Recuperación y Continuidad del Negocio

Transcripción

1 Recuperación y Continuidad del Negocio

2 CONTENIDO ANTECEDENTES ALGUNAS EXPERIENCIAS REVISION DE CONCEPTOS GENERALES METODOLOGIA CONCLUSIONES

3 QUE ES UN DESASTRE? Cualquier EVENTO MAYOR que afecte el funcionamiento normal de las operaciones de un negocio

4 TIPOS DE DESASTRES Naturales Humanos Técnicos

5 DESASTRES NATURALES Incendios Terremotos Inundaciones Tornados Huracanes Hundimientos Exhalaciones volcánicas

6 DESASTRES HUMANOS Pueden ser Accidentales o Intencionales Pueden ser Internos o Externos Amenazas de Bomba Huelgas Plantones Empleados Inconformes Empleados Mal Capacitados Disturbios Sociales

7 DESASTRES TECNICOS Fallas en el Equipo de Cómputo o algún Periférico Fallas en el Equipo de Soporte del Centro de Cómputo Fallas en Equipo de Telecomunicaciones o algún componente de la red Fallas en el Enlace Infección de Virus

8 67% de las compañías que tienen un desastre por más de dos semanas, están fuera del negocio dentro de los dos años siguientes. Sun Systems Gartner Group estima que, de cinco empresas que sufren una contingencia dos de ellas saldrán del negocio dentro de los cinco siguientes años. Gartner Group, September 2001 El 40 % de las empresas dicen que tomará mas de un día regresar o poner en línea los sistemas en caso de que el desastre destruya una localidad principal. Information Week Research, Nov 26, 2001 El porcentaje de estar fuera de servicio por una hora es de $84,000 dólares en un Call Center. IDC El costo estimado por una hora de un empleado por no operar en caso de contingencia de acuerdo a información de la Industria Aseguradora es de $ 370 USD. Meta Group El 45% de las contingencias de los centros de cómputo en EUA es debido a fallas de energía eléctrica. Contingency Planning Research Las Funciones del Negocio no pueden continuar operando después de 4.8 días sin la recuperción de la Infraestructura tecnológica. Info Security News EL 68% de los negocios RECLAMAN Planes de Contingencia. Disaster Recovery Journal El 60% de las empresas tienen información crítica de los usuarios en sus laptos o desktops. Network World, November 26, 2001

9 Preocupaciones del CIO Qué es lo que no le permite dormir al CIO desde el 2002? En orden de las 10 primeras preocupaciones: 1. La Seguridad Informática 2. La Continuidad del Negocio 3. La Decuperación en casos de Desastre -Information Week

10 El dinero no es la única preocupación La pérdida de productividad de los empleados Una ruptura en el servicio del cliente La pérdida de confianza del cliente y buena voluntad El incremento en los costos de asistencia técnica Los niveles de servicio acordados con terceros Las Obligaciones legales adquiridas con terceros o con gobierno

11 Evolución en el Tiempo BCM BCM 3 BCP Análisis de Impacto al Negocio Estudio de Riesgos Estrategias de Continuidad Desarrollo del Plan Pruebas del Plan BRP BRS DRP Resp. de Información DRP = Disaster Recovery Plan BRS = Business Recovery Services BRP = Business Recovery Plan BCP = Business Continuity Plan BCM = Business Continuity Management

12 Definición histórica Realidad Business Business Continuity Continuity Planning Planning Business Continuity Planning (BCP) es un todo que engloba los terminos que describen el proceso de planeación para asegurar que una organización puede sobrevivir ante un evento que cause la interrupción del proceso normal del negocio. El Business Continuity está limitado, es enfocado con TI, relacionados con activos y normalmente ligados con unidades especificas de negocio o departamento. Con frecuencia son planeados pero no probados o ejecutados. Disaster Disaster Recovery Recovery Disaster Recovery (DR) es una habilidad de la compañía para recuperar en un periodo aceptable de tiempo (basado en el tiempo de recuperación y la recuperación basada en ciertos objetivos) por un incidente mayor o desastre y que asegure que los usuarios, sistemas críticos del negocio son eficientemente restaurados en forma completa y accesible. La recuperación de datos y el Centro de Cómputo TI con buenos mecanismos ambientales y de protección pero pobre apalancamiento de la Infraestructura de TI. No se recuperan totalmente los activos de TI.

13 BS 7799 (I7799): 10 Áreas de Control Política de Seguridad Organización de Seguridad Clasificación y control de Activos Seguridad del Personal Seguridad Física y Ambiental Administración operacional y de Comunicaciones Control de Acceso Desarrollo y mantenimiento de Sistemas Administración de la Continuidad del Negocio Cumplimiento

14 DISASTER RECOVERY PLAN Plan de Recuperación en Caso de Desastre. Está orientado a recuperar en el menor tiempo posible la operación de las APLICACIONES CRITICAS, utilizando para ello un equipo de cómputo alterno, minimizando el impacto y el costo de un desastre. Responsable: Área de Sistemas

15 BUSINESS CONTINUITY PLAN A diferencia del DRP, el Plan de Continuidad del Negocio (BCP) está orientado a recuperar en el menor tiempo posible la operación de las FUNCIONES CRITICAS del negocio, estén o no automatizadas. Responsable: Dirección

16 RISK ASSESSMENT Metodología orientada a determinar la vulnerabilidad de la empresa. Con base en los diversos riesgos encontrados, se les asigna un valor específico, según la probabilidad de ocurrencia y de la cobertura del seguro contratado, con el fin de proponer alternativas para reducir el riesgo.

17 BUSINESS IMPACT ANALYSIS Análisis de Impactos al Negocio. A través de esta metodología se hace un análisis de todos los procesos y aplicaciones dentro de la Empresa a través de un CUESTIONARIO que se aplica en diversos niveles. Como resultado se llega a determinar el portafolio de PROCESOS Y APLICACIONES CRITICAS, así como los Requerimientos Mínimos y las características de cada uno de ellos.

18 OBJETIVOS DEL PLAN Garantizar una reanudación oportuna y eficiente de las operaciones de la Empresa, cuando se presente una interrupción mayor Asegurar la continuidad del negocio

19 OBJETIVOS DEL PLAN Reducir las decisiones que se toman durante una contingencia Reducir los efectos negativos ocasionados por el CAOS Evitar la dependencia sobre una persona o grupo de personas en el proceso de recuperación Eliminar la necesidad de desarrollar nuevos procedimientos durante la recuperación Minimizar la pérdida de Información que se considere CRITICA

20 Metodología BCM

21 Ciclo de Vida de la Administración de la Continuidad del Negocio Prueba, Mantenimiento y Plan de Auditoría Entendimiento del Negocio 1 Administración de la Estrategia de Continuidad del Negocio BCM Estructura y Difusión de la cultura del BCM 4 Programa de Administración del BCM 3 Desarrollo e Implementación de Respuesta del BCM

22 Administración de la Continuidad del Negocio Fase 1: Entendimiento del Negocio Estrategia Organizacional y Objetivos del Negocio Factores Críticos del Negocio (Misión de las Actividades Críticas) Productos de Negocio y Servicios (Core del Negocio) Fase 2: Administración de la Estrategia de Continuidad del Negocio Estrategia Organizacional del BCM (Corporativo) Niveles de los Procesos de la Estrategia del BCM Recursos de Recuperación para la Estrategia del BCM Fase 3: Desarrollo e Implementación de Respuesta del BCM Plan(es) de Continuidad del Negocio Planes de los Recursos de Recuperación Plan de Manejo de Crisis Fase 4: Estructura y Difusión de la cultura del BCM Cultura de BCM y Programa de Concientización Educación y Creación de las Actividades de Cultura Programa de Entrenamiento del BCM Fase 5: Prueba, Mantenimiento y Plan de Auditoría. Pruebas del BCM Mantenimiento del BCM Auditoría al BCM Fase 6: Administración del programa del BCM Definición del Programa Política del BCM Aseguramiento del BCM

23 Metodología a BCP

24 Metodología BCP Planeación del Proyecto Análisis de Impacto al Negocio Estudio de Riesgos Estrategias de Continuidad Desarrollo del Plan Pruebas del Plan Requerimientos Críticos Evaluación de Seguridad Recuperación Técnica Estructura de Plan Programación de la Prueba Dependencia entre Sistemas Análisis de Amenazas Recuperación de Usuarios Procedimientos documentados Procedimientos de la Prueba Tiempos / Periódos críticos Mitigación del Desastre Instalaciones de Recuperación Equipos de Recuperación Métodos de la Prueba Impactos sin servicio Recuperación del Negocio Mantenimiento a Procedimientos Evaluación de la Prueba

25 Metodología a DRP

26 Metodología DRP Fase I Fase II Fase III Fase IV Fase IV Análisis de Amenazas Análisis de Impacto Aplicativo Determinar los servicios críticos de soporte Definir estrategia de procesos de Definir recuperación recuperación Refinar Determinar estrategia de viabilidad recuperación de estrategia Finalizar estrategia de recuperación Definición de Recursos Documentación del Plan Capacitación Pruebas Mantenimiento

27 En el contexto BCM BCP - DRP BCM (Business Continuity Management) Considera la administración de la continuidad del negocio como parte de un proceso BCP (Business Continuity Plan) Plan dirigido a los procesos del Negocio DRP (Disaster Recovery Plan) Plan específico a tecnología de la Información

28 Beneficios del BCM Prever y mitigar el desastre de forma positiva, logrando mantener la continuidad de la empresa su reputación, credibilidad y lealtad del cliente. Recuperar en forma efectiva en el tiempo a la organización, reduciendo los impactos por el evento de la contingencia. Identificar las prioridades del negocio, alineándolas al BCM con la sinergia de la arquitectura de TI proporcionando a la organización elementos de competitividad en el ambiente de los negocios y de la industria. Contar con voto de confianza por parte de los accionistas de la organización. Delimitar las severidad del daño y riesgos hacia la salud y bienestar de los empleados. Minimizar la magnitud de la interrupción sobre los procesos críticos ante eventos inesperados. Contar con los elementos regulatorios y jurídicos para enfrentar juicios o demandas de terceros o gubernamentales. Contar con un BCM alineado a los estándares internacionales que permita cubrir los lineamientos solicitados por cada uno de ellos. Contar con personal entrenado para el manejo de crisis y recuperación de las operaciones. Asegurar que los registros vitales estén disponibles ante el evento de contingencia. Contar con la mayoría de los procedimientos probados. Minimizar la dependencia de los servicios informáticos ante el evento de la contingencia.

29 Alejandro Cerezo INSYS Gerente BCM Conmutador: