Identificar las prioridades del negocio, alineándolas al BCM con la sinergia de la arquitectura de TI proporcionando a la organización elementos de competitividad en el ambiente de los negocios y de la industria.
• Contar con voto de confianza por parte de los accionistas de la organización. • Delimitar las severidad del daño y riesgos hacia la salud y bienestar de los empleados. • Minimizar la magnitud de la interrupción sobre los procesos críticos ante eventos inesperados. • Contar con los elementos regulatorios y jurídicos para enfrentar juicios o demandas de terceros
o gubernamentales.
• Contar con un BCM alineado a los estándares internacionales que permita cubrir los lineamientos solicitados por cada uno de ellos.
• Contar con personal entrenado para el manejo de crisis y recuperación de las operaciones. • Asegurar que los registros vitales estén disponibles ante el evento de contingencia. • Contar con la mayoría de los procedimientos probados.
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 46
Curva de Madurez del BCM
Time
Level of bus
ine
s
s
Critical recovery pointB
No BCM – lucky escapeC
No BCM – usual outcomeA
Fully tested effective BCMContinuidad y Recuperación ante Desastres
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 47 Contexto BCM Contexto BCM ––BCP BCP --DRPDRP Plan específico a tecnología de la Información Plan dirigido a los procesos del Negocio Considera la administración de la continuidad del negocio como parte de un proceso
DRP
(Disaster Recovery Plan)
BCM
(Business Continuity Management)
BCP
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 48 Evolución en el Tiempo Resp. de Información DRP BRP BCP BRS
DRP = Disaster Recovery Plan BRS = Business Recovery Services BRP = Business Recovery Plan BCP = Business Continuity Plan
BCM = Business Continuity Management
BCM
Estrategias de Continuidad Desarrollo del Plan Pruebas del Plan Estudio de Riesgos Análisis de Impacto al Negocio 5 1 2 3 4 6 BCM ‘80 1997 1998 1999 2000 2001 2002 2004
Haga clic para cambiar el estilo de
título
Haga clic para modificar el estilo de texto del patrón Segundo nivel
Tercer nivel Cuarto nivel Quinto nivel
Ejercicio de los Planes
de Continuidad
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 50
Objetivo de los Planes de Continuidad
• Planificar y coordinar el plan de ejercicios y evaluar y documentar los resultados de los mismos:
– Establecer un programa de ejercicios (pruebas) – Determinar requerimientos de los ejercicios – Definir escenarios de desastre
– Establecer criterios de evaluación y documentar los hallazgos – Crear un cronograma de ejercicios
– Crear un plan de control y reporte de los ejercicios – Facilitar la realización de los ejercicios
– Reporte post-ejercicios
– Retroalimentar y monitorear los resultados de los ejercicios – Definir un cronograma de mantenimiento de los planes – Formular los procedimientos de control de cambios
– Establecer procedimientos para informar el estado de los planes – Objetivos de auditoria
Continuidad y Recuperación ante Desastres
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 51
Prueba del Plan
• Objetivos
– Definición de un Plan de Pruebas
– Definición de los Procedimientos de Prueba – Planificación de las Pruebas
– Ejecución de las Pruebas – Evaluación de los resultados
– Ejecución de las modificaciones necesarias
• Excusas frecuentes para no probar el plan
– Tiempo- Falta de presupuestos (costos de la prueba)
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 52
Testeo de los Planes
– Checklist (Lista de Verificación)
– Copias del plan son distribuidas a las gerencias para su revisión
– Seguimiento estructurado (structured walk-through)
– Gerentes de las áreas afectadas se reúnen para revisar el plan– Simulación
– Todo el personal de soporte se reúne en una sesión de práctica
– Prueba en Paralelo
– Los sistemas críticos son ejecutados en el sitio alternativo
– Interrupción completa
– Todos los sistemas en producción son interrumpidos. Se procede a ejecutar el plan en condiciones reales.
– Las pruebas del plan deben realizarse alternando el personal a cargo
– No es absolutamente necesario efectuar siempre pruebas completas
– La periodicidad de las pruebas dependerá del grado de “movilidad”
del plan y/o del personal a cargo
– Toda prueba que haya sido 100% exitosa fue mal realizada
– Todo resultado de una prueba debe servir como feedback para
mejorar el plan
52
Continuidad y Recuperación ante Desastres
Regulaciones vigentes sobre Business Continuity• US - Securities and Exchange Commission - NASD Rules 3510 & 3520 and the
NYSE Rule 446
• Basilea II & E-banking
• Sarbanes Oxley
• UK FSA – BCM Guidance
• BS 7799 (I7799), Apartado 10
• PAS 56 and from Summer 2006 BSI
• King II - South Africa
• Singapore - MAS BCM Standard
• Australian Standard for BCM
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 54
Websites de utilidad
– Disaster Recovery International Institute:
www.drii.org
– Disaster Recovery Journal:
www.drj.com
– Contingency Planning Management:
www.contingencyplanning.com
– Continuity Insights:
www.continuityinsights.com
- NIST
www.nist.gov
54Continuidad y Recuperación ante Desastres
Curso de Seguridad de la Información - Módulo X – Continuidad y Recuperación ante Desastres Página 55
5 Curso de Seguridad de la Información - Módulo VIII – Seguridad en
A li i