Continuidad de los Negocios y TI

Transcripción

1

2 Propuesta para la Asistencia en Estrategia de Club de Investigación Tecnológica Negocios Continuidad de los Negocios y TI Ing. Carlos Gallegos 22 Setiembre 2004 Este documento es confidencial y destinado a la audiencia a la cual es presentado.

3 Agenda Introducción y Objetivos Definiciones y Premisas Básicas Enfoque de Avant Consulting Metodología Continuidad de Negocios Preguntas y Respuestas

4 Introducción El valor está en el negocio ( organización ) en marcha

5 Introducción Qué es Continuidad de Negocios? Un proceso holístico de administración que identifica los impactos potenciales que amenazan a una organización y provee un marco para su recuperación, gracias a la capacidad de responder eficazmente en resguardo de los intereses de los principales involucrados, así como de la reputación, imagen y actividades de creación de valor de las organizaciones Negocios = Business = Actividades de Valor Business Continuity Institute

6 Introducción Qué es Continuidad de Negocios? Continuidad de Negocios es el entendimiento de cómo afecta a una organización una interrupción no planeada en los sistemas de información ( Tecnología de Información ) y la determinación de los pasos a seguir para asegurar que los procesos críticos de la organización continúen operando a pesar del evento disruptivo. Negocios = Business = Actividades de Valor

7 Objetivos El objetivo principal de un Estudio de Continuidad del Negocio ( BCM ) es minimizar los riesgos, exposiciones y potenciales pérdidas como resultado de un evento que afecte las operaciones de Tecnología de Información de la organización. Los objetivos específicos son: Analizar el impacto de una interrupción en los negocios de la organización Evaluar Estrategias de Recuperación Asignación de prioridades y recursos ( físicos, tecnológicos, humanos y financieros) Preparación de un Documento Plan de Contingencias Desarrollar Pruebas del Plan

8 Definiciones y Premisas Básicas Enfoque de la Solución Metodología

9 Definiciones Una contingencia es una interrupción no planeada o programada de las actividades normales de negocio. Un Plan de Continuidad de Negocios (BCP) : identifica potenciales eventos desastrosos, entiende su posibilidad de ocurrencia, identifica el impacto potencial de dichos eventos en los negocios de la organización y asegura la continua operación de los procesos claves de negocios durante una contingencia.

10 Definiciones Un Plan de Recuperación de las Operaciones de Cómputo (DRP) establece los procedimientos del área tecnológica guía los esfuerzos de recuperación delinea la restauración del sitio principal define los equipos de recuperación de las aplicaciones y servicios tecnológicos Un Plan de Telecomunicaciones y Conectividad (Telco) establece procedimientos de comunicación de la Cadena de Mando guía los esfuerzos de recuperación de telecomunicaciones establece los contactos para proveedores de servicios

11 Definiciones RTO (Recovery Time Objective): se define como el tiempo máximo para re-establecer la funcionalidad de los procesos críticos de negocios. Considera el setup del ambiente de procesamiento alterno. RPO ( Recovery Point Objective ): se define como el tiempo máximo de transacciones que la organización está dispuesta a perder y tener que reprocesar.

12 Intervalo de Procedimientos Administración De Crisis Instalación Sitio Alterno De Captura Sitio Alterno de Procesamiento Reproceso Modo Degradado Restauración T0 T1 T1.5 T2 CMT Setup BCP Procedimientos Alternativos Setup DRP Reproc Perdidas Reproc PATs T3 Procs Modo Restauración T4 Setup Telco

13 Premisa Básica La premisa básica de un Plan de BCP es : Nadie ni nada es indispensable Se debe planear para cualquier eventualidad

14 Factores Críticos de Exito BCP Enfoque integral de la organización, análisis en ambos sentidos

15 Factores Críticos de Exito BCP Planear para el peor escenario posible Semana Santa Epoca navideña Verano Cierre Fiscal Vacaciones Fin de mes

16 Factores Críticos de Exito BCP El patrocinio gerencial es indispensable para el éxito del proyecto Alta gerencia Gerencias Funcionales Gerencias Funcionales Gerencias Gerencias Gerencias Gerencias Gerencias

17 Debe ser un esfuerzo multi-funcional Factores Críticos de Exito BCP

18 Mitos y Realidades 1. Es responsabilidad del Área de Sistemas Gerencias Funcionales Alta gerencia Gerencias Funcionales R./ Es responsabilidad de toda la organización Gerencias Gerencias Gerencias Gerencias Gerencias 2. Lo único que necesitamos es respaldar el centro de cómputo R./ Hay información adicional en la organización que necesita ser respaldada

19 Mitos y Realidades Necesitamos un tiempo de respuesta de minutos y soportar a toda la organización R./ Debe existir una justificación financiera para la estrategia propuesta Los planes no necesitan ser actualizados ni probados continuamente Pruebas R./ El mejor plan es el probado y actualizado continuamente

20 Tendencias Nuevas regulaciones: Nacionales Sugef, Conassif, Contraloría Internacionales Sarbanes Oxley Homeland Security Basilea II Nuevas Tecnologías Telecommuting Wireless como herramienta de trabajo

21 Premisas Básicas Enfoque de la Solución Metodología

22 Enfoque de la Solución Nuestro enfoque busca lograr respuestas a las siguientes preguntas: Cuál es el impacto en la Organización? Qué tan grande es la exposición? Cuánto debo invertir en estar preparado? De dónde tomo los recursos? Cómo organizar los esfuerzos? Cómo mantener el curso?

23 Enfoque de la Solución El impacto en las operación de la organización va ligado a la dependencia tecnológica, el ambiente competitivo y la industria particular

24 Enfoque de la Solución CURVA COSTO 25 HORAS $2,500, $2,000, $1,500, COSTO $1,000, $500, $ HORAS

25 Algunos costos potenciales en la industria bancaria: Enfoque de la Solución

26 Enfoque de la Solución Curva de Costos Indutria Bebidas $2,500,000 $2,000,000 $1,500,000 $1,000,000 Días Contingencia Hábiles Total Acumulado Convencional Total Acumulado Despacho Dinamico Expon. (Total Acumulado Despacho Dinamico) Expon. (Total Acumulado Convencional) $500,000 $

27 Enfoque de la Solución De acuerdo al tiempo de recuperación de una solución específica, el costo de la misma tenderá a aumentar o decrecer Redundancia Completa Costos de las Estrategias de Recuperación Sitio en Caliente y Recuperación Registros Vitales Sitio en Frío( Nueva Localización) Horas Días Semanas Meses Duración Interrupción Recuperación en sitio actual

28 Definiciones Hotsite: sitio alterno de procesamiento de cómputo en el cual todos los servicios, incluyendo: servidores, almacenamiento y equipo de telecomunicaciones están en operación constante. Los datos y las aplicaciones en el hotsite se encuentran sincronizadas con el sitio principal de procesamiento. Warmsite: sitio alterno de procesamiento el cual cuenta con: todos los equipos y servicios de telecomunicaciones instalados y listos para su utilización. En el caso de un desastre se deben restaurar las aplicaciones y los datos en los equipos. Coldsite: se define coldsite como aquel sitio que tiene: el ambiente necesario para la instalación del equipo necesario para un sitio alterno de procesamiento, pero no cuenta con los equipos en sitio. En caso de un desastre se debe instalar todo el equipo, así como las aplicaciones y los datos.

29 Enfoque de la Solución Al comparar las curvas de pérdidas potenciales y de estrategias de recuperación, podemos seleccionar el nivel óptimo de inversión para cubrir la exposición

30 Enfoque de la Solución Curva de Inversión Bebidas $600, $500, $400, Estrategias Costos Dolares $300, $200, $100, Hot site por país 2. Hot Site Compartido 3. Hot Site Back-up mutuo 4.Hot site Terceros 5. Warm Site Back-up mutuo 6. Cold Site Back-up mutuo $ Horas

31 Enfoque de la Solución Componentes de un Plan de Contingencias Enfocado en las Prioridades Gerenciales Estructura Organizacional Procedimientos de Pruebas Plan de Continuidad del Negocio Plan de Telecomunicaciones Cómo organizar los esfuerzos? Plan de Recuperación de Cómputo Registros Vitales Operaciones Críticas Herramientas Requeridas Personal Clave Instalaciones Conducido por UEN Hardware Software Ancho de Banda Acuerdos con Vendedores Personal Hardware / Software Sistemas de Aplicación Personal Acuerdos con Vendedores Datos Procedimientos

32 Enfoque de la Solución Alcance y Pasos de la Recuperación Contingencia Cobertura en tiempo Operación Normal El Evento - Terremoto - Fuego - Agua - Etc. Operando en modo Degradado Procesando únicamente funciones críticas de negocios Estabilizar la organización Operando en Modo de Recuperación Recuperando las capacidades de procesamiento - Incrementando el número de funciones de negocios soportadas Restauración Estabilizar Recuperar Modo Normal Regreso al negocio como es usual Evaluación y actualización del Plan Plan de Continuidad Negocios Plan de Recuperación Cómputo Plan de Conectividad y Telecomunicaciones

33 Premisas Básicas Enfoque de la Solución Metodología

34 Ámbito de Análisis Análisis Inicial Curvas de Costos Entendimiento del Negocio Cadena de Valor Análisis de Riesgos BIA Procesos Críticos Necesidades Críticas Curvas de Inversión Estrategias De Recuperación Desarrollo de la Solución Plan De Contingencias Pruebas Y Mantenimiento

35 Metodología 1. Inicio del Proyecto 2. Análisis de Riesgos y Exposiciones 3. Análisis Impacto de la Interrupción 4. Determinación de las Necesidades Críticas de Recuperación 5. Identificación y Selección Estrategias de Recuperación 6. Desarrollo del Plan 7. Pruebas y Mantenimiento del plan

36 Fase 1 Inicio del Proyecto En esta fase se establece la organización del proyecto y la oficina de administración ( PMO ), se establecen los roles y responsabilidades de los diferentes equipos de trabajo y se afina el alcance del Proyecto como un todo. Adicionalmente se debe lograr el patrocinio y compromiso de la Alta Dirección y la asignación preliminar de recursos. Entregables Plan de Trabajo Detallado Patrocinio de la Gerencia Alta gerencia Cadena de Valor Fuente Captación Operaciones Mercadeo y Publicidad Ventas y Negocios Servicio y Atención Gerencias Funcionales Gerencias Funcionales NEGOCIO SUSTANTIVO FINANZAS Análisis Técnico Tesorería de Crédito Fondeo Formalización Adm. de Riesgo Procesamiento Logística del de productos dinero Servicios de Inversion Tarjetas Cajeros ESTRATEGIA Corporativa Posicionamiento Publicidad Imagen Medios Banca Personal Banca Empresarial Arrendamientos Banca Internacional Seguros Roble Banca Personal Banca Empresarial Online Banking Seguros Offshore Mejor servicio al cliente Externo Interno Creación de valor SOPORTE SERVICIOS CORPORATIVOS ASUNTOS REGULATORIOS TI

37 Fase 2 Análisis de Riesgos y Exposiciones Es de vital importancia considerar la magnitud de los riesgos que pueden generar eventos no planeados o contingencias. Esta es una actividad crítica y determinará cuáles escenarios son más proclives a ocurrir y cuáles deberían concentrar la mayor atención durante el trabajo de planeación de contingencias. Entregables Riesgo Telecomunicaciones Hardware Software Personal Cómputo Hardware Software Nivel de Riesgo Promedio Alto Medio Bajo Personal Procedimientos

38 Fase 3 Análisis Impacto de la Interrupción El tercer paso en un esfuerzo serio de contingencias es considerar los impactos potenciales de cada tipo de desastre o evento. Es crítico entender cómo se afectaría el negocio o la organización bajo los diferentes escenarios posibles. El análisis del Impacto en el Negocio (BIA por sus siglas en inglés) es una forma de evaluar sistemáticamente los potenciales impactos resultantes de varios eventos o incidentes ( interrupción ). Entregables Curva de Costos $1,600,000 $1,400,000 Procesos Críticos Proceso Var 1 Proceso Proceso Proceso Proceso Proceso Proceso Proceso Proceso Proceso Proceso 10 - Proceso 11 - Proceso Impacto Operacional Ubicacion de los respaldos COSTOS $1,200,000 $1,000,000 $800,000 $600,000 $400,000 $200,000 $ DIAS 0.00 Escritorio Mueble Otra area Computo Sitio alterno Otro

39 Company Name Address line 1 Address line 2 City, State Zip code (555) Phone (555) Fax Note: Type your note here. Date: Date To: Addressee Firm: Company Name Fax #: Phone #: From: Sender's Name Subject: Topic of Fax Pages: # Company Name Address line 1 Address line 2 City, State Zip code (555) Phone (555) Fax Note: Type your note here. Date: Date To: Addressee Firm: Company Name Fax #: Phone #: From: Sender's Name Subject: Topic of Fax Pages: # Company Name Address line 1 Address line 2 City, State Zip code (555) Phone (555) Fax Note: Type your note here. Date: Date To: Addressee Firm: Company Name Fax #: Phone #: From: Sender's Name Subject: Topic of Fax Pages: # Fase 4 Necesidades Críticas de Recuperación La recuperación después de un evento o desastre involucra la conjunción de aspectos relacionados con personas, equipos de cómputo, comunicaciones, coordinación con suplidores, inventarios, equipos de oficina, formularios y documentos ( cheques, recibos, etc. ) y valores ( numerarios, garantías, etc. ) Entregables

40 Fase 5 Estrategias de Recuperación En función de los requerimientos mínimos establecidos en la fase anterior y del impacto de las pérdidas o costos potenciales producto de una eventualidad, se puede ahora entonces establecer las diferentes estrategias de Recuperación y contestar la pregunta Cuánto debería invertir en preparación? ( Curva de Costos de Recuperación ) y asignar presupuestos preliminares. Sitio Alterno Hot Site Cold Site Proveedores Externos Recursos Propios Recursos Propios Proveedores Externos $70, Entregables Curva de Inversiones Modo Degradado Sitio Actual Recursos Propios Proveedores Externos $60, $50, $40, Hot Site Interamerica Cold Site Interamerica Sitio Actual Recuperación de ambiente inicial en sitio actual Recursos Propios $30, $20, Cold Site Recursos Propios Recursos Propios $10, $- Hot Site Propio Horas

41 Fase 6 Desarrollo del Plan El desarrollo del Plan tiene varios componentes: Capítulos Entregables Administración De Crisis Continuidad de Negocios Cómputo Telecomunicaciones Recuperación Sitio Actual

42 Fase 7 Pruebas y Mantenimiento del Plan Company Name Address line 1 Address line 2 City, State Zip code (555) Phone (555) Fax Note: Type your note here. Date: Date To: Addressee Firm: Company Name Fax #: Phone #: From: Sender's Name Subject: Topic of Fax Pages: # Company Name Address line 1 Address line 2 City, State Zip code (555) Phone (555) Fax Note: Type your note here. Date: Date To: Addressee Firm: Company Name Fax #: Phone #: From: Sender's Name Subject: Topic of Fax Pages: # Company Name Address line 1 Address line 2 City, State Zip code (555) Phone (555) Fax Note: Type your note here. Date: Date To: Addressee Firm: Company Name Fax #: Phone #: From: Sender's Name Subject: Topic of Fax Pages: # Los planes desarrollados en la fase anterior deben probarse. Un plan probado es sin duda un mejor plan que uno que nunca ha sido sometido a pruebas. En la pruebas se determinarán deficiencias y mejoras. Se aprenderán lecciones nuevas y se estará en mejor posición de enfrentar un evento real. Las pruebas empiezan por el conocimiento y entendimiento de las responsabilidades y roles del personal de la organización, tanto técnico como de las áreas de negocio. Las pruebas también ayudarán a afinar los procedimientos administrativos y tecnológicos. Entregables Pruebas

43 Clientes

44 Preguntas

45 Avant Consulting Domus Plaza, 2do. Piso, Suite 16 Curridabat San José, Costa Rica Tel: Fax: