Taller de Seguridad en Redes

Plan de Continuidad del Negocio

& Plan de Recuperacin Ante
Desastres
(BCP & DRP)
Agenda
Introduccin
Algunos casos - lecciones - cifras
Conclusin
Principales conceptos
Regulaciones
Plan de Continuidad del Negocio
Plan de Recuperacin de Desastres
Introduccin
Continuidad del Negocio:
Business Continuity Planning - Plan de Continuidad del Negocio (BCP
- PCN), apunta a la preparacin de acciones especificas para
preservar el negocio en el caso de interrupciones mayores a las
operaciones normales del negocio.
Los Planes de Continuidad se ocupan tanto de eventos o desastres
naturales como tambin los que puede ocasionar el hombre, que
pueden producir interrupciones a los procesos o servicios.
Objetivos
Conocer la diferencia entre un Plan de Continuidad del Negocio y
un Plan de Recuperacin ante Desastres.
Comprender la importancia de estos planes.
Entender los pasos para desarrollar un BCP y un DRP.
Desarrollar las actividades que se requieran para llevar a cabo su
construccin.
Algunos casos..
Atentado terrorista al World Trade Center (11 Sept. 2001)
Aviones usados como proyectil, uno en cada torre.
Incendio y posterior derrumbe de ellas.
App. 5.000 personas murieron.
Impacto severo en 1.200 empresas, solo en las torres.
COMDISCO report:
45 clientes declararon desastres.
Cerca de 4.000 posiciones de trabajo.
Se activaron 13 centros (30% de la capacidad de la empresa).
IBM report:
Enfoque a apoyar a sus cerca de 1.200 clientes en la zona
(independiente de si eran clientes de BCP)
Ms de 20.000 estaciones de trabajo
Principales efectos.
Trafico areo suspendido, aerolneas pierden entre US$100 y US$250
MM diarios.
Desvinculando ms de 100.000 personas.
Turismo, Florida reporto perdidas por US$20 MM diarios en primera
semana.
El Down Jones cay 1.369 puntos durante la primera semana.
Afect a prcticamente toda la economa en U.S.A
Algunos casos.. continuacin
Otros efectos.
Impacto en las bolsas mundiales.
Empresas cercanas al lugar tambin fueron afectadas.
Conocimiento anticipado del problema.
Se tena conocimiento de que algo iba a ocurrir.
Como - Cuando - Donde
Falla en la prevencin ante el atentado.
Se les dio visa a terroristas, solicitudes mal llenadas e
incompletas.
Se conoca que miembros terroristas tomaban curso de
vuelos.
Existieron correos de miembros del FBI, dando aviso de ello.
La seguridad de los aeropuertos era deficiente.
Algunos casos.. continuacin
Falla en las comunicaciones durante el atentado.
Mala comunicacin entre los encargados
Existi aviso tardo a la fuerza area
Mala comunicacin con los pilotos
"La torre dos est segura, no la desalojen"
Algunos casos.. continuacin
Estudios recientes acerca del atentado WTC coinciden en algunas
lecciones:
Recuperacin inadecuada de datos.
Diversidad de respuesta al desastre.
No todos los equipos estaban disponibles.
Traumas derivados de un desastre afectan notoriamente al personal.
Planificacin de escenarios optimistas.
Planes desactualizados.
Respecto de los riesgos, algunas de las lecciones han sido:
No hay que cegarse de acuerdo con la historia o con el conocimiento
previo de los riesgos.
No excusarse respecto de riesgos que aparentemente no tienen
solucin.
Registro de los supuestos asumidos.
Algunos lecciones..
La mayora de las compaas pequeas y medianas que permanecen
cerradas ms de 5 das, despus de un desastre o una interrupcin en los
servicios, harn frente a una batalla cuesta arriba para mantenerse a flote.
Ms del 70% de las compaas que sufren una interrupcin mayor en su
organizacin de tecnologa de informacin, quedan fuera del negocio en un
lapso de un ao.
El 43% de las compaas que experimentan un desastre o una interrupcin
en los servicios con perdida de datos, pero que no disponen de un plan de
recuperacin, nunca vuelven a abrir.
En promedio, para el sexto da de cada de los servicios, las compaas
experimentan una perdida del 25% en sus ingresos diarios.
Tras dos semana de la perdida del soporte de los servicios, 75% de las
organizaciones alcanzan una perdida critica o total de su funcionamiento.
Algunos cifras..
Causa de interrupcin no planteadas.
0%
5%
10%
15%
20%
25%
30%
Serie 1
Serie 1
Tener suerte no es una estrategia
adecuada
Hay que estar preparado.
Conclusin.
BCP & DRP
Algunos Conceptos Bsicos
Concepto..
Plan de Continuidad del Negocio.
Conjunto de acciones orientadas a contrarrestar las interrupciones de las
actividades del negocio y para proteger los procesos crticos de ste, de los
efectos de fallas mayores o desastres.
Se preocupa de mantener los procesos crticos del negocio.
Plan de Recuperacin ante Desastres.
Procedimiento para respuesta ante emergencias, operaciones de respaldo
ampliado y recuperacin post-desastre para una instalacin computacional
que experimente una prdida parcial o total de los recursos
computacionales e instalaciones fsicas.
Se preocupa de los sistemas computacionales que soportan los procesos
crtico del negocio.
Plan de Contingencia.
Procedimientos orientados a recuperar las operaciones o servicios
computacionales ante ocurrencias de fallas menores.
Se preocupa de mantener y recuperar las operaciones o servicios, ante
eventos que generan interrupciones menores.,
Concepto..
DA
INCIDENCIA
CONTINGEN
CIA
BCP/DRP
Respuesta a
Incidentes
Planes de
Contingencia
Plan de
Continuidad del
Negocio
Plan de
Recuperacin
de Desastres
BCM: Business
Continuity
Management
Requiere el amplio apoyo y
compromiso de la Alta
Direccin
Concepto..
La continuidad de los negocios es una sombrilla grande que cubre
personas, procesos de negocios y tecnologa.
Es la capacidad de una organizacin de proporcionar servicio y soporte a
sus clientes, y de mantener su viabilidad antes, durante y despus de
una interrupcin.
Plan de Continuidad del Negocio crea un equipo de administracin de
crisis, con el poder de conocer y controlar cualquier interrupcin
prolongada que afecte al Negocio.
Continuidad del Negocio
Recuperacin
ante Desastres
Tecnolgicos
Administracin
de Crisis
Continuidad de
Operaciones
Respuesta a
Emergencias
Modelo..
Concepto..
El problema de la Continuidad de Negocio.
Evento interno o externo que interrumpe uno o ms de sus procesos de
negocio.
Tiempo - duracin de la interrupcin.
Perdidas dependiendo del giro de la empresa, afecta directamente a la
perdida de algn contrato, hasta la confianza por parte de un cliente, lo cual
difcilmente se recupera.
Un factor decisivo para determinar la prdida de ingresos consiste en
estimar en qu tiempo se cambiarn los clientes con la competencia.
(Inmediato- Das - Semanas o ms tiempo).
Los costos aumentan an ms cuanto ms larga sea la interrupcin.
Concepto..
El problema de la Continuidad de Negocio.
Como se define la empresa
Que es lo importante para su negocio ---> Procesos Crticos.
Cunto puede soportar una interrupcin ---> Tiempos mximos
Qu hacer durante una interrupcin ---> Procedimientos
Conciencia del problema por la alta administracin.
Las interrupciones internas, no siempre se reportan.
Utilizamos las frases:
No nos va a pasar a nosotros
Tenemos un plan, estamos seguros
Aseguramiento de disponibilidad del presupuesto y de RRHH
Concepto..
Proceso de Negocio
Conjunto de actividades orientadas a obtener un objetivo determinado,
importante para la Empresa.
Personal clave.
Instalaciones e infraestructura.
Sistemas de informacin y comunicaciones.
Formalizacin de las actividades (Procedimientos).
Concepto..
Fases Continuidad
Prevencin
Actividades conducentes a identificar los riesgos y mitigarlos.
Respuesta y Administracin
Reaccin planificada y administracin de un evento adverso.
Recuperacin
Reanudacin planificada de las operaciones y sistemas despus de
una interrupcin.
Restauracin
La puesta en servicio de las operaciones de un sitio permanente,
despus de una interrupcin y recuperacin.
Prevencin:
-Mitigacin
Riegos
-Des. Plan
-Capacitacin
-Pruebas
EMERGENCIA
PRD
PCO
Normalidad Critico Menos Critico Normal
Respuesta
Emergencia
Recuperacin
Operacin
Alternativa
Reconstitucin
Reanudacin
Restauracin
INT.
?
Respuesta
Escalamiento
Evacuacin
Rescate
Contencin
Eval. Daos
Notificacin
Recuperacin
Comunicacio
nes, Redes,
Computo,
Datos
Operacin Alternativa
Una manera diferente de operar el
proceso sin soporte tecnolgico
Reconstitucin
Se ingresan
datos generados
en procesos
manuales a
sistemas
recuperados
Reanudacin
Retorno a
operacin con
datos y sistemas
Lograr 100%
operaciones
crticas
Restauracin
Habilitacin
operaciones en
lugar definitivo
Vueltas atrs
Lograr 100% de
las operaciones
Correccin
Eval. Post
Desastre
Mejora
Continua
Auditorias
Lnea
del
tiempo
Decisin:
Contingencia
o Declaracin
de Desastre
Regulaciones..
BS 7799-2:2002 / ISO 27001:2005
NCH2777-2002
ISO 9002
BS 25999
PCN
PLAN DE CONTINUIDAD DEL
NEGOCIO
BCP Businnes Continuity Plan
Fase I
Determinacin
del Alcance
Fase II
Analisis y
Seleccin de
Estrategias
Fase II
Desarrollo PCN
Fase IV
Pruebas y
Capacitacin
Fase V
Actualizacin
Metodologa de un desarrollo de PCN
Organizacin
del proyecto
Puntos de Control:
1. Confirmar la evaluacin del impacto del negocio.
2. Evaluar la vigencia de las estrategias a seguir
3. Rev. de los procedimientos de mantenimiento
4. Rev. del programa de pruebas
5. Rev. Difusin a los usuarios y conocimientos del plan
6. Evaluacin y diagnostico
Anlisis de
Impacto
Diseo de Est.
De
Continuidad
Not.
Evaluacin y
Declaracin
Recuperacin
Reanudacin
Mant. Y
Mejora
Continua
Cap. Del
Personal
Prueba del
Plan
Aprob. Del
Plan
Diag. Y
Actualizacin
del Plan
1
2
4
3
5
6
FASE I: Organizacin
Actividades Claves: Producto:
Metodologa de un desarrollo de PCN
Obtener el compromiso de la Alta
Administracin.
Identificacin preliminar de funciones
crticas (alcance).
Enlazar objetivos de la organizacin con
los esfuerzo de recuperacin.
Programa de trabajo.
Completar el programa de trabajo. Conformacin de Equipos de trabajo.
Identificar, evaluar y recomendar las
herramientas del proyecto.
Planes de Accin.
Definir Comit Directivo, lideres y equipos
de trabajo.
FASE II: Anlisis del Impacto
Actividades Claves: Productos:
Metodologa de un desarrollo de PCN
Documentar ambiente de negocio. Informe sobre evaluacin del
impacto del desastre, incluyendo:
Analizar los procesos del negocio. Inventario de recursos.
Evaluar potenciales desastres. Nivel de criticidad por proceso.
Determinar marco de tiempo de
recuperacin.
Impacto econmico.
Determinar inventario y dependencia
de recursos.
Impacto sobre intangibles.
Priorizar los procesos. Tiempos mximos de interrupcin
tolerable.
AMENAZAS
Contramedidas
Monitoreo
Controles
Vulnerabilidad
ACTIVOS
IMPACTO
RIESGO = (AMENAZAS, VULNERABILIDADES, IMPACTO)
NIVEL DE RIESGO = PROBABILIDAD * IMPACTO
FASE II: Diseo de estrategias de continuidad
Actividades Claves: Productos:
Metodologa de un desarrollo de PCN
Confirmar los niveles de interrupcin
y de servicio.
Informe de estrategias de
recuperacin, incluyendo:
Desarrollar estrategias para recuperar
los recursos crticos.
La descripcin de las estrategias
alternativas propuestas, su
comparacin funcional y tcnica.
Identificar los proyectos
complementarios.
Valorizacin comparativa de
estrategias.
Listado de proyectos
complementarios que se
recomiendan.
Listado de proyectos
complementarios que se
recomiendan.
Recomendaciones generales.
FASE III: Notificacin, Evaluacin y Declaracin
Actividades Claves: Productos:
Metodologa de un desarrollo de PCN
Desarrollar diagrama de decisin y
asignacin de responsabilidades. Procedimientos para:
Establecer mecanismos de
Notificacin y Declaracin.
Notificacin.
Establecer mecanismos de
comunicacin y coordinacin.
Evaluacin de daos.
Desarrollar procedimientos a seguir. Declaracin.
Comunicaciones.
FASE III: Recuperacin
Actividades Claves: Productos:
Metodologa de un desarrollo de PCN
Generar requerimientos de
recuperacin:
Dependencias Informacin
Personal Clave.
Plan de recuperacin de
dependencias.
Desarrollar requerimientos de
migracin.
Plan de recuperacin para el centro
de Proc. de Datos.
Identificar los requerimientos
operativos.
Procedimientos para los equipos de
recuperacin en lo referentes a:
Doc. los procedimientos para el
equipo de recuperacin.
Migracin.
Operaciones.
Restauracin.
Generar formularios a utilizar.
FASE III: Reanudacin
Actividades Claves: Productos:
Metodologa de un desarrollo de PCN
Desarrollar lineamientos de los
procedimientos de trabajo bajo
condiciones de emergencia, de
registros alternativos y de retorno al
ambiente normal.
Procedimientos de trabajo durante la
emergencia y de retorno al
procesamiento normal.
Documentar los procedimientos para
el equipo de recuperacin.
FASE IV: Mantenimiento y mejora continuar.
Actividades Claves: Producto:
Metodologa de un desarrollo de PCN
Desarrollar los procecimientos para la
actualizacin del plan.
Materiales de capacitacin.
Desarrollar una estrategia para la
realizacin de pruebas.
Plan de Estrategias para la prueba.
Desarrollar los materiales de capacitacin. Plan y procedimientos de actualizacin y
mantenimiento del plan de continuidad.
Desarrollar la matriz de responsabilidades
de tareas de mantenimiento.
FASE IV: Capacitacin del Personal.
Actividades Claves: Producto:
Metodologa de un desarrollo de PCN
Llevar a cabo la capacitacin de los
equipos de recuperacin.
Personal capacitado en el plan de
continuidad.
Llevar a cabo una cultura dentro de los
procesos de PCN.
FASE IV: Prueba del Plan.
Actividades Claves: Producto:
Metodologa de un desarrollo de PCN
Planificar las pruebas. Plan de continuidad probado.
Llevar a cabo las pruebas. Correcciones al Plan.
Evaluar las pruebas. Recomendaciones para prximas pruebas.
Revisar el plan de continuidad.
FASE IV: Aprobacin Final del Plan.
Actividades Claves: Producto:
Metodologa de un desarrollo de PCN
Aprobacin de la administracin. Plan de Continuidad.
Publicar el Plan de Continuidad. Presentacin Final.
Desarrollar la presentacin del Plan de
Continuidad.
FASE V: Diagnstico y Actualizacin del Plan
Actividades Claves: Producto:
Metodologa de un desarrollo de PCN
Revisar validez de: Plan corregido.
Proceso de negocio.
Inventario de personal y
funciones.
Ambiente productivo y de TI.
Programacin prxima revisin del Plan.
Notificar correcciones.
Organizar prxima revisin.
Algunas Conclusiones Finales:
El PCN es parte de la Administracin de Riesgos.
Es una caracterstica del negocio.
Debe contribuir a la calidad final.
Pruebas deben ser realistas y con nfasis apropiado.
Actualizacin como curso normal de las operaciones.
PRD
PLAN DE RECUPERACIN ANTE
DESASTRES
DRP Disaster Recovery Plan