Cómo plantear un PCN Presentación

Transcripción

1 Cómo plantear un PCN Presentación 3 noviembre 2010 Aspectos generales Consultec, S.L. Bilbao Donostia San Sebastián Madrid Pamplona Santander Vitoria Gasteiz

2 Índice Presentación Definiciones Plan de Contingencias Plan de Continuidad Identificación de la estructura TI Valoraciones en la organización Componentes del Plan de Continuidad de Negocio Realización del Plan Soluciones de continuidad Soluciones tecnológicas Soluciones organizativas Como implantar un plan de continuidad Buenas Prácticas Ejemplos y visión práctica Ejemplo 1 Ejemplo 2 2

3 Objetivos de la sesión Se trata de entender que: La continuidad del negocio no tiene una única solución No se dispone de la solución perfecta, se conoce cual era una vez solucionada Las TIC como servicio para lograr los objetivos del negocio 3

4 Definiciones Consultec, S.L. Bilbao Donostia San Sebastián Madrid Pamplona Santander Vitoria Gasteiz

5 Definiciones Normas de referencia a consultar BS 25999: BS :2006 Code of practice for business continuity management BS :2007 Specification for business continuity management. Nist : Contingency Planning Guide for Federal Information Systems (revisada el 10 de mayo) 5

6 Definiciones Buenas prácticas de ayuda relacionadas ISO/IEC 27001:2005: Sistema de Gestión de la Seguridad de la Información MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información CobiT v4.1: Control Objectives for Information and related Technology Serie NIST: National Institute of Standards and Technology 6

7 Definiciones Objetivos del BCP Minimizar la magnitud de la interrupción sobre los procesos críticos ante eventos inesperados. Contar con los elementos regulatorios y jurídicos para enfrentar juicios o demandas de terceros o gubernamentales. Contar con personal entrenado para el manejo de crisis y recuperación de las operaciones. Asegurar que los registros vitales estén disponibles ante el evento de contingencia. Contar con la mayoría de los procedimientos probados. Minimizar la dependencia de los servicios informáticos ante el evento de la contingencia. 7

8 Definiciones BCM (Business Continuity Management) Considera la administración de la continuidad del negocio como parte de un proceso BCP (Business Continuity Plan) DRP (Disaster Recovery Plan) Plan dirigido a los Procesos del Negocio Plan específico a tecnología de la Información 8

9 Definiciones DRP Disaster Recovery Plan Plan de Recuperación en Caso de Desastre Orientado a recuperar en el menor tiempo posible la operación de las APLICACIONES CRITICAS, Equipo alternativo, minimizando el impacto y el costo de un desastre. DRP 9

10 Definiciones BRS Business Recovery Services Servicio informático o realizado por personal especializado dentro de la infraestructura de TI Da soporte en casos de contingencia. DRP BRS 10

11 Definiciones BRP Business Recovery Plan Documento formalizado para la recuperación de los procesos de negocio existentes en la entidad. DRP BRS BRP 11

12 Definiciones PCN Plan de Continuidad de Negocio (BCP Bussiness Continuity Plan) Conjunto de acciones que se deben realizar en caso de desastre. Deben asegurar la recuperación a la mayor brevedad posible de las operaciones críticas para el negocio. DRP BRS BRP BCP 12

13 Definiciones GCN Gestión de la Continuidad de Negocio (BCM Bussiness Continuity Management) Recoge las personas, procesos y tecnología necesarios para garantizar que los Planes de Recuperación de Negocio y de Desastres se mantienen actualizados de forma permanente Gestión de Continuidad de Negocio DRP BRS BRP BCP 13

14 Definiciones Objetivo Alcance Principales Características Plan de Recuperación (DRP) Ofrecer una solución de respaldo a los SI en caso de contingencia Sistemas de Información Alcance limitado a los Recursos TI: Emplazamientos de los SI Procedimientos técnicos de recuperación Equipo de emergencia especializado en la recuperación de sistemas Plan de Continuidad de Negocio (BCP) Asegurar la continuidad de la Entidad en caso de contingencia Procesos Críticos de Gestión Enfocado a la operatividad de la Entidad: Procedimiento de actuación logísticos alternativos (para TI y para el negocio) Equipo de emergencia focalizado en la recuperación del negocio. Priorización en base a la importancia de cada proceso. 14

15 Conceptos Continuidad de Negocio Definiciones empleados en la Continuidad de los servicios Incidencia: [ITILv3] interruption to an IT Service or reduction... 15

16 Conceptos Continuidad de Negocio Definiciones empleados en la Continuidad de los servicios Work around: Es un by-pass de un problema. 16

17 Conceptos Continuidad de Negocio Definiciones empleados en la Continuidad de los servicios Análisis de riesgos: Evaluación de amenazas de todos los activos que dan soporte a los procesos de negocio. Gestión de Prioridades: Dentro de los Planes de Continuidad de Negocio se requiere de una definición de prioridades basándose en las necesidades definidas por el negocio. 17

18 Conceptos Continuidad de Negocio Definiciones empleados en la Continuidad de los servicios Contingencia: Situación de inoperatividad provocada por alguna amenaza. Desastres, incidencias masivas, etc. La definición de contingencia se suele definir en el propio plan. Escenario de contingencia: Situación hipotética empleada en los Planes de Continuidad de Negocio. 18

19 Identificación estructura TI Consultec, S.L. Bilbao Donostia San Sebastián Madrid Pamplona Santander Vitoria Gasteiz

20 Identificación de la estructura TI Problema 1 Donde está el valor de nuestra empresa??? Hacemos pasteles o damos soporte TI? 20

21 Identificación de la estructura TI Problema 2 Hablamos con orientación a negocio? Decir lo mismo con diferentes palabras Recurso compartido Sistema de ficheros Carpeta compartida Carpeta del servidor 21

22 Identificación de la Estructura TI Servicio de correo Sistema Plataforma/SO/Versión Descripción Exchange/Sistema Virtual- Windows/v2008 SP2 Servidor de correo electrónico 22

23 Análisis BIA Consultec, S.L. Bilbao Donostia San Sebastián Madrid Pamplona Santander Vitoria Gasteiz

24 Análisis BIA Análisis de Riesgos ACTIVO AMENAZA evento VULNERABILIDAD estado 24

25 Análisis BIA BIA (Bussiness Impact Analisys) Análisis de Impacto en el Negocio Coste Vs Valor Proceso 1 1 seg 30 min 1 hora 1 día 3 días 5 días Leve Leve Medio Medio Medio Grave seg 30 min 1 hora 1 día 3 días 5 días Proceso 2 Leve Leve Leve Medio Grave Grave

26 Componentes del Plan de Continuidad de Negocio Recovery Objectives RTO: Recovery Time Objetive Cuánto tiempo podemos estar sin servicio? Objetivo de tiempo de recuperación, cual es el tiempo máximo medido en horas/días para la recuperación de la disponibilidad del servicio. RPO: Recovery Point Objetive Cuánto tiempo de trabajo podemos perder? Objetivo del punto de recuperación, a qué momento del tiempo debe recuperarse el servicio (último día, última hora, zero data loss, etc.). 26

27 Componentes del BCP Consultec, S.L. Bilbao Donostia San Sebastián Madrid Pamplona Santander Vitoria Gasteiz

28 Componentes del Plan de Continuidad de Negocio RPO Cont inge ncia RTO=5 min Correo electrónico Sistema de ficheros compartidos RTO=1 hora App Contabilidad Servicios varios 1 semana Vuelta a la normalidad 28

29 Realización del Plan Consultec, S.L. Bilbao Donostia San Sebastián Madrid Pamplona Santander Vitoria Gasteiz

30 Realización del Plan Documentación Un documento formalizado perteneciente a la entidad Aprobado y estudiado por la Dirección Recoge todas las conclusiones identificadas Actividades que se contemplan Actividades que NO se contemplan Existe personal con responsabilidad del mantenimiento del documento 30

31 Realización del Plan Estructura 1.Análisis de Impacto en el Negocio 2.Estrategia de Recuperación 3. 3.Medidas preventivas 4.Procedimientos de invocación y recuperación 5.Mantenimiento del Plan 6.Prueba 31

32 Soluciones de Continuidad Consultec, S.L. Bilbao Donostia San Sebastián Madrid Pamplona Santander Vitoria Gasteiz

33 Soluciones de Continuidad Soluciones Tecnológicas Tipos de Centros de Recuperación: Cold sites Centros con sitio e infraestructuras adecuadas para soportar el proceso de recuperación Warm sites Centros que se encuentran parcialmente equipados con los sistemas de información Hot sites Centros que disponen del equipamiento adecuado para la recuperación de la actividad 33

34 Soluciones de Continuidad Soluciones Tecnológicas Telecomunic Site Coste Hardware Setup Time Location aciones Cold Site Bajo Nulo Nulo Largo Acordada Warm Site Medio Parcial Partial/Full Medio Acordada Hot Site Medio/alto Total Total Corto Acordada 34

35 Soluciones de Continuidad Soluciones Tecnológicas La virtualización Las copias de seguridad Fuentes redundantes SAI/UPS Identificación del punto único de fallo (single point of failure) 35

36 Soluciones de Continuidad Soluciones Organizativas Responsable de Continuidad Comité de Contingencia 36

37 Componentes del Plan Personas Comité de Contingencia Desastres / contingencias Procedimientos de respuesta Medidas Preventivas Centro de Respaldo BCP Análisis de Impacto Análisis de Riesgos 37

38 Cómo implantar un BCP Consultec, S.L. Bilbao Donostia San Sebastián Madrid Pamplona Santander Vitoria Gasteiz

39 Cómo implantar un BCP Estrategia 1.Conocer con qué se genera valor 2.Realizar el BIA 3.Análisis de Riesgos 4.Medidas preventivas 39

40 Cómo implantar un Plan de Continuidad Realización Invocación Magnitud de los daños de los servicios Criticidad de los sistemas afectados Duración estimada de la contingencia que supera el RTO 1 seg 30 min 1 hora 1 día 3 días 5 días Proceso 1 Leve Leve Medio Medio Medio Grave

41 Cómo implantar un Plan de Continuidad Realización Notificación Personal interno Grupos de contacto Llamadas telefónicas Envío de mensajes a los correos personales Grupos de interés Clientes Proveedores 41

42 Cómo implantar un Plan de Continuidad Realización Notificación Contenido informativo Naturaleza de la interrupción Duración estimada de la interrupción Detalles de la situación de la recuperación Cuando se adelantará más información Instrucciones para preparar la nueva ubicación de trabajo Instrucciones para completar la notificación, mediante el árbol de contactos 42

43 Cómo implantar un Plan de Continuidad Realización Recuperación DRP Identificando qué se necesita y dónde se encuentra Establecer el nivel de detalle necesario Capacidad de la persona responsable de la recuperación Posibilidad de que esa persona no pueda acceder 43

44 Cómo implantar un Plan de Continuidad Realización Valoración Causa de la contingencia Posibilidad de interrupciones o daños adicionales Estado de la infraestructura Inventario y estado de los sistemas informáticos Tipo de daños en los sistemas y especialmente en los datos Soportes a ser remplazados Tiempo estimado de vuelta a la normalidad 44

45 Cómo implantar un Plan de Continuidad Mantenimiento Plan actualizado Cambios en la estructura de la empresa Cambios en la infraestructura Pruebas Verificar números de teléfono El proveedor es el mismo? Verificar versionados La estructura de la base de datos es la misma? 45

46 Buenas prácticas Sentido común, el menos común de los sentidos Hay que mantener el Plan en papel, fuera de las instalaciones La frecuencia de las copias es coherente con las necesidades de continuidad Puedo asegurar la confidencialidad de la información que se maneja en la recuperación? 46

47 Ejemplos Consultec, S.L. Bilbao Donostia San Sebastián Madrid Pamplona Santander Vitoria Gasteiz

48 Ejemplos y visión práctica Ejemplo 1 Pequeño comercio CPD Contiene: -Servidor de correo -Aplicación contablefinanciera Externalizado: -Página Web -Copias de Seguridad 48

49 Ejemplos y visión práctica Ejemplo 2 CPD 1 Contiene: -Servidor de correo -Aplicación contable- financiera CPD 2 -Aplicación de negocio1 Contiene: -Servidor Backup CPD1 -Aplicación de negocio2 49

50 Preguntas? 50

51 Contacto Muchas gracias por su atención Andoni Martin