1. Duración del curso: 16 horas

Transcripción

1 continuidad l negocio bcp 1. Duración l curso: 16 horas 2.Requisitos: Preferiblemente ingenieros sistemas o electrónicos preferiblemente y manejo l ingles 3.PLAN DE CONTINUIDAD DEL NEGOCIO BCP En las últimas décadas, las entidas a nivel nacional, han concedido una imtancia creciente a la implementación planes tallados y precisos que garanticen la continuidad sus procesos ante eventualidas diversa índole que afecten la prestación sus servicios. Si en un principio los factores riesgo estaban asociados principalmente a contingencias carácter natural y tecnológico, las consecuencias rivadas sucesos como el terrorismo, han mostrado la necesidad incorar nuevas amenazas en el proceso gestión l riesgo. Es así, que los nominados es Continuidad l negocio (BCP) 1 buscan sostener los procesos críticos una entidad durante y spués una interrupción. Es así que, medio la implantación medidas o controles que alguna forman mitigan el impacto producido un evento terminado, se pue lograr confianza parte una comunidad específica a los servicios ofrecidos. En este punto, es imtante consirar que no sólo bemos tener en cuenta en nuestro Recuperación ante Desastres, aspectos solamente económicos, sino, que temas como la reputación y la credibilidad una compañía, puen poner en peligro su funcionamiento a futuro, si ante un sastre o evento adverso no se respon con la acuada estrategia y acciones bidamente sotadas un plan previamente diseñado e implementado. Ante un sastre uno los principales problemas con que el que tendremos que enfrentarnos es el hecho que los usuarios tanto internos como externos no podrán accer a sus sistemas sote o sistemas críticos. Este tipo moras o inclusive la imposibilidad entregas productos o la prestación un servicio puen ser ocasionadas ejemplo el fuego, una falla prolongada potencia, una inundación o un terremoto, entre otros eventos. Recapitulando, el objetivo l Continuidad l negocio es, pues, sostener los procesos críticos durante y spués una interrupción a través la finición estrategias continuidad, recursos, procesos y sus respectivos roles y responsabilidas. Por otro lado, el Continuidad l negocio busca respaldar integralmente los intereses las diferentes partes que conforman las entidas, así como preservar los indicadores generación valor (reputación, marca, confianza, etc.). Asimismo, se busca optimizar la capacidad recuperación ante pérdidas significativas en recursos productivos (maquinaria y equipo) u operativos (personal). Por último, el DRP hace parte integral l BCP ( Continuidad l Negocio) y permite recuperar las operaciones, recursos y procesos críticos asociados al área 1 en inglés). Referidos en la literatura como es Continuidad l Negocio (BCP, su sigla

2 TI. Este curso sigue las metodologías recomendadas el Disaster Recovery Institute (www.drii.org) y el Business Continuity Institute (www.thebci.org). 4.PLANES COMPLEMENTARIOS En la figura 1, tomada la publicación especial SP l NIST, se observa una versión holística los diferentes tipos planes relacionados con la atención sastres, incintes y emergencias, y su interrelación con el Continuidad l Negocio. Continuidad Continuidad operaciones operaciones se se (COOP) (COOP) evacuación evacuación edificio edificio respuestas respuestas a a ciber-incintes ciber-incintes comunicación comunicación crisis crisis PLAN DE CONTINUIDAD DEL NEGOCIO BCP recuperación ante sastres DRP contingencias contingencias Figura. Relación entre los diferentes planes emergencia según el NIST SP De esta figura se spren la conveniencia que un plan continuidad l Negocio para FEUD se complemente con dichos planes. Sin embargo, bido a la carencia finiciones estándar para estos tipos planes, en algunos casos el alcance los mismos pue variar entre las diferentes organizaciones. Por tal motivo, cuando se hable estos planes durante la ejecución l proyecto, o a futuro se piense en complementar el Continuidad l Negocio, es recomendable consirar las siguientes finiciones y conceptos según el documento NIST SP800-34: 1. comunicación crisis: documento que contiene los procedimientos internos y externos que las organizaciones ben preparar ante un sastre. Este plan be estar coordinado con los más planes para asegurar que sólo se divulguen los comunicados aprobados y que solamente el personal autorizado sea responsable contestar las diferentes inquietus y diseminar los retes estado al personal y al público Contingency Gui for Information Technology System, NIST Special Publication

3 2.es evacuación edificio: contiene los procedimientos que ben seguir los ocupantes una instalación o facilidad en el evento en que una situación se convierta en una amenaza potencial a la salud y seguridad l personal, el ambiente o la propiedad. Tales eventos podrían incluir fuego, terremoto, huracán, ataque criminal o una emergencia médica. Estos planes se sarrollan cada instalación y son específicos a la localización geográfica y al diseño estructural la construcción. 3. continuidad operaciones se o sitio (COOP sus siglas en inglés Continuity of Operations ): orientado a restaurar las funciones esenciales una se o sitio la entidad en una se alterna y realizar aquellas funciones un período máximo 30 días antes retornar a las operaciones normales. Debido a que un COOP se enfoca en ses o sitios, se be sarrollar y ejecutar manera inpendiente l BCP. Las interrupciones menores que no requieren reubicación en una se alterna no se cubren en un COOP. 4. respuesta a ciber-incintes: Establece procedimientos para responr a los ataques en el ciberespacio contra un sistema Tecnología Informática (TI) una entidad. Estos procedimientos están diseñados para permitirle al personal seguridad intificar, mitigar y recuperarse incintes cómputo maliciosos tales como acceso no autorizado a un sistema o dato, negación servicio, cambios no autorizados a hardware, software o datos (lógica maliciosa, tales como virus, gusanos o caballos Troya). 5. contingencia TI: orientado a ofrecer un método alterno operación para sistemas sote general y para aplicaciones críticos. Debido a que un plan contingencia TI se be sarrollar cada sistema sote general y cada aplicación imtante, existirán múltiples planes contingencia. 6. recuperación sastres (Disaster Recovery, DRP): Orientado a responr a eventos imtantes, usualmente catastróficos que niegan el acceso a la facilidad normal un período extendido. Frecuentemente el DRP se refiere a un plan enfocado a TI y diseñado para restaurar la operabilidad l sistema, aplicación o facilidad cómputo objetivo en un sitio alterno spués una emergencia. El alcance un DRP pue solaparse con el un plan contingencia TI; sin embargo, el DRP es más amplio en alcance y no cubre interrupciones menores que no requieren reubicación. Dependiendo las necesidas la organización, puen existir varios DRP. 5.DESCRIPCIÓN DEL CURSO 1.Introducción a.componentes la organización i.personas ii.procesos iii.tecnología b.diferencias entre BCP y DRP c.gobierno TI d.relación con ITIL y COBIT 2.Inicio l proyecto a.elementos para el éxito l proyecto b.equipo trabajo

4 c.roles y responsabilidas d.riesgos l proyecto 3.Análisis impacto sobre el negocio a.introducción b.intificar funciones l negocio c.obtener información para el BIA i.cuestionarios ii.entrevistas iii.talleres d.determinar tiempos recuperación i.rto ii.rpo e.preparación l rete 4.Análisis riesgo a.introducción b.amenazas naturales c.amenazas accintales d.amenazas intencionales e.intificar vulnerabilidas f.calificar el riesgo g.gestión l riesgo i.métodos cuantitativos ii.métodos cualitativos iii.análisis disponibilidad y sempeño h.preparación l rete 5.Estrategias mitigación (personas, aspectos físicos, infraestructura) a.hot sites: Normalmente esta configurado con todo el hardware y el software requerido para iniciar la recuperación a la mayor brevedad. b.warm sites: En esta opción no se incluyen servidores específicos alta capacidad. c.cold sites: En esta opción sólo se tiene aire acondicionado, potencia, enlaces telecomunicaciones, y otros. d.sitios móviles e.acuerdos recíprocos con otras organizaciones f.mirror site: Se procesa cada transacción en paralelo con el sitio principal. g.múltiples centros procesamiento internos con el fin distribuir el procesamiento y esta forma lograr un mejor nivel disponibilidad. 6.Desarrollo l plan BCP a.fases i.activación ii.recuperación iii.restauración b.definición roles y responsabilidas

5 c.definición tareas d. comunicaciones 7.Entrenamiento a.objetivos b.tiempos c.desarrollo d.monitoreo 8.Pruebas a.diseño las pruebas b.confirmar actividas c.confirmar recursos d.analizar riesgos e. 9.Auditorías a.eación b.ejecución 10.Mantenimiento l a.gestión l cambio b.estrategias para el manejo l cambio c.evaluar e incorar cambios 11.Conclusiones a.integración l BCP con ISO b.integración l BCP con ITIL v3 c.integración l BCP con COBIT 4.1 d.costos aproximados un BCP e.herramientas software para el BCP f.beneficios contar con un BCP