Gesti€n de la Continuidad del
Negocio / Plan de Recuperaci€n de
desastres de TI
Frano Capeta Mondo€edo
ISO Lead Auditor 27001, Lead Auditor BS 25999, CGEIT, CRISC,ITIL v3
Desastres en el Mundo…
Terrorismo
Tsunami – Jap•n
WTC, NY - USA
Ataque Metro y Buses Londres - UK
Terremoto
Chile
Incendio
Banco de la Naci•n - Per‚
Pandemia Mundo
Desastres en el Mundo…
INCENDIO
TORRE WIESE
LIMA Mayo 2012
Limitaciones de ingreso
Bloqueo de carreteras
Desastres en el Mundo…
Epidemia SARS
China
Apag•n a gran escala
Nordeste USA,
Canadƒ
Torre Nextel en Ica Agosto 2007
Direcci€n y Gerencias
•rea de Seguridad de la Informaci€n •rea de Sistemas / IT
Auditores Internos
Due‚os / Accionistas de empresas
Consideraciones Generales
Responsables de la implementaci€n
Responsabilidad de los Ejecutivos
Responsables por consecuencias de:
Interrupci€n del negocio
Pƒrdida de informaci€n cr„tica del negocio Protecci€n adecuada de informaci€n por ley
Directores por •reas de responsabilidad
Continuidad
Consideraciones Generales,
Etapas
Planes - Estructura
POL‚TICAS
Informaci•n general del Plan de Recuperaci•n de
Desastres
EQUIPOS DE TRABAJO
Objetivo Roles
ROLES
Responsabilidades (Antes / Durante /
Despu„s)
Funciones (Antes / Durante / Despu„s)
PROCEDIMIENTOS
Se detallan las actividades a realizar por
cada equipo antes, durante y despu„s
de la contingencia
PRUEBAS DELPLAN
•Dise†o •Ejecuci•n •Evaluaci•n •Documentaci•n
Consideraciones Generales
Estrategia
planificada
y
constituida
por
un
conjunto
de
recursos
de
respaldo,
una
organizaci•n de emergencia y procedimientos,
para conseguir la recuperaci•n progresiva y
rƒpida de los servicios de negocios afectados por
una paralizaci•n total o parcial de la capacidad
operativa de la empresa producto de una crisis o
Plan de Continuidad
Plan de Continuidad
Objetivo Primario del Plan de Continuidad
Objetivo Primario del Plan de Continuidad
• El objetivo de la continuidad del negocio es
habilitar a una organizacion para que contin‚e
brindando sus servicios cr‡ticos en caso de
desastre y
que pueda sobrevivir
a
una
•
Implantar la Continuidad del Negocio a nivel
organizacional.
•
Conocer el impacto financiero y no financiero
en el negocio
•
Los propietarios de la informaciƒn deber„n
definir el Tiempo de Recuperaciƒn adecuado
•
Contar con los procedimientos de continuidad
del negocio por cada unidad de negocio y de
la empresa
Objetivos del Plan
de Continuidad
Objetivos del Plan
de Continuidad
•
Concientizar y capacitar a los usuarios acerca
de las actividades que deben hacer en caso
se active el Plan de Continuidad.
•
Contar con un Centro de Cƒmputo Alterno de
acuerdo
a
los
requerimientos
de
las
necesidades de la Empresa.
•
Realizar pruebas y proponer mejoras del Plan
de Continuidad del Negocio desarrollado,
ciclo continuo.
Objetivos del Plan
de Continuidad
Objetivos del Plan
de Continuidad
•
El
Plan
debe
asegurar
la
continuidad
y
recuperaciƒn del negocio ante una contingencia.
•
Preparar
a
los
usuarios
para
mantener
las
operaciones del negocio durante la contingencia.
•
Asegurar que el tiempo de recuperaciƒn definido
sea el adecuado para el negocio.
•
Asegurar
que
la
tecnolog…a
que
soporta
las
operaciones cr…ticas del negocio sea necesario
para la operatividad en caso de contingencia.
Retos de un Plan de Continuidad
Planificaciƒn del
Proyecto
El Proceso
Plan de Continuidad del Negocio
FASE I Business Impact Analysis
Analiza los impactos financieros y operacionales de un desastre en la organizaci€n, sus …reas y procesos.
Impactos Financieros :
Perdidas Monetarias: Perdidas de ventas, perdidas contractuales, degradaci€n de productos
Impactos Operacionales :
Representan perdidas no monetarias relacionadas con las operaciones del negocio, tales como:
A)Perdida de competitividad
b)Da‚o a la confidencialidad de la inversi€n
C)Pobre servicio al cliente
D)Da‚o a la reputaci€n del negocio
Actividades
•Relevar informaci•n sobre las unidades de
negocio a trav„s del cuestionario de anƒlisis de
impacto y las entrevistas con las Gerencias y/o
representantes de cada ƒrea.
• Validar procesos, funciones, recursos y tiempos
de recuperaci•n cr‡ticos del negocio.
An„lisis de Impacto BIA
An„lisis de Impacto BIA
Actividades T.I.
• Determinar la criticidad de recursos de
informaci•n.
• Involucrar al personal de sistemas y usuarios
finales.
• Anƒlisis de todos los tipos de recursos de
informaci•n.
Clasificaci•n de los sistemas de informaci•n:
•
Cr…tico
: Estas funciones no pueden realizarse a menos
que sean reemplazadas por capacidades id„nticas.
•
Vital
: Estas funciones pueden realizarse manualmente
por un per‡odo breve de tiempo.
•
Sensitivo
: Funciones a realizarse manualmente a un
costo tolerable y por un per‡odo prolongado de tiempo.
•
No cr…tico
: Funciones que pueden ser interrumpidas
por un largo per‡odo de tiempo, a un bajo costo para la
compa†‡a, requiere de poco o ning‚n esfuerzo para
ponerse al d‡a cuando son restaurados.
An„lisis de Impacto BIA
An„lisis de Impacto BIA
Regla del 80/20
T…picamente el 20% de los procesos o subprocesos
cubre el 80% de las funciones mas criticas del
negocio.
An„lisis de Impacto BIA
An„lisis de Impacto BIA
• ˆCuƒl ser‡a la p„rdida mƒxima que podr‡a sufrir la empresa ante la ocurrencia del escenario definido si no contara con un Plan de Continuidad?
• No contar con un plan de continuidad normalmente implica cesar operaciones hasta que la situaci•n normal pueda restaurarse.
Sustentaciƒn del BCM (Impacto Financiero)
An„lisis de Impacto BIA
An„lisis de Impacto BIA
•ˆCuƒnto tiempo demorar‡a esta restauraci•n en funci•n del escenario definido?
• Si durante este tiempo de demora, la empresa cesa sus
operaciones, ˆCuƒl es la p„rdida total?
• ˆLa empresa podr‡a sobrevivir ese lapso sin operar?
• En el extremo la empresa desaparece y los accionistas pierden el valor de la empresa.
Sustentaciƒn del BCM (Impacto Financiero)
• Inventario de procesos cr‡ticos del negocio.
• Anƒlisis de las potenciales amenazas para el negocio.
•Determinaci•n del impacto financiero y operacional de una
interrupci•n sobre un proceso de negocio cr‡tico.
Resultados
An„lisis de Impacto BIA
An„lisis de Impacto BIA
Proceso metodol€gico del BIA
Identificaci€n de funciones y procesos de
negocios
BIA TAREA 1
Funci•n del Negocio Procesos
Generaci•n de •rdenes Informe datos de ventas Promoci•n de productos Mantenimiento de Catƒlogo Manejo problemas del cliente Proceso de •rdenes Empaque de productos Env‡o de productos
Funcion del Negocio y procesos Ventas
Marketing
Servicio al Cliente
Despacho
BIA TAREA 2
Evaluaci€n de los impactos financieros y
operacionales
‚Cuales serian la magnitud y la severidad de las perdidas financieras si el proceso fuese
1. Nivel de Severidad 0 (Impacto 0) 2. Nivel de Severidad 1 (Menor Impacto) 3. Nivel de Severidad 2 (Impacto Intermedio) 4. Nivel de Severidad 3 (Impacto Mayor)
Funciƒn del Negocio Proceso de Negocio Magnitud de p†rdida
Financiera (diaria) Nivel de Severidad
Generaci•n de Ordenes $ 700 3
Informes datos ventas 0 0
Promoci•n productos 1
Mantenimiento Catƒlogo $ 5,000 1 Manejo problemas cliente $ 5,000 1 Prosamiento •rdenes $ 500,000 3
Empaque productos $ 15,000 2
Env‡o productos $ 20,000 2
Ilustraci•n de impactos financieros y niveles de severidad Ventas
Marketing
Servicio al Cliente
Despacho
Impactos Operacionales
La medici€n de los impactos operacionales eval•a el impacto negativo de una interrupci€n en varios
aspectos de las operaciones del negocio. Los impactos operacionales se pueden medir utilizando un
esquema de jerarquizacion cualitativo, tal como:
1. BAJO 2. MEDIANO 3. ALTO 4. ALTISIMO 5. NINGUNO
Flujo Caja Confianza inversi•n
Participaci•n mercado Competitividad
Satisfacci•n cliente Generaci•n •rdenes Alto Alto Altisimo Alto Ninguno Informes datos ventas Ninguno Altisimo Bajo Ninguno Ninguno Promoci•n Productos Bajo Alto Alto Altisimo Bajo Mantenimiento Catƒlogo Bajo Mediano Alto Altisimo Alto Manejo problemas clientes Mediano Bajo Bajo Mediano Alto Procesamiento •rdenes Altisimo Mediano Bajo Mediano Altisimo Empaque producto Alto Mediano Bajo Alto Alto Env‡o producto Alto Mediano Bajo Alto Alto
Proceso de Negocio
Jerarquizaci•n impactos operacionales
Ventas
Ilustraci•n de Impactos Operacionales Marketing
Servicio Cliente
Despacho Funciƒn del Negocio
BIA TAREA 3
Identificaci€n de procesos cr‚ticos
La clasificaci€n financiera y operacional de los impactos, proporciona una base para identificar procesos cr‚ticos del negocio.
Se define proceso criticosi cumple con los requerimientos siguientes:
1) Una severidad alta a los impactos financieros
2) Una clasificaci€n de alta de por lo menos a tres de sus impactos operacionales
3) Una clasificaci€n de alta se asigna al menos a dos, y una clasificaci€n de alt‚sima se asigna a uno de sus aspectos operacionales
4) Una clasificaci€n de alt‚sima se asigna por lo menos a dos de sus impactos operacionales
BIA TAREA 4
Establecimiento de los tiempos de recuperaci€n
Consisten en una serie de componentes que tienen que ver con el tiempo disponible para recuperarse de una alteraci€n.
Una vez identificados los procesos cr‚ticos del negocio se debe de identificar el MTD para cada uno y jerarquizarlo con base a esa informaci€n
MTD
Este tiempo representa el periodo mƒximo de tiempo de inactividad que puede tolerar la organizaci€n, sin entrar en un colapsofinanciero y operacional.
Establecimiento de los tiempos de recuperaciƒn
Este tiempo esta relacionado con la tolerancia que la empresa puede tener, sobre la perdida de datos, medidos en t„rminos del tiempo entre el ultimo respaldo (Backup) de datos y el evento del desastre
Establecimiento de los tiempos de recuperaciƒn
Esta asociado con la recuperaci€n de recursos tales como sistemas de computo, equipos de manufactura e infraestructura f‚sica. El RTO es el tiempo transcurrido entre una interrupci€n y la recuperaci€n. Indica el tiempo disponible para recuperar sistemas y recursos interrumpidos.
Consiste en el espacio de tiempo durante el cual un proceso puede estar inoperante hasta que la empresa empiece a tener perdidas y colapse
Se calcula como el tiempo entre la recuperaci€n del sistema y la normalizaci€n del procesamiento. Es el tiempo invertido en buscar datos perdidos y realizar reparaciones.
Establecimiento de los tiempos de recuperaciƒn
Establecimiento de los tiempos de recuperaciƒn
Descripci€n de Tiempos de Recuperaci€n:
MAXIMUN TOLERABLE DOWNTIME (MTD) : Este tiempo representa el periodo mƒximo de tiempo de inactividad que puede tolerar la organizaci€n, sin entrar en un colapso financiero y operacional.
RECOVERY TIME OBJECTIVE (RTO): Indica el tiempo disponible para recuperar sistemas y/o recursos que han sufrido una alteraci€n.
RECOVERY POINT OBJETIVE (RPO) :Se refiere a la magnitud de la perdida de datos, medida en t„rminos de un periodo de tiempo que un proceso de negocios puede tolerar.
WORK RECOVERY TIME (WRT): Es el tiempo disponible para recuperar datos perdidos una vez que los sistemas estan reparados dentro del MTD
La suma de los tiempos del RTO y WRT seran iguales o menores que el MTD. JAMAS PUEDEN SER MAYORES
BIA TAREA 5
Identificaci€n de requerimientos de recursos
Un sistema de tecnolog‚a de informaci€n o una aplicaci€n se considera vital si apoya un proceso critico de negocio.
Recursos no cr‚ticos de tecnolog‚a de informaci€n
Se deben de identificar todos aquellos recursos que no son de tecnolog‚a de informaci€n requeridos por los procesos de negocio cr‚ticos.
BIA TAREA 6
Determinaci€n del RTO (Recovery Time Objetive)
El RTO esta asociado con la recuperaci€n de recursos tanto de TI como ajenos; Es el tiempo entre el desastre y la recuperaci€n de los recursos.
El WRT es el tiempo requerido para completar el trabajo interrumpido a fin de volverlo a la normalidad
BIA TAREA 7
Determinaci€n del RPO (Recovery Point Objetive)
Se debe de determinar el RPO por cada aplicaci€n, respondiendo a la siguiente interrogante:
El Proceso del Plan de Continuidad del Negocio
FASE II Gesti€n del Riesgo
Contempla tradicionalmente el “Calculo del riesgo, la apreciaci€n de su impacto en el negocio y la posibilidad de ocurrencia”.
Es muy importante entender que un programa de continuidad de negocio no solo debe atender la recuperaci€n de las instalaciones frente a un desastre, sino tambiƒn contemplar las acciones preventivas a que haya lugar.
Para este prop€sito, en todo programa de continuidad, se debe efectuar con regularidad un calculo del riesgo que nosolo contemple la identificaci€n de amenazas significativas que afecten las operaciones de la empresa, las vulnerabilidades y el grado de exposici€n al riesgo, sino que igualmente es necesario identificar los controles a instaurar para minimizar el da‚o del impacto de un posible desastre en la empresa.
Metodolog†a del Calculo de Riesgo
RIESGOes la probabilidad que unaAMENAZApueda explotar unaVULNERABILIDAD y causar da…o a losACTIVOSde una organizaci€n.
Amenaza
es el intento de hacer da…o.Vulnerabilidades
son las condiciones de la organizaci€n que pueden hacer que una amenaza se manifieste.Los
Activos
de una organizaci€n son todas aquellas cosas a las que la empresa les da valor.Activos:Los que estƒn adentro
Amenazas:Enemigo exterior
Controles: Murallas
Vulnerabilidad:Brechas en la Muralla
El Ataque de las amenazas aprovecha las brechas y causa impactos en los Activos. El reforzamiento de estos controles repara los impactos y reduce las brechas
AnÄlisis de Riesgos.
Definiciones
Activos:Los que estƒn adentro
Amenazas:Enemigo exterior
Controles: Murallas
Vulnerabilidad:Brechas en la Muralla
El Ataque de las amenazas aprovecha las brechas y causa impactos en los Activos. El reforzamiento de estos controles repara los impactos y reduce las brechas
AnÄlisis de Riesgos. Definiciones
Activos:Los que estƒn adentro
Amenazas:Enemigo exterior
Controles: Murallas
Vulnerabilidad:Brechas en la Muralla
El Ataque de las amenazas aprovecha las brechas y causa impactos en los Activos. El reforzamiento de estos controles repara los impactos y reduce las brechas
AnÄlisis de Riesgos. Definiciones
Activos:Los que estƒn adentro
Amenazas:Enemigo exterior
Controles: Murallas
Vulnerabilidad:Brechas en la Muralla
El Ataque de las amenazas aprovecha las brechas y causa impactos en los Activos. El reforzamiento de estos controles repara los impactos y reduce las brechas
Activos:Los que estƒn adentro
Amenazas:Enemigo exterior
Controles: Murallas
Vulnerabilidad:Brechas en la Muralla
El Ataque de las Amenazas aprovecha las Vulnerabilidades y causa impactos en los Activos. El reforzamiento de estos controles repara los impactos y reduce las brechas
AnÄlisis de Riesgos. Definiciones
Objetivos de la Gesti€n del Riesgo,
para el desarrollo del plan de continuidad
1. Identificaciƒn de las distintas amenazas que podr†an impedir el normal desarrollo de las operaciones en la empresa.
2. Evaluar la vulnerabilidad organizacional de cada amenaza y que tan severamente podr†an afectarse las operaciones en la empresa.
3. Revisiƒn de los controles actuales para reducir el riesgo o mitigar las perdidas 4. Calculo del nivel de exposiciƒn al riesgo.
5. Determinar los escenarios de amenazas para los cuales se deben desarrollar las estrategias de continuidad y los planes respectivos.
1.- Identificaci€n de Amenazas
A) An…lisis general de amenazas : Se revisan las distintas potenciales amenazas que pueden afectar la organizaci€n. Se deben identificar las exposiciones especificas que puedan requerir medidas protectoras y as„ minimizar la probabilidad de que las amenazas pudiesen causar da‚o a la organizaci€n.
1. Ubicaci€n de instalaciones 2. Seguridad interna y externa 3. Ambiente f‚sico 4. Protecci€n del personal 5. Protecci€n de informaci€n 6. An•lisis de la cobertura de p€lizas
Este an…lisis se debe realizar en las instalaciones de la empresa
Tipos de Amenazas
Naturaleza Terremotos Inundaciones Huracanes Incendios Hombre
Actos sobre la informaci€n
Intencionales (Fraudes)
Accidentales
1.- Identificaci€n de Amenazas
A) An…lisis de procesos esenciales : Identificar las posibles interrupciones a las que los procesos esenciales est…n expuestos por la perdida de recursos b…sicos, tales como :
1. Instalaciones 2. Sistemas de computo 3. Registros vitales 4. Sistemas telef€nicos 5. Personal clave 6. Conectividad de la red 7. Equipo especializado 8. Materias primas
* Computer System Security And Privacy Advisory Board Annual Report - 2009
Amenazas Comunes
63%
13%
10%
6%
8%
Errores y Omisiones
Empleados deshonestos
Empleados Disgustados
Fallas de soporte e infraestructura
Teceros-Outsiders
Consideraciones Generales
Consideraciones Generales
Efecto ocasionado en la organizaci€n como consecuencia de la ocurrencia de una amenaza.
El impacto puede ser econ€mico, en productividad, operativo
……
Interrupci€n de actividades Sanciones
Pƒrdida o destrucci€n de activos Desventaja competitiva Pƒrdida de imagen.
Impacto
Se debe decidir sobre las opciones de tratamiento de riesgo:
•
Cuales amenazas se reducir…n con controles
•
Cuales se aceptaran y se decidir… vivir con ellas
•
Cuales se transferir…n
•
Cuales se evitaran.
2.- Identificaci€n de Vulnerabilidades
Una vulnerabilidad no causa da€o; simplemente es una condiciƒn o conjunto de condiciones que pueden hacer que una amenaza afecte un activo.
3.- Revisi€n de los controles actuales
Al haber identificado las distintas amenazas y las respectivas vulnerabilidades, en esta etapa se deben analizar con la debida profundidad los distintos controles existentes en la empresa.
Si una amenaza explota una vulnerabilidad podr‚a generarse un desastre.
Se debe tener presente en asegurarse de que las salvaguardas estƒn trabajando en forma correcta.
Una salvaguarda en la cual se conf‚a en su eficacia, pero en la practica no opera bien, es una fuente de posibles vulnerabilidades y se aumentan las probabilidades de que las amenazas penetren y hagan da…o.
El Proceso del Plan de Continuidad del Negocio
FASE III Desarrollo de estrategias de BCM
•
Para T.I. identificar la m„s adecuada estrategia de
recuperaciƒn de acuerdo a los requerimientos del
negocio, considerando el tiempo de recuperaciƒn y
el costo asociado.
•
Para el Negocio, identificar los procesos cr…ticos
del negocio, mientras se espera la recuperaciƒn de
TI y las facilidades
•
Para
la
empresa,
identificar
la
estrategia
de
negocio
con
proveedores,
alianzas,
seguros,
registros
vitales,
seguridad
del
empleado,
comunicaciones, etc.
•
Definir nivel de servicio
Actividades
Estrategias de Recuperaciƒn
Alternativas de
Recuperaciƒn
Alternativas de
Recuperaciƒn
• Tipos de Centros de Respaldo:
• Hot Sites
• Warm Sites
• Cold Sites
• Mirroring Sites
• Sitios M•viles
• Acuerdos rec‡procos con otras compa†‡as
Desarrollo de estrategias y controles
Sitio Costo Equipo HW Telecoms Tiempo Setup Local
Cold Bajo Nada Nada Largo Fijo
Warm Medio Parcial Parcial/Full Medio Fijo
Hot Medio/Alto Completo Completo Corto Fijo
Mobile Alto Dependiente Depend. Depend. No Fijo
Mirrored Alto Completo Completo Nada Fijo
Ubicaci•n que cuenta con las instalaciones, equipos de c•mputo, telecomunicaciones, l‡neas dedicadas y Personal preparado y listos para manejar las operaciones realizadas en otro centro de c•mputo, el cual ha sido afectado por alg‚n evento.
Capacidad: para un n‚mero determinado de empleados Ubicaci•n: otro local de la Compa†‡a o proveedor especializado Uso: seguridad, mantenimiento de equipamiento, local conocido, siempre disponible, realizaci•n de pruebas.
Costo: Alto, se considera comunicaciones, equipamiento,
mantenimiento
Ejemplo: agencia, otro local de la C‡a., centro de contingencia de
Espacio con comunicaciones disponibles y equipos de menor capacidad parcialmente configurado, pero sin equipamiento de c•mputo principal.
Capacidad: Para muchos empleados Ubicaci•n: local
Uso: se podr‡a contar con todo el equipo para trabajar, considera tiempo de configuraci•n. Coordinar para realizar pruebas.
Costo: medio, considerando comunicaciones y equipamiento Ejemplo: teletrabajo, en oficinas de terceros o propias del grupo o compa†‡a
Alternativas de Recuperaciƒn – Warm Site
Espacio propio de la compa†‡a o de un proveedor que permita la recuperaci•n de s•lo el local, sin recursos ni conectividad especial.
Capacidad: para un grupo de empleados Ubicaci•n: local
Uso: espacio que puede no estar disponible, falta de recursos necesarios dificultad para realizar pruebas
Costo: bajo Ejemplo: oficinas vac‡as
Alternativas de Recuperaciƒn – Cold Site
N o se p u e d e m o str a r la im a g e n e n e ste m o m e n to .
Alternativas de Recuperaciƒn – Sitios Mƒviles
Sistema Operativo
Capa de Hardware
Sistema de Archivos
Red IP
Aplicaciones Aplicaciones
Sistema Operativo
Sistema de Archivos
Capa de Hardware
M†todos de recuperaciƒn
Telecomunicaciones
M†todos de recuperaciƒn
Telecomunicaciones
• Redundancia: Capacidad adicional, v‡as multiples, protecci•n de
archivos, etc.
• Direccionamiento alternativo: A trav„s de un medio alterno
• Direccionamiento diverso: Encaminar el trƒfico a trav„s de
instalaciones divididas o duplicadas
• Protecci•n de circuito de “ultimo tramo”
• Recuperaci•n de la Voz
Se
debe
dar
una
alta
prioridad
a
los
procedimientos
para
asegurar
capacidades
continuas de telecomunicaciones, estos incluye
LAN, WAN, redes de voz.
Consideraciones para
el hardware alternativo
Consideraciones para
el hardware alternativo
• Evitar el uso de equipos inusuales o dif‡ciles de
conseguir
• Actualizar
regularmente
loa
equipos
para
mantenerlos con las ‚ltimas versiones
• Mantener la compatibilidad del software para
permitir la operaci•n de equipos mƒs nuevos
• Documentar las consideraciones especiales
entre hardware y software
- Centro de Comando (siempre disponible)
Alberga a la alta gerencia inmediatamente despu„s de lo sucedido el desastre, a fin de proveerles un lugar adecuado para la toma de decisiones
- Centro de C•mputo Alterno
Alberga los equipos de computo y personal encargado de continuar
con el soporte tecnol•gico que permite la ejecuci•n de los
procedimientos cr‡ticos del negocio
- Centro de Negocio Alterno
Alberga los equipos encargados de continuar con la ejecuci•n de los
FASE IV Desarrollo del Plan de recuperaci€n
Este plan contiene procedimientos de recuperaci€n predeterminados y lineamientos que las organizaciones deben seguir durante una situaci€n de crisis para minimizar los impactos al negocio.
El plan debe cubrir el manejo de respuestas a
incidentes para resolver todas las incidentes que
afecten los procesos y anƒlisis del negocio
Desarrollo del PLAN
Desarrollo del PLAN
•Procedimientos de evacuaci•n
•Procedimientos para declarar un desastre
•Las circunstancias bajo las cuales se debe declarar
un desastre.
Todas las interrupciones no son desastres, pero un peque€o incidente,
si no es resuelto a su debido tiempo o de manera apropiada puede
conducir a un desastre.
• La identificaci•n de responsabilidades en el plan
• La identificaci•n de las personas responsables de
cada funci•n en el plan
• La identificaci•n de informaci•n de los contratos
• La explicaci•n paso por paso de la opci•n de
recuperaci•n
Desarrollo del PLAN
Desarrollo del PLAN
Organizaciƒn y
responsabilidades
Organizaciƒn y
responsabilidades
•
Equipo de acciƒn ante emergencias
• Primer equipo de respuesta
• Responsabilidad de tratar con los incendios o desastres
•
Equipo de evaluaciƒn de daˆos
• Determina la extensi•n de los da†os
• Realizan el estimado de tiempo que se requiere para
recuperar las operaciones en el centro de c•mputo
•
Equipo administrador de la emergencia
• Responsable de coordinar las actividades de todos los otros
equipos de recuperaci•n
Organizaciƒn y
responsabilidades
Organizaciƒn y
responsabilidades
•
Equipo de almacenamiento alterno (Off-site)
• Responsables de obtener y enviar los respaldos al sitio
alterno
•
Equipo de software
• Responsable de restaurar el software base
•
Equipo de aplicaciones
• Responsable de restaurar las aplicaciones en el sitio alterno
•
Equipo de seguridad
• Responsable de controlar la seguridad de los sistemas y las
comunicaciones
• Responsables de asegurar que el paquete de software de
seguridad
ha
sido
instalado
correctamente
y
estƒ
funcionando
Organizaciƒn y
responsabilidades
Organizaciƒn y
responsabilidades
•
Equipo de operaciones de emergencia
• Responsables de iniciar las operaciones en el sitio alterno
•
Equipo de recuperaciƒn de la red
• Responsable de restaurar las red
•
Equipo de comunicaciones
• Responsable de restaurar las comunicaciones en el sitio
alterno
•
Equipo de Transportes
• Responsable de transportar los suministros
Respaldo de
Suministros
Respaldo de
Suministros
• Papel membretado
• Formularios estƒndares
• Formularios especiales
• Sellos
Asegurar que toda la informaciƒn de
recuperaciƒn;
est†
completa,
almacenada
en
un
local
externo
seguro, utilizable y que pueda ser
obtenida f„cilmente por las persona
autorizadas.
El Proceso del Plan de Continuidad del Negocio
FASE V Ensayo del Plan de Continuidad
El prop€sito fundamental de esta fase es validar la estrategia del Plan de Continuidad del Negocio, sus suposiciones, las actividades, los procedimientos y lineamientos especificados en el plan de reanudacion de operaciones