Embed Size (px)
Citation preview
Continuidad de Servicios
Eduardo Lobos
La Continuidad de Servicios
BCP – El Plan de Continuidad del Negocio es una metodología usada para crear planes de cómo una organización debe recuperar y restaurar sus funciones críticas, que han sido interrumpidas, dentro de un tiempo predeterminado
El establecimiento de procedimientos y medidas de seguridad están destinados a salvaguardar las unidades administrativa y operacional
DRP – Plan de recuperación ante desastres es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos.
Planificar la continuidad
Restablecer las operaciones de TI y de negocio, ante eventos que pudieran interrumpir la habilidad de lograr sus objetivos estratégicos
Planes de continuidad
Para implementar el Plan de Continuidad es necesario identificar aquellos procesos que han sido definidos como críticos para el negocio; los recursos que facilitan su operación, entender los riesgos e impactos por eventuales interrupciones, definir estrategias y planes de recuperación, entrenar a las personas involucradas, realizar ejercicios de prueba y mantener actualizados los planes y procedimientos
• Líneas de Negocio• Productos y Servicios críticos
Conocer y entender el
negocio• Recursos críticos – Amenazas – Vulnerabilidades
Análisis de Impacto
(identificando riesgos)
• Planes a largo y corto plazo para asegurar consistencia
Estrategia de mitigación de
riesgos• Procedimientos y guías para minimizar los requerimientos de continuidad
Desarrollo de respuestas
• Evaluación de resultado de las pruebas, implementar un plan de acción de acuerdo con los resultados
Pruebas y simulación
• Sesiones de entrenamiento sobre procedimientos y roles que participan en caso de un desastre
Entrenamiento
Etapas de Planificación para la recuperación
Conocer y entender el negocio
Entender el contexto en el que opera el negocio
Entender los productos y servicios críticos que genera y proporciona la organización (sus objetivos)
Entender con que barreras o interrupciones se puede encontrar el negocio a la hora de generar y ofrecer esos productos y servicios críticos
Entender como la organización continuará con su actividad (objetivos) una vez ha ocurrido la interrupción
Recursos Críticos de TI
Durante el diseño del plan de continuidad se identifican los aplicativos, servicios de terceros, sistemas operativos, personal, insumos, archivos de datos que resultan críticos así como los tiempos necesarios para la recuperación después de que se presenta un desastre
Los datos y las operaciones críticas deben ser identificadas, documentadas, priorizadas y aprobadas por los dueños de los procesos del negocio, en cooperación con la Gerencia de Sistemas
Los costos se deben mantener en niveles aceptables, considerando requerimientos regulatorios y contractuales
Considerar requerimientos para lapsos diferentes: 1 a 4 horas, 4 a 24 horas, más de 24 horas y períodos operacionales críticos
Análisis de impacto al negocio (BIA)
El análisis de impacto al negocio tiene como objetivo identificar, cuantificar y calificar como se ve afectado el negocio por pérdida o interrupción de las operaciones y provee la información con base en la cual se determinan las estrategias de recuperación mas apropiadas
Evaluación de riesgos e identificación de controles
Identificar y evaluar riesgos relacionados a la continuidad de las operaciones; esto es, la probabilidad y el impacto de una variedad de amenazas que pudieran ocasionar interrupciones a dichos servicios
Posteriormente se priorizan los riesgos y se determinan medidas a implementar para mitigarlos
Almacenamiento de respaldo en sitio alterno
El almacenamiento externo de copias de respaldo, documentación y otros recursos de TI, catalogados como críticos, debe ser establecido para soportar los planes de recuperación y continuidad de negocio.
La instalación de almacenamiento externo debe contar con medidas ambientales apropiadas para los medios y otros recursos almacenados; y debe tener un nivel de seguridad suficiente, que permita proteger los recursos de respaldo contra accesos no autorizados, robo o daño.
Los acuerdos/contratos del sitio alterno deben ser periódicamente analizados, al menos una vez al año, para garantizar que ofrezca seguridad y protección ambiental
Desarrollo de estrategias de recuperación
Se establecen y seleccionan los métodos de operación alternativos a ser utilizados después de una interrupción para mantener los procesos y servicios críticos del negocio y sus dependencias, tanto internas como externas, con base en las prioridades y tiempos establecidos en el BIA
Desarrollo de planes con los procedimientos a seguir para la recuperación de las operaciones críticas posterior a un evento de desastre que interrumpa la continuidad del negocio. Los planes a desarrollar deben soportar las estrategias de recuperación seleccionadas
También contempla el desarrollo de planes de restauración (regreso a la operación normal) una vez restablecidos el sitio y los recursos de operación primarios
Recuperación y reanudación de servicios
Planear las acciones a tomar para el período en el que TI recupera y reanuda servicios, incluyendo:
– Activación de contingencia– Inicio de procesamiento alternativo– Comunicación con clientes e interesados– Procedimientos de reanudación
Asegurar que la compañía entiende los tiempos de recuperación de TI y las inversiones de tecnología necesarias para soportar las necesidades de recuperación y reanudación
Pruebas y simulación
Desarrollo del plan de pruebas y ejercicios de los planes de recuperación considerando los diferentes tipos:
– Pruebas simuladas
– Pruebas en producción (parciales o completas)
Procedimiento de afinamiento del Plan deContinuidad
Dada una exitosa reanudación de la función de TI después de un desastre, la gerencia de TI deberá establecer procedimientos para evaluar lo adecuado del plan y actualizarlo de acuerdo con los resultados de dicha evaluación
Distribución del Plan de Continuidad de TI
Dada la naturaleza sensitiva de la información del plan de continuidad, dicha información deberá ser distribuida solo a personal autorizado y mantenerse bajo adecuadas medidas de seguridad para evitar su divulgación no autorizada. Consecuentemente, algunas secciones del plan deberán ser distribuidas solo a las personas cuyas actividades hagan necesario conocerlas
Se debe generar un crecimiento que permita contar con planes disponibles bajo todos los escenarios de desastre en un mediano plazo
Entrenamiento
Definición y ejecución de un programa de concientización y entrenamiento dirigido al personal involucrado en la recuperación y restauración de las operaciones
Mantenimiento
Desarrollo del plan de mantenimiento del BCP/DRP para asegurar que las áreas permanezcan preparadas para el manejo de incidentes relacionados a la continuidad del negocio a pesar de los cambios a las personas, los procesos y la tecnología
Control de Resultados
Indicadores de objetivosCantidad de Procesos Críticos de Negocio
que tienen planes adecuados de continuidad
Pruebas regulares y formales sobre los planes con el fin de asegurar su consistencia
Reducción del tiempo improductivo
Cantidad de servicios TI con monitoreo automático de disponibilidad
Efectos desfavorables
Si el Seguridad Vecinal suspende sus servicios debido a un evento no previsto:
– ¿Qué harían sus clientes?
– ¿Qué harían sus competidores?
– ¿Qué harían sus bancos y/o sociedades financieras?
¡MUCHAS GRACIAS!Proyecto: “Implantación de un BCP”
