Plan de Continuidad de Negocios
-
Upload
carlos-francavilla -
Category
Business
-
view
4.320 -
download
6
description
Transcript of Plan de Continuidad de Negocios
PLAN DE CONTINUIDAD DE NEGOCIOS
Carlos Francavilla
http://cafrancavilla.wordpress.com
¿Porqué un Plan de Continuidad?
¿A qué nos Exponemos?
Sabotaje
Accidentes
Desastres Naturales
Fallas de servicios públicos
Ataques cibernéticos
Desastres del entorno
Energía
Los efectos del 9-11
Los planes deben actualizarse y probarse frecuentemente
• Se deben considerar todos los tipos de amenazas
• Analizar cuidadosamente las dependencias e interdependencias • Las telecomunicaciones son esenciales
• El apoyo de los empleados es importante • Las copias del plan deben almacenarse en ubicaciones seguras • La seguridad puede impedir el retorno de los empleados al edificio
El personal clave puede no estar disponible
¿Qué tan Preparados estamos?
¡Menos mal que salimos a tiempo!
¿Porqué una Norma Internacional?
Tendemos a Minimizar o Ignorar Riesgos
Impacto de Incidentes
De 5 empresas que experimentaron un desastre o falla extendida
• Dos nunca continuaron su operación
• Una cerro en los siguientes dos años
60 % de las empresas que experimentaron un desastre cerraron sus puertas a los dos años
Fuente Gartner Business are fragile entities
Ciclo de Vida de la Continuidad
Comprender la Organización
Estrategia de Continuidad
Desarrollo e Implantación del
Plan
Prueba y Revisión Continua del Plan
Evolución de la Terminología
DRP/DRM
•Disater Recovery Plan
•Plan de Recuperación de Tecnología
•Década del 80
BCP/BCM
•Business Continuity Plan/Management
•Plan de recuperación de operaciones de negocio ante eventos
•Década del 90
•Estándar dominante BS 25999
IPCOM
•Incident Preparedness and Operational Continuity Management
•Gestión de incidentes y Continuidad de Operaciones
•2007 en adelante
•Estándar dominante ISO/PAS 22399
Plan Propósito Alcance
Continuidad de Negocio (BCP) Provee procedimientos para sostener el negocio mientras se recupera de un incidente
Procesos de Negocio y soporte de tecnología necesaria
Recuperación ante Desastres (DRP) Provee procedimientos detallados para recuperar en un sitio alternativo
Enfocado en TI y limitado a grandes interrupciones con efectos de largo alcance
Relación Jerárquica
IOCM
Incident Preparedness & Operational Continuity
BCM
Business Continuity Management
BCP
Business Continuity Plan
DRP
Disaster Recovery Plan
Pero DRP o BCP
Disaster Recovery Planning
Prevención y recuperación en escenarios de mayor probabilidad y ocurrencia
Ámbito de aplicación: Sistemas de Información
Crítico: Tiempos de pérdida y recuperación de información
Business Continuity Planning
Mantenimiento de la actividad de la empresa
Mediante la recuperación de los procesos o la aplicación de procesos de emergencia
Crítico: Análisis de Impacto económico de Negocio de una detención de la actividad
Normas: Evolución en el tiempo
2006 BS 25999-1
2007 BS 25999-2 & ISO 22399
2008 BS 25777
2011 ISO 27031
2012 ISO 22301
Normas Relacionadas BS (British Standards)
Continuidad de Negocio
BS 25999-1 Código de Práctica
BS 25999-2 Sistema de Gestión de
Continuidad de Negocio
BS 25777 Código de Práctica TIC
Normas Relacionadas ISO
Continuidad de Negocio
ISO 22399 Código de Práctica
ISO 22301 Sistema de Gestión de
continuidad de Negocio
ISO 27031 Código de Práctica TIC
ISO/PAS 22399:2007 Guía para la Preparación de Incidentes y Gestión de la Continuidad Operacional
PAS Publicly Available Specification
Antecedentes ISO/PAS 22399:2007
ISO/PAS 22399:2007
NFPA 1600:2004
•National Fire Protection Association USA •Gestión de Desastres/Emergencias y
Programas de Continuidad de Negocio
HB 221:2004
•Estándar Australiano •Gestión de Continuidad de
Negocio (BCM)
BS 25999-1
•Estándar Reino Unido •Gestión de Continuidad de Negocio
¿Qué Es?
ISO/PAS 22399 Guía General para que las empresas desarrollen su propio criterio
especifico de desempeño para;
Preparación de Incidentes
(Incident Preparedness )
Continuidad Operacional
(Operational Continuity)
Medir la Capacidad de Recuperación
¿Para qué se aplica?
Comprender el contexto total de operaciones
Comprender Barreras, Riesgos y Disrupciones que pueden impedir los objetivos críticos
Evaluar el riesgo residual y la tolerancia al riesgo
Planear la continuidad en caso de que ocurra un evento disruptivo
Desarrollar respuestas a incidentes y emergencias
Definir Roles, Responsabilidades y Recursos
Cumplir con requerimientos Regulatorios y leyes
Fases que Cubre
Mantenimiento del Plan
Prueba del Plan
Entrega del Plan
Enfoque de Diseño del Plan
Análisis de Impacto de Negocio
Definir el Marco de Trabajo
Fases Definir el Marco de Trabajo del Plan
Iniciar el Programa
• Equipo de trabajo • Estrategia y política del
programa • Identificación de
Tiempos y Responsabilidades
Identificar la Organización
• Identificar actividades y objetivos críticos de operación de acuerdo a;
• Estrategia
• Planes de negocio • Análisis de Riesgos
• Análisis FODA
Asignar Responsabilidades
• Desde lo alto de la pirámide
• Recursos, roles, responsabilidades, autoridad
Definir Política del Programa
• Documentar el alcance del programa IPOCM
• Definir la relación con interesados y otras organizaciones
• Revisar las regulaciones y leyes aplicables
IPOCM : Incident Preparedness and Operational Continuity Management
Fases Análisis de Impacto
Identificar Riesgos e Impactos
• Identificar riesgos y amenazas • Considerar
• Tecnología y Recursos Humanos
• Bienestar y seguridad de los interesados
• Daños a la propiedad • Infraestructura
• Entrega de servicios
Análisis de Resultados
• Programa de prevención y mitigación
• Análisis de costo y beneficio del tratamiento de riesgos
Prioridades
• Definir recursos críticos • Detallar los requerimientos
mínimos de recursos del plan
Fases Enfoque del Plan
Determinar las Opciones de Recuperación
•Sitio Alternativo •Ayuda Mutua •Salteo temporario de trabajo
•Suspender, terminar actividades •Cambiar procesos
Fases Entrega del Plan
Plan de Reanudación de Negocios
Acciones necesarias para retornar al estado pre-incidente
Plan de Comunicación y Medios
Información a difundir Antes, durante y después Pública, privada Cualquier afectado
Plan de Soporte de Recuperación
Documentos separados para cada función u operación crítica
Plan de Recupero de Negocio
Basado en el plan de Gestión de Incidentes Documentos separados para cada función u operación crítica
Plan de Gestión de Incidentes
Propósito y contenido Acciones Puntos de disparo Responsabilidades Requerimientos de TI
Plan de Respuesta a Incidentes
Propósito y contenido del plan Importancia de conservar la vida y las propiedades
Fases Prueba del Plan
Determinar el Tipo de Prueba
•Plan de Comunicaciones
•Recuperación de Tecnología
•Plan de Recursos Humanos
•Otros Planes
•Prueba Parcial y/o Total
Documentar el Plan de Pruebas
•Determinar los escenarios realistas
•Acordados y planificados con los interesados
Desarrollar las Pruebas
•Ejecutar los escenarios
Informe de la Prueba
•Documentar los resultados
•Recomendaciones para mejorar el plan
Fases Mantener el Plan
Entrenar a los empleados
•Desarrollar conciencia
•Implementar, Mantener y Mejorar el plan
Mantener y Revisar el Plan
•Evaluar periódicamente
•Reflejar los cambios de procedimientos
•Establecer y documentar el programa de mantenimiento
•Supervisión proactiva del programa para verificar la efectividad
•Desarrollar auditorias internas
•Revisión periódica por el nivel ejecutivo
Desarrollar Conciencia
•Cada empleado debe ser el dueño del programa •Todos deben comprender porqué se
realiza el plan
•El plan IPOCM debe incorporarse a la cultura organizacional
Desarrollo de Respuestas Volver a la Normalidad lo Antes Posible
Incidente Respuesta al Incidente
•Minutos a horas •Contención del daño
•Evaluación del daño • Invocación del Plan
Continuidad de Negocio Minutos a Días
•Recuperación de funciones críticas
•Contacto con clientes y proveedores
Recuperación de la normalidad Semanas a Meses
•Reparación de daños •Cobro de seguros
•Reubicación
Evento T=0
RPO (Recovery Point Objective) RTO (Recovery Time Objective)
Segundos
Minutos
Horas
Días
Días
Horas
Minutos
Segundos
Evento
RTO Representa el tiempo en el que deben recuperarse los servicios y procesos de negocio
RPO Representa el punto en el tiempo en el que deben recuperarse los datos
Acordar la perdida de datos soportada Evitar consecuencias no deseadas
Análisis de Impacto y Riesgos
Análisis de
Impacto
Identificar procesos que soportan a productos y
servicios claves
Determinar las interdependencias de los
procesos
Identificar los recursos necesarios
Comprender y justificar el tiempo máximo de
interrupción de un proceso
Determinar las inversiones de acuerdo al RTO y RPO definidos
Análisis de Impacto y Riesgos
Proceso Vulnerabilidad o Amenaza
Probabilidad de Ocurrencia
Impacto Efecto Financiero
Tratamiento Control Implantado
Análisis probabilidad de interrupción por
evento
Severidad del impacto
Impacto Financiero
Controles actuales
Controles propuestos
Factores Claves del Plan
Plan de Continuidad
Ser comprensible, fácil de usar y
mantener
Mantener la confidencialidad e integridad de los
datos
Proveer a los ejecutivos una clara comprensión de los efectos adversos de
los incidentes
Obtener compromiso de la
junta directiva Identificar las
condiciones que disparan el plan
Identificar los posibilitadores del plan, personas y
tecnología
Responsabilidades y roles para cambiar el
plan en proceso
¿Qué no puede faltar en el plan?
Porqué se debe hacer
Quién lo debe hacer
Cómo y Qué se debe hacer
Cuándo y Dónde se debe hacer
Qué políticas, reglas y estándares se seguirán
Quién puede cambiar el plan y en que circunstancias
Bajo que circunstancias se declarara superado el incidente
PLAN DE CONTINUIDAD DE NEGOCIOS
Carlos Francavilla
http://cafrancavilla.wordpress.com