4. Elementos fundamentales del plan de continuidad 1

1

4. Elementos fundamentales del plan de continuidad

2Definición de servicios de Tecnologías de Información

1. Evaluación de análisis de riesgo

2. Análisis de impacto en el negocio

3. Desarrollo de estrategias de continuidad

4. Respuesta a incidentes

5. Plan de acción

6. Plan de vuelta a la normalidad

7. Pruebas y actualización

3

Caso Walmart

Walmart ha sufrido los estragos de desastres naturales en numerosas ocasiones

Cuenta con oficina donde se realizan todos los planes de continuidad de negocio: Centro de Continuidad de Operaciones en la Ciudad de México

ObjetivoReestablecer operaciones después de un desastre natural«las empresas dan estabilidad a la sociedad»

Tres simulacros al año para desarrollar una cultura de prevención de desastres

4

Caso WalmartCentro de Continuidad de Operaciones

Maneja toda la información que surge sobre un fenómeno natural

Caso de los huracanes Seguimiento: inicio,

trayectoria, primeras consecuencias, proyecciones

Contacto con las tiendas: revisión de instalaciones, análisis de abasto completo de las mercancías más demandadas, proyección de las posibles vías de comunicación, …

Otras acciones Teleconferencias con cada

departamento involucrado en la operación

Solicitud de procuración de bienestar de los asociados

Mantener en contacto con las autoridades

Efecto Recuperación de sus

operaciones con mayor prontitud

Mexicali: primera en reabrir y atender las necesidades de la población

5

Beneficios

«seguro de vida» que ayuda a las empresas a salir a flote de un desastre natural

ConocimientoControlConsistenciaResilienciaAgilidad

Beneficios de un plan de continuidad de negocios

6

Conocimiento Control

Sabe lo que tiene que hacer en cada uno de los frentes de la organización (relación con los clientes, operaciones, control de staff)

Se cuenta con los procesos, documentos, roles, responsabilidades para cubrir con las necesidades básicas


7

Consistencia Resiliencia

Mantiene viva la operación del negocio y le permite dar seguimiento a sus relaciones internas, externas

Tiene la capacidad de regresar ordenadamente a su operación normal conforme la situación de contingencia se controla


8

Agilidad

Tiene un tiempo de respuesta definido para recuperar su operación básica


9

Plan de continuidad de negocioalcance

Diseñado para crear una situación de preparación que proporcione una respuesta inmediata diseñada en función de una serie de posibles escenarios previamente definidos

Documento de Microsoft Word 97-2003

10

Plan de continuidad de negociofunciones de la Dirección

Cuidadosa elaboración e implementaciónPropuesto a la Dirección para su aprobación


11

Evaluación de análisis de riesgo

Haga clic en el icono para agregar una imagen

12

Evaluación de análisis de riesgo

Estudio de las amenazas a que están sometidos los activos de una organización y evaluación de su vulnerabilidad

Estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que están puedan producir

13

Evaluación de análisis de riesgo¿Cómo realizarlo?

1. Identificar los peligros

2. Decidir quien puede ser dañado y cómo

3. Evaluar los riesgos y decidir las precauciones

4. Registrar sus hallazgos e implementarlos

5. Revisar su análisis y poner al día si es necesario

14

Evaluación de análisis de riesgomatriz

Basada en el método de análisis de riesgo con un grafo de riesgo usando la fórmula:

riesgo = probabilidad de amenaza × magnitud de daño

15


La Matriz contiene una colección de diferentes Amenazas (campos verdes) y elementos de información (campos rojos)

Para llenar la Matriz, tenemos que estimar los valores de la Probabilidad de Amenaza (campos azules) por cada Amenaza y la Magnitud de Daño (campos amarillas) por cada Elemento de Información

http://protejete.files.wordpress.com/2009/07/matriz_2_tabla_vacia.jpg

16


Algunas medidas de protección necesarias Proteger los datos de RR.HH, Finanzas contra virus Proteger los datos de finanzas y el coordinador contra robo Evitar que se compartan las contraseñas de los portátiles

Hoja de cálculo de Microsoft Excel 97-200

http://protejete.files.wordpress.com/2009/07/matriz_3_tabla_llenada.jpg

17

Evaluación de análisis de riesgoidentificación de recursos

HardwareProcesadores, tarjetas, teclados, terminales, estaciones de trabajo, computadoras personales, impresoras, unidades de disco, líneas de comunicación, routers, …

SoftwareCódigos fuentes y objeto, utilidades, programas de diagnóstico, sistemas operativos, programas de comunicación

InformaciónEn ejecución, almacenados en línea, almacenados fuera de línea, en comunicación, bases de datos, …

PersonasUsuarios, operadores, …

AccesoriosPapel, cintas, toners, …

18

Evaluación de análisis de riesgoidentificación de amenazas

Desastres de entornoDesastres naturales, desastres producidos por elementos cercanos (cortes de suministro eléctrico, …), peligros relacionados con operadores, programadores o usuarios del sistema

Amenazas en el sistemaVulnerabilidades de los equipos y su software (fallas del sistema operativo, medidas de protección, fallas en las sistemas, copias de seguridad, …

Amenazas en la redAnalizar aspectos relativos al cifrado de los datos en tránsito por la red, proteger una red local del resto de internet, instalar sistemas de autenticación de usuarios remotos que necesitan acceder a ciertos recursos internos a la organización

19

Análisis de impacto en el negocio


20


Determinar los procesos críticos de la empresa, evaluar sus impactos económicos y operacionales sobre el negocio en caso de no disponer de los recursos humanos, logísticos o tecnológicos para ejecutarlos además de establecer un orden de prioridad de recuperación de dichos procesos

21

Análisis de impacto en el negocioimpactos más comunes y tiempos de recuperación

1. Recuperación en el mismo día

2. 1-2 días

3. 3-7 días

4. Más de una semana

22

Análisis de impacto en el negociorecuperación en el mismo día

1. Respuesta de llamadas telefónicas de clientes

2. Procesamiento de funciones financieras muy voluminosas y sensibles al tiempo

3. Aspectos relacionados con la salud y la seguridad

4. Impactos medi0ambientales5. Daño grave a la imagen o reputación

23

Análisis de impacto en el negocio1-2 días

La mayor parte de los negocios puede sobrevivir durante un día de interrupción sin que haya consecuencias amenazadoras para la compañíaSin embargo,1. El servicio a clientes comienza a

deteriorarse2. La información relativa a clientes necesita

estar restaurada y disponible para satisfacer las necesidades de entregas y gestión de pedidos

3. Los impactos en ingresos comienzan a hacerse patentes

24

Análisis de impacto en el negocio3-7 días

Pocas compañías pueden soportar que las funciones de sus negocios principales estén interrumpidas más de un par de días1. Notoriedad extremadamente alta (informaciones

negativas en la prensa económica, impacto en la cotización de las acciones)

2. Pérdida de clientes (a largo plazo y quizás permanentemente)

3. Problemas contractuales graves (plazos incumplidos, cláusulas de penalización, pleitos)

4. Amenaza financiera o quiebra

25

Análisis de impacto en el negociomás de una semana

La mayor parte de las organizaciones no pueden predecir exactamente los impactos de interrupciones de larga duración

Las interrupciones largas son escasasLos plazos son tan grandes, que la mayor parte de las

organizaciones gastarán todos los recursos que sean necesarios para recuperar un cierto nivel de servicio dentro del plazo de una semana

1. La reconstrucción de la información es enormemente costosa

2. La pérdida permanente de información impacta en la competitividad a largo plazo

3. La desmotivación y altas tasas de rotación de personal son frecuentes después de que ocurra una interrupción demasiado prolongada

26

Análisis de impacto en el negocioresumen de la Dirección: objetivos

Definir los tipos de impacto que se deberían considerar (económico, comercial, operacional, de imagen, jurídico, …)

Identificar las funciones críticas de la organización

Identificar el impacto causado a la organización por la interrupción de cada una de ellas

Informar a la dirección de los resultados anteriores para a que puedan fijar prioridades definiendo cuáles son las funciones consideradas prioritarias y establecer los umbrales máximos de recuperación para cada una de dichas funciones

Posibilitar la identificación de los recursos mínimos necesarios para una recuperación satisfactoria de las funciones definidas como críticas y justificar su adquisición

27

Análisis de impacto en el negocioresumen de la Dirección: alcance del análisis

Se refiere a los efectos, tangibles como intangibles, que causarían en la organización la interrupción de las funciones consideras como críticas por el equipo directivo de la organización

28

Valoración cuantitativa Valoración cualitativa

Análisis de impacto en el negocioresumen de la Dirección: resumen de resultados



29

Análisis de impacto en el negocioresumen de la Dirección: resumen de resultados

Calificación de impactos


30

Resultados del análisisRequisitos para la recuperación

Valoración cuantitativa de los impactos producidos por la interrupción de funciones

Costos de recuperación

Pérdidas asumiblesUmbrales de

recuperaciónRequisitos mínimos

aceptables para la recuperación (REMAR)




31

Análisis de impactosoluciones para registros vitales

Selección de las instalaciones de almacenamiento externo

Consideraciones: seguridad y accesibilidad

Ubicaciones posibles


32

Análisis de impactoestrategias de respuesta

Diferir la realización de las funciones de negocio

Reubicar las operaciones de negocio durante el tiempo de recuperación

Posponer las funciones de negocio

33

Análisis de impactoestrategias de reubicación

Instalaciones de operación alternativas, instalaciones informáticas y de telecomunicaciones

Centro de gestión de crisis/áreas de traslado

Consideraciones ¿se pueden modificar las operaciones normales?

¿qué dependencias de entradas y salidas existen?

¿qué procesos de reporteo se pueden suprimir?

¿qué operaciones y procesos concurrentes son posibles?

¿se puede minimizar la logística operando en un centro de respaldo?

¿cuál es la capacidad necesaria para operar en este modo de supervivencia?

¿cuál es la posibilidad de los diversos sistemas y aplicaciones informáticas?

34

Análisis de impactoestrategias de centros alternativos


35

Análisis de impactoanexos: cuestionarios de valoración

Impacto económico

Impacto comercial

Impacto operacional

Impacto en imagen

Impacto legal

Hoja de cálculo de Microsoft Excel 97-200

36

Desarrollo de estrategias de continuidad


37


Desarrollarlas y valorarlas hasta llegar a un equilibrio entre los gastos incurridos, los riesgos a mitigar y los beneficios económicos aportados

38


No se puede dar un modelo fijo de estrategiaDependencia

características de cada organización grado de criticidad de sus funciones y aplicaciones disponibilidad de servicios alternativos …

Basarse en la disponibilidad de un centro alternativo, propio o subordinado, en el que se realizarán las operaciones que permitan continuidad de las funciones críticas en un período inferior al definido por los umbrales de respuesta y recuperación

39

Centro de control Centro alternativo

Lugar de reunión para las actividades de valoración inicial, la coordinación y toma de decisiones

Equipo de gestión de incidentes y asesores durante las fases iniciales de respuesta y recuperación

Centro fríoCentro calienteCentro espejoCentro móvil


40

Centro frío Centro caliente

Sala vacía preparada con las condiciones ambientales para albergar equipos informáticosInstalación de energía

eléctricaClimatizaciónFalso sueloCierta estructura de

comunicaciones

Instalación totalmente configurado a las especificaciones del cliente y disponible en pocas horas

Recomendado para organizaciones en las cuales su umbral de recuperación no superar las 24/48 horas

Desarrollo de estrategias de continuidadcentro alternativo

41

Centro espejo Centro móvil

En caso de necesidades de respuesta inmediatas

Instalaciones idénticas y actualizadas permanentemente con objeto de que una de ellas se haga cargo automáticamente del trabajo si la otra sufre una interrupción

Trasladar las facilidades informáticas de respaldo al lugar determinado previamente en el plan de contingencia

Consiste en una sala acondicionada, equipada y configurable en pocas horas

Umbrales de recuperación: 6-8 horas en adelante

Desarrollo de estrategias de continuidadcentro alternativo

42


Otra localización dentro de la organizaciónAcuerdos de ayuda mutuaAcuerdos con los proveedores de equiposEmpresas de servicio

43

Desarrollo de estrategias de continuidadprocedimientos de backup

Dirección de Sistemas: servicio centralizado para ayudar al resto de las entidades en el proceso de protección de la información mediante la obtención de copias de seguridad

Cada entidad debe ser individualmente responsable de la identificación y protección de todos los registros vitales para una recuperación satisfactoria de la información contenida en los equipos locales


44

Solución propia

Accesibilidad: 24 horas, 365 días al año

Resistencia al fuego (RF-120)

Temperatura controlada (20°C)

Humedad controlada (50%) Resistencia al

aplastamiento Hermeticidad ante gases

Hermeticidad ante agua Medidas de seguridad

adicionales Sistema de detección Sistema de extinción Cierre rápido Protección contra robo

Desarrollo de estrategias de continuidadcentro de almacenamiento externo

45

Solución externa

Almacén vigilado y conectado a una central de alarmas 24 horas, 365 días y dotado con sistemas de seguridad pasiva

Sala de almacenamiento de soportes presurizada: no polvo y exenta de campos magnéticos

Sistema de extinción de incendios mediante gas inerte

Control automatizado de parámetros de: temperatura, humedad, pureza de aire, accesos, …

Sistemas alimentación eléctrica redundantes

Vehículos sin distintivos con aire acondicionado

Transporte en maletines o contenedores

Transporte con comunicación con la base (radio, teléfono, buscapersonas, …)

Disponibilidad las 24 horas, 365 días al año

Recogida y entrega planificada en las instalaciones del cliente


46

Posibilidad de acceso inmediato y/o posibilidad de solicitudes de urgencia con un tiempo de respuesta aceptable (2/3 horas)

Cobertura de seguro adecuada

Conceptos de facturación claros y cerrados, incluidas las tarifas para servicios de emergencia en horario normal, nocturno, fines de semana, fiestas, …

Software de administración y logística integrados

Confidencialidad de los datos almacenados


47

Respuesta a incidentes


48

Equipo de gestión de incidentes

Formado por los jefes de equipo de los equipos restantes y dirigido por una persona con suficiente nivel jerárquico dentro de la estructura de la organización

Funciones Planificar y controlar

actividades Decidir la ubicación del

centro de control Realizar los informes de

situación Evaluar los daños

Planificación de reuniones periódicas para revisar el plan y organizar pruebas



49

Equipo de operaciones informáticas

Responsable de la rápida y efectiva reimplantación de las instalaciones informáticas después del desastre



50

Equipo de operaciones informáticas: funciones

Instalación de la solución de recuperación Aviso a la empresa de servicios de respaldo Solicitud de copias de seguridad adecuadas de programas y datos Prueba de la máquina de respaldo Restauración de la comunicaciones locales y remotas Obtención de soportes magnéticos para backup, material preimpreso

y suministros Recuperación de copias de seguridad del sistema operativos,

programas y datos Realizar pruebas de comprobación de la calidad de las aplicaciones

restauradas


51

Equipo de administración

Provisión de recursos a los demás equipos

Asignación y administración de una caja para gastos de menor cuantía

Coordinar la seguridad del edificio

Relaciones con los servicios públicos (bomberos, policía, protección civil, …)

Notificación a la compañías de seguros adecuadas y relaciones con los peritos

Relaciones con el personal y tratamiento de los problemas que se les puedan presentar

Relación con los medios de comunicación y edición de notas de prensa



52

Equipo de atención a usuarios

Mantener informado a todos demás departamentos usuarios del progreso realizado mediante la publicación regular de boletines informativos actuando como intermediario entre los departamentos usuarios y el proceso de recuperación



53

Equipo de inmuebles

Responsable de la reconstrucción y reacondicionamiento de la sala

Coordinación de un cierto número de subcontratistas y proveedores



54

Equipo de servicios generales

Soporte de cualquier servicio auxiliar que pueda ser necesario para la completa recuperación de todas las áreas afectadas

Coordinar un cierto número de subcontratistas y proveedores



55

Plan de acción


56

Plan de acción

Documenta la evaluación inicial y actividades de puesta en marcha de equipo y toma decisiones efectuadas por el equipo de gestión incidentes

Importante: inmediata notificación al responsable apropiado de cualquier suceso que pueda causar interrupción en las operaciones informáticas

Enemigo a batir: el tiempo

57

Plan de accióntipos de desastre

Desastre menorAquel que provoca una parada que no sobrepase las cuatro horasEjemplos: fallas de hw debidos a usuarios, daños menores o problemas de sw

Desastre mayorAquel que provoca una parada de más de cuatro horas y que no sobrepase un díaEjemplos: inundación de la sala, rotura del aire acondicionado

Desastre catastróficoFuera de servicio más de un día que no sobrepase una semanaEjemplo: destrucción total del centro informático

58

Plan de acciónactivación de procedimientos de emergencia

Notificación de primera alerta

Escalamiento de problemas

Informe de emergencia

Evaluación de daños




59

Plan de acciónprocedimientos de respuesta

Coordinación de actuaciones por el equipo de gestión de incidentes

Procedimientos del departamento de Administración

departamento de Asesoría Jurídica

departamento Comercial

departamento de Producción

departamento de Recursos Materiales

departamento de Inmuebles

departamento de Logística

departamento de Recursos Humanos

60

Plan de acciónprocedimientos de respuesta

departamento de Relaciones Públicas

departamento de Seguridad

departamento de Sistemas de Información

servicio de Archivo Central

servicio de Correos

servicio de Viajes

servicio de Telecomunicaciones

61

Plan de acciónprocedimientos de recuperación

Necesitan más tiempo para ser puestos en marcha

Son a menudo más costosos y complicados a implantar

Ejemplo: reconstrucción de los registros perdidos y las computadoras personales dañadas pueden llevar días o semanas y requiere mayor dedicación del personal

62

Plan de acciónprocedimientos de recuperación

Coordinar la preparación del lugar de recuperación

Traslado al centro de respaldo

Procedimientos de recuperación del sistema operativo

Procedimientos de recuperación de aplicaciones

Procedimientos de recuperación de datos

63

Plan de vuelta a la normalidad


64

Plan de vuelta a la normalidad

La reanudación de las operaciones no debe poner un riesgo adicional

Planificar cuidadosamente la vuelta a la normalidadAcciones

Reunión de planificación Fecha, hora de disponibilidad para el regreso Estado de los servicios de soporte (teléfonos, servicios informáticos, …) Cualquier requisito o apoyo logístico especial

Sesión de planificación dirigida por el jefe de cada equipo de recuperación

Desarrollar un programa final aprobado y revisado Poner en marcha los procedimientos modificados de continuidad de

negocio reanudando las operaciones en el lugar de trabajo permanente

65

Pruebas y actualización


66

Pruebas y actualización

La buena documentación de un manual no es suficiente para garantizar que el plan de continuidad de negocio va a responder según lo previesto

Necesidad de entrenamiento y pruebas periódicas

Actualización de los planesContenido del programa de pruebas y

entrenamiento Revisiones periódicas Ejercicios de entrenamiento Pruebas técnicas

67

Pruebas y actualizaciónrevisiones periódicas

¿siguen siendo válidas las premisas de partida sobre las que se construyó el plan?

¿se han transformado en críticas, funciones de negocio que antes no lo eran?

¿están todavía disponibles los recursos de recuperación, incluyendo las copias de seguridad actualizadas en el almacenamiento externo?

¿son todavía apropiados, en cantidades y umbrales de recuperación, los recursos críticos que se han definido?

¿ha habido algún cambio en la criticidad de alguna información, que ahora la haga esencial para la recuperación?

¿son todavía apropiados los umbrales de recuperación de las funciones de negocio identificadas como críticas?

68

Pruebas y actualizaciónejercicios de entrenamiento

Recomendación: ejercicio anual similar a la revisión de procedimientos de respuesta y recuperación efectuada durante el desarrollo del plan

69

Pruebas y actualizaciónpruebas técnicas

Base: buen funcionamiento de la tecnologíaRecomendación: prueba anual de determinados elementos

tecnológicos y logísticos del planEjemplos

Restaurar todos los backups de PCs y LANs Conmutar las telecomunicaciones de voz y datos al centro alternativo Comprobar la idoneidad de los backups existentes en el

almacenamiento externo y su posibilidad de lectura Verificar la disponibilidad de los proveedores de recursos críticos

(substitución de PCs, impresoras y consumibles) Recuperar los elementos custodiados en el almacenamiento externo Efectuar algunas transacciones y procesos reales utilizando los

recursos y registros identificados en el plan

70

Pruebas y actualizaciónmantenimiento del plan

Mantener actualizado el plan de continuidad de negocio

Revisión y validación de necesidades y estrategias

Actualizaciones (coordinador del plan) Mantener una copia actualizada en casa y en la oficina Asegurarse de que todos los miembros del equipo y el personal

alternativo tienen una copia actualizada en su casa Asegurarse que todo el personal de los equipos de recuperación

considera la preparación de las actividades de recuperación como parte de sus actividades diarias

Asegurarse de que las actividades de backup y almacenamiento de registros vitales están siendo ejecutadas

Participar en el programa de pruebas del plan de continuidad de negocio

71

Fin

Documents

4. Elementos fundamentales del plan de continuidad 1