Planes de Continuidad del Negocio

(1)

Planes de Continuidad del

Negocio

(2)

Agenda

1. Objetivos del Seminario

2. Antecedentes

3. Conceptos Generales

4. Metodología (

Practicas Profesionales

DRII

)

(3)

Objetivos del Curso

• Comprender la importancia para las organizaciones de poseer un Plan de Continuidad del Negocio

• Conocer la metodología para el desarrollo profesional de un plan de continuidad del negocio

• Aprender a elaborary desarrollar un Análisis de Impacto al Negocio (BIA)

• Aprender como se identifican los requerimientos mínimos para la recuperación ante desastres

• Entender los fundamentos para seleccionar una estrategia de recuperación eficiente

• Aprender a construir los planes de continuidad del negocio • Comprender la importancia del mantenimiento de los planes

(4)

Presentación de los Instructores

• Ramiro Merchán Patarroyo:

Ingeniero de Sistemas, Especialista

en Software para Redes, Auditor de Sistemas Certificado CISA

(ISACA), Profesor Universitario, Consultor Independiente en BCP,

Seguridad Informática y Auditoría de Sistemas, mas de 15 años de

Experiencia Profesional, Socio de M&M Auditores de Colombia,

Examen de Certificación CBCP del DRI Aprobado.

• Plinio Esteban Palomino:

Ingeniero de Sistemas, Estudios de

Maestría en Administración de Empresas (MBA), Consultor

Independiente, Socio de M&M Auditores, Consultor en BCP,

Seguridad Informática, Administración de Proyectos, Experiencia

Profesional de mas de 15 años, PMP, Examen de Certificación CBCP

del DRI Aprobado.

(5)

(6)

(7)

Por Qué Esta Usted Aquí?

• Política de la Dirección

• Reacción a un desastre

• Requerimiento regulatorio

• Observaciones de auditoria

• Buena práctica de negocios

• Orientación a la planificación

• Reconocimiento del negocio

• Concientización personal

(8)

Conceptos Generales

• Plan de Contingencias:

Es un documento

desarrollado en forma preventiva, con el

objetivo de servir de guía de acción antes,

durante y después de la ocurrencia de un

imprevisto

(9)

Conceptos Generales

• Plan de Recuperación de Desastres (DRP):

Es

el conjunto de procedimientos y estrategias

definidos para asegurar la reanudación oportuna y

ordenada de los servicios informáticos críticos en

caso de contingencia.

• Responsable:

(10)

Conceptos Generales

• Plan de Continuidad del Negocio (BCP):

Es el

conjunto de procedimientos y estrategias

definidos para asegurar la reanudación oportuna y

ordenada de los procesos del negocio generando

un impacto mínimo o nulo ante una contingencia.

• Responsable:

(11)

Conceptos Generales

• Administración de la Continuidad del Negocio (BCM):

Proceso administrativo completo que identifica impactos

potenciales que pueden afectar la organización y provee la

estructura para dar flexibilidad y respuestas efectivas para

salvaguardar los intereses de los accionistas, la reputación,

la marca y actividades de valor agregado.

• Responsable:

(12)

Conceptos Generales

Plan De Contingencias - CP Plan de Recuperación de desastres - DRP Plan de Continuidad del Negocio - BCP

(13)

Evolución de Conceptos de

Continuidad

BCM BCP BRP BRS DRP Respaldos De Información RESILIENCY

(14)

Objetivos del BCP

• Proteger al

personal

y los activos corporativos

• Asegurar la continuidad de las

operaciones

• Garantizar la reanudación de los

procesos críticos

dentro de los

margenes de tiempo tolerables

• Minimizar el proceso de

toma de decisiones

durante una

contingencia

• Reducir los

efectos negativos

ocasionados por el

caos

(15)

Objetivos del BCP

• Cumplir con requerimientos

Legales / Contractuales /

Gubernamentales

• Reducir al máximo los niveles de

dependencia

sobre

personas o grupos específicos en el proceso de continuidad.

• Eliminar la necesidad de desarrollar

nuevos

procedimientos

durante la contingencia.

• Minimizar la posibilidad de

pérdida de información

crítica para el negocio.

(16)

Objetivo General del BCP

“El objetivo de un BCP es establecer las

estrategias y procedimientos que deben ser

implementados por un equipo de individuos

que provee direccionamiento, soporte,

equipamiento, metodologías y estándares para

garantizar la continuidad de las operaciones del

(17)

Fases de la Continuidad de

Negocios

• Prevención/Reducción/Mitigación

– Pasos para identificar y mitigar el riesgo

• Respuesta y Manejo

– Reacción planificada y manejo de un evento adverso

• Recuperación

– Recuperación y reanudación planificada de los

servicios y operaciones después de una interrupción

• Restauración

– Reparación o reemplazo del sitio primario de

operaciones normales de la organización.

(18)

Programa de Continuidad de

Negocios

Evaluación de Riesgos

Análisis de Impacto al Negocio

Estrategias de Recuperación

Desarrollo y Actualización del Plan

Coordinación con Autoridades Externas

Respuesta a Emergencias

Concientización y Capacitación

Pruebas y Ejercicios

Comunicaciones de Crisis

(19)

Estándares para BCP

• DRI (Disarter Recovery Institute International)

• (ISC)2 International Systems Security

Certification Consortium (Certificación CISSP).

• ISO 17799

• BCI (Business Continuity Institute)

• ISACA

(20)

Practicas Profesionales - DRI

1. Inicio y Administración del Proyecto

2. Evaluación y Control de Riesgos

3. Análisis de Impacto al Negocio (BIA)

4. Selección y Desarrollo de Estrategias de

Continuidad

5. Respuesta y Operaciones de Emergencia

6. Desarrollo e Implementación Planes de

Continuidad

7. Programas de Concientización y Entrenamiento

8. Prueba, Ejercitación y Mantenimiento de los Planes

de Continuidad

9. Comunicación de Crisis

(21)

Metodología - DRI

Planificación del Proyecto Análisis y evaluación de Riesgos Análisis de Impacto al Negocio (BIA) Desarrollo de Estrategias Desarrollo del Plan Concientización y Capacitación Prueba y Ejercitación Mantenimiento y Actualización Plan

Proceso de Planificación

de Continuidad de

Negocios

(22)

Programa de Continuidad de

Negocios

• Programa funcional determinado por los

requerimientos del negocio

– Dirigido por un equipo directivo con autoridad

para responder a las interrupciones

– Modifica las consecuencias de una interrupción

a un nivel aceptable por la Dirección

– Proporciona un medio probado para enfrentar

las crisis

(23)

Qué es un Problema de

Continuidad de Negocios?

• Evento interno o externo que interrumpe

uno o mas de los procesos de negocio

• El Tiempo (duración) de la interrupción

determina que una situación sea un

(24)

Un Programa de BC Respondera a ...

• Que es un desastre?

• Cuando empiezan los impactos?

• Cuanta perdida puede ser tolerada?

• Cuales son las alternativas?

• Como restablecer las funciones del negocio?

• Cuanto costará un plan de recuperación?

(25)

Mejores Prácticas

• El comité directivo revisa anualmente el programa

• La alta gerencia es responsable del BCM

• Personal de BC con presupuesto

• La función de BCM abarca todos los aspectos de

la empresa

• BCM es un proceso continuo

• Política comprensible de respaldo de registros

vitales.

(26)

Mejores Prácticas

• Existencia de estrategias de recuperación basadas en

prioridades, momento e impacto en la empresa (BIA)

• Existencia de un programa de concientización,

capacitación, pruebas y ejercicios

• El plan de continuidad está actualizado y disponible

• Un programa de continuidad de negocios NO es un

proyecto, NO es una tarea de una sola vez, NO es por un

periodo fijo de tiempo.

Debe ser un programa permanente, vivo, consistente en

varios proyectos interdependientes y reiterativos

(27)

10 Mandamientos de BCM

• Debe recuperar aquello que se posee

• Debe tener alternativas

• Debe concentrarse en la sobrevivencia

• Lo mas importante debe ser la gente

• Debe ser probado y ejercitado

• Debe distinguir entre estrategia y recomendaciones

• No debe permitir que los planes envejezcan

• No debe envidiar el plan voluminoso del vecino

• No debe volverse complaciente

(28)

Tendencias

• Los clientes conocen sus problemas de IT y de Negocio al

mismo tiempo que usted

• Antes – Protección del centro de computo –

Ahora-Protección de los procesos críticos del negocio

• Múltiples causas de interrupciones (operacionales,

técnicas, ...)

• Surgimiento de nuevas tecnologías

– Exigen mayor disponibilidad

– Tiempo sin servicio reducido

– Múltiples proveedores externos

(29)

Retos

• Documentar un alto nivel de ROI

• Mostrar casos de éxito de BCP

• Demostrar vulnerabilidades

(30)

Practicas Profesionales - DRI

1. Inicio y Administración del Proyecto

2. Evaluación y Control de Riesgos

3. Análisis de Impacto al Negocio (BIA)

4. Selección y Desarrollo de Estrategias de

Continuidad

5. Respuesta y Operaciones de Emergencia

6. Desarrollo e Implementación Planes de

Continuidad

7. Programas de Concientización y Entrenamiento

8. Prueba, Ejercitación y Mantenimiento de los Planes

de Continuidad

9. Comunicación de Crisis

(31)

Planificación del Proyecto

Proceso de Planificación

de Continuidad de

Negocios

(32)

Iniciación y Manejo del Proyecto

-PP

• Establecer la necesidad de la continuidad del negocio

• Comunicar la necesidad de un BCP

• Comprometer la Alta Gerencia en los procesos de BCP

• Establecer el Comité de Proyecto

• Identificar y ejecutar los requerimientos presupuestales

• Identificar los equipos de planificación y sus responsabilidades

• Desarrollar y coordinar las actividades de implementación del BCP

• Dar respuesta a los requerimientos de la Gerencia y de documentación de los procesos de BCP

(33)

Evaluación de Riesgos

Proceso de Planificación

de Continuidad de

Negocios

(34)

Evaluación de Riesgos - PP

Objetivos

• Entender las pérdidas potenciales

• Identificar la exposición de la organización a pérdidas potenciales

• Identificar controles y medidas para prevenir o mitigar el efecto de las pérdidas potenciales - Protección física

- Protección lógica

- Localización de activos

• Evaluar, seleccionar y utilizar apropiadas metodologías y herramientas de análisis de riesgos • Identificar e implementar las actividades de recolección de información

• Evaluar la efectividad de los controles y medidas • Evaluación de riesgos y controles

- Escenarios de riesgo • Seguridad

(35)

(36)

Establecimiento del Contexto Contexto estratégico Contexto Organizacional Desarrollo de Criterios Decidir la estructura Identificación de Riesgos

Qué puede suceder?

Análisis de Riesgos Probabilidad Impacto Nivel de Riesgo Evaluación de Riesgos Establecer Prioridades Tratamiento de Riesgos

Evaluar Opciones de Tratamiento Seleccionar Opciones de Tratamiento

Preparar planes de tratamiento Implementar planes de tratamiento

R e v is a r y M o n ito re a r C o m u n ic a r y C o n s u lta r

Etapas de la administración de riesgos

Proceso de Administración de

Riesgos

(37)

Medidas Cualitativas de los Riesgos

Se espera que ocurra en la mayoría de circunstancias Casi certeza

5

Probablemente ocurra en la mayoría de circunstancias Probable

4

Podría ocurrir en algún momento Posible

3

Pudo ocurrir en algún momento Improbable

2

Puede ocurrir sólo en circunstancias excepcionales Raro

1

Descripción Cualidad

Calificación

(38)

Medidas Cualitativas de los Riesgos

Muerte, liberación tóxica externa con efectos nocivos, enorme perdida financiera Catastrófico

5

Perjuicios extensivos, perdida de capacidad de producción, liberación externa, sin efectos nocivos, perdida financiera mayor

Mayor 4

Requiere tratamiento medico, liberado localmente, contenido con asistencia externa, perdida financiera alta

Moderado 3

Tratamiento de primeros auxilios, liberado localmente, se contuvo inmediatamente, perdida financiera media

Menor 2

Sin perjuicios, baja perdida financiera Insignificante

1

Detalle Descriptor

Calificación

(39)

Medidas Cualitativas de los Riesgos

E E E H H 5 E E H H M 4 E E H M L 3 E H M L L 2 H H M L L 1 5 4 3 2 1 Impacto Potencial Probabilidad de Ocurrencia

(40)

Análisis de Impacto al Negocio

Proceso de Planificación

de Continuidad de

Negocios

(41)

Análisis de Impacto al Negocio

(BIA) - PP

Consiste en identificar los impactos de las

interrupciones y escenarios de desastre que pueden

afectar la organización.

- Establecer el proyecto

- Evaluar los efectos de las interrupciones, daños e impactos al negocio - Establezca la metodología BIA (cuestionarios, talleres, entrevistas..) - Defina y categorice las funciones y registros críticos

- Determine las franjas de tiempo de recuperación y requerimientos de recursos mínimos

- Identifique y categorice procesos del negocio - Determine tiempos de reemplazo

(42)

Análisis de Impacto al Negocio

(BIA)

Consiste en realizar una evaluación de los procesos y sistemas del

negocio, con el objetivo de identificar:

– Áreas, funciones y/o procesos sensibles a interrupciones

– Interdependencia entre procesos internos y externos

– Impactos financieros de las interrupciones

– Impactos Operacionales de las interrupciones

– Sistemas de información críticos para la operación

– Tiempos objetivo de recuperación (RTO)

– Puntos Objetivo de recuperación (RPO)

– Clientes y proveedores críticos de la organización

– Recursos necesarios para la recuperación de operaciones

– Épocas críticas para la operación del negocio

(43)

Análisis de Impacto al Negocio

(BIA)

Resultados

– Inventario de los procesos críticos del negocio.

– Secuencia de recuperación de procesos y sistemas críticos

– Estimación del impacto financiero de una interrupción en los

procesos críticos del negocio.

– Estimación del impacto operacional de una interrupción en los

procesos críticos del negocio.

– Identificación de los tiempos de recuperación para cada proceso

crítico del negocio.

– Identificación de los requerimientos mínimos de los procesos o

aplicaciones críticas del negocio durante las operaciones de

recuperación.

(44)

Cuestionario BIA

• Datos básicos del proceso y de su dueño • Frecuencia del proceso

• Períodos de tiempo críticos

• Tiempo máximo de interrupción • Volumen de trabajo del proceso

• Indicadores y medidas de desempeño existentes

• Impactos: Financiero, cliente interno, cliente externo, eficiencia operativa, aspectos legales, imagen - reputación y en general para la organización como negocio.

• Dependencias internas y externas

• Aplicaciones informáticas que lo soportan • Procedimientos alternos existentes o sugeridos • Efectividad de los procedimientos alternos • Registros vitales de cada proceso

• Complejidad de recuperación de las dependencias evaluadas • Recursos mínimos para la recuperación de cada dependencia.

(45)

Desarrollo de Estrategias de

Continuidad

Proceso de Planificación

de Continuidad de

Negocios

(46)

Selección de la Estrategia de

Continuidad - PP

Consiste en identificar las alternativas de recuperación

de las operaciones en los marcos de tiempo dados por

los RTO’s identificados.

− Identificar los requerimientos de continuidad de la organización

− Evaluar la compatibilidad de las estrategias contra los resultados del BIA − Presentar el análisis costo / beneficio de las estrategias de continuidad − Seleccionar los sitios alternos y de almacenamiento externo

− Entender los términos contractuales de los servicios de continuidad del negocio

(47)

Categorías de estrategias

–

Centro de procesamiento de datos

• Hardware • Software • Redes

• Backup y recuperación de la información

–

Telecomunicaciones (voz y datos)

–

Áreas de trabajo

• Espacio • Muebles • Equipos

(48)

Recuperación del Centro de

Procesamiento de Datos

• Alternativas de recuperación

• Contratación de sitios de recuperación externos (Ej. Hotsite,

coldsite, etc.)

• Recuperación interna

• Acuerdos recíprocos

• Procedimientos manuales

• Reducción de servicios

• Suspensión de servicios

• Combinación de estrategias.

(49)

Quality of Service (QoS)

Alta Disponibilidad o

“High Availability”

– Implementación de controles preventivos, detectivos y correctivos

para procurar la disponibilidad continua de los sistemas críticos de

la organización.

Fault Tolerance

– Un sistema “fault-tolerant” puede continuar brindado servicios a

pesar de fallas de software o hardware.

Load Balancing

– Sistemas que comparten la carga de trabajo para evitar recursos

ociosos y bajo desempeño (performance).

(50)

Alta Disponibilidad

• Redundancia en los SPF’s

(Single Point of Failure)

• ¿ Cuánto tiempo de “downtime” estamos

dispuestos a aceptar ?

Tiempo de “downtime” Porcentaje de disponibilidad QoS 52.560 minutos/año = 36,5 días/año 90% Clase 1 52,56 minutos/año 99.99% Clase 4 525,6 minutos/año = 8,76 días/año 99.9% Clase 3 5.256 minutos/año = 3,65 días/año 99% Clase 2

(51)

Proceso de selección de la

estrategia

1. Se desarrollan alternativas de estrategias para:

• Refinar los requerimientos mínimos para la recuperación.

• Incluyendo consideraciones para:

– RTO’s

– Capacidad del Sitio de Recuperación

– Requerimientos de comunicaciones (voz y datos)

– Viabilidad de recuperación de acuerdo al planteo del peor escenario

– Requerimientos de áreas de trabajo (espacio, equipos, insumos, archivos vitales, etc.)

– Requerimientos de recursos humanos – Situación geográfica y de transporte.

(52)

Proceso de selección de la

estrategia

2. Identificar las alternativas viables para la recuperación:

• Contratación de sitios de recuperación externos (Ej. Hotsite, coldsite, etc.)

• Recuperación interna • Acuerdos recíprocos

• Procedimientos manuales

• Respuesta de reducción de servicios • Suspensión de servicios

• Combinación de estrategias.

(53)

Selección del proveedor

• Hacer un análisis inicial de los proveedores existentes.

• Preseleccionar los más viables para el proyecto de acuerdo a:

– Importancia

– Experiencia

– Clientes actuales

– Referencias

– Respaldo financiero.

• Confeccionar un RFP/RFQ para enviar a los proveedores

preseleccionados.

(54)

Selección del proveedor

RFP/RFQ

• Lineamientos básicos de la propuesta

– Consideraciones Generales

– Consideraciones de Seguridad Informática

• Alternativas a Cotizar – por ejemplo:

– Alternativa 1: Cold Site

– Alternativa 2: Hot Site

– Alternativa 3: Warm Site

(55)

Metodología - DRI

1. Iniciación y manejo del proyecto

2. Evaluación de Riesgos

3. Análisis de Impacto al Negocio (BIA)

4. Selección de Estrategias de Continuidad

5. Respuesta a Emergencias

6. Desarrollo de los Planes de Continuidad

(56)

Respuesta a Emergencias - PP

Desarrollar e implementar procedimientos para responder y estabilizar la situación después de un incidente y administar el centro de operaciones de emergencia a ser utilizado como “centro de mando”.

– Identifique componentes de los procedimientos de respuesta a emergencia – Especifique los procedimientos de respuesta a emergencia

– Identifique requerimientos de control y autoridad – Procedimientos de control y autoridad

– Respuesta a emergencia y recuperación de heridos – Salvamento y restauración

(57)

Fases de respuesta

• Podemos dividir la respuesta ante una

emergencia en 4 fases:

– Fase de Planeamiento

– Fase de Alerta

– Fase de Producción

– Fase de Restauración

(58)

Desarrollo de Planes de

Continuidad

Proceso de Planificación

de Continuidad de

Negocios

(59)

Desarrollo del Plan - PP

Diseñar, desarrollar e implementar planes de continuidad del negocio para proveer continuidad en los marcos establecidos por los RTO’S y RPO’S.

– Identifique requerimientos para el desarrollo de los planes

– Definir requerimientos de control y administración de la continuidad

– Identifique y defina un formato y la estructura principal de los componentes de los planes

– Elabore un borrador de los planes

– Defina procedimientos de manejo de crisis y continuidad del negocio – Defina las estrategias de evaluación de daños y reanudación

– Desarrolle una introducción general a los planes

– Desarrolle la documentación de los equipos de operación del negocio

– Desarrolle la documentación de los equipos de recuperación de tecnología informática

– Desarrolle el sistema de comunicaciones

(60)

Desarrollo del Plan

¿Qué es un el plan de recuperación?

• Un conjunto integrado de procedimientos que se utilizarán

para la recuperación ante un evento que cause la

interrupción de las operaciones del negocio.

• Fundamentalmente debe responder a:

– Quién – Qué – Cuándo – Dónde – Cómo.

(61)

Componentes de los Planes de

Continuidad

Prevención

DESASTRE

Respuesta

Reanudación

Recuperación

Restauración

Decisión

(62)

Equipos de recuperación

Estructura tipo

Emergency Management Recuperación de Tecnología Recuperación de Instalaciones Recuperación de Clientes Tasf Force Comunicaciones Task Force Soporte de Sistemas Task Force Contabilidad Task Force RRHH Task Force Instalaciones Task Force Servicio al Cliente Task Force Relaciones Públicas BCC

(63)

Equipos de recuperación

Emergency Management Team (EMT)

• Es el más importante de la estructura de recuperación.

• Normalmente formado por el CEO y el Senior

Management.

• Su principal función es decidir cuándo un evento es un

desastre que requiere la activación del plan de

(64)

Equipos de recuperación

Emergency Management Team (EMT)

Principales funciones:

– Tomar la decisión de declarar el desastre.

– Mantener al personal operativo motivado y enfocado en brindar el servicio.

– Asegurar el aislamiento de la escena del crimen y la apropiada recopilación de pruebas.

– Reportar las causas ilegales de la contingencia (ej. hacking) a las autoridades apropiadas.

– Trabajar con los proveedores de los servicios de recuperación para asegurar la correcta ejecución del plan de recuperación.

– Notificar a los clientes de una potencial demora en el cumplimiento del servicio.

(65)

Equipos de recuperación

Business Continuity Coordinator (BCC)

• Es el responsable de:

– Coordinar las tareas en el desarrollo del plan

– Guiar los esfuerzos de respuesta ante una emergencia y de

recuperación

– Revisar los reportes de evaluación de daños

– Iniciar los procedimientos de recuperación

– Mantener informado al EMT del estado de la recuperación

– Actuar de nexo entre el EMT y los lideres de los equipos de

(66)

Equipos de recuperación

Los equipos de recuperación y sus

correspondientes “Task Forces” son los

responsables de:

–

Realizar una profunda evaluación de los daños

– Restaurar los distintos componentes de la

infraestructura informática que resultaron inoperables

debido a la ocurrencia del desastre.

(67)

Aseguramiento de la calidad

• Este es un elemento que debe ser tenido en cuenta

a lo largo de todas las etapas del desarrollo del

plan, pues asegura la integridad de los mismos.

Como parte del proceso de aseguramiento de la

calidad están:

– Entrenamiento

– Mantenimiento

– Pruebas

(68)

Ejercicios y Mantenimiento de los

Planes

Proceso de Planificación

de Continuidad de

Negocios

(69)

Ejercicios y Mantenimiento de los

Planes de Continuidad - PP

Planificar y coordinar el plan de ejercicios y evaluar y documentar los resultados de los mismos.

– Establecer un programa de ejercicios (pruebas) – Determinar requerimientos de los ejercicios – Definir escenarios de desastre

– Establecer criterios de evaluación y documentar los hallazgos – Crear un cronograma de ejercicios

– Crear un plan de control y reporte de los ejercicios – Facilitar la realización de los ejercicios

– Reporte post-ejercicios

– Retroalimentar y monitorear los resultados de los ejercicios – Definir un cronograma de mantenimiento de los planes – Formular los procedimientos de control de cambios

(70)

Prueba del plan

Objetivos

– Definición de un Plan de Pruebas

– Definición de los Procedimientos de Prueba

– Planificación de las Pruebas

– Ejecución de las Pruebas

– Evaluación de los resultados

(71)

Motivos para no probar el plan

• Tiempo

• Falta de presupuestos (costos de la prueba)

(72)

Mantenimiento del plan

Objetivos

– Desarrollo de los procedimientos de mantenimiento del

Plan de Recuperación.

– Diseño de la estrategia de mantenimiento (Ej.

Periodicidad, disparadores, etc.)

(73)

Mantenimiento del plan

Disparadores de actualización

– Cambios en el personal clave

– Cambios en el organigrama (Ej. Creación de nuevas posiciones);

– Cambios de dirección / teléfono de algún componente del equipo

de recuperación

– Cambios en cualquier equipo o dispositivo informático incluido

dentro del esquema de recuperación

– Cambio en algún procedimiento

– Reubicación de instalaciones

– Nuevos proveedores para los recursos críticos

– Cambios en la configuración de los sistemas o los dispositivos de

almacenamiento (Storage)

(74)

Mantenimiento del plan

Elementos mínimos a tener en cuenta en las

revisiones del plan:

– Requerimientos operacionales

– Requerimientos de seguridad

– Procedimientos técnicos

– Hardware, software y otros equipos (tipos, especificaciones

y cantidad)

– Nombres e información de contacto de los miembros de los

equipos de recuperación

(75)

Concientización y Capacitación

Proceso de Planificación

de Continuidad de

Negocios

(76)

Conciencia y Programas de

Entrenamiento - PP

Preparar un programa para crear y mantener conciencia

corporativa y ampliar las habilidades requeridas para

desarrollar e implementar el programa de Administración

de la continuidad del negocio y sus procesos de soporte.

– Definir objetivos de concientización y entrenamiento

– Desarrollar e implementar varios tipos de programas de

entrenamiento

– Desarrollar programas de concientización

– Identificar otras oportunidades de educación

(77)

CONCLUSIONES

• El plan debe ser desarrollado para cubrir el

peor escenario, de manera que escenarios

menores queden cubiertos también.

• El planteo de escenarios de desastre servirá

de base al momento de determinar las

(78)

CONCLUSIONES - SUPUESTOS

• Metas y Objetivos de la organización

• Políticas de la organización sobre planificación de la continuidad del negocio

• Escenarios de interrupción del negocio para cada área funcional yo localización

• Definición de interrupción menor y de desastre en términos del impacto sobre el negocio y la duración de la misma

• Cuales operaciones deben ser recuperadas en forma inmediata.

• Cuales operaciones no requieren ser recuperadas en forma inmediata y cuando deben estar disponibles

(79)

CONCLUSIONES - SUPUESTOS

• El peor escenario ocurre sin aviso o advertencia

• No ocurrirá mas de un evento en forma simultanea

• El sitio de almacenamiento externo está lo suficientemente lejos como para no ser afectado por la interrupción o contingencia

• La recuperación puede realizarse usando únicamente los datos y registros vitales ubicados en el almacenamiento externo

• El equipo designado y otros recursos asignados están disponibles

• Las operaciones de reanudación/recuperación requieren del uso de recursos/capacidades alternas inferiores a las de operación normal

• Se cuenta con suficientes miembros del equipo de recuperación para realizar las tareas planeadas.

(80)

CONCLUSIONES - ALCANCE

• Que áreas/departamentos/procesos de negocio

están incluidos en el plan

• Cada ubicación distinta debería tener un plan

separado

• Que aplicativos/datos/servicios están cubiertos en

el plan (portátiles, agendas digitales, aplicaciones

de uso individual?)

(81)

CONCLUSIONES - POLITICAS

• Clarificar los lineamientos sobre los cuales se debe

actuar en caso de un incidente, pues las políticas

de la organización siguen siendo vigentes aún en

situaciones de crisis

– Recursos humanos (beneficios, asistencia familiar,

confidencialidad)

– Relaciones públicas (confidencialidad, declaraciones a los

medios)

– Relaciones con los clientes

– Salud y seguridad industrial

(82)

CONCLUSIONES - PROPÓSITO

• Debe estar incluido claramente en la introducción

del plan

– Protección de la vida y seguridad de los funcionarios

– Cumplir con requerimientos legales

– Protección de los intereses de los accionistas

– Asegurar el cumplimiento de los compromisos con los

clientes

(83)

Planeación de la Continuidad del Negocio

Bases de la Planeación de la

Continuidad del Negocio

Compromiso y Soporte de la Alta Gerencia

Supuestos

Objetivos

Alcance

Políticas

Propósito

Responsabilidades

BIA

Estrategias

Equipos

Planes

Tareas

Mantenimiento

Entrenamiento

Aseguramiento de la Calidad

Pruebas

(84)

Sitios de interés

• Revista de Seguridad Informática – http://www.infosecuritymag.com/

• Disaster Recovery Journal – http://www.drj.com/

• Portal de BCP y DRP

– http://www.globalcontinuity.com/

• Listados de desastres ocurridos

– http://www.drie.org/disasters.html

• Sitio de información sobre desastres – http://www.disasterrelief.org/

• Revista de Contingencia y Continuidad del Negocio – http://www.contingencyplanning.com/

• Information Systems Audit And Control Association - ISACA – http://www.isaca.org/