Abril Jorge A. Portales

Transcripción

1

2 Por qué Crear un Plan de Contingencias para mi Empresa? Y Que pasos seguir para Desarrollarlo, sin Morir en el Intento.

3 Primer punto, Qué es un Plan de Contingencias? Un Plan de Contingencias es un modo ordenado de enfrentar situaciones de Desastre que pongan en riesgo la operación del Negocio. Es una forma de Continuar con la Operación de las Funciones Críticas del Negocio.

4 Segundo punto, Qué es un Desastre? De acuerdo al Disaster Recovery Institute International: Un repentino, evento catastrófico no planeado que causa pérdidas o daños inaceptables. 1) Un evento que compromete la habilidad de la organización para proveer las funciones críticas, procesos o servicios por un periodo de tiempo no aceptable. 2) Un evento donde la Dirección de una organización invoca su recuperación. Copyrighted, 2013, by the Disaster Recovery Journal, Page,9

5 Motivos para crear un Plan de Contingencias: 1. Responsabilidad con los Clientes. 2. Calidad del Servicio (SLA s). 3. Pérdidas de Oportunidad. 4. Pérdidas Financieras. 5. Responsabilidad Legal. 6. Daño a la Imagen.

6 Algunas de la Funciones que Desempeñan las Empresas: 1. Venta de Servicios. 2. Venta de Productos. 3. Soporte Técnico. 4. Atención a Clientes. 5. Encuestas de Opinión. 6. Propaganda y/o Publicidad Política. 7. Gestión de Cobranza. 8. Telemarketing (Suscripciones y ventas varias). 9. Gestión de Seguros (Incidentes de Vehículos).

7 Incidentes que pueden convertirse en Desastres: 1. Falla de Energía Eléctrica. 2. Afectación a las Vías de Acceso. 3. Interrupción de las Comunicaciones. (Líneas). 4. Disturbios Civiles. 5. Falla del Conmutador (PBX o Centralita). 6. Incendio (En Instalaciones propias o de un Vecino). 7. Inundación. 8. Robo a las Instalaciones. 9. Terremoto. 10.Falla en los Equipos de Cómputo. 11.Falla en las Aplicaciones y/o Software. 12.Malware (Virus, Spyware, etc.). 13.Atentado (En Instalaciones propias o de un Vecino).

8 Algunas Excusas de la Gente para no Desarrollar un Plan: 1. Tengo High Availability en mis Equipos. 2. Mis Equipos están en la Nube. 3. El Centro de Datos no está en mis Instalaciones. 4. Tenemos un Seguro de Cobertura Amplia. 5. Aquí no Pasa Nada... * Los Seguros demoran al menos 30 días en pagar, sólo un porcentaje y no reponen Información.

9 Sin embargo... LOS RIESGOS SON REALES!!

10 Tercer punto Tipos de Desastres: 1. Naturales. 2. Humanos. 3. Tecnológicos.

11 Tercer punto Tipos de Desastres: 1. Naturales. 2. Humanos. 3. Tecnológicos.

12 Las Ventajas han Crecido, el Riesgo También. Tecnología y Seguridad Riesgo Precio/Tamaño Conectividad Tiempo Capacidad Movilidad

13 Las Ventajas han Crecido, el Riesgo También. Hasta los 80 s Sumadoras, Calculadoras y Terminales. De los 90 s al 2010 Terminales y PC s Interacción. Hoy en día Equipos Corporativos y BYOD

14 Las Ventajas han Crecido, el Riesgo También. BYOD, significa: Bring Your Own Device Damage Disaster

15 Evolución de los Planes de Contingencia. 90 s BCP 2004 Resilencia 70 s DRP

16 Como Desarrollar e Implementar un Plan 1. Aplicando la Metodología de: a. Disaster Recovery Institute International. (DRII) b. The Business Continuity Institute. (BCI). Ya que son los 2 Institutos a Nivel Mundial que han sentado los estándares sobre la Metodología para el Desarrollo y Mantenimiento de un Plan. El DRII está ubicado en los Estados Unidos de América y el BCI en el Reino Unido.

17 DRII Mejores Prácticas. 1. Administración de Proyectos 2. Evaluación y Control de Riesgos 3. Análisis de Impactos al Negocio 4. Desarrollo de Estrategias de Continuidad de Negocios 5. Respuesta y Operaciones de Emergencia 6. Desarrollo e Implementación de Planes de Continuidad de Negocios 7. Programas de Concientización y Capacitación 8. Prueba y Mantenimiento de Planes de Continuidad de Negocios 9. Comunicación de Crisis 10. Coordinación con Autoridades Públicas

18 BCI Mejores Prácticas. 1. Gestión del BCM. 2. Conociendo la Organización. 3. Definiendo Opciones del BCM. 4. Desarrollando e Implementando el BCM. 5. Practicando, Manteniendo y Revisando. 6. Inculcando el BCM en la Cultura de la Organización.

19 Coincidencias entre el DRI y el BCI 7 8 Practicando, Manteniendo y Revisando Conociendo la Organización Gestión del 1 Programa BCM Desarrollando e Implementado el BCM Definiendo Opciones del BCM 5 1. Administración de Proyectos 2. Evaluación y Control de Riesgos 3. Análisis de Impactos al Negocio 4. Desarrollo de Estrategias de Continuidad de Negocios 5. Respuesta y Operaciones de Emergencia 6. Desarrollo e Implementación de Planes de Continuidad de Negocios 7. Programas de Concientización y Capacitación 8. Prueba y Mantenimiento de Planes de Continuidad de Negocios 9. Comunicación de Crisis 10. Coordinación con Autoridades Públicas

20 Pasos a Seguir Conocer la Empresa: Análisis de Impacto al Negocio (BIA). Análisis de Riesgos (RA).

21 Qué es un BIA? Un proceso diseñado para priorizar funciones del negocio al evaluar los impactos potenciales cuantitativos (financieros) y cualitativos (no financieros) que pudieran resultar si una organización experimenta un evento de continuidad de negocios Definición del DRII

22 Objetivos de un BIA Identificar Funciones y procesos críticos del negocio Exposiciones e impactos financieros potenciales Exposiciones e impactos operacionales potenciales Cuándo empiezan las exposiciones y los impactos Marcos de tiempo de recuperación (RTOs) Prioridades y secuencia de recuperación de los procesos Recursos necesarios para la reanudación de operaciones (personal, tecnología, equipo, suministros, registros vitales, proveedores, etc.) Impactos de una interrupción en diferentes períodos de tiempo Interdependencias de procesos Requerimientos legales y regulatorios Procedimientos alternativos o manuales existentes

23 Impacto de las Interrupciones en la Empresa Financiero Con los clientes Relaciones públicas Legal Regulador Participación del mercado Ambiental Operacional Personal Otros interesados Contractual

24 Identificación de Procesos críticos de negocios Resultados de un BIA Interdependencias internas y externas de procesos Tecnología necesaria por proceso, cuándo y cuánto Impactos financieros y operacionales potenciales Cuándo empiezan las exposiciones y los impactos y qué tan rápido aumentan Gastos potenciales no presupuestados Recursos necesarios, cuándo y cuánto Acuerdos de niveles de servicio, reportes regulatorios

25 Aplicaciones Críticas Aplicaciones Criticas: Las que sostienen al Negocio. Las que generan los Ingresos. Las que pueden ocasionar problemas Legales, Fiscales o Judiciales. Las que puedan afectar Negativamente la Imagen.

26 Funciones de Negocio Críticas Funciones de Negocio Criticas: Identificar las Unidades de Negocio que:. Generan los Ingresos. Que pueden ocasionar problemas Legales, Fiscales o Judiciales. Que puedan afectar Negativamente la Imagen de la Empresa.

27 Análisis de Costo/Beneficio Zero Data Loss Requirement Remote CPU & Mirroring DB Shadow Data Base Remote DASD Mirroring Hot Site / Remote Tape / Channel Extension Hot Site / Electronic Remote Journaling Hot Site / Operating System Store / Edit Hot Site / Electronic Vaulting Hot Site Cold Site Repair Site Minutos 6 a 8 Horas 24 Horas 48 Horas Semanas Meses Tiempo para Recuperar

28 Análisis de Costo/Beneficio Alta Disponibilidad Costo de la Interrupción Pérdida Tolerable Máxima Presupuesto Recuperación Ventana costo/tiempo Backup/ Restore Costo para Recuperar Tiempo p/recuperar Duración de la Falla Balance Costo Recuperación Tiempo

29 Centros Alternos Localidad externa a la empresa que cuenta con las instalaciones y equipo necesario, para la operación de las Aplicaciones Críticas y Funciones de Negocio Prioritarias. Puede ser: Localidad Propia. Instalaciones Rentadas. Proveedor de Servicio Externo.

30 Centro de Proceso Alterno Localidad externa a la empresa que cuenta con las instalaciones y equipo necesario para la operación de las Aplicaciones Críticas. Lo suficientemente alejada de la Principal para evitar que un Incidente Mayor las afecte a ambas. Puede ser: Localidad Propia. Instalaciones Rentadas. Proveedor de Servicio Externo.

31 Escenario 1 El desastre ocurre en Centro de Datos o en el Equipo de Cómputo. Equipo Original Equipo de Respaldo Evento A

32 Configuración al Día de Hoy. Escenario 1

33 Esquema Probable de Solución. Escenario 1

34 Centro de Trabajo Alterno Localidad externa a la empresa que cuenta con las instalaciones y equipo necesario, para la operación de las Unidades de Negocio Críticas. El Centro de Trabajo alterno cuenta con las instalaciones, equipo y accesorios para ubicar personal critico. Estas instalaciones pueden ser otra localidad propia de la empresa, rentada o anexo al Centro de Proceso Alterno.

35 Escenario 2 El desastre ocurre en la Ubicación Principal de la Empresa por la no disponibilidad de las instalaciones. Centro de trabajo alterno Usuarios Críticos Personal Crítico Sistemas Evento B Centro de proceso alterno

36 Requerimientos Mínimos p Corporativo Servidores 26GB Memoria Principal 800GB en disco Centro Alterno

37 Contenido de los Planes BCP y DRP Localidades y Recursos Alternos Organización Administración Mantenimiento y Pruebas RTOs BCP/DRP Escalación Prioridades Acciones Responsabilidades Listas de Llamadas Contención Evaluación Escalación Notificación Inventarios de Recuperación

38 Contenido de un Plan de Contingencia. a) Evaluación del Evento. b) Declaración de Desastre. c) Notificación al Personal. d) Procedimientos Alternos. e) Procedimientos de Reacción. f) Restauración de Actividades Críticas. g) Evaluación de Daños. h) Aplicación de Seguros. i) Reconstrucción y/o Reparación de Daños. j) Regreso a Instalaciones Propias. k) Evaluación del Plan. l) Documentos Finales y Opciones de Distribución y Mantenimiento

39 Grupos de Recuperación Personal Crítico de la empresa que desarrolla funciones y actividades específicas e interdependientes para lograr un objetivo común. Recuperar la operación de la empresa en el menor tiempo posible. Enfrentar un desastre en forma organizada y responsable.

40 Grupos de Recuperación Grupo Directivo Técnico Coordinador Comunicaciones Usuarios

41 Directivo Grupo Directivo Funciones: Integrantes: - Director General. - Director de Finanzas. - Gerente de Sistemas. - Gerente de Recursos Humanos. - Gerente de Marketing. Tomar decisiones referentes a la logística del Plan de Recuperación. Asignar una partida de emergencia para casos de Desastre. Contactar a Usuarios Externos. Emitir Boletines de Prensa (Si fuese necesario). Contactar Clientes Importantes o Autoridades en caso necesario.

42 Integrantes: Coordinador Coordinador - Gerentes de Área Funciones: Coordinar los Grupos de Recuperación Mantener Informado al Grupo Directivo Coordinar el uso del equipo en el Centro de Trabajo Alterno Coordinar los servicios de apoyo al personal Coordinar la realización de las pruebas anuales Mantener actualizado el Plan de Recuperación

43 Integrantes Técnico Técnico - Jefe de Soporte. - Analistas. - Programadores. - Operadores. Funciones Verificar la adecuada realización de los respaldos. Evaluar el estado del equipo y su disponibilidad. Establecer contacto con los proveedores críticos. Restaurar y/o reconstruir las Bases de Datos. Reanudar las operaciones esenciales dentro de los objetivos de recuperación. Restablecer equipo a condición operativa.

44 Comunicaciones Comunicaciones Integrantes: - Gerente de Comunicaciones. - Personal del Área. Funciones Evaluar el daño de la red de comunicaciones Determinar alternativas de comunicación Habilitar el canal alterno de comunicaciones Notificación a externos Restablecer el Ambiente Operativo de Sistemas a nivel de Telecomunicaciones y Periféricos

45 Usuarios Usuarios Integrantes: - Líderes de Grupo - Usuarios Críticos Funciones: Evaluar el daño Determinar Usuarios Críticos Mantener la continuidad en el procesamiento de información a fin de evitar cualquier interrupción en la operación. Establecer medios de comunicación entre el personal

46 Objetivo del DRP Plan de Recuperación en Caso de Desastres: Recuperar la operatividad dependiente de la tecnología de la información en el menor tiempo posible. Documentar los requerimientos, estrategias y procedimientos necesarios para la Recuperación. Cumplir con los tiempos obtenidos en los Análisis.

47 Objetivo del BCP Plan de Continuidad del Negocio: Recuperar la Funcionalidad de las Unidades de Negocio que se han Identificado como Críticas. Documentar los requerimientos, estrategias y procedimientos necesarios para la Continuidad. Cumplir con los tiempos obtenidos en los Análisis.

48 Objetivo del BCM Administración de la Continuidad del Negocio: Mantener Actualizados los Planes. Conservar la Cultura de Seguridad en la Empresa. Estar en Contacto con los Institutos para mantenerse Actualizado en Tendencias.

49 Si su Programa BCM actual logra Proteger su reputación y marca corporativa Preservar y mejorar el valor de su empresa Mantener estándares de Excelencia Optimizar recursos y procesos Minimizar la pérdida de Ingresos Aumentar la confianza y lealtad de sus clientes Reducir primas de seguros Ofrecer continuidad de sus productos como ventaja competitiva Cumplir con gobierno corporativo Tener excelentes relaciones con sus empleados, clientes, socios, proveedores, aseguradores, inversionistas y accionistas ENTONCES, SU ORGANIZACIÓN VA POR BUEN CAMINO!!

50

51

52