La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Planes de Contingencia: Un enfoque práctico Néstor Orlando Romero ABCP, Msc Junio 2002.

Presentaciones similares


Presentación del tema: "Planes de Contingencia: Un enfoque práctico Néstor Orlando Romero ABCP, Msc Junio 2002."— Transcripción de la presentación:

1

2 Planes de Contingencia: Un enfoque práctico Néstor Orlando Romero ABCP, Msc Junio 2002

3 Agenda n Introducción n Historia n DRI n Definiciones n Metodología

4 Introducción n Pretende minimizar las pérdidas de productividad dada la ocurrencia de un incidente que genere una interrupción n Continuidad vs. Recuperación del negocio

5 Motivación n Eventos no esperados (New York, 11 de Septiembre) n Alta dependencia de la información y de las infraestructuras informáticas n Alta motivación para atacantes n Planes de contingencia ya no son un lujo sino una necesidad

6 Historia n 60s u Primeros planes de recuperación u Solo Sistemas de Información u Solo en EU n 70s u Recuperación de Desastres u Alguna actividad fuera de EU u Dependencia de Sistemas centralizados

7 Historia (cont.) n 80s u Recuperación, no continuidad u Planes probados por fuegos, terremotos, huracanes u Transición de planes de SI a planes corporativos u Aparece software especializado n 90s u Planes corporativos u Centrado en el negocio

8 Disaster Recovery Institute n Fundado en (Washington University) n Propone los lineamientos para los profesionales en la planeación de recuperación de negocios mediante la definición de áreas de conocimiento n Ofrece capacitación y asesorías n Certifica profesionales

9 Disaster Recovery Institute (cont.) n Actualmente, al menos 1500 empresas aplican los conceptos y metodología del DRI. Algunas de ellas son: u Texas Instruments u AT & T u Bell South u National Bank u World Bank u Merrill Lynch u Banco Central de Venezuela

10 Áreas de conocimiento base del DRI 1. Administración e iniciación del proyecto 2. Evaluación de riesgos y controles 3. Análisis de Impacto del negocio 4. Estrategias de recuperación 5. Respuesta a la emergencia 6. Desarrollo e implementación del plan 7. Programas de concientización y entrenamiento 8. Pruebas y ejercicios del plan 9. Mantenimiento y actualización del plan

11 Definiciones n Desastre: Es cualquier evento que crea inhabilidad para una parte de una organización para proveer sus funciones críticas del negocio por algún periodo de tiempo (inconveniencia o desastre).

12 Definiciones (cont.) n Plan de recuperación de desastres: Un conjunto aprobado de actividades y procedimientos los cuales hacen posible a una organización responder a un desastre y reiniciar sus funciones críticas en una condición aceptable, en un marco de tiempo determinado.

13 Definiciones (cont.) n Plan de continuidad del negocio: Son todas las actividades y procedimientos aprobados que hacen posible a una organización responder a un evento en tal forma que las funciones críticas del negocio continúen sin interrupción o cambio significativo

14 Plan de Manejodel Riesgo Consecuencias Respuesta a Continuidad de Negocio Respuesta al Riesgo (Monitoreo, mantenimiento y Atención de incidentes) Respuesta al Riesgo (Monitoreo, mantenimiento y Atención de incidentes) Opciones de Tratamiento Mitigar, Reducir, Aceptar, Asumir, Evitar, Transferir Plan estratégico de Administración de Riesgos Administración de Crisis Financiero Relaciones legales y comerciales Cambios Tecnológicos Cambios Políticos Eventos naturales Cambios procedimentales Software Presión de la competencia Comportamie nto humano Dispositivos o equipos Económico Objetivos Integridad Disponibilidad Accidentalidad Continuidad Confidencialidad Fuentes deRiesgo Donde encaja la administración de riesgos?

15 Proceso de planeación de contingencias Tomado de IT Contingency Planning Guide (NIST)

16 Metodología Fases: Definición Requerimientos Funcionales Diseño y Desarrollo Implementación Pruebas y ejercicios Mantenimiento Ejecución

17 Etapas durante un desastre Recuperación de las capacidades Declaración de la emergencia Toma del control Toma de decisiones Reanudación de operaciones Restauración Normalidad DESASTRE Normalidad

18 Fase 1: Definición n Definir el problema (Recuperación de desastres vs. Continuidad del negocio) n Conciencia en la alta gerencia y políticas de continuidad del negocio n Definición de los objetivos y requerimientos de continuidad (Quien, que, cuando, donde y como) n Alcance y objetivos del proyecto n Comité de seguimiento al proyecto

19 Fase 2: Requerimientos funcionales n Identificación de los bienes a ser protegidos n Efectuar el análisis de riesgos n Realizar el análisis de impacto del negocio (BIA) n Identificación de las estrategias n Costo-beneficio de las estrategias n Selección de la estrategia n Presupuesto de inversión

20 Bienes a ser protegidos Clientes y Usuarios (Externos e Internos) Circuitos Equipos Instalaciones Seguridad, Potencia Protección & Ambiente Inventario & Materiales Plantas de producción & equipo Personas Aplicaciones Datos Sistemas Operativos Hardware (Mainframe, PCs, LAN) TELECOMUNICACIONES

21 Análisis de Riesgos n El análisis de riesgos permite identificar las vulnerabilidades de la compañía, evaluar los controles existentes, así como prever si son necesarios nuevos controles. n Puede ser cualitativo o cuantitativo

22 Análisis de Riesgos (cont.) n Actividades: u Identificar las amenazas y vulnerabilidades sobre los elementos críticos u Establecer los riesgos utilizando A.L.E (Anual Loss Exposure, Riesgo=frec x exposic, Benef=R-r-c) u Identificar y analizar controles existentes u Analizar el valor de los controles adicionales u Recomendar la implantación de controles para mitigar los riesgos

23 Análisis de impacto del negocio Basados en los riesgos ya identificados: n Determinar los procesos, funciones, departamentos y áreas de trabajo del negocio sensibles en el tiempo n Determinar los sistemas, datos y telecomunicaciones sensibles en el tiempo n Determinar el tiempo de disponibilidad requerido (RTO)

24 Análisis de impacto del negocio (cont.) n Es importante definir el criterio de criticidad de las funciones y procesos n Definir las consecuencias de las caídas del negocio n Establecer el RTO (tiempo objetivo de recuperación) de los procesos críticos

25 Recovery Time Objective Reinicio de las operaciones Los sistemas críticos son operativos y con datos actuales Punto de interrrupción tiempo Es el tiempo entre el punto de interrupción, y el punto en el cuál los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con los datos actualizados Procesos del negocio funcionando

26 Identificación de estrategias n Identificar los requerimientos de las estrategias de recuperación: u Tiempos u Personal requerido u Sitios (recuperación, coordinación, reinicio) u Tipos (CdeC, funciones del negocio, comunic.) n Identificar las posibles alternativas de recuperación : u No hacer nada

27 Identificación de estrategias (cont.) u Diferir acciones u Procedimientos manuales u Acuerdos recíprocos u Sitios alternos u Servicios comerciales (recuperación interna, hot site, cold site, warm site, nada) u Consorcio con otras compañías u Procesamiento distribuido u Comunicaciones alternas

28 Identificación de estrategias (cont.) n Seleccionar el almacenamiento fuera del sitio n Seleccionar el sitio alterno n Realizar un análisis costo beneficio

29 Fase 3: Diseño y desarrollo n Definir el alcance del plan n Estructurar una organización jerárquica paralela para administrar emergencias, con esquemas de notificación n Definición de escenarios n Programas de control de personal n Detallar la administración general del plan

30 Fase 4: Implementación n Crear procedimientos de atención a al emergencia n Crear procedimientos para controlar la crisis n Designar la autoridad n Crear procedimientos para encadenar respuesta a la emergencia y recuperación n Detallar procedimientos de reinicio, recuperación y restauración n Contratos y recursos para recuperación

31 Fase 5: Pruebas y ejercicios n Diseñar programas de entrenamiento, conciencia corporativa y mecanismos de distribución del plan n Programar ejercicios con objetivos claros n Preparar los escenarios n Efectuar ejercicios n Evaluar resultados

32 Fase 6: Mantenimiento y actualización n Programar y calcular la inversión en actividades de actualización y mantenimiento n Evaluar herramientas de software como apoyo n Establecer criterios de revisión n Procedimientos de mantenimiento del plan: u Procedimientos de actualización u Procedimientos de reporte de estado

33 Fase 6: Mantenimiento y actualización (cont.) u Procedimientos de auditoría y control n Establecer mecanismos de distribución de la actualización del plan y procedimientos de control

34 Fase 7: Ejecución n Cada empleado sabe que hacer, donde ir, a quien reportarse durante la emergencia. n Se inicia el plan de respuesta a la emergencia n Se inicia el procedimiento de recuperación del negocio, si es necesario

35 FIN!


Descargar ppt "Planes de Contingencia: Un enfoque práctico Néstor Orlando Romero ABCP, Msc Junio 2002."

Presentaciones similares


Anuncios Google