Plan de Contingencias

Transcripción

1 01/04/2013 Ingelan Plan de Contingencias Diseño y realización racionales Un desastre no se puede prevenir, las acciones de continuidad sí se pueden planificar Habiéndose convertido en el eje de negocio de muchas empresas, ya sea para llegar a sus clientes, generar los servicios o fabricar los productos, los Sistemas de Información son cada vez más el talón de Aquiles de nuestra economía. Multitud de riesgos naturales o provocados, lógicos o físicos se centran en la tecnología que es cada vez mas sensible a este tipo de fenómenos y que hemos de tratar de amortiguar y prevenir. Pero la situación de emergencia puede darse, y hay que estar preparado para ello. Cualquiera de nosotros podría redactar de forma sencilla los objetivos de un Plan de Contingencias: Contrarrestar las interrupciones de las actividades, proteger los procesos críticos del negocio ante los efectos de fallos significativos o desastres. Y esta definición incluye: Contar con una respuesta que permita actuar, inmediatamente después de una contingencia. Administrar una eventual crisis protegiendo principalmente personas y activos. Gestionar comunicaciones internas y externas. Garantizar el principio de empresa en marcha logrando la recuperación operativa crítica. Minimizar las pérdidas / contener el impacto. Minimizar la probabilidad de cometer errores. Versión 1 Enero 2013

2 2 Hemos de diferenciar entre Plan de Continuidad y Plan de Contingencias. El primero son todas aquellas medidas a adoptar para los procesos clave e imprescindible que permitan a nuestras organizaciones seguir operando a pesar de un impacto elevado en su infraestructura y cubren todo el período desde la contingencia hasta la normalización. En cambio, el Plan de Contingencias, sólo cubre la primera etapa siendo su propósito atenuar o anular los efectos de la contingencia. No se recupe ra 43% Cierra en 2 años 51% Sobrevi ve 6% Consecuencias de un desastre grave en el negocio sobre las compañías Puntos Críticos en caso de Contingencia Probablemente el primer impacto ante el siguiente gráfico pueda resultar sorprendente por el peso atribuido a los distintos factores: 35% 5% Influencia Personas Infraestructura Planes 60% Plan: la probabilidad de desarrollar un plan de contingencias y redactar los pasos exactos a seguir que en el momento de la verdad, es escasa. Es obvio que el peso del propio plan en la contingencia sea bajo. Entonces, Para qué queremos un Plan de Contingencias? Infraestructura: aunque más elevado, la infraestructura tiene un peso relativo en el éxito total del plan. Entonces, Cómo se justifican las inversiones en infraestructura para la contingencia? No necesitamos: 16% Lo tenemos: 23% No está formalizado: 39% Otros medios: 22% El Plan de Disaster Recovery en las Empresas Personas: este es el punto clave de cualquier Plan de Contingencias y es el que da sentido a los dos predecesores. Evidentemente, se debe planificar y debe existir una capacidad de contingencia implantada determinada por la infraestructura. No obstante, el punto crítico es disponer del conocimiento y el criterio adecuado en cada momento, junto con las herramientas imprescindibles para desarrollar una acciones que puedan minimizar cualquier eventualidad. Por consiguiente, el Plan de Contingencias debe ser: Una metodología de gestión que permita identificar los procesos críticos en una Organización, dotarles de una infraestructura que asegure alternativas ante eventualidades, asegurar el adecuado conocimiento y responsabilidades de cada sistema y disponer de un plan de revisión periódica.

3 3 Pasos a seguir para construir un Plan de Contingencias La evolución de tecnologías como la virtualización, la reducción de los costes de almacenamiento permitiendo duplicidad y alta disponibilidad y la nueva generación de copias de seguridad basada en imágenes ha permitido realizar un salto significativo en las capacidades de contingencia. Hasta hace no muchos años, los Planes de Contingencia tenían el riesgo de convertirse en excesivamente teóricos ya que los períodos de recuperación eran largos e inciertos. Hoy no sólo son absolutamente factibles sino que deberían ser imprescindibles en cualquier Organización ya que asegura la gestión del conocimiento, la planificación de eventualidades, la auditoría periódica y la mejora constante de la capacidad de contingencia. Es decir, se convierte en un proceso recursivo, se convierte en una metodología. Medidas de prevención Enviar copias de seguridad que incluyan el software offsite semanalmente para que en el peor de los casos no se pierda más que los datos de una semana. Si es posible, usar una instalación remota de reserva para reducir al mínimo la pérdida de datos. La norma BS es la guía de desarrollo inicial del plan. La Normativa permite ordenar y revisar todos los aspectos de infraestructura, documentación y conocimiento interno que aporte tranquilidad ante la contingencia externa/interna estructurados en un Plan de Contingencia. Incluye: Etapa de análisis: o Identificación de procesos - sistemas - infraestructura - conocimiento - responsabilidades - documentación o Análisis de riesgos Etapa de construcción: o Identificación de los GAP's de infraestructura con nivel bajo de capacidad de contingencia respecto a procesos críticos. o Identificación, desarrollo y normalización de los procedimientos operativos. o Desarrollo de los planes periódicos de pruebas, capacitación, auditoría,... o Desarrollo de los procedimientos de contingencia Etapa de mantenimiento: o Determinación de responsables o Asignación de tareas El Plan de Contingencia es el marco para la revisión periódica de los aspectos clave ante eventos no deseados, pruebas y actualización de la documentación crítica: Gestión/Optimización del Conocimiento. Las WANs (Redes de Área de Almacenamiento Extendidas) hacen posible que los datos estén disponibles inmediatamente sin la necesidad de recuperarlos o sincronizarlos. Emplear protectores de línea para reducir al mínimo el efecto de oleadas sobre un delicado equipo electrónico. Disponer de medios de suministro de energía ininterrumpida (SAI). Estructurar medios de prevención de incendios - alarmas, extintores accesibles. Instalar el software adecuado que permita evadir peligros de tipo lógico. Asegurar/duplicar el hardware o virtualizar sistemas y aplicaciones.

4 4 Etapa de Análisis Esta es la fase inicial del Plan de Contingencias y es una fase crítica ya que permite definir los parámetros clave para dimensionar adecuadamente las inversiones en recursos, infraestructura y el propio plan. Al igual que los sistemas de calidad, la excelencia infinita tiene un coste infinito y, por consiguiente, no es viable ni creíble. El desarrollo de un análisis de riesgos riguroso permite un dimensionamiento adecuado. Análisis de los riesgos El análisis de riesgos no debe orientarse a las probabilidades de que un suceso ocurra sino a qué procesos de negocio son claves, teniendo en cuenta: Tipos de medidas Preventivas: Focalizadas a conseguir que un determinado evento no ocurra o no se concrete un riesgo Detectoras: Que tienen por objeto detectar o identificar riesgos no conocidos Correctivas: Las que pretenden corregir o restaurar el sistema o el procedimiento una vez se ha producido la situación crítica Impacto directo en ventas Impacto en imagen Impacto en pérdida de clientes Impacto en pérdida de clientes potenciales Incumplimiento de acuerdos/contratos A partir del conocimiento del los procesos clasificados por su criticidad, se deberá construir el Plan de Contingencia que minimice la no disponibilidad de los sistemas, infraestructura o personas que requieren para su funcionamiento. Tareas imprescindibles: Desarrollo del árbol de negocio e infraestructura Cuestionarios de negocio Árbol de negocio e infraestructura El árbol de negocio contiene las relaciones entre los procesos, los sistemas y la infraestructura. El objetivo es relacionar el nivel de criticidad definido a nivel de negocio y convertir en críticos todos los sistemas e infraestructura dependientes. Este árbol desarrollado de forma rigurosa permite identificar puntos críticos no correctamente cubiertos a nivel de contingencia y proporciona una visión clara de balance de criticidades en todos los sistemas e infraestructura. Fallos suministro; 27% Errores humanos 2% Fallos de la red; 2% Terremoto; 5% Sobrecargas; 5% Fuego; 6% Huracán; 6% Tormenta; 12% Inundación; 10% Otras causas; 10% Atentado; 7% Errores Hardware; 8% Causas de desastre y su frecuencia

5 5 Cuestionarios de negocio El nivel de criticidad determina la profundidad de las medidas, pero el parámetro básico es el RTO (recovery time objective). Se definen diversos niveles de criticidad y RTO asociados a cada uno de ellos (ejemplo en la siguiente tabla) Criticidad RTO Planificar Infraestructura Responsabilidad Documentación Crítica 2 horas Pruebas cada 3 meses Alta Disponibilidad Virtual Muy Grave 4 horas Pruebas cada cuatrimestre Grave 1 Día 2 pruebas Recurso anuales duplicado Importante 2-3 Días Reemplazable Pruebas anuales Relevante 1 Semana Sin Menor duplicación de recursos Pruebas opcionales cada año Principal y sustituto con alto nivel de conocimiento repartido Responsable único No obstante, las criticidades se deben justificar. Ello se realiza mediante los cuestionarios de negocio que analizan aspectos como: A) Impacto general de la interrupción del negocio Nivel elevado de profundidad Referencias documentales 2 hrs 4 hrs 1 Día 2 Días 1 Sem Pérdida de la reputación de la organización en el mercado Reacciones de los clientes Impacto sobre otras actividades de la organización Consecuencias sobre la salud, la seguridad del personal y el medio ambiente Qué tan difícil será ponerse al día con el trabajo atrasado (1- consecuencia insignificante; 2 consecuencia aceptable; 3 consecuencia mayor; 4 consecuencia catastrófica) Risk Management Las siguientes guías y normativas pueden ayudar a establecer y valorar los riesgos del negocio y de los Sistemas de Información: ISO 31000: Guidelines for the design, implementation and maintenance of risk management processes. ISO 27005: Information technology - Security techniques - Information security risk management MAGERIT: Metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica ISO TR 13335: Information Technology Guidelines for the management of IT security NIST SP : Risk Management Guide for Information Technology Systems UNE 71504: Metodología de análisis y gestión de riesgos para los sistemas de información BS : British Standards best practices for Information Security Management Si desea mas información sobre modos de trabajo para realizar el Análisis del Riesgo, puede Vd. consultar el folleto que dedicamos a este tema el pasado mes de Enero de 2013 titulado Gestión de Riesgos IT Métodos y Procedimientos B) Consecuencias financieras de la interrupción 2 hrs 4 hrs 1 Día 2 Días 1 Sem Consecuencias legales Consecuencias contractuales Pérdida de ingresos de potenciales clientes Pérdida de ingresos de clientes actuales Gastos adicionales (reparaciones, mantenimiento, ) Nota: La forma mas sencilla de concretar el impacto real de un desastre sería en base a elaborar este cuadro detallando en unidades monetarias el coste de cada una de esas circunstancias

6 6 Etapa de Construcción Fase 1: Identificación de los GAP s de infraestructura con nivel bajo de capacidad de contingencia respecto a procesos críticos Nomenclatura Punto Objetivo de Recuperación (RPO, Recovery Point Objective) es cuando la infraestructura, ya comenzada nuevamente, comenzará a hacerse evidente. Básicamente, RPO significa lo que la organización está dispuesta a perder en cantidad de datos. Para reducir un RPO es necesario aumentar el sincronismo de réplica de datos. Tiempo Objetivo de Recuperación (RTO, Recovery Time Objective) es el tiempo que pasará una infraestructura antes de estar disponible. Para reducir el RTO, se requiere que la Infraestructura (Tecnológica, Logística, Física) esté disponible en el menor tiempo posible pasado el evento de interrupción. Resiliencia es la capacidad de un sistema de soportar y recuperarse ante desastres y perturbaciones Durante la construcción del análisis de riesgos, hemos clasificado los procesos por nivel de criticidad e identificado las relaciones entre los procesos, los sistemas y la infraestructura. Ello nos permite la primera auditoría del sistema ya que verificamos realmente si los proceso con mayor nivel de criticidad: Disponen de alta disponibilidad La contingencia está cubierta por un sistema de recuperación ágil En esta etapa es habitual encontrar tres situaciones distintas: Óptima: el proceso está bien analizado y se dispone de alta disponibilidad y un sistema de copias de seguridad que permite la recuperación ágil y eficaz. Refuerzo central: consideramos en esta situación, las compañías que han realizado un esfuerzo para disponer de alta disponibilidad en los sistemas centrales (p.e. ERP, gestión de almacenes, ) pero aun existen elementos del proceso con capacidad de contingencia baja (p.e. radio frecuencia en el almacén o una estación de trabajo industrial crítica). Desalineación de la infraestructura y los RTO definidos: no se dispone de la infraestructura imprescindible para cumplir los tiempos de recuperación marcados para una contingencia crítica Por consiguiente, el propio desarrollo del Plan de Contingencias, permite identificar los puntos críticos de la infraestructura a mejorar en cuanto a contingencias priorizados por el nivel de criticidad del proceso al que dan soporte. Fase 2: Identificación, desarrollo y normalización de los procedimientos operativos Esta es una etapa clave en el desarrollo del Plan de Contingencias. Habitualmente se dispone de documentación (incluso mucha documentación) de los sistemas instalados: Documentos propios Manuales de instalación Documentos técnicos Documentación del proveedor En algunos sistemas, incluso siendo críticos, es probable que la documentación sea escasa. Ante una contingencia, el conocimiento debe estar en los responsables de liderarlas, no obstante, debe existir un soporte documental sólido y de sencillo acceso. Esta etapa consiste básicamente en NORMALIZAR. En algunos casos se debe desarrollar documentación inexistente pero básicamente, el objetivo es normalizar toda la documentación pertinente mediante lo que denominamos SDF (System Data File). El SDF contiene 7 apartados: Criticidad: define el nivel de criticidad del sistema según los procesos en los que está incluido Flujo de trabajo: esquema general del sistema Descripción: descripción del sistema Configuración y reproducibilidad: pasos a seguir en caso de necesidad de reproducir el sistema

7 7. Copias de seguridad y restauración: descripción de las copias de seguridad (qué se copia, cuándo se copia, cómo se recupera). Base de datos de contactos: detalle de contactos terceros y posibles contratos de mantenimiento para llamar en caso de contingencia Responsabilidades: responsables principales y sustitutos del sistema Generalmente, la mayoría de documentos son un conjunto de referencias a la documentación ya existente, permitiendo normalizar y agilizar el acceso al conocimiento documentado Fase 3. Procedimientos Transversales Desarrollo de los planes periódicos de pruebas, capacitación, auditoría, Los procedimientos transversales del Plan de Contingencias le proporcionan el cuerpo normativo, dándole una dimensión distinta a un mero compendio de documentación estructurada. Están incluidos en estos documentos: Procedimientos de restauración periódica: el plan de contingencia no sólo hay que definirlo, hay que probarlo. La prueba permite dos cosas, la primera evidente, comprobar que funciona, la segunda no es menor, entrenar todos los aspectos no técnicos que serán imprescindibles en estado de contingencia (conocimiento, acceso a los documentos clave, orden, comunicación, ). Procedimientos de auditorías internas: la puesta en marcha del Plan de Contingencias permite identificar desviaciones respecto a la situación deseada. Ello permite definir planes de acción y empezar un proceso de mejora. De forma periódica, se debe realizar una auditoría interna que compruebe aspectos como: o Nivel de actualización de la documentación o Nivel de conocimiento / responsabilidad o Análisis de los resultados de la ejecución de las restauraciones o Análisis de las restauraciones no realizadas o Revisión de los niveles de criticidad definidos y relaciones causa/efecto Planes de capacitación: una de las desviaciones comunes que surge y seguirá surgiendo a lo largo del tiempo, es la necesidad de disponer de colaboradores formados para atender cualquier tipo de contingencia de acuerdo al plan definido. El desarrollo del propio Plan de Contingencias, las auditorías periódicas y la evolución del propio negocio; generan una constante necesidad de actualización de conocimiento y un plan de formación alineado con la criticidad de los procesos. Formulario revisión post-incidente: un aspecto clave después de cualquier incidente, es analizar y aprender de los errores cometidos. Es importante disponer de metodología que permita normaliza este análisis y documentarlo. Procedimiento de acciones correctivas y preventivas: el desarrollo del Plan de Contingencias y el mantenimiento posterior generan constantes desviaciones y/o acciones de mejora. En este sentido, se desarrolla una metodología de mejora continua, alineada con los aspectos críticos del negocio de la que emanan las inversiones más críticas, los riesgos más significativos y, en definitiva, un autentico sistema CAPA. Fase 4. Desarrollo de los Procedimientos de Contingencia A pesar de tener método, bien documentados los sistemas, correctamente definidos los comités, adecuadamente definidas las responsabilidades y formados los colaboradores clave; no es suficiente. La situación de contingencia se caracteriza por el nerviosismo y este sólo se mitiga con la definición clara de qué hacer y en qué orden. Probar el Plan La realización de pruebas periódicas de los Planes de Recuperación es esencial para garantizar que funcionan, mantener al día los tiempos de recuperación y hacerlos evolucionar frente a nuevos riesgos y cambios tecnológicos. Para asegurar pruebas rigurosas hay que tener en cuenta los siguientes factores: Ejecutarlas con la frecuencia adecuada según la probabilidad de que se concrete el riesgo y la gravedad de las consecuencias Concentrarse en una determinada situación y en la recuperación de los sistemas críticos Simular diferentes niveles de impacto Garantizar que cada actividad tiene un responsable y que es posible acceder fácilmente a la documentación pertinente Nombrar un observador que haga de notario de la actuación, recogiendo toda la información de lo sucedido. Documentar el resultado de la prueba, identificando puntos débiles y aislando puntos de mejora Actualizar el Plan de Contingencia y Recuperación con la información extraída como consecuencia

8 8 Ingelan Francesc Carbonell, Esc.A Ent.3 Tel: Fax: Mail: Hacemos que las cosas ocurran Visite nuestra página Web: Síganos en: Este check-list ejecutivo debe contemplar todas las tareas a realizar por cada tipo de contingencia. El resto de documentación y el conocimiento adquirido ayudará al éxito en la ejecución pero no debe esperarse a la contingencia para definir el detalle de los pasos a realizar. Durante el desarrollo del Plan de Contingencia es un buen momento para definir las TOP causas de contingencias comunes y redactar los check-list detallados de acciones a realizar. No obstante, es altamente recomendable establecer esta tarea como periódica e identificar todas las contingencias posibles aunque menores y realizar los correspondientes procedimientos. Algunos de los procedimientos habituales son: Pérdida del centro de proceso de datos (CPD) Errores lógicos en los diferentes sistemas Errores físicos en parte de la infraestructura Perdida parcial de los elementos de alta disponibilidad Etapa de Mantenimiento Si el resultado de desarrollar un Plan de Contingencias es un compendio de excelentes documentos que reflejan la realidad de los procesos, los sistemas y la infraestructura: ES UN FRACASO. Los negocios varían, la tecnología evoluciona y los planes se realizan para prever pero deben actualizarse de forma periódica. El éxito de un buen Plan de Contingencias radica en que se convierta parte de la metodología de la Organización y en un verdadero proceso de mejora continua. Uno de los aspectos esenciales, es la definición de los responsables y órganos de gestión: Comité de crisis: los objetivos de este comité son o Determinación situación de crisis o Activación del Plan de Contingencias o Coordinación crisis o Coordinación actividades del Comité de Apoyo de Crisis o Evaluación del impacto o Determinación del tiempo de recuperación o Responsable comunicación de crisis Comité de apoyo a la crisis: o Determinación del alcance del incidente o Determinación del tiempo de recuperación o Ejecución de las actividades operativas organizadas por el Comité de Crisis No obstante, el compendio de documentos es la base fundamental para la gestión del Plan. Se trata de documentación de diferente ámbito, relacionada entre sí, con criterios de búsqueda distintos según las situaciones. Es muy recomendable el uso de herramientas para la gestión de este entorno. Fruto de la experiencia del desarrollo de Planes de Contingencia, Ingelan propone el uso de herramientas basadas en la filosofía blog. Es decir, un repositorio de entradas desestructuradas enlazas entre sí y con atributos de búsqueda multipropósito Información propietaria y confidencial de Ingelan Local Area Network Engineering