Néstor Orlando Romero ABCP, Msc Planes de Contingencia: Un enfoque práctico Néstor Orlando Romero ABCP, Msc Junio 2002

3/29/2017 Agenda Introducción Historia DRI Definiciones Metodología

3/29/2017 Introducción Pretende minimizar las pérdidas de productividad dada la ocurrencia de un incidente que genere una interrupción Continuidad vs. Recuperación del negocio

Motivación Eventos no esperados (New York, 11 de Septiembre) 3/29/2017 Motivación Eventos no esperados (New York, 11 de Septiembre) Alta dependencia de la información y de las infraestructuras informáticas Alta motivación para atacantes Planes de contingencia ya no son un lujo sino una necesidad

Historia 60’s 70’s Primeros planes de recuperación 3/29/2017 Historia 60’s Primeros planes de recuperación Solo Sistemas de Información Solo en EU 70’s Recuperación de Desastres Alguna actividad fuera de EU Dependencia de Sistemas centralizados

Historia (cont.) 80’s 90’s Recuperación, no continuidad 3/29/2017 Historia (cont.) 80’s Recuperación, no continuidad Planes probados por fuegos, terremotos, huracanes Transición de planes de SI a planes corporativos Aparece software especializado 90’s Planes corporativos Centrado en el negocio

Disaster Recovery Institute 3/29/2017 Disaster Recovery Institute Fundado en 1.988 (Washington University) Propone los lineamientos para los profesionales en la planeación de recuperación de negocios mediante la definición de áreas de conocimiento Ofrece capacitación y asesorías Certifica profesionales

Disaster Recovery Institute (cont.) 3/29/2017 Disaster Recovery Institute (cont.) Actualmente, al menos 1500 empresas aplican los conceptos y metodología del DRI. Algunas de ellas son: Texas Instruments AT & T Bell South National Bank World Bank Merrill Lynch Banco Central de Venezuela

Áreas de conocimiento base del DRI 3/29/2017 Áreas de conocimiento base del DRI 1. Administración e iniciación del proyecto 2. Evaluación de riesgos y controles 3. Análisis de Impacto del negocio 4. Estrategias de recuperación 5. Respuesta a la emergencia 6. Desarrollo e implementación del plan 7. Programas de concientización y entrenamiento 8. Pruebas y ejercicios del plan 9. Mantenimiento y actualización del plan

3/29/2017 Definiciones Desastre: Es cualquier evento que crea inhabilidad para una parte de una organización para proveer sus funciones críticas del negocio por algún periodo de tiempo (inconveniencia o desastre).

3/29/2017 Definiciones (cont.) Plan de recuperación de desastres: Un conjunto aprobado de actividades y procedimientos los cuales hacen posible a una organización responder a un desastre y reiniciar sus funciones críticas en una condición aceptable, en un marco de tiempo determinado.

3/29/2017 Definiciones (cont.) Plan de continuidad del negocio: Son todas las actividades y procedimientos aprobados que hacen posible a una organización responder a un evento en tal forma que las funciones críticas del negocio continúen sin interrupción o cambio significativo

Donde encaja la administración de riesgos? Plan de Manejo del Riesgo Consecuencias Respuesta a Continuidad de Negocio Respuesta al Riesgo (Monitoreo, mantenimiento y Atención de incidentes) Opciones de Tratamiento Mitigar, Reducir, Aceptar, Asumir, Evitar, Transferir Plan estratégico de Administración de Riesgos Administración de Crisis Financiero Relaciones legales y comerciales Cambios Tecnológicos Cambios Políticos Eventos naturales Cambios procedimentales Software Presión de la competencia Comportamie nto humano Dispositivos o equipos Económico Objetivos Integridad Disponibilidad Accidentalidad Continuidad Confidencialidad Fuentes de Riesgo

Proceso de planeación de contingencias Tomado de IT Contingency Planning Guide (NIST)

Requerimientos Funcionales 3/29/2017 Metodología Fases: Definición Requerimientos Funcionales Diseño y Desarrollo Implementación Pruebas y ejercicios Mantenimiento Ejecución

Etapas durante un desastre Normalidad DESASTRE Normalidad Restauración Declaración de la emergencia Toma del control Toma de decisiones Reanudación de operaciones Recuperación de las capacidades

3/29/2017 Fase 1: Definición Definir el problema (Recuperación de desastres vs. Continuidad del negocio) Conciencia en la alta gerencia y políticas de continuidad del negocio Definición de los objetivos y requerimientos de continuidad (Quien, que, cuando, donde y como) Alcance y objetivos del proyecto Comité de seguimiento al proyecto

Fase 2: Requerimientos funcionales 3/29/2017 Fase 2: Requerimientos funcionales Identificación de los bienes a ser protegidos Efectuar el análisis de riesgos Realizar el análisis de impacto del negocio (BIA) Identificación de las estrategias Costo-beneficio de las estrategias Selección de la estrategia Presupuesto de inversión

Bienes a ser protegidos 3/29/2017 Bienes a ser protegidos TELECOMUNICACIONES Equipos Instalaciones Circuitos Seguridad, Potencia Protección & Ambiente Clientes y Usuarios (Externos e Internos) Hardware (Mainframe, PC’s, LAN) Inventario & Materiales Sistemas Operativos Datos Plantas de producción & equipo Aplicaciones Personas

3/29/2017 Análisis de Riesgos El análisis de riesgos permite identificar las vulnerabilidades de la compañía, evaluar los controles existentes, así como prever si son necesarios nuevos controles. Puede ser cualitativo o cuantitativo

Análisis de Riesgos (cont.) 3/29/2017 Análisis de Riesgos (cont.) Actividades: Identificar las amenazas y vulnerabilidades sobre los elementos críticos Establecer los riesgos utilizando A.L.E (Anual Loss Exposure, Riesgo=frec x exposic, Benef=R-r-c) Identificar y analizar controles existentes Analizar el valor de los controles adicionales Recomendar la implantación de controles para mitigar los riesgos

Análisis de impacto del negocio 3/29/2017 Análisis de impacto del negocio Basados en los riesgos ya identificados: Determinar los procesos, funciones, departamentos y áreas de trabajo del negocio sensibles en el tiempo Determinar los sistemas, datos y telecomunicaciones sensibles en el tiempo Determinar el tiempo de disponibilidad requerido (RTO)

Análisis de impacto del negocio (cont.) 3/29/2017 Análisis de impacto del negocio (cont.) Es importante definir el criterio de criticidad de las funciones y procesos Definir las consecuencias de las caídas del negocio Establecer el RTO (tiempo objetivo de recuperación) de los procesos críticos

Recovery Time Objective 3/29/2017 Recovery Time Objective Los sistemas críticos son operativos y con datos actuales Punto de interrrupción Reinicio de las operaciones tiempo Recovery Time Objective Procesos del negocio funcionando Es el tiempo entre el punto de interrupción, y el punto en el cuál los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con los datos actualizados

Identificación de estrategias 3/29/2017 Identificación de estrategias Identificar los requerimientos de las estrategias de recuperación: Tiempos Personal requerido Sitios (recuperación, coordinación, reinicio) Tipos (CdeC, funciones del negocio, comunic.) Identificar las posibles alternativas de recuperación : No hacer nada

Identificación de estrategias (cont.) 3/29/2017 Identificación de estrategias (cont.) Diferir acciones Procedimientos manuales Acuerdos recíprocos Sitios alternos Servicios comerciales (recuperación interna, hot site, cold site, warm site, nada) Consorcio con otras compañías Procesamiento distribuido Comunicaciones alternas

Identificación de estrategias (cont.) 3/29/2017 Identificación de estrategias (cont.) Seleccionar el almacenamiento fuera del sitio Seleccionar el sitio alterno Realizar un análisis costo beneficio

Fase 3: Diseño y desarrollo 3/29/2017 Fase 3: Diseño y desarrollo Definir el alcance del plan Estructurar una organización jerárquica paralela para administrar emergencias, con esquemas de notificación Definición de escenarios Programas de control de personal Detallar la administración general del plan

3/29/2017 Fase 4: Implementación Crear procedimientos de atención a al emergencia Crear procedimientos para controlar la crisis Designar la autoridad Crear procedimientos para encadenar respuesta a la emergencia y recuperación Detallar procedimientos de reinicio, recuperación y restauración Contratos y recursos para recuperación

Fase 5: Pruebas y ejercicios 3/29/2017 Fase 5: Pruebas y ejercicios Diseñar programas de entrenamiento, conciencia corporativa y mecanismos de distribución del plan Programar ejercicios con objetivos claros Preparar los escenarios Efectuar ejercicios Evaluar resultados

Fase 6: Mantenimiento y actualización 3/29/2017 Fase 6: Mantenimiento y actualización Programar y calcular la inversión en actividades de actualización y mantenimiento Evaluar herramientas de software como apoyo Establecer criterios de revisión Procedimientos de mantenimiento del plan: Procedimientos de actualización Procedimientos de reporte de estado

Fase 6: Mantenimiento y actualización (cont.) 3/29/2017 Fase 6: Mantenimiento y actualización (cont.) Procedimientos de auditoría y control Establecer mecanismos de distribución de la actualización del plan y procedimientos de control

3/29/2017 Fase 7: Ejecución Cada empleado sabe que hacer, donde ir, a quien reportarse durante la emergencia. Se inicia el plan de respuesta a la emergencia Se inicia el procedimiento de recuperación del negocio, si es necesario

3/29/2017 FIN!