Planes de Continuidad del Negocio

Transcripción

1 Planes de Continuidad del Negocio

2 Agenda 1. Objetivos del Seminario 2. Antecedentes 3. Conceptos Generales 4. Metodología (Practicas Profesionales DRII) 5. Conclusiones

3 Objetivos del Curso Comprender la importancia para las organizaciones de poseer un Plan de Continuidad del Negocio Conocer la metodología para el desarrollo profesional de un plan de continuidad del negocio Aprender a elaborar y desarrollar un Análisis de Impacto al Negocio (BIA) Aprender como se identifican los requerimientos mínimos para la recuperación ante desastres Entender los fundamentos para seleccionar una estrategia de recuperación eficiente Aprender a construir los planes de continuidad del negocio Comprender la importancia del mantenimiento de los planes Identificar los aspectos funcionales que deben tener las herramientas informáticas de apoyo en la construcción y mantenimiento de los planes de continuidad

4 Presentación de los Instructores Ramiro Merchán Patarroyo: Ingeniero de Sistemas, Especialista en Software para Redes, Auditor de Sistemas Certificado CISA (ISACA), Profesor Universitario, Consultor Independiente en BCP, Seguridad Informática y Auditoría de Sistemas, mas de 15 años de Experiencia Profesional, Socio de M&M Auditores de Colombia, Examen de Certificación CBCP del DRI Aprobado. Plinio Esteban Palomino: Ingeniero de Sistemas, Estudios de Maestría en Administración de Empresas (MBA), Consultor Independiente, Socio de M&M Auditores, Consultor en BCP, Seguridad Informática, Administración de Proyectos, Experiencia Profesional de mas de 15 años, PMP, Examen de Certificación CBCP del DRI Aprobado.

5 Antecedentes 11 de Septiembre de 2001 Apagón en el norte de US Agosto 2003

6 Antecedentes Incendio del Hotel Windsor Madrid Feb 2005 Bodegas de Almacenar en Cali Mayo de 2005

7 Por Qué Esta Usted Aquí? Política de la Dirección Reacción a un desastre Requerimiento regulatorio Observaciones de auditoria Buena práctica de negocios Orientación a la planificación Reconocimiento del negocio Concientización personal Personalmente motivado

8 Conceptos Generales Plan de Contingencias: Es un documento desarrollado en forma preventiva, con el objetivo de servir de guía de acción antes, durante y después de la ocurrencia de un imprevisto

9 Conceptos Generales Plan de Recuperación de Desastres (DRP): Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los servicios informáticos críticos en caso de contingencia. Responsable: Área de Sistemas

10 Conceptos Generales Plan de Continuidad del Negocio (BCP): Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los procesos del negocio generando un impacto mínimo o nulo ante una contingencia. Responsable: Unidades de Negocio

11 Conceptos Generales Administración de la Continuidad del Negocio (BCM): Proceso administrativo completo que identifica impactos potenciales que pueden afectar la organización y provee la estructura para dar flexibilidad y respuestas efectivas para salvaguardar los intereses de los accionistas, la reputación, la marca y actividades de valor agregado. Responsable: Alta Gerencia

12 Conceptos Generales Plan De Contingencias - CP Plan de Recuperación de desastres - DRP Plan de Continuidad del Negocio - BCP Administración de la Continuidad del Negocio - BCM

13 Evolución de Conceptos de Continuidad BCM BCP RESILIENCY BRP BRS DRP Respaldos De Información

14 Objetivos del BCP Proteger al personal y los activos corporativos Asegurar la continuidad de las operaciones Garantizar la reanudación de los procesos críticos dentro de los margenes de tiempo tolerables Minimizar el proceso de toma de decisiones durante una contingencia Reducir los efectos negativos ocasionados por el caos Mantener el servicio al cliente Responder a los Inversionistas

15 Objetivos del BCP Cumplir con requerimientos Legales / Contractuales / Gubernamentales Reducir al máximo los niveles de dependencia sobre personas o grupos específicos en el proceso de continuidad. Eliminar la necesidad de desarrollar nuevos procedimientos durante la contingencia. Minimizar la posibilidad de pérdida de información crítica para el negocio. Cumplir con requerimientos de auditoria

16 Objetivo General del BCP El objetivo de un BCP es establecer las estrategias y procedimientos que deben ser implementados por un equipo de individuos que provee direccionamiento, soporte, equipamiento, metodologías y estándares para garantizar la continuidad de las operaciones del negocio

17 Fases de la Continuidad de Negocios Prevención/Reducción/Mitigación Pasos para identificar y mitigar el riesgo Respuesta y Manejo Reacción planificada y manejo de un evento adverso Recuperación Recuperación y reanudación planificada de los servicios y operaciones después de una interrupción Restauración Reparación o reemplazo del sitio primario de operaciones normales de la organización.

18 Programa de Continuidad de Negocios Evaluación de Riesgos Respuesta a Emergencias Concientización y Capacitación Análisis de Impacto al Negocio Pruebas y Ejercicios Estrategias de Recuperación Comunicaciones de Crisis Desarrollo y Actualización del Plan Coordinación con Autoridades Externas Por donde Empiezo?

19 Estándares para BCP DRI (Disarter Recovery Institute International) (ISC)2 International Systems Security Certification Consortium (Certificación CISSP). ISO BCI (Business Continuity Institute) ISACA

20 Practicas Profesionales - DRI 1. Inicio y Administración del Proyecto 2. Evaluación y Control de Riesgos 3. Análisis de Impacto al Negocio (BIA) 4. Selección y Desarrollo de Estrategias de Continuidad 5. Respuesta y Operaciones de Emergencia 6. Desarrollo e Implementación Planes de Continuidad 7. Programas de Concientización y Entrenamiento 8. Prueba, Ejercitación y Mantenimiento de los Planes de Continuidad 9. Comunicación de Crisis 10. Coordinación con Autoridades Públicas

21 Metodología - DRI Planificación del Proyecto Mantenimiento y Actualización Plan Análisis y evaluación de Riesgos Proceso de Planificación de Continuidad de Negocios Prueba y Ejercitación Concientización y Capacitación Análisis de Impacto al Negocio (BIA) Desarrollo de Estrategias Desarrollo del Plan

22 Programa de Continuidad de Negocios Programa funcional determinado por los requerimientos del negocio Dirigido por un equipo directivo con autoridad para responder a las interrupciones Modifica las consecuencias de una interrupción a un nivel aceptable por la Dirección Proporciona un medio probado para enfrentar las crisis

23 Qué es un Problema de Continuidad de Negocios? Evento interno o externo que interrumpe uno o mas de los procesos de negocio El Tiempo (duración) de la interrupción determina que una situación sea un incidente o un desastre

24 Un Programa de BC Respondera a... Que es un desastre? Cuando empiezan los impactos? Cuanta perdida puede ser tolerada? Cuales son las alternativas? Como restablecer las funciones del negocio? Cuanto costará un plan de recuperación? Cuanto es suficiente?

25 Mejores Prácticas El comité directivo revisa anualmente el programa La alta gerencia es responsable del BCM Personal de BC con presupuesto La función de BCM abarca todos los aspectos de la empresa BCM es un proceso continuo Política comprensible de respaldo de registros vitales.

26 Mejores Prácticas Existencia de estrategias de recuperación basadas en prioridades, momento e impacto en la empresa (BIA) Existencia de un programa de concientización, capacitación, pruebas y ejercicios El plan de continuidad está actualizado y disponible Un programa de continuidad de negocios NO es un proyecto, NO es una tarea de una sola vez, NO es por un periodo fijo de tiempo. Debe ser un programa permanente, vivo, consistente en varios proyectos interdependientes y reiterativos

27 10 Mandamientos de BCM Debe recuperar aquello que se posee Debe tener alternativas Debe concentrarse en la sobrevivencia Lo mas importante debe ser la gente Debe ser probado y ejercitado Debe distinguir entre estrategia y recomendaciones No debe permitir que los planes envejezcan No debe envidiar el plan voluminoso del vecino No debe volverse complaciente Debe evitar un alcance pobre y discreto

28 Tendencias Los clientes conocen sus problemas de IT y de Negocio al mismo tiempo que usted Antes Protección del centro de computo Ahora- Protección de los procesos críticos del negocio Múltiples causas de interrupciones (operacionales, técnicas,...) Surgimiento de nuevas tecnologías Exigen mayor disponibilidad Tiempo sin servicio reducido Múltiples proveedores externos Todos los procesos de negocio involucran tecnología

29 Retos Documentar un alto nivel de ROI Mostrar casos de éxito de BCP Demostrar vulnerabilidades Construir un Business Case

30 Practicas Profesionales - DRI 1. Inicio y Administración del Proyecto 2. Evaluación y Control de Riesgos 3. Análisis de Impacto al Negocio (BIA) 4. Selección y Desarrollo de Estrategias de Continuidad 5. Respuesta y Operaciones de Emergencia 6. Desarrollo e Implementación Planes de Continuidad 7. Programas de Concientización y Entrenamiento 8. Prueba, Ejercitación y Mantenimiento de los Planes de Continuidad 9. Comunicación de Crisis 10. Coordinación con Autoridades Públicas

31 Planificación del Proyecto Planificación del Proyecto Mantenimiento y Actualización Plan Análisis y evaluación de Riesgos Proceso de Planificación de Continuidad de Negocios Prueba y Ejercitación Concientización y Capacitación Análisis de Impacto al Negocio (BIA) Desarrollo de Estrategias Desarrollo del Plan

32 Iniciación y Manejo del Proyecto - PP Establecer la necesidad de la continuidad del negocio Comunicar la necesidad de un BCP Comprometer la Alta Gerencia en los procesos de BCP Establecer el Comité de Proyecto Identificar y ejecutar los requerimientos presupuestales Identificar los equipos de planificación y sus responsabilidades Desarrollar y coordinar las actividades de implementación del BCP Dar respuesta a los requerimientos de la Gerencia y de documentación de los procesos de BCP Reportar y obtener aprobación del avance del proyecto

33 Evaluación de Riesgos Planificación del Proyecto Mantenimiento y Actualización Plan Análisis y evaluación de Riesgos Proceso de Planificación de Continuidad de Negocios Prueba y Ejercitación Concientización y Capacitación Análisis de Impacto al Negocio (BIA) Desarrollo de Estrategias Desarrollo del Plan

34 Evaluación de Riesgos - PP Objetivos Entender las pérdidas potenciales Identificar la exposición de la organización a pérdidas potenciales Identificar controles y medidas para prevenir o mitigar el efecto de las pérdidas potenciales - Protección física - Protección lógica - Localización de activos Evaluar, seleccionar y utilizar apropiadas metodologías y herramientas de análisis de riesgos Identificar e implementar las actividades de recolección de información Evaluar la efectividad de los controles y medidas Evaluación de riesgos y controles - Escenarios de riesgo Seguridad Administración de registros vitales

35 La Rueda de la Crisis

36 Proceso de Administración de Riesgos Etapas de la administración de riesgos Establecimiento del Contexto Contexto estratégico Contexto Organizacional Desarrollo de Criterios Decidir la estructura Comunicar y Consultar Identificación de Riesgos Qué puede suceder? Probabilidad Análisis de Riesgos Nivel de Riesgo Impacto Evaluación de Riesgos Establecer Prioridades Tratamiento de Riesgos Evaluar Opciones de Tratamiento Seleccionar Opciones de Tratamiento Preparar planes de tratamiento Implementar planes de tratamiento Revisar y Monitorear

37 Medidas Cualitativas de los Riesgos Tabla de probabilidad de ocurrencia Calificación Cualidad Raro Improbable Posible Probable Casi certeza Descripción Puede ocurrir sólo en circunstancias excepcionales Pudo ocurrir en algún momento Podría ocurrir en algún momento Probablemente ocurra en la mayoría de circunstancias Se espera que ocurra en la mayoría de circunstancias

38 Medidas Cualitativas de los Riesgos Tabla de impacto potencial Calificación Descriptor Detalle 1 Insignificante Sin perjuicios, baja perdida financiera 2 Menor Tratamiento de primeros auxilios, liberado localmente, se contuvo inmediatamente, perdida financiera media 3 Moderado Requiere tratamiento medico, liberado localmente, contenido con asistencia externa, perdida financiera alta 4 Mayor Perjuicios extensivos, perdida de capacidad de producción, liberación externa, sin efectos nocivos, perdida financiera mayor 5 Catastrófico Muerte, liberación tóxica externa con efectos nocivos, enorme perdida financiera

39 Medidas Cualitativas de los Riesgos E E E H H 5 E E H H M 4 E E H M L 3 E H M L L 2 H H M L L Impacto Potencial Probabilidad de Ocurrencia Matriz de Nivel de Riesgo

40 Análisis de Impacto al Negocio Planificación del Proyecto Mantenimiento y Actualización Plan Análisis y evaluación de Riesgos Proceso de Planificación de Continuidad de Negocios Prueba y Ejercitación Concientización y Capacitación Análisis de Impacto al Negocio (BIA) Desarrollo de Estrategias Desarrollo del Plan

41 Análisis de Impacto al Negocio (BIA) - PP Consiste en identificar los impactos de las interrupciones y escenarios de desastre que pueden afectar la organización. - Establecer el proyecto - Evaluar los efectos de las interrupciones, daños e impactos al negocio - Establezca la metodología BIA (cuestionarios, talleres, entrevistas..) - Defina y categorice las funciones y registros críticos - Determine las franjas de tiempo de recuperación y requerimientos de recursos mínimos - Identifique y categorice procesos del negocio - Determine tiempos de reemplazo - Administre los registros vitales

42 Análisis de Impacto al Negocio (BIA) Consiste en realizar una evaluación de los procesos y sistemas del negocio, con el objetivo de identificar: Áreas, funciones y/o procesos sensibles a interrupciones Interdependencia entre procesos internos y externos Impactos financieros de las interrupciones Impactos Operacionales de las interrupciones Sistemas de información críticos para la operación Tiempos objetivo de recuperación (RTO) Puntos Objetivo de recuperación (RPO) Clientes y proveedores críticos de la organización Recursos necesarios para la recuperación de operaciones Épocas críticas para la operación del negocio

43 Análisis de Impacto al Negocio Resultados (BIA) Inventario de los procesos críticos del negocio. Secuencia de recuperación de procesos y sistemas críticos Estimación del impacto financiero de una interrupción en los procesos críticos del negocio. Estimación del impacto operacional de una interrupción en los procesos críticos del negocio. Identificación de los tiempos de recuperación para cada proceso crítico del negocio. Identificación de los requerimientos mínimos de los procesos o aplicaciones críticas del negocio durante las operaciones de recuperación.

44 Cuestionario BIA Datos básicos del proceso y de su dueño Frecuencia del proceso Períodos de tiempo críticos Tiempo máximo de interrupción Volumen de trabajo del proceso Indicadores y medidas de desempeño existentes Impactos: Financiero, cliente interno, cliente externo, eficiencia operativa, aspectos legales, imagen - reputación y en general para la organización como negocio. Dependencias internas y externas Aplicaciones informáticas que lo soportan Procedimientos alternos existentes o sugeridos Efectividad de los procedimientos alternos Registros vitales de cada proceso Complejidad de recuperación de las dependencias evaluadas Recursos mínimos para la recuperación de cada dependencia.

45 Desarrollo de Estrategias de Continuidad Planificación del Proyecto Mantenimiento y Actualización Plan Análisis y evaluación de Riesgos Proceso de Planificación de Continuidad de Negocios Prueba y Ejercitación Concientización y Capacitación Análisis de Impacto al Negocio (BIA) Desarrollo de Estrategias Desarrollo del Plan

46 Selección de la Estrategia de Continuidad - PP Consiste en identificar las alternativas de recuperación de las operaciones en los marcos de tiempo dados por los RTO s identificados. Identificar los requerimientos de continuidad de la organización Evaluar la compatibilidad de las estrategias contra los resultados del BIA Presentar el análisis costo / beneficio de las estrategias de continuidad Seleccionar los sitios alternos y de almacenamiento externo Entender los términos contractuales de los servicios de continuidad del negocio

47 Categorías de estrategias Centro de procesamiento de datos Hardware Software Redes Backup y recuperación de la información Telecomunicaciones (voz y datos) Áreas de trabajo Espacio Muebles Equipos Personal Seguros

48 Recuperación del Centro de Procesamiento de Datos Alternativas de recuperación Contratación de sitios de recuperación externos (Ej. Hotsite, coldsite, etc.) Recuperación interna Acuerdos recíprocos Procedimientos manuales Reducción de servicios Suspensión de servicios Combinación de estrategias.

49 Quality of Service (QoS) Alta Disponibilidad o High Availability Implementación de controles preventivos, detectivos y correctivos para procurar la disponibilidad continua de los sistemas críticos de la organización. Fault Tolerance Un sistema fault-tolerant puede continuar brindado servicios a pesar de fallas de software o hardware. Load Balancing Sistemas que comparten la carga de trabajo para evitar recursos ociosos y bajo desempeño (performance).

50 Alta Disponibilidad Redundancia en los SPF s (Single Point of Failure) Cuánto tiempo de downtime estamos dispuestos a aceptar? QoS Clase 1 Clase 2 Clase 3 Clase 4 Clase 5 90% 99% 99.9% 99.99% % Porcentaje de disponibilidad Tiempo de downtime minutos/año = 36,5 días/año minutos/año = 3,65 días/año 525,6 minutos/año = 8,76 días/año 52,56 minutos/año 5,26 minutos/año

51 Proceso de selección de la estrategia 1. Se desarrollan alternativas de estrategias para: Refinar los requerimientos mínimos para la recuperación. Incluyendo consideraciones para: RTO s Capacidad del Sitio de Recuperación Requerimientos de comunicaciones (voz y datos) Viabilidad de recuperación de acuerdo al planteo del peor escenario Requerimientos de áreas de trabajo (espacio, equipos, insumos, archivos vitales, etc.) Requerimientos de recursos humanos Situación geográfica y de transporte.

52 Proceso de selección de la estrategia 2. Identificar las alternativas viables para la recuperación: Contratación de sitios de recuperación externos (Ej. Hotsite, coldsite, etc.) Recuperación interna Acuerdos recíprocos Procedimientos manuales Respuesta de reducción de servicios Suspensión de servicios Combinación de estrategias. 3. Seleccionar una estrategia de recuperación eficiente.

53 Selección del proveedor Hacer un análisis inicial de los proveedores existentes. Preseleccionar los más viables para el proyecto de acuerdo a: Importancia Experiencia Clientes actuales Referencias Respaldo financiero. Confeccionar un RFP/RFQ para enviar a los proveedores preseleccionados.

54 Selección del proveedor RFP/RFQ Lineamientos básicos de la propuesta Consideraciones Generales Consideraciones de Seguridad Informática Alternativas a Cotizar por ejemplo: Alternativa 1: Cold Site Alternativa 2: Hot Site Alternativa 3: Warm Site Detalle de equipos y dispositivos a cotizar

55 Metodología - DRI 1. Iniciación y manejo del proyecto 2. Evaluación de Riesgos 3. Análisis de Impacto al Negocio (BIA) 4. Selección de Estrategias de Continuidad 5. Respuesta a Emergencias 6. Desarrollo de los Planes de Continuidad 7. Ejercicios y Mantenimiento de los Planes de Continuidad 8. Conciencia y Programas de Entrenamiento

56 Respuesta a Emergencias - PP Desarrollar e implementar procedimientos para responder y estabilizar la situación después de un incidente y administar el centro de operaciones de emergencia a ser utilizado como centro de mando. Identifique componentes de los procedimientos de respuesta a emergencia Especifique los procedimientos de respuesta a emergencia Identifique requerimientos de control y autoridad Procedimientos de control y autoridad Respuesta a emergencia y recuperación de heridos Salvamento y restauración

57 Fases de respuesta Podemos dividir la respuesta ante una emergencia en 4 fases: Fase de Planeamiento Fase de Alerta Fase de Producción Fase de Restauración

58 Desarrollo de Planes de Continuidad Planificación del Proyecto Mantenimiento y Actualización Plan Análisis y evaluación de Riesgos Proceso de Planificación de Continuidad de Negocios Prueba y Ejercitación Concientización y Capacitación Análisis de Impacto al Negocio (BIA) Desarrollo de Estrategias Desarrollo del Plan

59 Desarrollo del Plan - PP Diseñar, desarrollar e implementar planes de continuidad del negocio para proveer continuidad en los marcos establecidos por los RTO S y RPO S. Identifique requerimientos para el desarrollo de los planes Definir requerimientos de control y administración de la continuidad Identifique y defina un formato y la estructura principal de los componentes de los planes Elabore un borrador de los planes Defina procedimientos de manejo de crisis y continuidad del negocio Defina las estrategias de evaluación de daños y reanudación Desarrolle una introducción general a los planes Desarrolle la documentación de los equipos de operación del negocio Desarrolle la documentación de los equipos de recuperación de tecnología informática Desarrolle el sistema de comunicaciones Desarrolle los planes de los usuarios finales de aplicaciones Implemente los planes Establezca los procedimientos de control y distribución de los planes

60 Desarrollo del Plan Qué es un el plan de recuperación? Un conjunto integrado de procedimientos que se utilizarán para la recuperación ante un evento que cause la interrupción de las operaciones del negocio. Fundamentalmente debe responder a: Quién Qué Cuándo Dónde Cómo.

61 Componentes de los Planes de Continuidad Prevención Respuesta Reanudación Recuperación Decisión DESASTRE Restauración

62 Equipos de recuperación Estructura tipo Emergency Management BCC Recuperación de Tecnología Recuperación de Instalaciones Recuperación de Clientes Tasf Force Comunicaciones Task Force Soporte de Sistemas Task Force Contabilidad Task Force RRHH Task Force Instalaciones Task Force Servicio al Cliente Task Force Relaciones Públicas

63 Equipos de recuperación Emergency Management Team (EMT) Es el más importante de la estructura de recuperación. Normalmente formado por el CEO y el Senior Management. Su principal función es decidir cuándo un evento es un desastre que requiere la activación del plan de recuperación.

64 Equipos de recuperación Emergency Management Team (EMT) Principales funciones: Tomar la decisión de declarar el desastre. Mantener al personal operativo motivado y enfocado en brindar el servicio. Asegurar el aislamiento de la escena del crimen y la apropiada recopilación de pruebas. Reportar las causas ilegales de la contingencia (ej. hacking) a las autoridades apropiadas. Trabajar con los proveedores de los servicios de recuperación para asegurar la correcta ejecución del plan de recuperación. Notificar a los clientes de una potencial demora en el cumplimiento del servicio. Evaluación de daños. Monitorear el progreso del plan.

65 Equipos de recuperación Business Continuity Coordinator (BCC) Es el responsable de: Coordinar las tareas en el desarrollo del plan Guiar los esfuerzos de respuesta ante una emergencia y de recuperación Revisar los reportes de evaluación de daños Iniciar los procedimientos de recuperación Mantener informado al EMT del estado de la recuperación Actuar de nexo entre el EMT y los lideres de los equipos de recuperación.

66 Equipos de recuperación Los equipos de recuperación y sus correspondientes Task Forces son los responsables de: Realizar una profunda evaluación de los daños Restaurar los distintos componentes de la infraestructura informática que resultaron inoperables debido a la ocurrencia del desastre.

67 Aseguramiento de la calidad Este es un elemento que debe ser tenido en cuenta a lo largo de todas las etapas del desarrollo del plan, pues asegura la integridad de los mismos. Como parte del proceso de aseguramiento de la calidad están: Entrenamiento Mantenimiento Pruebas

68 Ejercicios y Mantenimiento de los Planes Planificación del Proyecto Mantenimiento y Actualización Plan Análisis y evaluación de Riesgos Proceso de Planificación de Continuidad de Negocios Prueba y Ejercitación Concientización y Capacitación Análisis de Impacto al Negocio (BIA) Desarrollo de Estrategias Desarrollo del Plan

69 Ejercicios y Mantenimiento de los Planes de Continuidad - PP Planificar y coordinar el plan de ejercicios y evaluar y documentar los resultados de los mismos. Establecer un programa de ejercicios (pruebas) Determinar requerimientos de los ejercicios Definir escenarios de desastre Establecer criterios de evaluación y documentar los hallazgos Crear un cronograma de ejercicios Crear un plan de control y reporte de los ejercicios Facilitar la realización de los ejercicios Reporte post-ejercicios Retroalimentar y monitorear los resultados de los ejercicios Definir un cronograma de mantenimiento de los planes Formular los procedimientos de control de cambios Establecer procedimientos para informar el estado de los planes Objetivos de auditoria

70 Prueba del plan Objetivos Definición de un Plan de Pruebas Definición de los Procedimientos de Prueba Planificación de las Pruebas Ejecución de las Pruebas Evaluación de los resultados Ejecución de las modificaciones necesarias.

71 Motivos para no probar el plan Tiempo Falta de presupuestos (costos de la prueba) Suspensión del servicio

72 Mantenimiento del plan Objetivos Desarrollo de los procedimientos de mantenimiento del Plan de Recuperación. Diseño de la estrategia de mantenimiento (Ej. Periodicidad, disparadores, etc.)

73 Mantenimiento del plan Disparadores de actualización Cambios en el personal clave Cambios en el organigrama (Ej. Creación de nuevas posiciones); Cambios de dirección / teléfono de algún componente del equipo de recuperación Cambios en cualquier equipo o dispositivo informático incluido dentro del esquema de recuperación Cambio en algún procedimiento Reubicación de instalaciones Nuevos proveedores para los recursos críticos Cambios en la configuración de los sistemas o los dispositivos de almacenamiento (Storage) Cambios en la configuración de comunicaciones o de las redes.

74 Mantenimiento del plan Elementos mínimos a tener en cuenta en las revisiones del plan: Requerimientos operacionales Requerimientos de seguridad Procedimientos técnicos Hardware, software y otros equipos (tipos, especificaciones y cantidad) Nombres e información de contacto de los miembros de los equipos de recuperación Nombres e información de contacto de los proveedores Archivos vitales (impresos y electrónicos).

75 Concientización y Capacitación Planificación del Proyecto Mantenimiento y Actualización Plan Análisis y evaluación de Riesgos Proceso de Planificación de Continuidad de Negocios Prueba y Ejercitación Concientización y Capacitación Análisis de Impacto al Negocio (BIA) Desarrollo de Estrategias Desarrollo del Plan

76 Conciencia y Programas de Entrenamiento - PP Preparar un programa para crear y mantener conciencia corporativa y ampliar las habilidades requeridas para desarrollar e implementar el programa de Administración de la continuidad del negocio y sus procesos de soporte. Definir objetivos de concientización y entrenamiento Desarrollar e implementar varios tipos de programas de entrenamiento Desarrollar programas de concientización Identificar otras oportunidades de educación

77 CONCLUSIONES El plan debe ser desarrollado para cubrir el peor escenario, de manera que escenarios menores queden cubiertos también. El planteo de escenarios de desastre servirá de base al momento de determinar las alternativas viables para la recuperación.

78 CONCLUSIONES - SUPUESTOS Metas y Objetivos de la organización Políticas de la organización sobre planificación de la continuidad del negocio Escenarios de interrupción del negocio para cada área funcional yo localización Definición de interrupción menor y de desastre en términos del impacto sobre el negocio y la duración de la misma Cuales operaciones deben ser recuperadas en forma inmediata. Cuales operaciones no requieren ser recuperadas en forma inmediata y cuando deben estar disponibles Cuales operaciones del negocio pueden ser prescindibles Las estrategias de reanudación y recuperación a utilizar así como sus prioridades

79 CONCLUSIONES - SUPUESTOS El peor escenario ocurre sin aviso o advertencia No ocurrirá mas de un evento en forma simultanea El sitio de almacenamiento externo está lo suficientemente lejos como para no ser afectado por la interrupción o contingencia La recuperación puede realizarse usando únicamente los datos y registros vitales ubicados en el almacenamiento externo El equipo designado y otros recursos asignados están disponibles Las operaciones de reanudación/recuperación requieren del uso de recursos/capacidades alternas inferiores a las de operación normal Se cuenta con suficientes miembros del equipo de recuperación para realizar las tareas planeadas. La alta dirección está disponible para decidir la activación del plan y tomar las decisiones no previstas Existen instalaciones apropiadas para el centro de control, reuniones y necesidades de almacenamiento.

80 CONCLUSIONES - ALCANCE Que áreas/departamentos/procesos de negocio están incluidos en el plan Cada ubicación distinta debería tener un plan separado Que aplicativos/datos/servicios están cubiertos en el plan (portátiles, agendas digitales, aplicaciones de uso individual?)

81 CONCLUSIONES - POLITICAS Clarificar los lineamientos sobre los cuales se debe actuar en caso de un incidente, pues las políticas de la organización siguen siendo vigentes aún en situaciones de crisis Recursos humanos (beneficios, asistencia familiar, confidencialidad) Relaciones públicas (confidencialidad, declaraciones a los medios) Relaciones con los clientes Salud y seguridad industrial Relaciones con proveedores

82 CONCLUSIONES - PROPÓSITO Debe estar incluido claramente en la introducción del plan Protección de la vida y seguridad de los funcionarios Cumplir con requerimientos legales Protección de los intereses de los accionistas Asegurar el cumplimiento de los compromisos con los clientes

83 Bases de la Planeación de la Continuidad del Negocio Planeación de la Continuidad del Negocio Pruebas Entrenamiento Mantenimiento Aseguramiento de la Calidad Planes Equipos Tareas BIA Responsabilidades Estrategias Alcance Políticas Propósito Objetivos Supuestos Compromiso y Soporte de la Alta Gerencia

84 Sitios de interés Revista de Seguridad Informática Disaster Recovery Journal Portal de BCP y DRP Listados de desastres ocurridos Sitio de información sobre desastres Revista de Contingencia y Continuidad del Negocio Information Systems Audit And Control Association - ISACA TAMP Disaster Recovery System (DRSTM)

85 Libros de interés Business Continuity: Best Practices Editorial: Rothstein Associates; 2000 edition (June 10, 2000) Autor: Andrew Hiles A Guide to Business Continuity Planning Editorial: John Wiley & Sons; 1st edition (May 2001) Autor: James C. Barnes