1. @FIST Conference September/Madrid 2005 Continuidad de NegocioManuel BallesterManuel Ballester IEEE,MBA,CISA,CISM

2. Reflexin Inicial El tiempo de la reflexin es unaeconoma de tiempoSiro , Publius (Siglo I A.C.)Manuel Ballester IEEE,MBA,CISA,CISM 3. Contenido Proceso de planificacin de la continuidad delnegocio /recuperacin frente a desastres Anlisis de Impacto en el negocio (BIA) Clasificacin de Operaciones, Anlisis Criticidad Objetivo Punto Recuperacin (RPO) yObjetivo Tiempo de Recuperacin (RTO) Estrategias de RecuperacinManuel Ballester IEEE,MBA,CISA,CISM 4. Contenido Alternativas de Recuperacin Desarrollo de (BCP y DRP) Organizacin y Asignacin de Responsables Otros aspectos del Desarrollo del Plan Componentes Claves de un BCP Pruebas del Plan ResumenManuel Ballester IEEE,MBA,CISA,CISM 5. Antecedentes A pesar de los efectos negativos en las organizaciones, muchas empresas an no toman medidas para contar con planes que les permitan lograr la Continuidad del Negocio. 72% de todos los negocios tienen alguna de estas condiciones: No tienen Plan de Continuidad del Negocio. Si lo tienen, nunca lo han probado. Su Plan fall cundo lo probaron. Solamente 18% de los datos de usuario final estn protegidos. * *VERITAS Disaster Recovery Survey 2004.Manuel Ballester IEEE,MBA,CISA,CISM 6. Proceso de planificacin de la continuidad delnegocio /recuperacin frente a desastres Los desastres: Impactan adversamente las operaciones del negocio Interrumpen la operacin de procesamiento de informacin crtica No todas las interrupciones son desastres Tipos de desastres e interrupciones Causas de interrupcin del servicioManuel Ballester IEEE,MBA,CISA,CISM 7. Anlisis del Impacto sobre el Negocio (BIA) Criticidad de los recursos de informacin Participacin del personal de SI y los usuarios finales Anlisis de todos los tipos de recursos de informacin Tres aspectos claves para el anlisis: Criticidad de los recursos de informacin relacionados con los procesos crticos del negocio Perodo de tiempo de recuperacin crtico antes de incurrir en prdidas significativas Sistema de clasificacin de riesgosManuel Ballester IEEE,MBA,CISA,CISM 8. Anlisis del Impacto sobre el Negocio (BIA)Manuel Ballester IEEE,MBA,CISA,CISM 9. Clasificacin de Operaciones, Anlisis CriticidadManuel Ballester IEEE,MBA,CISA,CISM 10. Objetivo Punto Recuperacin (RPO) y Objetivo Tiempo de Recuperacin (RTO)Manuel Ballester IEEE,MBA,CISA,CISM 11. Estrategias de Recuperacin Una estrategia de Recuperacin es unacombinacin de medidas preventivas,detectivas y correctivas - Eliminar la amenaza completamente - Minimizar la probabilidad de que ocurra - Minimizar el efectoManuel Ballester IEEE,MBA,CISA,CISM 12. Estrategias de Recuperacin Identificar las estrategias de recuperacin La criticidad de los procesos del negocio y aplicaciones que soportan los procesos Coste Tiempo requerido para la recuperacin SeguridadManuel Ballester IEEE,MBA,CISA,CISM 13. Estrategias de RecuperacinManuel Ballester IEEE,MBA,CISA,CISM 14. Alternativas de RecuperacinLas interrupciones ms prolongadas y mscostosas, en particular los desastres queafectan a las instalaciones, requierenrecuperacin (offsite)Manuel Ballester IEEE,MBA,CISA,CISM 15. Alternativas de RecuperacinTipos de instalaciones de respaldo Hardware alternativos Hot Sites Warm Sites Cold Sites Instalaciones de procesamiento duplicados Sitios Mviles Acuerdos recprocos con otras organizacionesManuel Ballester IEEE,MBA,CISA,CISM 16. Alternativas de RecuperacinManuel Ballester IEEE,MBA,CISA,CISM 17. Desarrollo de (BCP y DRP)Basado en en BIA y la estrategia de recuperacin seleccionada por la gerenciaDebera abarcar todos los temas involucrados en la recuperacin de un desastreDebera resolver todos los problemas involucrados en la interrupcin del negocioManuel Ballester IEEE,MBA,CISA,CISM 18. Desarrollo de (BCP y DRP)Factores que se deben considerar:Estar preparados antes de un desastre cubriendo todas las incidenciasProcedimientos de evacuacinProcedimientos para declarar desastresCircunstancias en que se debe declarar desastreClara identificacin de responsabilidades en el planManuel Ballester IEEE,MBA,CISA,CISM 19. Desarrollo de (BCP y DRP)Factores que se deben considerar:Clara identificacin de personas y funciones en el planClara identificacin de informacin de los contratosExplicacin paso a paso de la recuperacinClara identificacin de recursos necesariosAplicacin paso por paso de la etapa de recuperacinManuel Ballester IEEE,MBA,CISA,CISM 20. Organizacin y asignacin deresponsabilidades Equipo de respuesta a incidentes Equipo de atencin de emergenciasEquipo de determinacin de los daos Equipo de administracin de laemergenciaManuel Ballester IEEE,MBA,CISA,CISM 21. Organizacin y asignacin de responsabilidadesEquipo de almacenamiento externo Equipo de software Equipo de aplicacionesEquipo de seguridad Equipo de operaciones de emergenciaManuel Ballester IEEE,MBA,CISA,CISM 22. Organizacin y asignacin deresponsabilidades Equipo de recuperacin de red Equipo de Comunicaciones Equipo de Transporte Equipo de Hardware de Usuario Equipo de preparacin de datos y registros Equipo de soporte administrativoManuel Ballester IEEE,MBA,CISA,CISM 23. Organizacin y asignacin de responsabilidadesEquipo de suministros Equipo de salvamento Equipo de reubicacinEquipo de Coordinacin Equipo de Asuntos Legales Equipo de prueba de recuperacin Equipo de EntrenamientoManuel Ballester IEEE,MBA,CISA,CISM 24. Otros aspectos del Desarrollo del Plan Los componentes de este plan incluyen: Personal clave para toma de decisiones Informacin de contacto Respaldo de los suministros requeridos Configuracin de las instalaciones Mesas, sillas, telfonos Mtodos de recuperacin de desastres para redes de telecomunicacionesManuel Ballester IEEE,MBA,CISA,CISM 25. Componentes de un Plan Efectivode Continuidad del Negocio (BCP) Incluyen: Plan de Continuidad de negocio (BCP) Plan de Recuperacin de Negocio (BRP) Plan de Continuidad de Operaciones (COOP) Plan de Soporte de ContinuidadManuel Ballester IEEE,MBA,CISA,CISM 26. Componentes de un Plan Efectivode Continuidad del Negocio (BCP) Incluyen: Plan de Contingencia T.I. Plan de Comunicacin de Crsis Plan de Respuestas a incidentes Plan de Recuperacin del desastre (DRP) Plan de Emergencia de ocupantes (OEP)Manuel Ballester IEEE,MBA,CISA,CISM 27. Componentes de un Plan Efectivode Continuidad del Negocio (BCP) Para las fases de planificacin, implementaciny evaluacin se debe acordar: Metas/requerimientos/productos de cada fase Instalaciones alternativas para las tareas y operaciones Recursos de informacin crtica a instalar Personas responsables de su ejecucin Recursos disponibles para Plan de ejecucin Cronograma de actividades y prioridadesManuel Ballester IEEE,MBA,CISA,CISM 28. Componentes de un Plan Efectivode Continuidad del Negocio (BCP)Personal Clave para la toma de decisiones Lista de prioridades de contactos Telfonos y direcciones de personas crticas a contactar Telfonos y direcciones de representantes de losequipos y software Telfonos de suministradores de equipos y serviciosManuel Ballester IEEE,MBA,CISA,CISM 29. Componentes de un Plan Efectivode Continuidad del Negocio (BCP) Personal Clave para la toma de decisiones Telfonos de personas en sitio de recuperacin Telfonos de personas instalaciones de almacenamiento externo Telfonos de agentes de seguros Telfonos de personas de empresas contratadas Telfonos de agencias legalesManuel Ballester IEEE,MBA,CISA,CISM 30. Componentes de un Plan Efectivode Continuidad del Negocio (BCP) Respaldo de los suministros Requeridos Procedimientos escritos, detallados y actualizados Formularios requeridosPedidosAlbaranes Facturas Considerar conexiones con otros sistemasManuel Ballester IEEE,MBA,CISA,CISM 31. Componentes de un Plan Efectivode Continuidad del Negocio (BCP) Mtodos de prevencin para redes:RedundanciaEnrutamiento alternativoDiversidad de red de largo alcanceProteccin del circuito de "ltimo Kilmetro"Recuperacin de vozManuel Ballester IEEE,MBA,CISA,CISM 32. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Mtodos de recuperacin frente a desastrespara servidores - Suministro de dos proveedores de energa - Uso de generadores elctricos (gasoleo) - Uso de Sistemas ininterumpidos (SAI)Manuel Ballester IEEE,MBA,CISA,CISM 33. Componentes de un Plan Efectivode Continuidad del Negocio (BCP) Servidores tolerantes a fallos RedundantesClusterBalanceo de cargaManuel Ballester IEEE,MBA,CISA,CISM 34. Componentes de un Plan Efectivo de Continuidad del Negocio (BCP) Seguros Equipo de SI e instalaciones Reconstruccin de medios (software) Gastos adicionales Interrupcin del negocioManuel Ballester IEEE,MBA,CISA,CISM 35. Componentes de un Plan Efectivo deContinuidad del Negocio (BCP)Manuel Ballester IEEE,MBA,CISA,CISM 36. Componentes de un Plan Efectivo deContinuidad del Negocio (BCP)Manuel Ballester IEEE,MBA,CISA,CISM 37. Pruebas del Plan EspecificacionesMedir la habilidad y capacidad del lugar de respaldo Evaluar la capacidad de recuperacin de registros vitalesEvaluar estado y cantidad de equipos y suministros en el lugarde recuperacinMedir el desempeo general de actividades operativas y desistemas relacionados con el negocioManuel Ballester IEEE,MBA,CISA,CISM 38. Pruebas del PlanEspecificaciones Verificar si el plan es completo y preciso Evaluar el desempeo del personal involucrado Evaluar el entrenamiento y conocimiento del personal que nopertenece al negocio Evaluar la coordinacin entre equipo continuidad y proveedoresexternosManuel Ballester IEEE,MBA,CISA,CISM 39. Pruebas del Plan Realizacin de Pruebas EtapasPre-PruebaPruebaPost-Prueba Tipos de PruebaPrueba sobre papelPrueba del estado de preparacinPrueba operativa completaManuel Ballester IEEE,MBA,CISA,CISM 40. Pruebas del PlanDocumentacin de los resultadosAnlisis de resultadosTiempo Cantidad ConteoExactitudManuel Ballester IEEE,MBA,CISA,CISM 41. Pruebas del PlanMantenimiento del planFactores que impactan- Cambios en la organizacin- Nuevos recursos/aplicaciones- Cambios en la estrategia del negocio- Cambios en software o hardwareManuel Ballester IEEE,MBA,CISA,CISM 42. Pruebas del Plan Mantenimiento del plan Responsabilidades del plan incluyen - Desarrollar un plan para revisin y mantenimiento peridico - Exigir revisiones no programadas ante cambios significativos - Examinar las revisiones y actualizarlas despus de las revisiones - Coordinar pruebas programadas y no programadas evaluar suficiencia - Participar en las pruebas anualesManuel Ballester IEEE,MBA,CISA,CISM 43. Pruebas del Plan Mantenimiento del plan Responsabilidades del plan incluyen Desarrollar un programa de entrenamiento - Mantener registro de las actividades de - Mantenimiento - Pruebas - Entrenamiento - Revisiones - Actualizar, por lo menos trimestralmente, lista de contactosManuel Ballester IEEE,MBA,CISA,CISM 44. Pruebas del PlanManuel Ballester IEEE,MBA,CISA,CISM 45. RESUMEN- Preparar anlisis de impacto del negocio- Identificar y clasificar sistemas y recursos (crticos)- Escoger estrategias apropiadas para la recuperacin- Desarrollar un plan detallado para recuperar instalaciones (TIC)- Desarrollar un plan detallado para las funciones crticas- Probar los planes- Mantener actualizados los planesManuel Ballester IEEE,MBA,CISA,CISM 46. Reflexin Final Lo que no es til para la colmena no es til para la abejaMarco Aurelio (121-180 D.C.)Manuel Ballester IEEE,MBA,CISA,CISM 47. Creative CommonsAttribution-NoDerivs 2.0You are free:to copy, distribute, display, and perform this workto make commercial use of this workUnder the following conditions:Attribution. You must give the original authorcredit. No Derivative Works. You may not alter, transform, or build upon this work.For any reuse or distribution, you must make the license terms of this workclear to others.Any of these conditions can be waived if you get permission from the author.Your fair use and other rights are in no way affected by the above.This work is licensed under the Creative Commons Attribution-NoDerivsLicense. To view a copy of this license, visithttp://creativecommons.org/licenses/by-nd/2.0/ or send a letter to CreativeCommons, 559 Nathan Abbott Way, Stanford, California 94305, USA.Manuel Ballester IEEE,MBA,CISA,CISM 48. @ Muchas GraciasFIST Conference www.fistconference.orgManuel BallesterMadrid, September 2005mballester@borrmart.esManuel Ballester IEEE,MBA,CISA,CISM