1 / 34

Planes de Contingencia: Un enfoque práctico

Planes de Contingencia: Un enfoque práctico. Néstor Orlando Romero ABCP, Msc Junio 2002. Agenda. Introducción Historia DRI Definiciones Metodología. Introducción. Pretende minimizar las pérdidas de productividad dada la ocurrencia de un incidente que genere una interrupción

etana
Download Presentation

Planes de Contingencia: Un enfoque práctico

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Planes de Contingencia: Un enfoque práctico Néstor Orlando Romero ABCP, Msc Junio 2002

  2. Agenda • Introducción • Historia • DRI • Definiciones • Metodología

  3. Introducción • Pretende minimizar las pérdidas de productividad dada la ocurrencia de un incidente que genere una interrupción • Continuidad vs. Recuperación del negocio

  4. Motivación • Eventos no esperados (New York, 11 de Septiembre) • Alta dependencia de la información y de las infraestructuras informáticas • Alta motivación para atacantes • Planes de contingencia ya no son un lujo sino una necesidad

  5. Historia • 60’s • Primeros planes de recuperación • Solo Sistemas de Información • Solo en EU • 70’s • Recuperación de Desastres • Alguna actividad fuera de EU • Dependencia de Sistemas centralizados

  6. Historia (cont.) • 80’s • Recuperación, no continuidad • Planes probados por fuegos, terremotos, huracanes • Transición de planes de SI a planes corporativos • Aparece software especializado • 90’s • Planes corporativos • Centrado en el negocio

  7. Disaster Recovery Institute • Fundado en 1.988 (Washington University) • Propone los lineamientos para los profesionales en la planeación de recuperación de negocios mediante la definición de áreas de conocimiento • Ofrece capacitación y asesorías • Certifica profesionales

  8. Disaster Recovery Institute (cont.) • Actualmente, al menos 1500 empresas aplican los conceptos y metodología del DRI. Algunas de ellas son: • Texas Instruments • AT & T • Bell South • National Bank • World Bank • Merrill Lynch • Banco Central de Venezuela

  9. Áreas de conocimiento base del DRI 1. Administración e iniciación del proyecto 2. Evaluación de riesgos y controles 3. Análisis de Impacto del negocio 4. Estrategias de recuperación 5. Respuesta a la emergencia 6. Desarrollo e implementación del plan 7. Programas de concientización y entrenamiento 8. Pruebas y ejercicios del plan 9. Mantenimiento y actualización del plan

  10. Definiciones • Desastre: Es cualquier evento que crea inhabilidad para una parte de una organización para proveer sus funciones críticas del negocio por algún periodo de tiempo (inconveniencia o desastre).

  11. Definiciones (cont.) • Plan de recuperación de desastres: Un conjunto aprobado de actividades y procedimientos los cuales hacen posible a una organización responder a un desastre y reiniciar sus funciones críticas en una condición aceptable, en un marco de tiempo determinado.

  12. Definiciones (cont.) • Plan de continuidad del negocio: Son todas las actividades y procedimientos aprobados que hacen posible a una organización responder a un evento en tal forma que las funciones críticas del negocio continúen sin interrupción o cambio significativo

  13. Plan estratégico de Administración de Riesgos Administración de Crisis Relaciones legales y comerciales Cambios Tecnológicos Cambios Políticos Eventos naturales Cambios procedimentales Software Comportamiento humano Presión de la competencia Dispositivos o equipos Fuentes de Riesgo Consecuencias Financiero Económico Objetivos Disponibilidad Confidencialidad Integridad Continuidad Accidentalidad Opciones de Tratamiento Mitigar, Reducir, Aceptar, Asumir, Evitar, Transferir Plan de Manejo del Riesgo Respuesta al Riesgo (Monitoreo, mantenimiento y Atención de incidentes) Respuesta a Continuidad de Negocio Donde encaja la administración de riesgos?

  14. Proceso de planeación de contingencias Tomado de IT Contingency Planning Guide (NIST)

  15. Metodología Fases: Definición Requerimientos Funcionales Diseño y Desarrollo Implementación Pruebas y ejercicios Mantenimiento Ejecución

  16. Normalidad Declaración de la emergencia Toma del control Toma de decisiones Reanudación de operaciones Restauración Etapas durante un desastre DESASTRE Normalidad Recuperación de las capacidades

  17. Fase 1: Definición • Definir el problema (Recuperación de desastres vs. Continuidad del negocio) • Conciencia en la alta gerencia y políticas de continuidad del negocio • Definición de los objetivos y requerimientos de continuidad (Quien, que, cuando, donde y como) • Alcance y objetivos del proyecto • Comité de seguimiento al proyecto

  18. Fase 2: Requerimientos funcionales • Identificación de los bienes a ser protegidos • Efectuar el análisis de riesgos • Realizar el análisis de impacto del negocio (BIA) • Identificación de las estrategias • Costo-beneficio de las estrategias • Selección de la estrategia • Presupuesto de inversión

  19. Bienes a ser protegidos TELECOMUNICACIONES Equipos Instalaciones Circuitos Seguridad, Potencia Protección & Ambiente Clientes y Usuarios (Externos e Internos) Hardware (Mainframe, PC’s, LAN) Inventario & Materiales Sistemas Operativos Datos Plantas de producción & equipo Aplicaciones Personas

  20. Análisis de Riesgos • El análisis de riesgos permite identificar las vulnerabilidades de la compañía, evaluar los controles existentes, así como prever si son necesarios nuevos controles. • Puede ser cualitativo o cuantitativo

  21. Análisis de Riesgos (cont.) • Actividades: • Identificar las amenazas y vulnerabilidades sobre los elementos críticos • Establecer los riesgos utilizando A.L.E (Anual Loss Exposure, Riesgo=frec x exposic, Benef=R-r-c) • Identificar y analizar controles existentes • Analizar el valor de los controles adicionales • Recomendar la implantación de controles para mitigar los riesgos

  22. Análisis de impacto del negocio Basados en los riesgos ya identificados: • Determinar los procesos, funciones, departamentos y áreas de trabajo del negocio sensibles en el tiempo • Determinar los sistemas, datos y telecomunicaciones sensibles en el tiempo • Determinar el tiempo de disponibilidad requerido (RTO)

  23. Análisis de impacto del negocio (cont.) • Es importante definir el criterio de criticidad de las funciones y procesos • Definir las consecuencias de las caídas del negocio • Establecer el RTO (tiempo objetivo de recuperación) de los procesos críticos

  24. Recovery Time Objective Los sistemas críticos son operativos y con datos actuales Punto de interrrupción Reinicio de las operaciones tiempo Recovery Time Objective Procesos del negocio funcionando Es el tiempo entre el punto de interrupción, y el punto en el cuál los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con los datos actualizados

  25. Identificación de estrategias • Identificar los requerimientos de las estrategias de recuperación: • Tiempos • Personal requerido • Sitios (recuperación, coordinación, reinicio) • Tipos (CdeC, funciones del negocio, comunic.) • Identificar las posibles alternativas de recuperación : • No hacer nada

  26. Identificación de estrategias (cont.) • Diferir acciones • Procedimientos manuales • Acuerdos recíprocos • Sitios alternos • Servicios comerciales (recuperación interna, hot site, cold site, warm site, nada) • Consorcio con otras compañías • Procesamiento distribuido • Comunicaciones alternas

  27. Identificación de estrategias (cont.) • Seleccionar el almacenamiento fuera del sitio • Seleccionar el sitio alterno • Realizar un análisis costo beneficio

  28. Fase 3: Diseño y desarrollo • Definir el alcance del plan • Estructurar una organización jerárquica paralela para administrar emergencias, con esquemas de notificación • Definición de escenarios • Programas de control de personal • Detallar la administración general del plan

  29. Fase 4: Implementación • Crear procedimientos de atención a al emergencia • Crear procedimientos para controlar la crisis • Designar la autoridad • Crear procedimientos para encadenar respuesta a la emergencia y recuperación • Detallar procedimientos de reinicio, recuperación y restauración • Contratos y recursos para recuperación

  30. Fase 5: Pruebas y ejercicios • Diseñar programas de entrenamiento, conciencia corporativa y mecanismos de distribución del plan • Programar ejercicios con objetivos claros • Preparar los escenarios • Efectuar ejercicios • Evaluar resultados

  31. Fase 6: Mantenimiento y actualización • Programar y calcular la inversión en actividades de actualización y mantenimiento • Evaluar herramientas de software como apoyo • Establecer criterios de revisión • Procedimientos de mantenimiento del plan: • Procedimientos de actualización • Procedimientos de reporte de estado

  32. Fase 6: Mantenimiento y actualización (cont.) • Procedimientos de auditoría y control • Establecer mecanismos de distribución de la actualización del plan y procedimientos de control

  33. Fase 7: Ejecución • Cada empleado sabe que hacer, donde ir, a quien reportarse durante la emergencia. • Se inicia el plan de respuesta a la emergencia • Se inicia el procedimiento de recuperación del negocio, si es necesario

  34. FIN!

More Related