210 likes | 334 Views
Continuidad de Negocios: Componente importante de la Seguridad de la Información. Mayo de 2007. Dos experiencias diferentes. Empresa A Centro Primario. Empresa A Centro Alterno. Empresa B Centro Primario. Lecciones aprendidas.
E N D
Continuidad de Negocios: Componente importante de la Seguridad de la Información Mayo de 2007
Dos experiencias diferentes Empresa A Centro Primario Empresa A Centro Alterno Empresa B Centro Primario
Lecciones aprendidas • Pruebas del Plan de Continuidad de Negocios (Business Continuity Plan – BCP) fueron clave. • Operaciones críticas en un solo sitio no es una buena idea. • Las personas no quieren trabajar lejos de sus familias. • Empresa B no tuvo problemas por negocios, sino por edificios. • El transporte fue problemático los primeros días.
Definiciones • Un Plan de Continuidad de Negocios (BCP), es un conjunto de procedimientos que definen cómo un negocio va a continuar o reiniciar sus funciones críticas ante un evento que cause una interrupción no planeada a su operación normal. • Estos procedimientos describen una secuencia preestablecida de eventos para facilitar la continuación o recuperación de funciones de negocios, servicios de tecnología, redes de comunicación y edificios.
¿Qué hacer en una emergencia? ¿Qué les digo a mis clientes? ¿Cómo me comunico con mis empleados y les digo a donde llegar? ¡Mi casa está destruida, no puedo llegar! ¿A dónde voy? Necesito suministros y una PC para trabajar. ¿Qué le digo a los periodistas? Todos mis archivos se perdieron, ¿qué hago ahora? ¿Cómo me comunico con mis clientes?
Lo crítico para nuestro negocio ¿Qué Recursos se Requieren? PROCESOS ¿Quién lo hará y cómo? Software Equipo Suministros Telecom Registros Vitales Tareas Equipos de Trabajo Proveedores Empleados Clientes Activos Localidades ¿Qué conforma un Plan de Continuidad del Negocio?
Continuidad de Negocios: ¿Qué interrelación hay? Fuente: National Institute of Standards and Technology (NIST) - USA
BCP – No es un papel, es un programa en vivo Administración Site Recovery Planning Crisis Management Planning Administrando la crisis Salvataje y recuperación del sitio Business Continuity Management Business Continuity Planning Technology Recovery Planning “Business as Usual” Restaurando los servicios de TI Work Area Recovery Planning Human Resources Planning Personal crítico Reubicando personal Fuente: Business Continuity Institute (BCI)
R ESTAURACION R ECUPERACION R EANUDACION R ESPUESTA P REVENCION Caso de ejemplo: Metodología PR4 de Strohl PR4 Reparar/Restaurar Facilidades y Contenidos Regreso a Casa Recuperar Todas las Demás Operaciones Reanudar las Operaciones Sensibles al Tiempo en la Localidad Alterna Manejo de Crisis Contener el Daño Activar Organización de Recuperación Protección de los Activos Corporativos Manejo de Riesgos
DESASTRE Organización de los planes: Metodología PR4 ANTES DURANTE DESPUES Prevención PROCESOS Respuesta Reanudación Recuperación Decisión Vuelta a la Normalidad Restauración INSTALACIONES
Enfoque Metodológico 1 Plan Estratégico y Plan Comunicacional 2 3 5 6 4 Estruc-tura de BCM Análisis de Impacto al Negocio Creación y manteni-miento continuo Pruebas, Inciden-cias e Indica-dores Estra-tegia departa-mental Priorización Planes Organización Cumplimiento Estrategias Mejora Continua Business Impact Analysis Desarrollo del Plan de Continuidad Desarrollo del Plan de Recuperación de Desastres Documentación, Seguridad y Auditoría
1 Plan Estratégico y Plan Comunicacional 2 3 5 6 4 Estruc-tura de BCM Análisis de Impacto al Negocio Creación y manteni-miento continuo Pruebas, Inciden-cias e Indica-dores Estra-tegia departa-mental Priorización Planes Organización Cumplimiento Estrategias Mejora Continua Business Impact Analisys Desarrollo del Plan de Continuidad Pasos 1 y 2: Plan Estratégico y Estructura BCM Definición de alcance por áreas y/o procesos: La organización delimita el alcance y se establece un programa de trabajo para realizar el BCP Alcance 1: DRP Alcance 2: BCP Áreas principales Otros Pasivos Adminis-tración TI Alcance 3: BCP Otras áreas Sede Teso-rería Présta-mos
1 Plan Estratégico y Plan Comunicacional 2 3 5 6 4 Estruc-tura de BCM Análisis de Impacto al Negocio Creación y manteni-miento continuo Pruebas, Inciden-cias e Indica-dores Estra-tegia departa-mental Priorización Planes Organización Cumplimiento Estrategias Mejora Continua Business Impact Analisys Desarrollo del Plan de Continuidad Paso 3: Análisis de Impacto al Negocio (cont.) El “Business Impact Analysis (BIA)”: Permitirá identificar y priorizar en función del impacto económico u operacional al negocio, lo siguiente: • Funciones y/o procesos críticos • Tiempo de recuperación objetivo - “Recovery Time Objective (RTO)” • Información crítica • Sistemas y aplicaciones críticas • Recursos requeridos
1 Plan Estratégico y Plan Comunicacional 2 3 5 6 4 Estruc-tura de BCM Análisis de Impacto al Negocio Creación y manteni-miento continuo Pruebas, Inciden-cias e Indica-dores Estra-tegia departa-mental Priorización Planes Organización Cumplimiento Estrategias Mejora Continua Business Impact Analisys Desarrollo del Plan de Continuidad Paso 4: Definición de la estrategia Evaluar y presentar estrategias para el desarrollo de planes: Permitirá a la organización la selección de la(s) alternativa(s) más conveniente(s) en función de tiempo/costo/necesidad: • Hot site • Cold site • Outsourcing • In house, etc. • Backups
1 Plan Estratégico y Plan Comunicacional 2 3 5 6 4 Estruc-tura de BCM Análisis de Impacto al Negocio Creación y manteni-miento continuo Pruebas, Inciden-cias e Indica-dores Estra-tegia departa-mental Priorización Planes Organización Cumplimiento Estrategias Mejora Continua Business Impact Analisys Desarrollo del Plan de Continuidad Paso 5: Elaboración y mantenimiento continuo Desarrollar y mantener los planes: De manera coordinada, en función de la(s) estrategia(s) y de los recursos asignados: • Implementar la función de Business Continuity Management • Elaborar los Planes de Continuidad del Negocio • Definir los procedimientos para el mantenimiento y actualización periódica de los planes
1 Plan Estratégico y Plan Comunicacional 2 3 5 6 4 Estruc-tura de BCM Análisis de Impacto al Negocio Creación y manteni-miento continuo Pruebas, Inciden-cias e Indica-dores Estra-tegia departa-mental Priorización Planes Organización Cumplimiento Estrategias Mejora Continua Business Impact Analisys Desarrollo del Plan de Continuidad Paso 6: Pruebas periódicas Se realizan con el objetivo de: • Probar y evaluar la funcionalidad del plan • Capacitar y ejercitar al personal en su utilización • Asegurar la disponibilidad de los recursos • Identificar ajustes por cambios en las organizaciones/funciones