Este documento es confidencial y destinado a la audiencia a la cual es presentado. Ing. Carlos Gallegos
22 Setiembre 2004
Propuesta para la Asistencia en Estrategia de
Negocios
Club de Investigación Tecnológica
Agenda
Introducción y Objetivos
Definiciones y Premisas Básicas
Enfoque de Avant Consulting
Metodología Continuidad de Negocios
Preguntas y Respuestas
Introducción
Introducción
¿Qué es Continuidad de Negocios?
Un proceso holístico de administración que identifica los impactos
potenciales que amenazan a una organización y provee un marco para su
recuperación, gracias a la capacidad de responder eficazmente en
resguardo de los intereses de los principales involucrados, así como de la
reputación, imagen y actividades de creación de valor de las
organizaciones
Negocios = Business = Actividades de Valor
Introducción
¿Qué es Continuidad de Negocios?
Continuidad de Negocios es el entendimiento de cómo afecta
a una organización una interrupción no planeada en los
sistemas de información ( Tecnología de Información ) y la
determinación de los pasos a seguir para asegurar que los
procesos críticos de la organización continúen operando a
pesar del evento disruptivo.
Objetivos
•
El objetivo principal de un Estudio de Continuidad del Negocio ( BCM ) es
minimizar los riesgos, exposiciones y potenciales pérdidas como resultado
de un evento que afecte las operaciones de Tecnología de Información de la
organización.
•
Los objetivos específicos son:
– Analizar el impacto de una interrupción en los negocios de la
organización
– Evaluar Estrategias de Recuperación
– Asignación de prioridades y recursos ( físicos, tecnológicos, humanos y
financieros)
– Preparación de un Documento “Plan de Contingencias”
– Desarrollar Pruebas del Plan
Definiciones y Premisas Básicas
Enfoque de la Solución
Metodología
Una
contingencia
es una interrupción no planeada o programada de las actividades
normales de negocio.
Un
Plan de Continuidad de Negocios (BCP)
:
§
identifica potenciales eventos desastrosos,
§
entiende su posibilidad de ocurrencia,
§
identifica el impacto potencial de dichos eventos en los negocios de la organización y
§
asegura la continua operación de los procesos claves de negocios durante una
contingencia.
Un
Plan de Recuperación de las Operaciones de Cómputo (DRP)
§
establece los procedimientos del área tecnológica
§
guía los esfuerzos de recuperación
§
delinea la restauración del sitio principal
§
define los equipos de recuperación de las aplicaciones y servicios tecnológicos
Un
Plan de Telecomunicaciones y Conectividad (Telco)
§
establece procedimientos de comunicación de la
Cadena de Mando
§guía los esfuerzos de recuperación de telecomunicaciones
§
establece los contactos para proveedores de servicios
Definiciones
• RTO (Recovery Time Objective): se define como el tiempo máximo para re-establecer la
funcionalidad de los procesos críticos de negocios. Considera el setup del ambiente de procesamiento alterno.
• RPO ( Recovery Point Objective ): se define como el tiempo máximo de transacciones que
Intervalo de
Procedimientos
T0 T1 T1.5 T2 T3 Administración De Crisis Instalación •Sitio Alterno De Captura •Sitio Alterno de Procesamiento Modo Degradado Reproceso T4 CMT Setup BCP Procedimientos Alternativos Reproc Perdidas Reproc PATs Setup DRP Setup Telco Procs Modo Restauración RestauraciónPremisa Básica
La premisa básica de un Plan de BCP es : “
Nadie ni nada es
Factores Críticos de Exito
BCP
Factores Críticos de Exito
BCP
Planear para el peor escenario posible
“Epoca navideña”
“Semana Santa”
“Verano”
“Cierre Fiscal”
“Vacaciones”
Factores Críticos de Exito
BCP
Alta gerencia Gerencias Funcionales Gerencias FuncionalesGerencias Gerencias Gerencias Gerencias Gerencias
El patrocinio gerencial es indispensable para el éxito del
proyecto
Debe ser un esfuerzo multi-funcional
Factores Críticos de Exito
BCP
Mitos y Realidades
1. Es responsabilidad del Área de
Sistemas
R./ Es responsabilidad de toda la organización
2. Lo único que necesitamos es respaldar el centro de cómputo
R./ Hay información adicional en la organización que necesita ser respaldada
Alta gerencia Gerencias
Funcionales
Gerencias Funcionales
Mitos y Realidades
Necesitamos un tiempo de respuesta de
minutos y soportar a toda la
organización
R./ Debe existir una justificación financiera
para la estrategia propuesta
Los planes no necesitan ser actualizados ni
probados continuamente
R./ El mejor plan es el probado y actualizado
continuamente
Tendencias
Nuevas regulaciones:
• Nacionales –
– Sugef, Conassif, Contraloría
• Internacionales – Sarbanes Oxley – Homeland Security – Basilea II Nuevas Tecnologías • Telecommuting • Wireless
Premisas Básicas
Enfoque de la Solución
Enfoque de la Solución
Nuestro enfoque busca lograr respuestas a las siguientes preguntas:
•
Cuál es el impacto en la Organización?
•
Qué tan grande es la exposición?
•
Cuánto debo invertir en estar preparado?
•
De dónde tomo los recursos?
•
Cómo organizar los esfuerzos?
Enfoque de la Solución
El impacto en las operación de la organización va ligado a la dependencia tecnológica,
el ambiente competitivo y la industria particular
CURVA COSTO 25 HORAS $0.00 $500,000.00 $1,000,000.00 $1,500,000.00 $2,000,000.00 $2,500,000.00 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 HORAS COSTO
Enfoque de la Solución
Enfoque de la Solución
Curva de Costos Indutria Bebidas
$0 $500,000 $1,000,000 $1,500,000 $2,000,000 $2,500,000 1 2 3 4 5 6 7 8 9 10 11 12Días Contingencia Hábiles Total Acumulado Convencional Total Acumulado Despacho Dinamico
Expon. (Total Acumulado Despacho Dinamico) Expon. (Total Acumulado Convencional)
Costos de las Estrategias de
Recuperación
Redundancia Completa
Sitio en Caliente y Recuperación Registros Vitales
Sitio en Frío( Nueva Localización)
Recuperación en sitio actual
Horas Días Semanas Meses
Duración Interrupción
Enfoque de la Solución
De acuerdo al tiempo de recuperación de una solución específica, el costo de la
misma tenderá a aumentar o decrecer
Definiciones
• Hotsite: sitio alterno de procesamiento de cómputo en el cual todos los servicios,
incluyendo:
– servidores,
– almacenamiento y
– equipo de telecomunicaciones están en operación constante.
– Los datos y las aplicaciones en el hotsite se encuentran sincronizadas con el sitio
principal de procesamiento.
• Warmsite: sitio alterno de procesamiento el cual cuenta con:
– todos los equipos y servicios de telecomunicaciones instalados y
– listos para su utilización.
– En el caso de un desastre se deben restaurar las aplicaciones y los datos en los
equipos.
• Coldsite: se define coldsite como aquel sitio que tiene:
– el ambiente necesario para la instalación del equipo necesario para un sitio alterno
de procesamiento,
– pero no cuenta con los equipos en sitio.
– En caso de un desastre se debe instalar todo el equipo, así como las aplicaciones y
Enfoque de la Solución
Al comparar las curvas de pérdidas potenciales y de estrategias de recuperación,
podemos seleccionar el nivel óptimo de inversión para cubrir la exposición
Curva de Inversión Bebidas $-$100,000.00 $200,000.00 $300,000.00 $400,000.00 $500,000.00 $600,000.00 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 Horas Dolares Estrategias Costos 1 2 3 4 5
6 1. Hot site por país 2. Hot Site Compartido 3. Hot Site Back-up mutuo
4.Hot site Terceros 5. Warm Site Back-up mutuo
6. Cold Site Back-up mutuo
Enfocado en las Prioridades Gerenciales
Estructura Organizacional
Procedimientos de Pruebas
Plan de Continuidad del
Plan de Continuidad del
Negocio Negocio Registros Vitales Operaciones Críticas Herramientas Requeridas Personal Clave Instalaciones Conducido por UEN
Plan de Plan de Telecomunicaciones Telecomunicaciones Hardware Software Ancho de Banda
Acuerdos con Vendedores Personal Plan de Recuperación de Plan de Recuperación de Cómputo Cómputo Hardware / Software Sistemas de Aplicación Personal
Acuerdos con Vendedores Datos Procedimientos
Componentes de un Plan de
Contingencias
Cómo organizar los esfuerzos?Enfoque de la Solución
Alcance y Pasos de la
Recuperación
Operando
en Modo de
Recuperación
El Evento - Terremoto - Fuego - Agua - Etc. • •Procesando únicamente funciones críticas de negocios •Estabilizar la organización • •Restauración
Contingencia
Cobertura en tiempo
Operando
en modo
Degradado
•Recuperando las capacidades de procesamiento - Incrementando el número de funciones de negocios soportadas •Regreso al negocio como es usual •Evaluación y actualización del PlanOperación
Normal
Plan de Continuidad Negocios
Plan de Conectividad y Telecomunicaciones
Plan de Recuperación Cómputo
Estabilizar Recuperar Modo Normal
Premisas Básicas
Enfoque de la Solución
Entendimiento Entendimiento del Negocio del Negocio Análisis de Análisis de Riesgos Riesgos Cadena de Cadena de Valor Valor BIA BIA Procesos Procesos Críticos Críticos Necesidades Necesidades Críticas Críticas Estrategias Estrategias De De Recuperación Recuperación Plan Plan De De Contingencias Contingencias Pruebas Pruebas Y Y Mantenimiento Mantenimiento Desarrollo de la Solución Desarrollo de la Solución Análisis Inicial
Análisis Inicial Curvas deCurvas de Costos Costos Curvas de Curvas de Inversión Inversión
Ámbito de Análisis
1.
Inicio del Proyecto
2.
Análisis de Riesgos y Exposiciones
3.
Análisis Impacto de la Interrupción
4.
Determinación de las Necesidades Críticas de Recuperación
5.
Identificación y Selección Estrategias de Recuperación
6.
Desarrollo del Plan
7.
Pruebas y Mantenimiento del plan
Fase 1 Inicio del Proyecto
Alta gerencia Gerencias Funcionales Gerencias FuncionalesEn esta fase se establece la organización del proyecto y la oficina de administración ( PMO ), se establecen los roles y responsabilidades de los diferentes equipos de trabajo y se afina el alcance del Proyecto como un todo. Adicionalmente se debe lograr el patrocinio y compromiso de la Alta Dirección y la asignación preliminar de recursos.
Entregables
FINANZAS
Tesorería ESTRATEGIACorporativa
ØMejor servicio al cliente •Externo •Interno ØCreación de valor SERVICIOS CORPORATIVOS ASUNTOS REGULATORIOS TI Fuente
Captación Operaciones Mercadeo yPublicidad NegociosVentas y Servicio yAtención
NEGOCIO SUSTANTIVO SOPORTE • Fondeo • Adm. de Riesgo •Logística del dinero • Análisis Técnico de Crédito • Formalización • Procesamiento de productos • Servicios de Inversion •Tarjetas •Cajeros • Banca Personal • Banca Empresarial •Arrendamientos •Banca Internacional •Seguros Roble • Banca Personal • Banca Empresarial •Online Banking •Seguros •Offshore •Posicionamiento •Publicidad •Imagen •Medios Patrocinio de la Gerencia
Plan de Trabajo Detallado
Entregables
Fase 2
Análisis
de Riesgos y Exposiciones
Es de vital importancia considerar la magnitud de los riesgos que pueden generar eventos no planeados o contingencias. Esta es una actividad crítica y determinará cuáles escenarios son más proclives a ocurrir y cuáles deberían concentrar la mayor atención durante el trabajo de planeación de contingencias.
Procedimientos Personal Software Hardware Cómputo Personal Software Hardware Telecomunicaciones
Nivel de Riesgo Promedio Riesgo
Medio
Bajo Alto
Fase 3
Análisis Impacto de la Interrupción
Proceso Var 1 Proceso 1 24.90 Proceso 2 20.75 Proceso 3 12.87 Proceso 4 12.62 Proceso 5 22.66 Proceso 6 15.44 Proceso 7 11.62 Proceso 8 11.95 Proceso 9 6.89 Proceso 10 -Proceso 11 -Proceso 12 -$0 $200,000 $400,000 $600,000 $800,000 $1,000,000 $1,200,000 $1,400,000 $1,600,000 1 2 3 4 5 6 7 8 9101112131415161718192021222324252627282930 DIAS COSTOS
El tercer paso en un esfuerzo serio de contingencias es considerar los impactos potenciales de cada tipo de desastre o evento. Es crítico entender cómo se afectaría el negocio o la organización bajo los diferentes escenarios posibles. El análisis del Impacto en el Negocio (BIA por sus siglas en inglés) es una forma de evaluar sistemáticamente los potenciales impactos resultantes de varios eventos o incidentes ( interrupción ). Escritorio Mueble Otra area Computo Sitio alterno Otro 0.00 0.05 0.10 0.15 0.20 0.25 0.30
Ubicacion de los respaldos
Entregables
Procesos Críticos
Impacto Operacional
Entregables
La recuperación después de un evento o desastre involucra la conjunción de aspectos relacionados con personas, equipos de cómputo, comunicaciones, coordinación con suplidores, inventarios, equipos de oficina, formularios y documentos ( cheques, recibos, etc. ) y valores ( numerarios, garantías, etc. )
Note:Type your note here. Company Name Address line 1 Address line 2 City, State Zip code (555) 555-5555 Phone (555) 555-5555 Fax Date: Addressee Company Name 555-1212 555-1212 Sender's Name Topic of Fax # To: Firm: Fax #: Phone #: From: Subject: Pages: Date
Note:Type your note here. Company Name Address line 1 Address line 2 City, State Zip code (555) 555-5555 Phone (555) 555-5555 Fax Date: Addressee Company Name 555-1212 555-1212 Sender's Name Topic of Fax # To: Firm: Fax #: Phone #: From: Subject: Pages: Date Note:Type your note here. Company Name Address line 1 Address line 2 City, State Zip code (555) 555-5555 Phone (555) 555-5555 Fax Date: Addressee Company Name 555-1212 555-1212 Sender's Name Topic of Fax # To: Firm: Fax #: Phone #: From: Subject: Pages: Date
Fase 4
Necesidades Críticas de Recuperación
Fase 5
Estrategias de Recuperación
En función de los requerimientos mínimos establecidos en la fase anterior y del impacto de las pérdidas o costos potenciales producto de una eventualidad, se puede ahora entonces establecer las diferentes estrategias de Recuperación y contestar la pregunta Cuánto debería invertir en preparación? ( Curva de Costos de Recuperación ) y asignar presupuestos preliminares.
Sitio Alterno Sitio Actual Hot Site Cold Site Recursos Propios Proveedores Externos Recursos Propios Proveedores Externos Recursos Propios Proveedores Externos
Recuperación de ambiente inicial en sitio actual
Recursos Propios
Curva de Inversiones – Modo
Degradado
$-$10,000.00 $20,000.00 $30,000.00 $40,000.00 $50,000.00 $60,000.00 $70,000.00 1.0 3.0 4.0 6 120 Horas Hot Site Interamerica Cold Site Interamerica Hot Site Propio Cold Site Recursos Propios Sitio Actual Recursos PropiosEntregables
Administración De Crisis Continuidad de Negocios Cómputo Telecomunicaciones Recuperación Sitio Actual Capítulos
Entregables
El desarrollo del Plan tiene varios componentes:
Fase 6
Desarrollo del Plan
Fase 7
Pruebas y Mantenimiento del Plan
Note: Type your note here. Company Name Address line 1 Address line 2 City, State Zip code (555) 555-5555 Phone (555) 555-5555 Fax Date: Addressee Company Name 555-1212 555-1212 Sender's Name Topic of Fax # To: Firm: Fax #: Phone #: From: Subject: Pages: Date
Note: Type your note here. Company Name Address line 1 Address line 2 City, State Zip code (555) 555-5555 Phone (555) 555-5555 Fax Date: Addressee Company Name 555-1212 555-1212 Sender's Name Topic of Fax # To: Firm: Fax #: Phone #: From: Subject: Pages: Date
Note: Type your note here. Company Name Address line 1 Address line 2 City, State Zip code (555) 555-5555 Phone (555) 555-5555 Fax Date: Addressee Company Name 555-1212 555-1212 Sender's Name Topic of Fax # To: Firm: Fax #: Phone #: From: Subject: Pages: Date
Entregables
Los planes desarrollados en la fase anterior deben probarse. Un plan probado es sin duda un mejor plan que uno que nunca ha sido sometido a pruebas. En la pruebas se determinarán deficiencias y mejoras. Se aprenderán lecciones nuevas y se estará en mejor posición de enfrentar un evento real. Las pruebas empiezan por el conocimiento y entendimiento de las responsabilidades y roles del personal de la organización, tanto técnico como de las áreas de negocio. Las pruebas también ayudarán a afinar los procedimientos administrativos y tecnológicos.
Avant Consulting [email protected] Domus Plaza, 2do. Piso, Suite 16 Curridabat San José, Costa Rica
Tel: +506 225-8045
