Conceptos Generales - · PDF file• PLAN DE CONTINUIDAD DEL NEGOCIO: Conjunto de procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los procesos

Conceptos Generales

Conceptos Generales

DRP• PLAN DE RECUPERACIÓN DE DESASTRES: Estrategias

definidas para asegurar la reanudación oportuna y ordenada de los servicios informáticos críticos en caso de contingencia.

BCP• PLAN DE CONTINUIDAD DEL NEGOCIO: Conjunto de

procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los procesos de negocio generando un impacto mínimo ante un incidente.

BCM

• ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO: Proceso administrativo completo que identifica impactos potenciales que puedan afectar a la organización. Proveela estructura para dar flexibilidad y respuestas efectivaspara salvaguardar los intereses de la organización.

Conceptos Generales

Un DRP responderá a…• Existen respaldos de la información?• Los sistemas de información son de alta

disponibilidad?• Existen centros de datos alternos?• Están documentadas las estrategias de

recuperación de los sistemas de información?

• Cómo se salvaguarda la información vital?

Conceptos Generales

Un programa de BCP responderá a…• Qué es un desastre?• Cuál es el impacto asociado?• Cuánta pérdida puede ser tolerada?• Cuáles son las alternativas?• Cómo restablecer las funciones del

negocio/servicio?• Cuánto costará un plan de recuperación?• Cuánto es suficiente?

Objetivos BCM (I)

• Proteger al personal y los activos corporativos

• Asegurar la continuidad de las operaciones• Garantizar la reanudación de los procesos

críticos dentro de los márgenes de tiempo tolerables

• Minimizar el proceso de toma de decisiones durante una contingencia

Conceptos Generales

Integrales con proveedores

Objetivos BCM (II)

• Reducir los efectos negativos ocasionados por el caos

• Cumplir con requerimientos Legales /Contractuales /Gubernamentales

• Eliminar la necesidad de desarrollar nuevos procedimientos durante la contingencia

• Minimizar la posibilidad de pérdida de información crítica para el negocio

• Mantener el servicio al cliente

Conceptos Generales

Integrales con proveedores

Conceptos Generales

“…la resiliencia [es] la capacidad humana de hacer frente a las adversidades de la vida, superarlas y salir de ellas fortalecido e, incluso, transformado”

(Grotberg, 1996).

Com

unic

acio

nes

Segu

ridad

Rec

.Hum

anos

Con

ocim

ient

o

Tecn

olog

ía

Ope

raci

ones

Cal

idad

Rec

. Des

astr

es

Conceptos Generales

Resiliencia OrganizacionalFi

nanz

as

Emer

genc

ias

Por dónde comienzo?

Evaluación de riesgos

Análisis de impacto

Estrategias de recuperación

Desarrollo del Plan

Actualización del Plan

Coordinación con

autoridades externas

Pruebas y ejercicios

Sensibilización y capacitación

Comunicación de crisis

Conceptos Generales

“…plans are useless but planning is essential”Dwight D. Eisenhower

“…los planes son inútiles, pero la planeación es esencial” Dwight D. Eisenhower

Mejores prácticas y lineamientos aplicables

País origen

MetodologíaEstándar

Guía

Desarrollada por: Propósito Fecha

USA Professional Practices for BusinesssContinuity Management

DisasterRecoveryInstitute (DRII)

Lineamientos. 10 Prácticas Profesionales para gestionar la continuidad del negocio. 2003

USANFPA-1600. Standard on Disaster/Emergency Management and Business Continuity Programs

National FireProtectionAssociation(NFPA)

Lineamientos para manejo de programas de atención de emergencias, atención de desastres y programas de continuidad del negocio.

2004

Basilea BASEL - High level principles for business continuity

Bank forInternational Settlements(BIS)

Principios para apoyar entidades del sector financiero en la gestión de continuidad del negocio con miras a mejorar la resiliencia del sector financiero.

2006

UK BS25999 Business ContinuityManagement

British StandardsInstitute (BSI)

Estándares para desarrolar y gestionar programas de continuidad de negocios.Parte 1: Código de prácticaParte 2: Especificaciones

2006 2007

USA

ISO 22399:2007. Societal security-Guideline for incident preparedness and operational continuity management.

International Organization forStandardizationISO

Principios y elementos para desarrollo e implementación de programas de atención de incidentes y continuidad operacional en las organizaciones.

2007

Mejores prácticas

1. Inicio y Administración del Proyecto2. Evaluación y Control de Riesgo3. Análisis de Impacto del Negocio (BIA)4. Selección y Desarrollo de Estrategias de Continuidad5. Respuesta y Operaciones de Emergencia6. Desarrollo e Implementación Planes de Continuidad7. Programas de Concientización y Entrenamiento8. Prueba, Ejercitación y Mantenimiento de los Planes de Continuidad9. Comunicación de Crisis10.Coordinación con Autoridades Públicas

1. Regulaciones2. Evaluación de riesgos3. Prevención de incidentes4. Mitigación 5. Logística y administración de recursos6. Ayuda y asistencia7. Planeación8. Administración de incidentes9. Comunicaciones10.Procedimientos operacionales11.Entrenamiento12.Ejercicios, evaluaciones y acciones correctivas13.Comunicación de crisis14.Finanzas y administración del programa

Principios:1. Soporte y responsabilidad de la alta gerencia2. Manejo de interrupciones importates en la operatividad3. Objetivos de recuperación4. Comunicaciones internas y externas5. Comunicaciones globales6. Pruebas7. Revisiones de BCM por autoridades financieras

Implementar y mantener un sistema de gestión de continuidad del negocio (BCMS):1. Entender la organización2. Determinar las estrategias de continuidad del negocio3. Desarrollar e implementar las estrategias4. Ejercitar y mantener el BCMS5. Monitorear y revisar el BCMS6. Integrar BCM en la cultura organizacional

1. Entender la organización2. Definir política de cumplimiento3. Planeación 4. Implementación y operación 5. Seguimiento

Mejores prácticas

País origen


Guía

Desarrollada por: Propósito Fecha

ColombiaGTC 176. Guía técnicacolombiana. Sistema de Continuidad de Negocio

ICONTEC Lineamientos para la gestión de continuidad del negocio. Enfocada en gestión de procesos. 2008

1. Principios2. Sistema de gestión de la continuidad del negocio3. Gestión del riesgo4. Análisis de impacto5. Estrategias de continuidad6. Desarrollo de los planes de continuidad7. Manejo de crisis8. Gestión de competencias para la continuidad del

negocio9. Mantenimiento y actualización del sistema de gestión

de la continuidad del negocio

Regulaciones que incluyen BCP

País origen


GuíaDesarrollada por: Propósito Fecha

UK ISO27001. InformationSecurity Management

British StandardsInstitute (BSI)

Estándares para el desarrollo, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI).A.14 Gestión de la Continuidad del Negocio

2005

UKITIL. IT Infrastructure Library’s Service Delivery Management practices

Office of GovernementCommerce

Lineamientos para mantener la continuidad de servicios de tecnología. 2007

Colombia SARO SuperFinanciera

Reglas relativas a la administración del riesgooperativo.3.1.3.1 Administración de la continuidad del negocio

2006

Colombia Circular 052 SuperFinanciera3.2.3 Exigir que los terceros dispongan de planes de contingencia y de continuidaddebidamente documentados

2007

Proceso metodológicosegún BS25999

Entender la organización

Estrategias de

continuidad

Desarrollo e implementación de respuestas

Probar, mantener y

revisar

Programa deAdministración de

Continuidad del Negocio

Cultura organizacional

Metodología

Entender la organización

Estrategias de

continuidad

Desarrollo e

implementació

n de respue

stas

Probar, mantener y

revisar

Programa deAdministración de

Continuidad del Negocio

Metodología

• Política de continuidad• Gobernabilidad• Implementación del

programa• Gestión del programa

• Identificar:– Objetivos organizacionales– Factores ambientales– Procesos críticos

(interdependencias)– Análisis de riesgos– Análisis de impacto del

Negocio (BIA)• Tiempos de Recuperación (RTO)• Pérdida de información (RPO)• Acuerdos de servicio• Recursos mínimos para operar

MetodologíaEntender la organización

Riesgo

• “Evento que pude ocasionar un daño en un activo”

• Se valora como una función del impacto, amenaza, vulnerabilidad yprobabilidad


(Análisis de riesgos)

Riesgo = Probabilidad * Impacto

ImpactoConsecuencias para el negocio dado el daño al activo.Ejemplos:

– Financiero– Imagen– Continuidad– Integridad de personas– Clientes…

• Dificultad de cálculo exacto.– Definir y seleccionar una escala de

impactos



Amenaza• Declaración intencionada de infligir un

daño– Robo, virus, acceso no autorizado

• Potencial de que un incidente no deseado pueda producir daños a la información– Humano: falta de personal, error de

operación…– Técnico: fallo de equipos

• Desastre natural, intencional o accidental:– Inundación, terremoto, incendio…



VulnerabilidadDebilidad de un activo que puede ser explotada por una amenaza para materializar una agresión sobre dicho activo:– Falta de control de acceso– Equipos en lugares inadecuados– Cables desprotegidos– Falta de personal clave– Mantenimiento inexistente– Puertas abiertas– Personal no capacitado

Metodología

Una vulnerabilidad, por sí misma, no produce daños.Es una condición para que la amenaza afecte al activo.

Entender la organización(Análisis de riesgos)

ProbabilidadCifra que expresa el grado de que un hecho sea absolutamente seguro de que ocurra o no.

Se expresa:– Cualitativamente : Bajo, Moderado, Alto,

Extremo–Cuantitativamente: 0 - 1



Metodología

Riesgo es la materialización de una amenaza aprovechando la vulnerabilidad de un activo

Impacto¿Cuál es el impacto al negocio?

Probabilidad¿Qué tan probable es la

amenaza dados los controles?

Activo¿Qué trata de

proteger?

Amenaza¿Qué teme que

suceda?

Vulnerabilidad¿Cómo puede

ocurrir la amenaza?

Mitigación¿Cómo se reduce

actualmente el riesgo?


Estándar AS/NZS 4360

1. Establecer el Contexto

2. Identificar Riesgos

3. Analizar Riesgos

4. Evaluar Riesgos

5.Tratar Riesgos

Mon

itori

zar

y R

evis

ar

Com

unic

ar y

co

nsul

tar


Metodología

Establecer el contexto


Metodología

• Estratégico• Organizacional• Administración de riesgos• Criterios• Estructura

Identificar Riesgos


Metodología

Qué puede suceder?Cómo puede suceder?

Analizar Riesgos


Metodología

Nivel Descriptor Ejemplo

1 Insignificante Sin perjuicios, baja pérdida financiera

2 Menor Tratamiento de primeros auxilios, liberado localmente, pérdida financieramedia

3 Moderado Requiere tratamiento médico, pérdida financiera alta

4 Mayor Perjuicios extensivos sin efectos nocivos, pérdida financiera mayor

5 Catastrófico Muerte, efectos nocivos, enorme pérdida financiera

Medidas cualitativas de impacto

Analizar Riesgos


Metodología

Nivel Descriptor Descripción

A Casi certeza Se espera que ocurra en la mayoría de las circunstancias

B Probable Probablemente ocurrirá en la mayoría de las circunstancias

C Posible Podría ocurrir en algún momento

D Improbable Podría ocurrir en algún momento

E Raro Puede ocurrir solo en circunstancias excepcionales

Medidas cualitativas de probabilidad

Analizar Riesgos


Metodología

Matriz de análisis de riesgo cualitativo

Probabilidad

ImpactoInsignif.

1Menores

2Moderadas

3Mayores

4Catastróficas

5

A (casicerteza) H H E E E

B (probable)M H H E E

C (moderado) L M H E E

D (improbable) L L M H E

E (raro)L L M H H

L: BajoM: ModeradoH: AltoE: Extremo

Evaluar riesgos


Metodología

• Comparar contra criterios• Establecer prioridades de riesgos• Decidir entre aceptación o tratamiento

de riesgos

Tratar riesgos


Metodología

Probabilidad

Impact

Tolerar

Tratar

Transferir

Terminar

Monitorizar y revisar


Metodología

Comunicar y consultar

• Condiciones cambiantes exigen seguimiento permanente

• Actualización

• Plan de comunicaciones– Involucrar interesados (internos y externos)


(BIA)

• Identificar:– Objetivos organizacionales– Factores ambientales– Procesos críticos

(interdependencias)– Análisis de riesgos– Análisis de impacto del

Negocio (BIA)• Tiempos de Recuperación (RTO)• Pérdida de información (RPO)• Acuerdos de servicio• Recursos mínimos para operar

BIA (Análisis de Impacto del Negocio)– Identificar procesos críticos– Valorar impacto en procesos críticos

• Cualitativo / Cuantitativo – Determinar tiempos objetivos de recuperación– Priorizar procesos para su recuperación– Determinar los recursos mínimos de recuperación– Identificar previamente estrategias


(BIA)

CuantitativoValor aceptable de la pérdidaVolumen promedio de operacionesOperaciones en día críticoPenalidades y multas

CualitativoDescripción del impacto de la NO disponibilidadReconstrucción de imagen y credibilidad

Metodología

Valoración de Impacto Impacto

Empleados

Público en general

Información

Cumplimiento

Reputación

Financiero

Calidad de servicios

Ambiente

Entender la organización(BIA)

Procesos vs. SI SI1 SI2 SI3 SI4 SI5 SI6 SI7

Facturación X X X

Cartera X X X

Pagos X X X

Administración de citasmédicas X X

Adquisición medicamentos X X X

Metodología

Análisis de impacto de aplicaciones


SI: Sistema de información

Tiempos y puntos objetivos de recuperación

Metodología

Punto de Recuperación Tiempo de Recuperación

Sem Días Hrs Min Seg Seg Min Hrs Días Sem

Punto Objetivode Recuperación (RPO)

Qué tan actualizados necesitanestar los datos?

Tiempo Objetivode Recuperación (RTO)Cuál es la tolerancia a

la no disponibilidad?


• Requerimientos mínimos aceptables– Ventanas de recuperación– Información– Recurso humano– Documentos– Instalaciones


(BIA)

• Recurso humano• Tecnología• Información vital• Proveedores• Socios de negocio

MetodologíaEstrategias de continuidad

• Recurso humano– Mantener habilidades

y conocimiento– Segregación de

actividades críticas– Sitios alternos– Acceso remoto

Estrategias de continuidadMetodología

• Tecnología – Elementos por

considerar:• Hardware• Software• Telecomunicaciones• Backup y recuperación


Las cintas del backupestán dentro del

vehículo!!!

Tecnología• Tolerancia a fallos (fault tolerance)

– Un sistema tolerante a fallos puede continuar brindado servicios a pesar de fallas de hardware.

• Balanceo de carga (load balancing)– Sistemas que comparten la carga de

trabajo para evitar recursos ociosos y bajo desempeño.

• Alta Disponibilidad (high availability)– Sistema que es continuamente

operacional, mediante la implementación de controles preventivos, detectivos y correctivos.

• Virtualización– Abstracción de recursos

computacionales


Disponibilidad Tiempo abajo90% 52,560

min/año=36,5 días/año

99% 5,256 min/año=3,65 días/año

99,9% 526 min/año=8,76 horas/año

99,99% 52,56 min/año99,999% 5,26 min/año99,9999% 30 seg/año

Máquina Virtual 4Máquina Virtual 3

Máquina Virtual 2

Máquina Virtual 1VM2.vmx

SCSI0-0.vmdkSCSI0-1.vmdk

Estrategias de continuidad(Virtualización)

Metodología

• Tecnología – Centros de cómputo

• Distancia• Número• Acceso remoto• Comunicación

redundante• Acuerdos de servicio

(SLA)• Seguridad


Restauración

Recuperación

Reanudación

Respuesta

Prevención


Nivel I Nivel II Nivel III Nivel IV

Tipo de edificio

Compartido Compartido Independiente Independiente

Personal Ninguno 1 turno > 1 turno 7x24

Caminos de acceso

Solo 1 Solo 1 1 activo1 pasivo

2 activos

Redundancia N N+1 N+1 2(N+1)

Climatización ininterrumpida

No No Puede ser Sí

Puntos únicos de fallo

Muchos + error humano

Muchos + error humano

Varios + error humano

Ninguno + error humano

Disponibilidad 99.671% 99.794% 99.982% 99.995%

Meses para implementar

3 3-6 15-20 15-20

Clasificación según Uptime Institute

Tipos de centros de cómputo

• Tecnología – Alternativas de

recuperación• Sitios de recuperación

externos (hot site, cold site, warm site)

• Recuperación interna• Acuerdos recíprocos• Procedimientos

manuales• Suspensión de

servicios


Punto de Recuperación (RPO) Tiempo de Recuperación (RTO)

Sem Días Hrs Min Seg Seg Min Hrs Días Sem

Cintas de respaldo

Replicaciónasíncrona

Replicaciónsíncrona Warm site

Cold site

Acuerdos derespaldo

Hot site

Tecnología – alternativas de recuperación

• Información vital– Almacenamiento y

recuperación– Confidencialidad– Integridad– Disponibilidad– Actualizada – Físico/Digital


• Proveedores/Socios de Negocios– Dependencias – Coordinación– Verificación del plan– Pruebas – Políticas


• Implementación de planes de continuidad

• Respuesta a la emergencia

• Respuesta a incidentes de seguridad

MetodologíaImplementación de respuestas

• Implementación de planes– Equipos de trabajo

• Reanudación• Recuperación

– Controles– Seguridad– Inventarios– Recursos


BCP

Qué?

Quién?

Cuándo?

Dónde?

Cómo?

• Respuesta a la emergencia– Salvamento de vidas– Sistema de prevención

y atención de emergencias

– Sistemas de protección

– Autoridades locales– Simulacros



Pre-planear Responder/Estabilizar/Mitigar/Manejar Recuperar/Normal

Man

ejo

de re

spue

sta

de E

mer

genc

ia P

úblic

aSalvamento de vidas

Protección de PropiedadSeguridad Física

Tecnología

Rec

uper

ar –

Res

taur

ar -

Rea

nuda

r

Normal Evento - Respuesta Recuperación Normal

Identificar

Definir

Categorizar

Escalar

Notificar

MetodologíaProbar, mantener y revisar

“Escucho y olvido; veo y recuerdo;

hago y entiendo.“Tao Te King

• Pruebas• Mantenimiento

– Planes– Programa

• Revisión


• Pruebas– Notificación– Salvamento – Coordinación con

autoridades– Estrategias

• Tecnológicas• Operativas



Complejidad Prueba Objetivo Variantes Frecuencia

Simple Escritorio -simulación Revisión contenido BCP

Act./ValidarAuditoríaVerificaciónInvolucrar roles

Trimestral Semestral

Anual

Media Ejercicio parcial

Situación controlada que no impacte la operación normal

Operacionescríticas en sitio alterno(anunciadas-sorpresa)

Semestral

Alta Ejercicio de todo el plan

Evacuación Activación de contingenciastecnológicas y operativas

Involucrar proveedores(anunciadas-sorpresa)

Semestral

Adaptado de: “Types and methods of execising BCM strategies” BS25999-1:2006, p.37

• Tipos de pruebas


Horarios no hábiles.

Horarios hábiles con todos los clientes.Día Semana Varias semanas.

Alternar producción & contingencia.

Horarios no hábiles con grupos de clientes.Horarios hábiles con grupos de clientes.



• Mantenimiento – Actualización– Registro– Distribución– Criterios de revisión



Modelo de Madurez


Modelo de Madurez

Analogía del atleta

Nivel 1•Capacidadpara avanzarlentamente

Nivel 2•Capacidadpara caminar

Nivel 3•Capacidadpara correr

Nivel 4•Apto paracorrer

Nivel 5•Corredor competitivo

Nivel 6•Corredor olímpico

Organización en riesgo Ejecutor competente Mejor de la clase

Adaptado de: “Modelo Completo de Madurez de Continuidad del Negocio de Dominio Público” Virtual Corporation, 2006

Liderazgo

Conciencia

Estructura

Penetración

Métricas

Recursos

Coordinación

Contenido

Competencias


Liderazgo

Es el compromiso y entendimientodemostrado por la Alta Gerencia con respecto a la implantación, en toda la compañía y de manera escalada del programa de continuidad

Liderazgo

Conciencia

Estructura

Penetración

Métricas

Recursos

Coordinación

Contenido

Competencias


Conciencia

El personal de la organización en todos los niveles, conoce y entiende la importancia de la continuidad del negocio.

Liderazgo

Conciencia

Estructura

Penetración

Métricas

Recursos

Coordinación

Contenido

Competencias


Estructura

Definición del programa de continuidad del negocio con roles y responsabilidades claras. (Nivel y calidad de implementación)

Liderazgo

Conciencia

Estructura

Penetración

Métricas

Recursos

Coordinación

Contenido

Competencias


Penetración

Nivel de coordinación de la continuidad del negocio existente entre las unidades de negocio. Las áreas incorporan iniciativas.

Liderazgo

Conciencia

Estructura

Penetración

Métricas

Recursos

Coordinación

Contenido

Competencias


Métricas

Identificación, medición y reporte frecuente de indicadores cuantificables para monitorearel rendimiento del programa de continuidad. Permiten medir el cumplimiento de objetivos establecidos.

Liderazgo

Conciencia

Estructura

Penetración

Métricas

Recursos

Coordinación

Contenido

Competencias


Recursos

Disponibilidad de recursos humanos y financieros necesarios para asegurar el sostenimiento del programa

Liderazgo

Conciencia

Estructura

Penetración

Métricas

Recursos

Coordinación

Contenido

Competencias


CoordinaciónSocios de negocioAutoridades localesGobierno

Liderazgo

Conciencia

Estructura

Penetración

Métricas

Recursos

Coordinación

Contenido

Competencias


ContenidoActualizaciónMejora permanenteCalidad Administración de seguridad

• Sensibilización • Desarrollo de

competencias• Entrenamiento• Aprender de la

experiencia• Incluir a proveedores y

socios de negocio• Inducción a nuevos

empleados

MetodologíaCultura Organizacional

Metodología

En síntesis….Planeación de la Continuidad del Negocio

Pruebas – Mejora continua

Entrenamiento Mantenimiento

Aseguramiento de la Calidad

Planes Equipos Tareas

BIA Responsabilidades Estrategias

Alcance Políticas Propósito

Objetivos Supuestos

Compromiso y soporte de la Alta Gerencia

Documents

Conceptos Generales - · PDF file• PLAN DE CONTINUIDAD DEL NEGOCIO: Conjunto de procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los procesos