Estrategias de continuidad Tecnológica. Qué hemos aprendido? Sandra Patricia Camacho Bonilla, M.Sc, CBCP, PMP, ITIL v3, auditor

Transcripción

1 Estrategias de continuidad Tecnológica. Qué hemos aprendido? Sandra Patricia Camacho Bonilla, M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008 Nadie duda de la importancia de las estrategias de continuidad tecnológica, sin embargo, día a día se experimentan pérdidas de continuidad id d que impactan a las organizaciones i bien por fallas parciales o totales. Así las cosas, la presentación busca recapitular los diferentes momentos de esta práctica y ver qué podemos seguir avanzando de cara al reto de un mundo más interconectado y dependiente de las tecnologías de información

2 Introducción Continuidad Tecnológica Contenido Evolución - Metodologías y mejores prácticas Caso Banco de la República Recomendaciones y factores claves Preguntas

3 Introducción Importanciaen la organización ió Cada vez más la operación del negocio reposa sobre tecnología Los tiempos de no disponibilidad de un servicio impactan cada vez más transversalmente Clave Identificar lo qué es lo importante para la organización? Datos y procesamiento Procesos críticos Operación del negocio Procesos core Cadena valor Procesos de apoyo Clientes/usuarios i Adquirir y mantener la lealtad y confianza del cliente

4

5 Introducción Continuidad Tecnológica Contenido Evolución - Metodologías y mejores prácticas Caso Banco de la República Recomendaciones y factores claves Preguntas

6 Continuidad del Negocio Continuidad Tecnológica Eventos que han marcado su desarrollo Avances tecnológicos virtualización, cloud computing, balanceo, mayores velocidades, Voz ip, granjas de servidores, etc. Circular 052 GTC 176 ITIL v2 ITIL v3 BS x Y2K 9-11 ISO-2700x BS BS

7 Continuidad del Negocio BS / DRII Disaster Recovery Institute International Y Continuidad de Tecnología BS / BRCCI Business Resilience Certification Consortium International

8 Continuidad del negocio Conjunto de políticas y procedimientos usados para minimizar el impacto de los eventos negativos para la operación normal del negocio, manteniéndose las pérdidas operativas y financieras en un nivel aceptable. Objetivo Business Resilience / flexibilidad Definición tomada de: BRCCI - Business Resilience ertification Consortium International

9 Business resilience & Business continuity Proteger e Incrementar valor Valor para stake-holders Misión ió y objetivos Estrategia del negocio Políticas y procedimientos Business resilience / flexibilidad * Capacidad para ajustarse rápidamente * Transformación del negocio en respuesta a cualquier cambio anticipado o no anticipado * Prevención y mitigación de las amenazas * Capturar oportunidades, crear posición competitiva y aumentar el valor para los involucrados. Organización y personal Procesos del negocio Información y tecnología Instalaciones Business Continuity Disaster Recovery IT Disaster Recovery Definición tomada de: BRCCI - Business Resilience ertification Consortium International

10 Desastre tecnológico Qué es un desastre en tecnología? Evento de interrupción que causa que los sistemas o servicios tecnológicos no estén disponibles por un periodo de tiempo en el cual las pérdidas operacionales o financieras para la organización son inaceptables. Pérdidas operacionales imagen, confianza, relaciones, cumplimiento, flujo de caja Pérdidas financieras penalizaciones, sobrecostos, costo de renta de equipos, pérdida de ventas Definición tomada de: BRCCI - Business Resilience ertification Consortium International

11 Recuperación de Desastres de tecnología Conjunto de políticas y procedimientos usados por las área de tecnología para recuperarse de los impactos de eventos negativos para las operaciones de tecnología dentro de los marcos de tiempo acordados. Rol de tecnología como proveedor del servicio Acuerdos de servicio Costos por las pérdidas de los servicios de tecnología Definición tomada de: BRCCI - Business Resilience ertification Consortium International

12 Recuperación de desastres de tecnología og Objetivos Cumplir con las prioridades de recuperación de acuerdo al momento del negocio en que se presenta Cumplir con los tiempos esperados de recuperación (R.T.O.) Cumplir con el punto esperado de recuperación de información ió (R.P.O.) PO

13 Recuperación de desastres de tecnología Cómo lograrlo Directrices claras Políticas, estándares Procedimientos Viables, completos, verificados Equipos roles definidos, entrenados y probados Recursos Financieros, humanos, técnicos y tecnológicos, etc.

14 Estándares BS y BS Embedding continuity management Understanting The organization Understanting The ICT continuity requirements Exercising, Maintaining & reviewing BCM programme management Determining BCM Strategy Exercising, Maintaining & reviewing ICT continuity programme management Determining ICT continuity it Strategy DRII Disaster Recovery Institute International Developing and Implementing BCM response In the organization s culture Developing and Implementing ICT continuity strategies BRCCI Business Resilience Certification Consortium International

15 Comparación Continuidad del Negocio DRII vs BS Disaster Recovery Institute (1988) BS (2008) Inicio y administración del proyecto Evaluación y análisis de riesgos Análisis de impacto al negocio Gestión del programa BCM Entender la organización Desarrollo de estrategias BC/DR Determinar la estrategia de Continuidad () (*) Preparación y respuesta de emergencia Programas de concientización y capacitación Desarrollar e implementar una respuesta BCM Embeber BCM en la cultura de la organización Mantenimientoy i t actualización ió de planes Ejercitar, mantener and revisar los acuerdos BCM Comunicación de crisis Coordinación con autoridades externas Determinar las estrategias de continuidad Stakeholders (*) Determinar las estrategias de continuidad (emergencias civiles) (*)

16 BRCCI (Business Resilience Certification Consortium International ) Identificar los sistemas y su uso Identificar BIA, RTO y RPO Determinar estrategias de recuperación Identificar equipos de recuperación de TI Responsabilidades de los equipos de RDTI Desarrollar procedimientos de RDTI Entrenamiento del equipo de RDTI Mantenimiento del plan RDTI = Recuperación de Desastres de TI Comparación Continuidad de TI BRCCI vs BS BS (2008) Programa de continuidad de ITC Entender la organización Desarrollar e implementar estrategias de recuperación Ejercitar y probar Mantenimiento, revisión y mejora

17 Otros estándares que apoyan la continuidad id d BS / DRI Programa de continuidad del negocio BS / CBRIT Buenas prácticas en IT DR COBIT, ITIL, ISO 20000, ISO Buenas prácticas en tecnología ISO 9001 Procesos Método da foco y estandariza los protocolos para brindar efectividad y eficiencia en la recuperación y reanudación del servicio

18 Continuidad Tecnológica Perspectiva desde ITIL versión 3 Conocer la organización ió Gestión de la demanda, del portafolio y del catálogo, SLAs, requerimientos Prevención Gestión de disponibilidad, eventos, cambios, liberaciones e implementación, activos y configuración, seguridad y acceso, capacidad, Acción Gestión de eventos, incidentes, problemas, disponibilidad y continuidad, proveedores,

19 Introducción Continuidad Tecnológica Contenido Evolución - Metodologías y mejores prácticas Caso Banco de la República Evolución Planeación Acción Recomendaciones y factores claves

20 Evolución oucó Banco de la República 1996 Acciones alternas para fallas en el servicio DCV e inicios de un nodo alterno local (hotsite) con salas para las áreas operativas 1997 Investigación de mejores prácticas en el mercado (D.R.I.I.) I 1998 Aplicación de DRI a los servicios y áreas de misión crítica, construcción de BCPs 1999 Enfoque para preparación para el Y2K 2001 Conformación de área específica para trabajar en continuidad Desarrollo nodo alterno tecnológico remoto (Barranquilla) 2006 Conformación del Programa de continuidad del negocio externa a Informática Certificación ISO para seguridad informática 2007 Complemento con BS Complemento con BS Evolución tecnológica clusters, virtualización, balanceos, granjas de servidores, replicación, sincronización 2010 Evolución en las pruebas de contingencia para autonomía de los nodos local y remoto

21 Estrategias de continuidad Tecnológica Caso Banco de la República Planeación Sandra Patricia Camacho Bonilla M.Sc, CBCP, PMP, ITILv3, auditor ISO27001:2005 e ISO9001:2008 scamacbo@banrep.gov.co

22 Planeación para la continuidad id d tecnológica Banco de la República 0. Programa de continuidad tecnológica (apoyo, políticas, gerencia) 1. Conocer la organización 2. Desarrollar e implementar estrategias de recuperación 3. Ejercitar y probar BS Understanting The ICT continuity requirements 4. Mantenimiento, revisión y mejora Exercising, Maintaining i i & reviewing ICT continuity programm e manageme nt Determining ICT continuity Strategy Developing and Implementing ICT continuity strategies

23 0. Programa de continuidad tecnológica Banco de la República Apoyo de la gerencia Gerencia del proyecto Políticas Programas de concientización Certificaciones ISO-9001 e 27001

24 1. Conocer y entender la organización Banco de la República A. Identificar las funciones operativas de la organización y procesos críticos 1. Banco de Bancos 2. Prestamista de última Instancia 3. Emisión de moneda legal 4. Promotor del desarrollo científico, cultural y social 5. Administración i ió de reservas internacionales i 6. Funciones cambiarias y de crédito 7. Banquero, agente fiscal y fideicomiso del gobierno 8. Informe de la Junta Directiva al Congreso de la República

25 Operación del negocio Tecnología

26 1. Conocer y entender la organización Banco de la República B. Conocer los servicios de TI y que proceso de negocio apoyan Servicios tecnológicos de misión crítica Operación bancaria (DCV, CUD, SEN, CEDEC, CENIT, SWIFT, OPICS, etc.) Industrial y tesorería (MASTER, SMV, SAP, etc.) Cultural (BLAA, Museo, etc.) Estudios económicos (Serankua, SISEC, publicación de tasas, etc.) Reservas Internacionales Servicios tecnológicos de uso general Correo, FS, red, voz ip, web BR, internet, etc. Servicios i tecnológicos administrativos i ti RH, Contaduría, Cartera, SM, etc. Servicios de plataforma informática SEBRA, PKI, SOA, WAN, LAN, etc.

27 C. Definir las expectativas 1. Conocer y entender la organización Banco de la República Definir acuerdos de servicio Análisis de riesgos Análisis de impacto para el negocio (BIA) Gestión de la demanda (horarios críticos) RTO y RPO

28 Proceso BIA Identificar Funciones Criticas Determinar Impactos Cuantitativos y Cualitativos Priorización RTO INTERFACES PÉRDIDA FINANCIERA $$$ ESTABLECER PRIORIDADES USUARIOS TIEMPOS CRITICOS PÉRDIDA INTANGIBLE DESARROLLAR ESTRATEGIAS CUÁNDO ES INTERRUPCIÓN Y CUÁNDO DESASTRE?

29 Método Análisis de riesgos ESCENARIOS DE FALLA Y SU PROBABILIDAD Identificar vulnerabilidades y amenazas para implantar controles de disminución de probabilidad y estrategias de mitigación del impacto BASILEA, SEI OCTAVE, NIST, ISO BIA PRIORIZACIÓN Priorización de procesos del negocio Priorización de servicios de tecnología Niveles de continuidad (tier), RTOs/RPOs/RTA Diseñar estrategias t para mitigación ió del riesgo Análisis costo-beneficio Metodología DRI

30 2. Estrategias de recuperación Banco de la República A. Definición de los recursos tecnológicos Determinar estrategias de recuperación Adquisiciones basadas en costo-beneficio identificado con el BIA Identificar equipos de recuperación y responsabilidades para la ejecución de los procedimientos RACI, esquemas de notificación, funciones de grupos de trabajo, entrenamiento, conocimiento, etc. Desarrollar procedimientos de recuperación basado en las tecnologías disponibles y evaluar la viabilidad de optimizar los RTOs y RPOs con nueva tecnología en caso de requerirse

31 2. Estrategias de recuperación Banco de la República Determinar estrategias de recuperación netamente técnicas Tecnologías disponibles en el banco: Cluster, discos SAN, NAS, balanceo, virtualización, granja de servidores, hosting externo, nodos externos local y remoto. Estrategias con las áreas usuarias Acuerdos con otras entidades o áreas, mini-aplicativos, accesos alternativos, proceso alternativo, desarrollos complementarios

32 Estrategias Sitios alternos (vendedores comerciales, acuerdos recíprocos con otras compañías, sitios remotos propios) Hot site Cold site Warm site Mobile site Opciones Adquisición (pre-establecidos, pre-acordados, adquiridos cuando se necesiten) Área de trabajo alterna (Sitio de trabajo móvil, sitio de trabajo fijo, Home-office )

33 Estrategias Almacenamiento Datos críticos (frecuencia/ tipos/ método/ infraestructura para los backup, acuerdos de recuperación, agenda de retención, infraestructura) Copia en cintas/cd, Sincronización y Replicación Comunicaciones de voz y datos Conectividad Ancho de banda y capacidad Características (calidad, velocidad, etc.) Requerimientos de seguridad

34 Estrategias de recuperación de TI Tecnologías Cluster Virtualización RAID SAN NAS Deduplicación de datos Replicación Balanceo de cargas Granja de servidores Cloud-computing

35 Alta disponibilidad Característica de un sistema que asegura que estará disponible según la demanda de los usuarios (proteger contra las caídas y fallas de los componentes) Cumplirlosacuerdosde los de servicio 99.9 % % %

36 2. Estrategias de recuperación Banco de la República B. Definición de responsabilidades y equipos de trabajo Equipo de recuperación del servicio Equipo de reanudación del servicio Equipo de notificación Equipo de logística Equipo de soporte en los nodos Gestión de Crisis Centro de Comando Gestión de crisis Comando tecnológico Equipo Reanudación Equipo Planeación Equipo Logística Equipo Finanzas

37 3. Ejercitar y probar Banco de la República Pruebas funcionales y operativas de las estrategias Son requeridas para aprobar un cambio en producción en algún componente del servicio Escenario Incidente del servicio Verificaciones de procedimientos de activación y retorno Se realizan 2 veces al año (Marzo y Septiembre) Escenario Emergencia tecnológica Ejercicios integrales del plan Semestralmente junto con los planes de BCP (Junio y Diciembre) Duración en contingencia 2 semanas Escenario Desastre tecnológico/ catástrofe en instalaciones

38 3. Ejercitar y probar Banco de la República

39 4. Mantenimiento, revisión y mejora Banco de la República Políticas de mantenimiento Control de documentos y registros (ISO 9001) Políticas de mantenimiento Control de documentos y registros (ISO 9001) Políticas de revisión Indicadores de gestión, auditorías internas (ISO 9001) Políticas de mejora Seguimiento acciones correctivas y preventivas (ISO 9001)

40 Planeación para la continuidad tecnológica Banco de la República 0. Programa de continuidad tecnológica (apoyo, políticas, gerencia) PMP 1. Conocer la organización ió Identificar los sistemas y su uso Gestión de portafolio y catálogo ITIL Identificar BIA y análisis de riesgos DRI e ISO RTO y RPO Gestión de acuerdos de servicio y de la demanda ITIL 2. Desarrollar e implementar estrategias de recuperación Determinar estrategias de recuperación ISO 25777, BRCCI y Estado del arte TI Identificar equipos de recuperación y responsabilidades DRI y PMP Desarrollar procedimientos de recuperación de TI ISO y BRCCI 3. Ejercitar y probar DRI y ISO 25777, BRCCI Verificaciones de procedimientos de act/ret, pruebas funcionales y operativas de la estrategia y ejercicios integrales del plan 4. Mantenimiento, revisión y mejora ISO 9001 Medición, seguimiento, trazabilidad, acciones correctivas y preventivas enfocadas a la mejora

41 Estrategias de continuidad Tecnológica Banco de la República Acción Sandra Patricia Camacho Bonilla M.Sc, CBCP, PMP, ITILv3, auditor ISO27001:2005 e ISO9001:2008 scamacbo@banrep.gov.co

42 Alertas Verde Normalidad Amarilla Contingencia Naranja Emergencia Roja Crisis

43 Manejo de alertas tecnológicas Gestión de continuidad Prevención de emergencias y desastres Atención de contingencia Atención de incidentes del servicio Atención de emergencias Atención de desastres tecnológicos Gestión de crisis Catástrofes

44 Prevención de eventos (correlación monitoreos, alertas) 0. Normalidad Servicios operando normalmente Hw, Sw, Comm, BD, Apl, etc. 1. Incidentes de impacto alto Interrupción de un servicio tecnológico crítico Intoxicación, emergencia sanitaria, terrorismo, etc. Amenaza de Red, Potencia o ambiente, Inundación 2. Evacuación edificio o no acceso (Sin afectar las instalaciones físicas) 3. Pérdida total CDC PPAL controlado (Apagado controlado y previsto) El RH de tecnología se ve obligado a salir y/o no ingresar al Edificio por un periodo de tiempo, pero las instalaciones físicas OK. No hay servicio del Centro de Cómputo PPAL no red ed PPAL Evento de falla en la Red, potencia, ambiente, inundación 4. Pérdida total CDC PPAL inesperado (Apagado abrupto e inesperado) No hay servicio del Centro de Cómputo PPAL no red ed PPAL Interrupción en el suministro potencia, comunicaciones o evento severo en los dos nodos Incendio, explosión, Temblor en el edificio Terremoto Bogotá 5. Desastre tecnológico Bogotá 6. Desastre total Edificio PPAL 7. Catástrofe Bogotá Ninguno de los dos nodos tecnológicos en Bogotá están operativos, afectándose tecnológicamente los servicios del BR Recurso humano e Instalaciones físicas afectadas del Ed PPAL Gran parte de Bogotá afectada, incluyendo tanto BR como gran parte de los clientes externos. El recurso humano pudo haber sido afectado.

45 Centro de Comando Subgerentes Directores áreas Ejecución Agenda Tecnológica Coordinación de la Crisis Integración de notificaciones Equipo Reanudación Conmutación de servicios Toma de decisiones Gestión de crisis i Subgerente SGINF Directores SGINF Comando tecnológico Coordinación de comm. Internas y externas Control de impactos en los negocios Evaluación de riesgos residuales Equipo Planeación (Impacto IT y Notificaciones) Correo contactos Semáforos Srv. Centro soporte Equipo Logística Apoyo a la sala de operaciones Directora USCI Equipos de Emergencias Gestión de recursos, preacuerdos, administración de accesos seguros, claves, etc. Equipo Finanzas Presupuesto y adquisiciones En caso de requerirse, gestiona las adquisiciones y el Presupuesto

46 Chequeos diarios Gestión de continuidad Prevención de emergencias y desastres Correlación de eventos Monitoreos y alertas de servicios Acuerdos de servicio

47 Gestión de continuidad Prevención de emergencias y desastres Gestión de eventos Gestión de cambios en producción Medición, mejora y prevención Indicadores de gestión Gestión de problemas (reunión de problemas) Gestión de continuidad

48 Atención de contingencias INCIDENTES Atención de incidentes tecnológicos

49 Atención de contingencias INCIDENTES Atención de incidentes tecnológicos Identificación oportuna del incidente Primeros auxilios y diagnóstico inicial confiables y oportunos Base de datos de conocimiento Notificación ágil a los equipos de recuperación (TI) y reanudación (TI y/o Usuarios) Gestión de acuerdos de servicio Control del RTO y RPO esperado por las áreas para este escenario

50 Atención de emergencias DESASTRE Atención de desastres tecnológicos Conmutación controlada o abrupta de TODO el nodo principal hacia el segundo nodo (operación cruzada con primer nodo) Movilización de personal hacia el segundo nodo Notificaciones a las partes interesadas Control del riesgo Mitigación y control del impacto

51

52 E D I F I C I O P R I N C I P A L ARQUITECTURA PLATAFORMA SUN E D I F I C I O C D E A: Activo - Activo BD: Base de Datos C: Componente F: IP Física V: IP Virtual Srv: Servicios C: Swift A. A. Srv: - Int. Swift - SOI - Swift A SUN Fire V240 SWAL1A BD: BR Srv: - Cedec - Cenit SUN Fire V440 SACH1A SUN Fire V880 SBAN1A BD: BAN 8 Srv: - CUD A SUN Fire V240 SBAN5A BD: BAN 3 Srv: - Ares - Carteleras (Wsebra) -Cumbre -Htrans -Interfaces SEN -SAFD -SEC - SGU Certicámara -SOI -Subastas BD: BAN 4 Srv: - SAC SUN Fire V880 SBAN2B BD: BR Srv: - Cedec Pruebas - Cenit Pruebas SUN Fire V440 SACH2B C: Swift A. A. P SUN Fire V240 SWAL2B C: Apache C: Apache BD: BAN 2 P BD: BAN 1 Srv: - Htrans Srv: - Ares Srv: - SIC Srv: - Sisec SUN Fire V240 -FAEP -- SBAN6B Srv: - SMV -SEC C: Apache Srv: - Interfaces SEN C: IAS -- SUN Fire V240 Srv: - SIC C: IAS SUN Fire V880 TCS2 SUN Fire V880 -SAC Srv: - Aurora SBAN4A SBAN3B BD: PROD Srv: - SAP SUN Fire V240 SWEB1A Srv: - SMV SUN Fire V240 TCS1 C: OC4J Srv: - Fic C: Jboss Srv: - SAFD Intranet C: Propietario V: N/A Srv: - SMART SUN Fire V480 SIND1A Srv: - PKI Discos Sun StorEdge 6920 Discos Sun StorEdge 6920 Srv: - PKI SUN Fire V240 SWEB2B BD: MFNSYS Srv: - DCV SUN Fire V440 SATL1A C: OAS Srv: - CUD C: Platform Srv: - Cud Compensación -SGU(Certicámara) C: Alliance Gateway C: Apache SUN Enterprise 280R C: Alliance Gateway Srv: - Swift Gateway SPKI2B SUN Enterprise 280R Srv: - Swift Gateway SPKI1A BD: BAN5_New New P Srv: - Fic A SUN Fire V215 SUN Fire V240 -Faep SUN Fire V215 SWAG2B C: Business Intel. - JANO C: Apache SPOR2B / SWAG1A OC4J, OAS -Master Tomcat QUIMBAYA II Srv: - Cumbre -Master-Antares Srv: - DCV Neón Web C: Platform C: OAS -Sidef - C: Apache Srv: - Master Antares Srv: - Master -Siged C: Apache Srv: - SEC C: Apache -Jano -Simed Tomcat -Web Banco SOI -Sipres Srv: - Subastas C: Jboss C: Tomcat -Smart Srv: - SAFD Internet -SRH SUN Fire 240 SWEB3A SUN Fire T2000 SPOR3A SUN Fire V890 SWAT1A SUN Fire V240 SPOR1A / QUIMBAYA SUN Fire V890 SWAT2B SUN Fire T2000 SPOR4B SUN Fire 240 SWEB4B SUN Fire V440 SATL2B

53 Atención de emergencias

54 SuperSGMRSGEE Centro de operaciones SALA DE CONTINGENCIA CENTRAL DE EFECTIVO 57 SIC 41 SIC 43 Archivadores FAEP URCPI URCPI URCPI URCPI Bloomberg 9 15 DRI DRI 13 DRI Reuters DRI ABC BALANZA OPI ABC RPC OPI UPCI 3837 OPI OPI 24 Lector PKI SEN SEN 3826 Master SIC DCV Master DCV CUD OPI CUD 26 URCPIURCPI URCPI DCV DCV DCV 3838 CUD Archivadores 3840 CUD DCV Cedec Cedec 3842 Cenit 17 CUD Cenit DODM DRI Mesa de Dinero 2 DODM DRI DODM DODM SEN DODM SET FX Mesa de Dinero 1 AL&CR Disarchivo Bodega Entrada

55 Gestión de crisis Catástrofes Nodo remoto Barranquilla (más 800 km) Warm-site para los servicios i de misión ió crítica y plataforma informática (RTO = 2 horas y RPO = 20 minutos) Personal técnico de alto nivel

56 Etapas atención de crisis Etapa Uno PRE-CRISIS Analizar el riesgo Determinar el potencial efecto Necesario tomar alguna acción No visible fuera empresa Etapa Dos CRISIS AGUDA Activar Equipos Reanudar Operaciones Comunicar interna/externa Ahora visible para todos Etapa Tres POST-CRISIS Recuperación de actividades Evaluar desempeño de la organización durante la crisis

57 Instalaciones BR Barranquilla Edificio Principal Instalaciones Central de Efectivo Bogotá Edificio Principal Sincronización Enlace Fibra Oscura 10 km aprox Central de Efectivo

58 Diagrama Tercer Nodo Tecnológico Tercer Nodo Centro de Operaciones Centro de Operaciones Intermediarios Financieros Internet Usuarios Banco República Principal Segundo Nodo ISDN Fibra Óptica access line Intermediarios i Financieros Proveedor De Comunicaciones

59 Introducción Continuidad Tecnológica Contenido Evolución - Metodologías y mejores prácticas Caso Banco de la República Recomendaciones y factores claves Preguntas

60 Continuidad Tecnológica Recomendaciones y factores claves Contar con el apoyo de la alta gerencia Involucrar a toda la organización Seguir mejores prácticas a nivel de documentación, continuidad, gestión tecnológica y medición Identificación de procesos de la cadena valor de la organización Conocimiento del cliente, su demanda y expectativas Conocimiento de las propias limitaciones Claridad hacia la organización Sinergia Continuidad tecnológica con Continuidad del negocio

61 Continuidad Tecnológica Resumen Evolución - Metodologías y mejores prácticas Caso Banco de la República Planeación Acción Recomendaciones y factores claves

62 Continuidad Tecnológica Bibliografía y referencias Disaster Recovery Testing Exercising your contingency plan. Philip Jan Rothstein, FBCI, ed Managing Catastrophic loss of sensitive Data. Constantine Photopoulos. Syngress. Ed Disaster Recovery Institute. British Standards Business Resilience Certification Consorcium International Business Resilience Certification Consorcium International

63 Estrategias de continuidad Tecnológica Sandra Patricia Camacho Bonilla M.Sc, CBCP, PMP, ITILv3, auditor ISO27001:2005 e ISO9001:2008 scamacbo@banrep.gov.co

64 Estrategias de continuidad Tecnológica Gracias S d Ptii C h B ill Sandra Patricia Camacho Bonilla M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008 scamacbo@banrep.gov.co

65 Estándar Information and communication technology continuity management

66 CBRITP IT Continuity and Disaster Recovery Planning Business Resilience & Business Continuity IT disaster & IT disaster recovery High availability vs Continuous availability IT DR plan development steps IT recovery concepts & strategies

67 Plan de recuperación de desastres de tecnología CBRITP Pasos para su desarrollo 1. Identificar los sistemas y aplicaciones en uso 2. Analizar el impacto para el negocio (BIA) de una interrupción en la capacidad tecnológica y determinar los marcos de tiempo esperados y prioridades de recuperación (RTO y RPO) 3. Determinar las estrategias de recuperación de desastres tecnológicos (Sitios alternos, costo beneficio) 4. Documentar la organización ió de los equipos del litdr (RACI, organigrama, líderes de equipos, notificaciones, listas de chequeo) 5. Documentar las responsabilidades de los equipos ITDR (tareas, dependencias, protocolos, agendas) 6. Desarrollar y documentar los procedimientos de recuperación de IT (detallado, adecuado, completo, viable, prevenir síndrome del héroe ) 7. Documentar el entrenamiento del ITDR (concientización, conocimiento del procedimiento, trabajo de equipo, nuevas contrataciones, refuerzo y recordación) 8. Documentar el mantenimiento del plan (Revisión, validación, liberación, distribución)

68 7 tiers derecuperación dedesastresdesastres Tier 0 No off site data posibly no recovery Tier 1 Data backup with no hot site Tier 2 Data backup with a hot site Tier 3 Electronic vaulting Tier 4 Point in time copies Tier 5 Transaction integrity Tier 6 Zero or near zero data loss Tier 7 Highly automated, business integrated solution

69 Estrategias según el escenarios de desastre Catástrofes en la ciudad Operación en otra ciudad d Desastres de infraestructura física (CDC, edificio, potencia, ambiente, sabotajes, terrorismo, huelgas) Nodos alternos distantes al principal (Cold sites, hot sites, propios, contratados, SLAs) Desastres detecnología (máquina, servicio) (HA) Virtualización / cloud computing/ granja / balanceo / cluster Fail tolerance

70 Resilience / Flexibilidad Ajustarse rápidamente Transformación del negocio en respuesta a cualquier cambio anticipado o no anticipado Prevención y mitigación ii ió de las amenazas Capturar oportunidades, crear posición competitiva y aumentarel el valor para los involucrados.