Microsoft PowerPoint BCP 2012

(1)

Gesti€n de la Continuidad del

Negocio / Plan de Recuperaci€n de

desastres de TI

Frano Capeta Mondo€edo

ISO Lead Auditor 27001, Lead Auditor BS 25999, CGEIT, CRISC,ITIL v3

Desastres en el Mundo…

Terrorismo

Tsunami – Jap•n

WTC, NY - USA

Ataque Metro y Buses Londres - UK

Terremoto

Chile

Incendio

Banco de la Naci•n - Per‚

Pandemia Mundo

Desastres en el Mundo…

INCENDIO

TORRE WIESE

LIMA Mayo 2012

(2)

Limitaciones de ingreso

Bloqueo de carreteras

Desastres en el Mundo…

Epidemia SARS

China

Apag•n a gran escala

Nordeste USA,

Canadƒ

(3)

Torre Nextel en Ica Agosto 2007

(4)

Direcci€n y Gerencias

•rea de Seguridad de la Informaci€n •rea de Sistemas / IT

Auditores Internos

Due‚os / Accionistas de empresas



Consideraciones Generales

Responsables de la implementaci€n

Responsabilidad de los Ejecutivos

Responsables por consecuencias de:

Interrupci€n del negocio

Pƒrdida de informaci€n cr„tica del negocio Protecci€n adecuada de informaci€n por ley

Directores por •reas de responsabilidad

(5)

Continuidad



Consideraciones Generales,

Etapas

Planes - Estructura

POL‚TICAS

Informaci•n general del Plan de Recuperaci•n de

Desastres

EQUIPOS DE TRABAJO

Objetivo Roles

ROLES

Responsabilidades (Antes / Durante /

Despu„s)

Funciones (Antes / Durante / Despu„s)

PROCEDIMIENTOS

Se detallan las actividades a realizar por

cada equipo antes, durante y despu„s

de la contingencia

PRUEBAS DELPLAN

•Dise†o •Ejecuci•n •Evaluaci•n •Documentaci•n



Consideraciones Generales

Estrategia

planificada

y

constituida

por

un

conjunto

de

recursos

de

respaldo,

una

organizaci•n de emergencia y procedimientos,

para conseguir la recuperaci•n progresiva y

rƒpida de los servicios de negocios afectados por

una paralizaci•n total o parcial de la capacidad

operativa de la empresa producto de una crisis o

Plan de Continuidad

Objetivo Primario del Plan de Continuidad

• El objetivo de la continuidad del negocio es

habilitar a una organizacion para que contin‚e

brindando sus servicios cr‡ticos en caso de

desastre y

que pueda sobrevivir

a

una

(6)

• Implantar la Continuidad del Negocio a nivel

organizacional.

• Conocer el impacto financiero y no financiero

en el negocio

• Los propietarios de la informaciƒn deber„n

definir el Tiempo de Recuperaciƒn adecuado

• Contar con los procedimientos de continuidad

del negocio por cada unidad de negocio y de

la empresa

Objetivos del Plan

de Continuidad

Objetivos del Plan

de Continuidad

• Concientizar y capacitar a los usuarios acerca

de las actividades que deben hacer en caso

se active el Plan de Continuidad.

• Contar con un Centro de Cƒmputo Alterno de

acuerdo

a

los

requerimientos

de

las

necesidades de la Empresa.

• Realizar pruebas y proponer mejoras del Plan

de Continuidad del Negocio desarrollado,

ciclo continuo.

Objetivos del Plan

de Continuidad

Objetivos del Plan

de Continuidad

• El

Plan

debe

asegurar

la

continuidad

y

recuperaciƒn del negocio ante una contingencia.

• Preparar

a

los

usuarios

para

mantener

las

operaciones del negocio durante la contingencia.

• Asegurar que el tiempo de recuperaciƒn definido

sea el adecuado para el negocio.

• Asegurar

que

la

tecnolog…a

que

soporta

las

operaciones cr…ticas del negocio sea necesario

para la operatividad en caso de contingencia.

Retos de un Plan de Continuidad

Planificaciƒn del

Proyecto

(7)

El Proceso

Plan de Continuidad del Negocio

FASE I Business Impact Analysis

Analiza los impactos financieros y operacionales de un desastre en la organizaci€n, sus …reas y procesos.

Impactos Financieros :

Perdidas Monetarias: Perdidas de ventas, perdidas contractuales, degradaci€n de productos

Impactos Operacionales :

Representan perdidas no monetarias relacionadas con las operaciones del negocio, tales como:

A)Perdida de competitividad

b)Da‚o a la confidencialidad de la inversi€n

C)Pobre servicio al cliente

D)Da‚o a la reputaci€n del negocio

Actividades

•Relevar informaci•n sobre las unidades de

negocio a trav„s del cuestionario de anƒlisis de

impacto y las entrevistas con las Gerencias y/o

representantes de cada ƒrea.

• Validar procesos, funciones, recursos y tiempos

de recuperaci•n cr‡ticos del negocio.

An„lisis de Impacto BIA

Actividades T.I.

• Determinar la criticidad de recursos de

informaci•n.

• Involucrar al personal de sistemas y usuarios

finales.

• Anƒlisis de todos los tipos de recursos de

informaci•n.

(8)

Clasificaci•n de los sistemas de informaci•n:

• Cr…tico

: Estas funciones no pueden realizarse a menos

que sean reemplazadas por capacidades id„nticas.

• Vital

: Estas funciones pueden realizarse manualmente

por un per‡odo breve de tiempo.

• Sensitivo

: Funciones a realizarse manualmente a un

costo tolerable y por un per‡odo prolongado de tiempo.

• No cr…tico

: Funciones que pueden ser interrumpidas

por un largo per‡odo de tiempo, a un bajo costo para la

compa†‡a, requiere de poco o ning‚n esfuerzo para

ponerse al d‡a cuando son restaurados.

An„lisis de Impacto BIA

Regla del 80/20

T…picamente el 20% de los procesos o subprocesos

cubre el 80% de las funciones mas criticas del

negocio.

An„lisis de Impacto BIA

• ˆCuƒl ser‡a la p„rdida mƒxima que podr‡a sufrir la empresa ante la ocurrencia del escenario definido si no contara con un Plan de Continuidad?

• No contar con un plan de continuidad normalmente implica cesar operaciones hasta que la situaci•n normal pueda restaurarse.

Sustentaciƒn del BCM (Impacto Financiero)

An„lisis de Impacto BIA

•ˆCuƒnto tiempo demorar‡a esta restauraci•n en funci•n del escenario definido?

• Si durante este tiempo de demora, la empresa cesa sus

operaciones, ˆCuƒl es la p„rdida total?

• ˆLa empresa podr‡a sobrevivir ese lapso sin operar?

• En el extremo la empresa desaparece y los accionistas pierden el valor de la empresa.

Sustentaciƒn del BCM (Impacto Financiero)

(9)

• Inventario de procesos cr‡ticos del negocio.

• Anƒlisis de las potenciales amenazas para el negocio.

•Determinaci•n del impacto financiero y operacional de una

interrupci•n sobre un proceso de negocio cr‡tico.

Resultados

An„lisis de Impacto BIA

Proceso metodol€gico del BIA

Identificaci€n de funciones y procesos de

negocios

BIA TAREA 1

Funci•n del Negocio Procesos

Generaci•n de •rdenes Informe datos de ventas Promoci•n de productos Mantenimiento de Catƒlogo Manejo problemas del cliente Proceso de •rdenes Empaque de productos Env‡o de productos

Funcion del Negocio y procesos Ventas

Marketing

Servicio al Cliente

Despacho

BIA TAREA 2

Evaluaci€n de los impactos financieros y

operacionales

‚Cuales serian la magnitud y la severidad de las perdidas financieras si el proceso fuese

(10)

1. Nivel de Severidad 0 (Impacto 0) 2. Nivel de Severidad 1 (Menor Impacto) 3. Nivel de Severidad 2 (Impacto Intermedio) 4. Nivel de Severidad 3 (Impacto Mayor)

Funciƒn del Negocio Proceso de Negocio Magnitud de p†rdida

Financiera (diaria) Nivel de Severidad

Generaci•n de Ordenes $ 700 3

Informes datos ventas 0 0

Promoci•n productos 1

Mantenimiento Catƒlogo $ 5,000 1 Manejo problemas cliente $ 5,000 1 Prosamiento •rdenes $ 500,000 3

Empaque productos $ 15,000 2

Env‡o productos $ 20,000 2

Ilustraci•n de impactos financieros y niveles de severidad Ventas

Marketing

Servicio al Cliente

Despacho

Impactos Operacionales

La medici€n de los impactos operacionales eval•a el impacto negativo de una interrupci€n en varios

aspectos de las operaciones del negocio. Los impactos operacionales se pueden medir utilizando un

esquema de jerarquizacion cualitativo, tal como:

1. BAJO 2. MEDIANO 3. ALTO 4. ALTISIMO 5. NINGUNO

Flujo Caja Confianza inversi•n

Participaci•n mercado Competitividad

Satisfacci•n cliente Generaci•n •rdenes Alto Alto Altisimo Alto Ninguno Informes datos ventas Ninguno Altisimo Bajo Ninguno Ninguno Promoci•n Productos Bajo Alto Alto Altisimo Bajo Mantenimiento Catƒlogo Bajo Mediano Alto Altisimo Alto Manejo problemas clientes Mediano Bajo Bajo Mediano Alto Procesamiento •rdenes Altisimo Mediano Bajo Mediano Altisimo Empaque producto Alto Mediano Bajo Alto Alto Env‡o producto Alto Mediano Bajo Alto Alto

Proceso de Negocio

Jerarquizaci•n impactos operacionales

Ventas

Ilustraci•n de Impactos Operacionales Marketing

Servicio Cliente

Despacho Funciƒn del Negocio

BIA TAREA 3

Identificaci€n de procesos cr‚ticos

La clasificaci€n financiera y operacional de los impactos, proporciona una base para identificar procesos cr‚ticos del negocio.

Se define proceso criticosi cumple con los requerimientos siguientes:

1) Una severidad alta a los impactos financieros

2) Una clasificaci€n de alta de por lo menos a tres de sus impactos operacionales

3) Una clasificaci€n de alta se asigna al menos a dos, y una clasificaci€n de alt‚sima se asigna a uno de sus aspectos operacionales

4) Una clasificaci€n de alt‚sima se asigna por lo menos a dos de sus impactos operacionales

(11)

BIA TAREA 4

Establecimiento de los tiempos de recuperaci€n

Consisten en una serie de componentes que tienen que ver con el tiempo disponible para recuperarse de una alteraci€n.

Una vez identificados los procesos cr‚ticos del negocio se debe de identificar el MTD para cada uno y jerarquizarlo con base a esa informaci€n

MTD

Este tiempo representa el periodo mƒximo de tiempo de inactividad que puede tolerar la organizaci€n, sin entrar en un colapsofinanciero y operacional.

Establecimiento de los tiempos de recuperaciƒn

Este tiempo esta relacionado con la tolerancia que la empresa puede tener, sobre la perdida de datos, medidos en t„rminos del tiempo entre el ultimo respaldo (Backup) de datos y el evento del desastre

Esta asociado con la recuperaci€n de recursos tales como sistemas de computo, equipos de manufactura e infraestructura f‚sica. El RTO es el tiempo transcurrido entre una interrupci€n y la recuperaci€n. Indica el tiempo disponible para recuperar sistemas y recursos interrumpidos.

(12)

Consiste en el espacio de tiempo durante el cual un proceso puede estar inoperante hasta que la empresa empiece a tener perdidas y colapse

Se calcula como el tiempo entre la recuperaci€n del sistema y la normalizaci€n del procesamiento. Es el tiempo invertido en buscar datos perdidos y realizar reparaciones.

Establecimiento de los tiempos de recuperaciƒn

Descripci€n de Tiempos de Recuperaci€n:

MAXIMUN TOLERABLE DOWNTIME (MTD) : Este tiempo representa el periodo mƒximo de tiempo de inactividad que puede tolerar la organizaci€n, sin entrar en un colapso financiero y operacional.

RECOVERY TIME OBJECTIVE (RTO): Indica el tiempo disponible para recuperar sistemas y/o recursos que han sufrido una alteraci€n.

RECOVERY POINT OBJETIVE (RPO) :Se refiere a la magnitud de la perdida de datos, medida en t„rminos de un periodo de tiempo que un proceso de negocios puede tolerar.

WORK RECOVERY TIME (WRT): Es el tiempo disponible para recuperar datos perdidos una vez que los sistemas estan reparados dentro del MTD

La suma de los tiempos del RTO y WRT seran iguales o menores que el MTD. JAMAS PUEDEN SER MAYORES

(13)

BIA TAREA 5

Identificaci€n de requerimientos de recursos

Un sistema de tecnolog‚a de informaci€n o una aplicaci€n se considera vital si apoya un proceso critico de negocio.

Recursos no cr‚ticos de tecnolog‚a de informaci€n

Se deben de identificar todos aquellos recursos que no son de tecnolog‚a de informaci€n requeridos por los procesos de negocio cr‚ticos.

BIA TAREA 6

Determinaci€n del RTO (Recovery Time Objetive)

El RTO esta asociado con la recuperaci€n de recursos tanto de TI como ajenos; Es el tiempo entre el desastre y la recuperaci€n de los recursos.

El WRT es el tiempo requerido para completar el trabajo interrumpido a fin de volverlo a la normalidad

BIA TAREA 7

Determinaci€n del RPO (Recovery Point Objetive)

Se debe de determinar el RPO por cada aplicaci€n, respondiendo a la siguiente interrogante:

(14)

El Proceso del Plan de Continuidad del Negocio

FASE II Gesti€n del Riesgo

Contempla tradicionalmente el “Calculo del riesgo, la apreciaci€n de su impacto en el negocio y la posibilidad de ocurrencia”.

Es muy importante entender que un programa de continuidad de negocio no solo debe atender la recuperaci€n de las instalaciones frente a un desastre, sino tambiƒn contemplar las acciones preventivas a que haya lugar.

Para este prop€sito, en todo programa de continuidad, se debe efectuar con regularidad un calculo del riesgo que nosolo contemple la identificaci€n de amenazas significativas que afecten las operaciones de la empresa, las vulnerabilidades y el grado de exposici€n al riesgo, sino que igualmente es necesario identificar los controles a instaurar para minimizar el da‚o del impacto de un posible desastre en la empresa.

Metodolog†a del Calculo de Riesgo

RIESGOes la probabilidad que unaAMENAZApueda explotar unaVULNERABILIDAD y causar da…o a losACTIVOSde una organizaci€n.

Amenaza

es el intento de hacer da…o.

Vulnerabilidades

son las condiciones de la organizaci€n que pueden hacer que una amenaza se manifieste.

Los

Activos

de una organizaci€n son todas aquellas cosas a las que la empresa les da valor.

(15)

Activos:Los que estƒn adentro

Amenazas:Enemigo exterior

Controles: Murallas

Vulnerabilidad:Brechas en la Muralla

El Ataque de las amenazas aprovecha las brechas y causa impactos en los Activos. El reforzamiento de estos controles repara los impactos y reduce las brechas

AnÄlisis de Riesgos.

Definiciones

Activos:Los que estƒn adentro

AnÄlisis de Riesgos. Definiciones

Activos:Los que estƒn adentro

(16)

El Ataque de las Amenazas aprovecha las Vulnerabilidades y causa impactos en los Activos. El reforzamiento de estos controles repara los impactos y reduce las brechas

AnÄlisis de Riesgos. Definiciones

_{Objetivos de la Gesti€n del Riesgo,}

para el desarrollo del plan de continuidad

1. Identificaciƒn de las distintas amenazas que podr†an impedir el normal desarrollo de las operaciones en la empresa.

2. Evaluar la vulnerabilidad organizacional de cada amenaza y que tan severamente podr†an afectarse las operaciones en la empresa.

3. Revisiƒn de los controles actuales para reducir el riesgo o mitigar las perdidas 4. Calculo del nivel de exposiciƒn al riesgo.

5. Determinar los escenarios de amenazas para los cuales se deben desarrollar las estrategias de continuidad y los planes respectivos.

1.- Identificaci€n de Amenazas

A) An…lisis general de amenazas : Se revisan las distintas potenciales amenazas que pueden afectar la organizaci€n. Se deben identificar las exposiciones especificas que puedan requerir medidas protectoras y as„ minimizar la probabilidad de que las amenazas pudiesen causar da‚o a la organizaci€n.

1. Ubicaci€n de instalaciones 2. Seguridad interna y externa 3. Ambiente f‚sico 4. Protecci€n del personal 5. Protecci€n de informaci€n 6. An•lisis de la cobertura de p€lizas

Este an…lisis se debe realizar en las instalaciones de la empresa

Tipos de Amenazas

Naturaleza Terremotos Inundaciones Huracanes Incendios Hombre

Actos sobre la informaci€n

Intencionales (Fraudes)

Accidentales

1.- Identificaci€n de Amenazas

A) An…lisis de procesos esenciales : Identificar las posibles interrupciones a las que los procesos esenciales est…n expuestos por la perdida de recursos b…sicos, tales como :

1. Instalaciones 2. Sistemas de computo 3. Registros vitales 4. Sistemas telef€nicos 5. Personal clave 6. Conectividad de la red 7. Equipo especializado 8. Materias primas

(17)

* Computer System Security And Privacy Advisory Board Annual Report - 2009

Amenazas Comunes

63%

13%

10%

6%

8%

Errores y Omisiones

Empleados deshonestos

Empleados Disgustados

Fallas de soporte e infraestructura

Teceros-Outsiders



Consideraciones Generales



Consideraciones Generales

Efecto ocasionado en la organizaci€n como consecuencia de la ocurrencia de una amenaza.

El impacto puede ser econ€mico, en productividad, operativo

……

Interrupci€n de actividades Sanciones

Pƒrdida o destrucci€n de activos Desventaja competitiva Pƒrdida de imagen.

Impacto

Se debe decidir sobre las opciones de tratamiento de riesgo:

• Cuales amenazas se reducir…n con controles

• Cuales se aceptaran y se decidir… vivir con ellas

• Cuales se transferir…n

• Cuales se evitaran.

2.- Identificaci€n de Vulnerabilidades

Una vulnerabilidad no causa da€o; simplemente es una condiciƒn o conjunto de condiciones que pueden hacer que una amenaza afecte un activo.

(18)

3.- Revisi€n de los controles actuales

Al haber identificado las distintas amenazas y las respectivas vulnerabilidades, en esta etapa se deben analizar con la debida profundidad los distintos controles existentes en la empresa.

Si una amenaza explota una vulnerabilidad podr‚a generarse un desastre.

Se debe tener presente en asegurarse de que las salvaguardas estƒn trabajando en forma correcta.

Una salvaguarda en la cual se conf‚a en su eficacia, pero en la practica no opera bien, es una fuente de posibles vulnerabilidades y se aumentan las probabilidades de que las amenazas penetren y hagan da…o.

FASE III Desarrollo de estrategias de BCM

(19)

• Para T.I. identificar la m„s adecuada estrategia de

recuperaciƒn de acuerdo a los requerimientos del

negocio, considerando el tiempo de recuperaciƒn y

el costo asociado.

• Para el Negocio, identificar los procesos cr…ticos

del negocio, mientras se espera la recuperaciƒn de

TI y las facilidades

• Para

la

empresa,

identificar

la

estrategia

de

negocio

con

proveedores,

alianzas,

seguros,

registros

vitales,

seguridad

del

empleado,

comunicaciones, etc.

• Definir nivel de servicio

Actividades

Estrategias de Recuperaciƒn

_{Alternativas de}

Recuperaciƒn

Alternativas de

Recuperaciƒn

• Tipos de Centros de Respaldo:

• Hot Sites

• Warm Sites

• Cold Sites

• Mirroring Sites

• Sitios M•viles

• Acuerdos rec‡procos con otras compa†‡as

Desarrollo de estrategias y controles

Sitio Costo Equipo HW Telecoms Tiempo _Setup Local

Cold Bajo Nada Nada Largo Fijo

Warm Medio Parcial Parcial/Full Medio Fijo

Hot Medio/_Alto Completo Completo Corto Fijo

Mobile Alto Dependiente Depend. Depend. No Fijo

Mirrored Alto Completo Completo Nada Fijo

Ubicaci•n que cuenta con las instalaciones, equipos de c•mputo, telecomunicaciones, l‡neas dedicadas y Personal preparado y listos para manejar las operaciones realizadas en otro centro de c•mputo, el cual ha sido afectado por alg‚n evento.

Capacidad: para un n‚mero determinado de empleados Ubicaci•n: otro local de la Compa†‡a o proveedor especializado Uso: seguridad, mantenimiento de equipamiento, local conocido, siempre disponible, realizaci•n de pruebas.

Costo: Alto, se considera comunicaciones, equipamiento,

mantenimiento

Ejemplo: agencia, otro local de la C‡a., centro de contingencia de

(20)

Espacio con comunicaciones disponibles y equipos de menor capacidad parcialmente configurado, pero sin equipamiento de c•mputo principal.

Capacidad: Para muchos empleados Ubicaci•n: local

Uso: se podr‡a contar con todo el equipo para trabajar, considera tiempo de configuraci•n. Coordinar para realizar pruebas.

Costo: medio, considerando comunicaciones y equipamiento Ejemplo: teletrabajo, en oficinas de terceros o propias del grupo o compa†‡a

Alternativas de Recuperaciƒn – Warm Site

Espacio propio de la compa†‡a o de un proveedor que permita la recuperaci•n de s•lo el local, sin recursos ni conectividad especial.

Capacidad: para un grupo de empleados Ubicaci•n: local

Uso: espacio que puede no estar disponible, falta de recursos necesarios dificultad para realizar pruebas

Costo: bajo Ejemplo: oficinas vac‡as

Alternativas de Recuperaciƒn – Cold Site

N o se p u e d e m o str a r la im a g e n e n e ste m o m e n to .

Alternativas de Recuperaciƒn – Sitios Mƒviles

Sistema Operativo

Capa de Hardware

Sistema de Archivos

Red IP

Aplicaciones Aplicaciones

Sistema Operativo

Sistema de Archivos

Capa de Hardware

(21)

M†todos de recuperaciƒn

Telecomunicaciones

M†todos de recuperaciƒn

Telecomunicaciones

• Redundancia: Capacidad adicional, v‡as multiples, protecci•n de

archivos, etc.

• Direccionamiento alternativo: A trav„s de un medio alterno

• Direccionamiento diverso: Encaminar el trƒfico a trav„s de

instalaciones divididas o duplicadas

• Protecci•n de circuito de “ultimo tramo”

• Recuperaci•n de la Voz

Se

debe

dar

una

alta

prioridad

a

los

procedimientos

para

asegurar

capacidades

continuas de telecomunicaciones, estos incluye

LAN, WAN, redes de voz.

Consideraciones para

el hardware alternativo

Consideraciones para

el hardware alternativo

• Evitar el uso de equipos inusuales o dif‡ciles de

conseguir

• Actualizar

regularmente

loa

equipos

para

mantenerlos con las ‚ltimas versiones

• Mantener la compatibilidad del software para

permitir la operaci•n de equipos mƒs nuevos

• Documentar las consideraciones especiales

entre hardware y software

- Centro de Comando (siempre disponible)

Alberga a la alta gerencia inmediatamente despu„s de lo sucedido el desastre, a fin de proveerles un lugar adecuado para la toma de decisiones

- Centro de C•mputo Alterno

Alberga los equipos de computo y personal encargado de continuar

con el soporte tecnol•gico que permite la ejecuci•n de los

procedimientos cr‡ticos del negocio

- Centro de Negocio Alterno

Alberga los equipos encargados de continuar con la ejecuci•n de los

(22)

FASE IV Desarrollo del Plan de recuperaci€n

Este plan contiene procedimientos de recuperaci€n predeterminados y lineamientos que las organizaciones deben seguir durante una situaci€n de crisis para minimizar los impactos al negocio.

El plan debe cubrir el manejo de respuestas a

incidentes para resolver todas las incidentes que

afecten los procesos y anƒlisis del negocio

Desarrollo del PLAN

•Procedimientos de evacuaci•n

•Procedimientos para declarar un desastre

•Las circunstancias bajo las cuales se debe declarar

un desastre.

Todas las interrupciones no son desastres, pero un peque€o incidente,

si no es resuelto a su debido tiempo o de manera apropiada puede

conducir a un desastre.

• La identificaci•n de responsabilidades en el plan

• La identificaci•n de las personas responsables de

cada funci•n en el plan

• La identificaci•n de informaci•n de los contratos

• La explicaci•n paso por paso de la opci•n de

recuperaci•n

Desarrollo del PLAN

Organizaciƒn y

responsabilidades

Organizaciƒn y

responsabilidades

• Equipo de acciƒn ante emergencias

• Primer equipo de respuesta

• Responsabilidad de tratar con los incendios o desastres

• Equipo de evaluaciƒn de daˆos

• Determina la extensi•n de los da†os

• Realizan el estimado de tiempo que se requiere para

recuperar las operaciones en el centro de c•mputo

• Equipo administrador de la emergencia

• Responsable de coordinar las actividades de todos los otros

equipos de recuperaci•n

(23)

Organizaciƒn y

responsabilidades

Organizaciƒn y

responsabilidades

• Equipo de almacenamiento alterno (Off-site)

• Responsables de obtener y enviar los respaldos al sitio

alterno

• Equipo de software

• Responsable de restaurar el software base

• Equipo de aplicaciones

• Responsable de restaurar las aplicaciones en el sitio alterno

• Equipo de seguridad

• Responsable de controlar la seguridad de los sistemas y las

comunicaciones

• Responsables de asegurar que el paquete de software de

seguridad

ha

sido

instalado

correctamente

y

estƒ

funcionando

Organizaciƒn y

responsabilidades

Organizaciƒn y

responsabilidades

• Equipo de operaciones de emergencia

• Responsables de iniciar las operaciones en el sitio alterno

• Equipo de recuperaciƒn de la red

• Responsable de restaurar las red

• Equipo de comunicaciones

• Responsable de restaurar las comunicaciones en el sitio

alterno

• Equipo de Transportes

• Responsable de transportar los suministros

Respaldo de

Suministros

Respaldo de

Suministros

• Papel membretado

• Formularios estƒndares

• Formularios especiales

• Sellos

Asegurar que toda la informaciƒn de

recuperaciƒn;

est†

completa,

almacenada

en

un

local

externo

seguro, utilizable y que pueda ser

obtenida f„cilmente por las persona

autorizadas.

(24)

FASE V Ensayo del Plan de Continuidad

El prop€sito fundamental de esta fase es validar la estrategia del Plan de Continuidad del Negocio, sus suposiciones, las actividades, los procedimientos y lineamientos especificados en el plan de reanudacion de operaciones