Continuidad del Negocio y Recuperación de Desastres (BCM Business Continuity Management / DRM Disaster Recovery Management)



Documentos relacionados
Dirección General de Vinculación, Innovación y Normatividad en materia de Protección Civil

Continuidad del Negocio y Recuperación de Desastres (BC Business Continuity / DR Disaster Recovery)

1 El plan de contingencia. Seguimiento

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

CUESTIONARIO DE AUTOEVALUACIÓN

ELEMENTOS GENERALES DE GESTIÓN.

Unidad 6: Protección Sistemas de Información

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Qué pasa si el entorno de seguridad falla?

GESTIÓN DE LA DOCUMENTACIÓN

Adopción SÍ NO PRÁCTICA. 1.- Del funcionamiento del Directorio.

Operación 8 Claves para la ISO

Adopción SÍ NO PRÁCTICA. 1.- Del funcionamiento del Directorio.

de riesgos ambientales

Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1

Mesa Redonda Plano de manejo de crisis y continuidad del negocio ante fenómenos naturales de alto poder destructivo

Integrando un BCMS a las prácticas de gestión de la empresa: nuevo enfoque y normativa

Recomendaciones relativas a la continuidad del negocio 1

POLITICA DE SISTEMA DE CONTROL INTERNO

Unidad 5: ISO Introducción y objetivos

POLÍTICA DE CONTINUIDAD DE NEGOCIO

Auditorías de calidad

Máster en Project Management (PMP ) Objetivos del Programa

Norma ISO 14001: 2015

Norma ISO 14001: 2004

SISTEMA ESTRATÉGICO DE TRANSPORTE PÚBLICO SANTA MARTA PLAN DE CONTINGENCIA ÁREA FINANCIERA Y CONTABLE

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

SERVICIOS PARA LA CONTINUIDAD Y RECUPERACION DEL NEGOCIO. (BCRS: Business Continuity and Recovery Services)

PROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS

Capítulo 4. GESTIÓN DE LA INTEGRACIÓN DEL PROYECTO

Norma ISO 9001: Sistema de Gestión de la Calidad

Plan provincial de Producción más limpia de Salta

Convocatoria 2014 Fundación para la Prevención de Riesgos Laborales AT-0116/2014. Pilares de Gestión para la Prevención de Riesgos Laborales

NORMA DE CARÁCTER GENERAL N 341 INFORMACIÓN RESPECTO DE LA ADOPCIÓN DE PRÁCTICAS DE GOBIERNO CORPORATIVO. (ANEXO al 31 de diciembre de 2014)

EL COLEGIO DE MICHOACÁN A.C. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL DEPARTAMENTO DE CÓMPUTO

UN CURSO ABIERTO DE ADMINISTRACION DE UNIVERSIDADES

Inter American Accreditation Cooperation. Grupo de prácticas de auditoría de acreditación Directriz sobre:

Jornada informativa Nueva ISO 9001:2008

ÁREA DE APLICACIÓN Esta Norma Complementaria se aplica al área de la Administración Pública Federal, en las formas directa e indirecta.

ABENGOA INABENSA ABENGOA INABENSA. Procedimiento Operativo General POG Página 2 de 8. Hoja de motivo de cambios

LA METODOLOGÍA DEL BANCO PROVINCIA

153. a SESIÓN DEL COMITÉ EJECUTIVO

Anexo 10 - Recomendación n. 10: Mejorar la responsabilidad de las Organizaciones de Apoyo y Comités Asesores

Capítulo IV. Manejo de Problemas

Universidad Católica Boliviana San Pablo Centro de Sistemas de Información

CURSO BÁSICO DE MEDIO AMBIENTE


Norma ISO 9001:2015. Cuáles son los cambios presentados en la actualización de la Norma?

Por qué es importante la planificación?

GESTIÓN Y CONTROL DEL DESARROLLO E IMPLANTACIÓN DE APLICACIONES

MANUAL DE GESTIÓN: SISTEMA DE GESTIÓN DE LA CALIDAD EN LA UNIDAD de FORMACIÓN DE LA DIPUTACION DE MALAGA

GUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN

COE Dirección Áreas de Conservación

Plan de Respuesta Ante Emergencias y su importancia en la Continuidad del Negocio

Tratamiento del Riesgo

Plan de Continuidad de Operaciones

Retorno de inversión (ROI) en proyectos de continuidad de negocio. Alineamiento con el estándar ISO

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

I. POLÍTICA. La propuesta contempla la Política de seguridad industrial, seguridad operativa y protección al medio ambiente?

SEGUIMIENTO Administración del Riesgos - INM

Cómo organizar un Plan de Emergencias

Cómo hacer backups en ambientes virtualizados?

Grupo OMBUDS incrementa la eficacia operativa y garantiza la continuidad del negocio con CA ARCserve Backup

AUD Estudio de Auditoría Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº JP

ANEXO INFORMACION RESPECTO DE LA ADOPCION DE PRACTICAS DE GOBIERNO CORPORATIVO

Una Inversión en Protección de Activos

Servicio de hospedaje de servidores

Sabe usted qué es la seguridad convergente?

Nombre del Documento: RECURSOS, FUNCIONES, RESPONSABILIDADES Y AUTORIDAD. Referencia a la Norma ISO 9001: e ISO

ISO 17799: La gestión de la seguridad de la información

ISO 14001:2015 ISO 14001:2004 GUÍA. 0. Introducción 0. Introducción

Política de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.

Antes de imprimir este documento piense en el medio ambiente!

IAP ENTORNOS INFORMATIZADOS CON SISTEMAS DE BASES DE DATOS

CAPITULO 2. 2 Manual de Servicio al Cliente 8

Accionamientos de media tensión Servicios al ciclo de vida para asegurar una alta confiabilidad, disponibilidad y eficiencia

CREACIÓN DE UN PLAN DE MANTENIMIENTO PREVENTIVO

Nota de Información al cliente ISO/IEC Proceso de auditoría

Adicionalmente, se eliminan disposiciones del Código de IFAC no aplicables:

Gestión Integral de Riesgos 1. Gestión Integral de Riesgos

2600SEG103 NORMA DE PLANES DE DESALOJO DE EDIFICIOS, OFICINAS Y OTRAS ÁREAS DE TRABAJO, POR EMERGENCIAS

Requisitos generales y Política medioambiental

LINEAMIENTOS BASICOS PARA EL DISEÑO Y ESTABLECIMIENTO DE SISTEMAS DE ALERTA TEMPRANA Juan Carlos Villagrán De León CIMDEN-VILLATEK, Guatemala

POLÍTICA DE GESTIÓN DEL SERVICIO

Anexo I. Politicas Generales de Seguridad del proyecto CAT

1. Las acciones que se construyan en conjunto buscarán aportar a la conservación en el marco de la consolidación territorial indígena.

Trabajos de mantenimiento en líneas y subestaciones de Red Eléctrica

Plan de Estudios. Maestría en Seguridad Informática

POLÍTICA DE CONTROL Y GESTIÓN DE RIESGOS CDECSIC

Programa en Microsoft Visual Basic 6.0 para el análisis de riesgos eléctricos en oficinas y centros de cómputo. López Rosales, Juan Carlo.

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Resumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A.

puede aumentar la innovación en la cartera de productos?

DIRECCIÓN DE INNOVACIÓN Y CALIDAD EN LOS SERVICIOS

Acciones Correctivas y Preventivas. Universidad Autónoma del Estado de México

110º período de sesiones. Roma, de septiembre de Informe sobre los progresos realizados en los sistemas de información administrativa

Gestión de riesgo operacional

8. Sistema de Gestión de la Salud y la Seguridad en el Trabajo OHSAS 18001:2007

Transcripción:

Continuidad del Negocio y Recuperación de Desastres (BCM Business Continuity Management / DRM Disaster Recovery Management) Cuanto le podría costar una hora, un día o una semana a su negocio de inactividad? Se ha estimado que una compañía promedio experimenta un total de 87 horas de inactividad no planificada por año. Aunque las personas suelen pensar en términos de desastres naturales, lo cierto es que el error humano puede representar un asombroso 70% de las interrupciones. Independientemente de la causa, la mayoría de los negocios no conocen el precio de una sola hora de inactividad y, en consecuencia, los planes de continuidad del negocio y recuperación de desastres suelen quedar en un segundo plano frente a otros proyectos que se consideran más prioritarios y con un impacto financiero más tangible. Pero, sin dudas, el impacto del tiempo de inactividad y la pérdida de datos se siente de diversas maneras, y puede ser inmediato o tener repercusiones a largo plazo. La continuidad del negocio tiene sus orígenes en la recuperación ante desastres, y la recuperación ante desastres básicamente se trata de tecnología de la información. Veinte o treinta años atrás, la continuidad del negocio no existía conceptualmente, pero sí la recuperación ante desastres: la principal preocupación era cómo salvar los datos si se producía un desastre. En ese momento, era muy común comprar equipos costosos y colocarlos en una ubicación remota para que todos los datos importantes de una organización estuvieran resguardados si, por ejemplo, se produjera un terremoto. No sólo resguardados sino también que los datos se procesarían más o menos con la misma capacidad que si estuvieran en la ubicación principal.

Pero después de un tiempo se hizo evidente que no tenía sentido guardar los datos si no existieran operaciones comerciales en las cuales utilizarlos. Así fue como surgió la idea de la continuidad del negocio: su objetivo es permitir que el negocio siga funcionando, aún en caso de una interrupción importante. Continuidad del negocio es la capacidad estratégica y táctica de la organización para planificar y responder ante los incidentes e interrupciones del negocio con el fin de permitir la continuidad de las actividades comerciales en un nivel aceptable previamente definido. Recuperación ante desastres se refiere al proceso, políticas y procedimientos relacionados con preparar la recuperación o continuación de la infraestructura tecnológica crítica de una organización después de un desastre natural o producido por el hombre. Como puede verse en las definiciones, en la recuperación ante desastres el énfasis se encuentra en la tecnología, mientras que para la continuidad del negocio son las actividades comerciales. Por lo tanto, la primera es parte de la segunda; la puede considerar como uno de los principales facilitadores de las actividades comerciales, o como la parte tecnológica de la continuidad del negocio. Una forma sencilla de acercar estos dos conceptos es ver la gestión de la continuidad como un proceso global de identificación y planificación para contrarrestar los riesgos de continuidad del negocio, y parte de dicha planificación debe incluir la recuperación del negocio desde un escenario de desastre para volver a la normalidad del trabajo. La continuidad del negocio es principalmente un asunto comercial, no un tema exclusivo de TI. Si el departamento de TI implementara la continuidad del negocio para toda la organización, no podría definir la criticidad de las actividades comerciales ni de la información. Probablemente la mejor forma de organizar la implementación de la continuidad del negocio es que el sector comercial lidere el proyecto; de esta forma lograría mayor concientización y aceptación de todos los sectores de la organización. El departamento de TI debe cumplir su función en ese proyecto, una función clave, preparar los planes de recuperación ante desastres. Las estadísticas indican que el 80% de las organizaciones que se enfrentan a una discontinuidad de negocios importante, y no cuentan con planes adecuados y suficientes para garantizar la continuidad del negocio, no sobreviven al evento. Organizaciones sensibles toman las medidas con suficiente antelación a posibles desastres, para asegurar que van a sobrevivir. En el clima actual, las organizaciones quieren asegurarse de que sus proveedores y las empresas en las que se han invertido van a ser capaces de hacer frente a cualquier desastre, y buscan acreditar esta evidencia a través de alguna certificación. La principal norma que existía (y sigue siendo aplicada aún) es la BS25999 que solamente habla respecto de la continuidad del negocio y no sobre recuperación de desastres. Hoy en día tenemos dos normativas: ISO / IEC 24762:2008: Directrices para la prestación eficaz de la información y las comunicaciones (TIC) ante la Recuperación de Desastres (DR) de servicios. El asesoramiento y orientación de esta norma es genérico, por lo que es aplicable a cualquiera empresa o proveedor subcontratado de servicios TIC. ISO 22301: 2012 : Seguridad Societaria y Continuidad de Negocio - Sistema de Gestión Requisitos. Se publicó en mayo de 2012 y sustituye a la norma BS 25999, que se retira en noviembre de 2012. Especifica los requisitos para planificar, establecer, implementar, operar, monitorizar, revisar, mantener y mejorar continuamente un sistema de gestión

documentado para protegerse, reducir la probabilidad de ocurrencia, prepararse, responder y recuperarse de incidentes perturbadores que puedan surgir. La Continuidad del Negocio es un concepto fundamentalmente Proactivo: Cómo evito o mitigo el impacto de un riesgo?. Algunos de los objetivos de la Gestión de la Continuidad del Negocio (Business Continuity Management) son: Definición de los procesos y factores críticos del negocio Evaluar los riesgos potenciales y preparar contingencias para acontecimientos imprevistos. Minimizar las interrupciones en las operaciones normales. Definición de la criticidad de los procesos para cada unidad del negocio Establecer mecanismos alternativos de operación de antemano. Mantener un mínimo nivel de servicio, mientras se restauran las operaciones. Proteger las funciones de negocio que ofrecen productos o servicios. Minimizar el impacto económico de las interrupciones. Capacitar al personal con los procedimientos de emergencia. La Recuperación de Desastres (Disaster Recovery) es un concepto fundamentalmente Reactivo: Cómo me recupero de un desastre y restauro la organización a un estado normal de operación una vez que un riesgo se ha materializado? El Plan de Recuperación de Desastres (Disaster Recovery Plan) debe establecer los procedimientos para recuperar los procesos y sistemas después de una interrupción. El plan debe incluir: Definición de los sistemas, recursos y procesos necesarios para restaurar el servicio a los niveles previos al desastre.

Definición de las fases de notificación y activación para detectar y evaluar los daños. Definición de las actividades, recursos y procedimientos necesarios durante la interrupción de las operaciones. Asignación de responsabilidades al personal autorizado para garantizar la coordinación. Plan de Continuidad de Negocios Es el proceso desarrollado para prevenir interrupciones que afecten el desempeño de las actividades normales del Negocio. En caso que un evento de Riesgo no pueda ser evitado, este plan debe tender minimizar su impacto (duración y económico). Tiene un alcance Operativo y Tecnológico. Componentes: 1.- Definir Estrategia de Continuidad Comprensión de los riesgos e impactos que enfrenta la organización Considerar la contratación de seguros Elaboración y documentación de una estrategia y planes de continuidad de los negocios Pruebas y actualización periódicas de los planes y procesos implementados; Garantizar que la administración de la continuidad de los negocios esté incorpora a los procesos y estructura de la organización. 2.- Análisis de Impacto (BIA) El objetivo es determinar qué impacto podría llegar a tener un desastre sobre las funciones críticas del negocio. 3.- Estrategia de Recuperación Corresponden a las acciones predefinidas a tomar con el objetivo de restablecer las operaciones del negocios, en el plazo determinado, una vez que ocurra alguna interrupción o falla en los procesos o funciones críticas. 4.- Diseño y Desarrollo del Plan Preparar y documentar un plan detallado para la recuperación de los sistemas y procesos críticos del negocio. Este plan debe ser una guía de implementación (responder el que hacer, no el como hacerlo ). Debe incluir identificación de funciones críticas, identificación de sistemas que son necesarios, estimación del daño potencial y cálculo de los recursos mínimo para recuperar los servicios, selección de estrategia de recuperación y determinación de personal crítico para la recuperación. 5.- Pruebas y Mantenimiento Las pruebas del plan son extremadamente críticas, dado que sin ellas no podemos evaluar si el plan funcionará o no. Existen 5 posibilidades de pruebas: Checklist: Consiste en distribuir copias del plan a todos los involucrados, los cuales deben revisar el plan y aceptarlo. No es una prueba formal, pero siempre es un buen comienzo. Discusión en mesa redonda: Consiste en reunir a todos los involucrados y seguir el plan línea por línea. Este mecanismo permite descubrir dependencia o relaciones entre los distintos departamentos.

Ensayo (walkthrough): Esta es una simulación en terreno de la contingencia, siguiendo paso a paso el plan. Permite comprobar que todos los involucrados pueden cumplir con su deber. Funcional: Permite aplicar el plan de contingencia, moviendo los servicios a un sitio alternativo (el cual queda corriendo en paralelo). Interrupción Total: Consiste en interrumpir intencionalmente el servicio productivo y aplicar el plan de contingencia. Esta es claramente la alternativa de mayor costo y consumidora de tiempo. 6.- Necesidad de Entrenamiento Además de las pruebas, es necesario un programa de entrenamiento que entregue la información y la capacitación del personal adscrito al plan. Deben realizarse cursos que deben de contemplar en detalle los siguientes aspectos: Descripción general del plan. Funciones y obligaciones del personal adscrito a cada uno de los equipos de emergencias. Descripción de las posibles emergencias que pueden afectar a organización. 7.-Mantenimiento y Reevaluación del Plan Para lograr que el plan se mantenga actualizado y permita la recuperación ante un desastre, es necesario documentar las responsabilidades de su mantenimiento, elaborando una matriz que indique para cada una de las secciones del plan: El responsable de las revisiones periódicas de cada uno de los planes de continuidad del negocio. La periodicidad con la que realizará una revisión. Una descripción con los principales aspectos a revisar. Identificación de cambios en las disposiciones relativas al negocio aún no reflejadas en los planes de continuidad. Plan de Recuperación ante Desastres (DRP) Es el proceso de retomar el desarrollo normal del Negocio, luego de declarado un evento que afecta la continuidad del mismo. Generalmente está focalizado en los aspectos Tecnológicos. Es el conjunto de acciones necesarias de ejecutar para volver a la situación que existía antes del desastre. Este plan puede dividirse en 2 roles: Salvamento: Restaurar la funcionalidad de los sistemas dañados, unidades y de las instalaciones. Incluye los siguiente pasos: o Evaluar los daños o Recuperación del equipamiento reparable. o Reparación y limpieza de las instalaciones. Recuperación del equipamiento faltante. o Restauración de las instalaciones a su estado original. Recuperación: Se focaliza en la responsabilidad de migrar los servicios a un sitio alternativo.

Alternativas de Recuperación Opciones ante Desastres o No Hacer Nada o Procedimientos Manuales o Acuerdos Recíprocos o Recuperación Gradual (Standby Frio) o Recuperación Intermedia (Standby Templado) o Recuperación Inmediata (Standby Caliente) Tipos de Respaldo (Backup) o Full: Respalda toda la información disponible a la fecha de ejecución. o Incremental: Respalda todos los archivos modificados desde el último backup ejecutado. o Diferencial: Respalda todos los archivos modificados desde el último backup full. Estrategia de Backup o Incremental, Delta o Full

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback