Definición del problema Para las unidades operativas: Pocos recursos, requerimientos de productividad, incrementar la visión, actualización tecnológica y entrenamiento, menos tiempo para recuperaciones. Para los ejecutivos: Planeación, organización dinámica, buena implementación, estrategia vs rentabilidad Para los administradores de la recuperación: Estrategia vs táctica, organización dinámica, prevenir/preservar vs continuidad/recuperar, planeación, RTO cortos, Soluciones de bajos costos, enfocarse sobre BPR, reflejar los objetivos de la compañía.
Definición del problema Identificar los servicios críticos. Reanudar los servicios críticos: Transparentemente. En otras (remotas?) localidades o instalaciones. Con menos capacidades y condiciones. Usando solo datos almacenados fuera del sitio. Dentro del tiempo designado. Sin las personas claves.
Satisfacción excepcional de los clientes Definición del problema $$$ Objetivo Mercado Servicio a los clientes Desarrollo de productos Diseño Construcción y liberación Calidad Controles financieros Desastre Telecomunicaciones Datos LAN MainFrame
Compromiso de la alta gerencia Responsabilidades: –Para la Administración: Proteger y preservar los bienes y recursos de la compañía. –Para el coordinador: Asegurar que todos los componentes del plan están presentes. Asegurar que una adecuada planeación, preparación y entrenamiento han sido llevados a cabo para las áreas específicas.
Políticas para el plan de continuidad del negocio El B.C.P. debe ser aprobado por la administración. Las aprobaciones deberán basarse sobre la valoración del plan para la organización. Los costos deberán ser evaluados basados en este valor. El B.C.P. deberá representar un cambio considerable.
Administración del proyecto La administración del proyecto provee la metodología y estructura para asegurar que su plan de continuidad del negocio será desarrollado e implementado a tiempo, dentro del presupuesto y a satisfacción de toda la administración a todos los niveles (middle, senior y executive). Seguir las fases recomendadas en la metodología. Usar software para administración de proyectos. Fases en la administración de proyectos: Creación del proyecto. Conducir el proyecto. Reportar el progreso del proyecto.
Productos Classic: WHO - WHAT - WHEN - WHERE - HOW QUIÉN ejecuta las acciones de recuperación. QUÉ es necesario para continuar, reanudar, recuperar y restaurar las funciones del negocio. CUANDO las funciones del negocio deben ser reanudadas. DÓNDE debe reanudarse la compañía, el negocio y las funciones operativas. CÓMO: Procedimientos para continuidad, reanudación, recuperación y restauración.
Comité de acuerdos para el plan Como parte de la administración del proyecto se debe establecer un comité de acuerdos. Estructurar las relaciones entre los miembros del equipo, los administradores, los usuarios los clientes y el exterior de la organización. Definir responsabilidades.
Comité de contingenciaAlta gerenciaCoordinación de contingenciaCoord. Area 1Coord. Area 2Grupos de apoyo Grupos Operativos Grupos Operativos Grupos Operativos Toma de decisiones, Aprobaciones, Asignaciones. Proteger y preservar los bienes y recursos de la compañía. Adecuada planeación, preparación y entrenamiento en las distintas áreas. Apoyo en la contrucción del plan y en la atención a las emergencias. Coordinación dentro del área. Colaboración y operación.
Fase 2 Requerimientos funcionales Análisis de Riesgos (R.A.) Análisis de Impacto (B.I.A.) Identificar bienes a Proteger
Identificar los bienes a ser protegidos Instalaciones Seguridad, potencia Proteccion & ambiente Hardware (Mainframe, PCs. LAN) Sistemas operativos DATOS Aplicaciones Personas Plantas de producción & Equipo Inventario & Materiales Clilentes y usuarios (Externos e internos) TELECOMUNICACIONES Circuitos Equipos.
Niveles de protección BIENES Planes de acción Continuidad Recuperación Procedimientos De emergencia Seguridad lógica Seguridad física Controles Amenazas hombre Otras Amenazas Naturales Amenazas Políticas Los controles pueden minimizar las pérdidas, pero no eliminar el riesgo
Análisis de riesgos FALLAS EN 2 PBX MEDIA NINGUNO AMENAZA PROBABILIDADCONTROL PERSONAS APLICATIVO BASE DE DATOS EQUIPOS HARDWARE COMUNICACIONES POTENCIA FACILIDADES INSTALACIONES FALLAS DE POTENCIA MEDIA HURACANES PROBABILIDAD CERO EN COLOMBIA 2 PLANTAS UPS en el Sótano UPS en el C.D.C. BIENES EN RIESGO
Business Impact Analisys
Elementos claves del B.I.A. Definir los criterios para determinar la criticidad de los procesos y sistemas. Definir las consecuencias de la caída de las operaciones del negocio. Recovery Time Objetive: Es el tiempo dentro del cual los procesos del negocio pueden ser restaurados dentro de niveles aceptables de capacidades operacionales para minimizar el impacto de una caída.
Ventana de recuperación Recovery Time Objetive Tiempo entre el punto de interrupción y el punto en el cual los sistemas críticos (sensitivos al tiempo) estarán operativos y actualizados con datos al tiempo real. Tiempo Negocio Funcional Los sistemas críticos están operativos y con datos al tiempo real. Procedimientos de Reanudación Interrupción
Fase 3 Diseño & Desarrollo Alcance Equipos Escenarios Sistema de Notificación Plan General Estrategias Identificación de Pérdidas Presupuesto Ventanas de Recuperación (R.T.O.)
Identificación de estrategias Identificar los requerimientos de estrategias de recuperación. Identificar las posibles alternativas de estrategias de recuperación. Seleccionar el almacenamiento fuera-del-sitio. Seleccionar el sitio alterno. Realizar un análisis costo beneficio. Costo de la opción Ventana de recuperación Recuperación Interna Hot site comercial Cold site con equipos Cold site con acuerdos Ninguna estrategia
Identificar requerimientos Marcos de tiempo / Ventanas de recuperación. Tipos de necesidades de recuperación: Centro de datos, voz, comunicaciones, funciones del negocio. Ubicaciones: Centro comando de emergencia, Sitio de reanudación y recuperación. Necesidades de personal: Administrativo, técnico, funcional.
Identificar estrategias No hacer nada. Diferir acciones. Procedimientos manuales. Acuerdos recíprocos. Redundancia de recursos. Sitios alternos. Servicio comerciales. Consorcio con otras compañías. Procesamiento distribuido. Comunicaciones alternas.
Estrategias a tener en cuenta Seleccionar el OFF-SITE STORAGE. Seleccionar el sitio alterno. Otras estrategias: –Degradación del servicio. –Recuperación interna. –Recuperación comercial. –Recuperación cooperativa. –Combinación de estrategias.
Degradación del servicio Reducción de las respuestas a los servicios. Procedimientos manuales. Obviar servicios hasta la recuperación.
Estrategias internas Control interno de las instalaciones de backups y sistemas para ser usados en emergencia: –Mantener los sistemas de HW en la mejor configuración. –Ejecutar pruebas. –Controles de seguridad. –Disponibles para el administrador.
Estrategias de recuperación comercial Servicios contratados. HOT-SITE comerciales. COLD-SITE o SHELL-SITE. Facilidades de los vendedores.
Como trabajar en la organización Determinar las áreas que van a participar en el proceso de construcción del plan de continuidad. Estas áreas deberán asignar personal que trabaje en conjunto con los coordinadores del plan. Las áreas de control participan aportando mecanismos de control para garantizar que el proyecto cumpla sus objetivos.
Areas de apoyo Equipo de trabajo Áreas Funcionales Unidad de Seguridad Informática Auditoría Control Interno Alta Gerencia
Apoyo de la alta gerencia Impulsar Asignación de Recursos para el proyecto Capacitación Credibilidad Compromiso
Departamento de Edificios Departamento de Riesgos Profesionales Departamento de Comunicaciones Institucionales Departamento de Protección y Seguridad Departamento de Informática Auditoría Control Interno Trabajo en equipo
Respuesta Emergencia v.s. Recuperación del Negocio Fase 4 Implantación Contratos y Acuerdos Adquisición de recursos Implantación de Estrategias Escribir Procedimientos Distribución del plan
Programas de Entrenamiento Fase 5 Pruebas y Ejercicios Planear Escenarios Efectuar Ejercicios Evaluar y Refinar el plan
Fase 5: Pruebas y ejercicios 3Diseñar programas de entrenamiento, toma de consciencia corporativa y mecanismos de distribución del plan para el personal. 3Programar los ejercicios y definición de los objetivos de los mismos. 3Preparar los escenarios. 3Efectuar los ejercicios. 3Evaluar los ejercicios para refinar el plan.
Fase 6: Mantenimiento y actualización 3Programar y calcular la inversión en actividades de actualización y mantenimiento. 3Evaluar herramientas de software como apoyo. 3Establecer criterios de revisión. 3Procedimientos de mantenimiento del plan: procedimientos de actualización, procedimientos de reporte de estado, procedimientos de auditoría y control. 3Establecer mecanismos de distribución de la actualización del plan y procedimientos de control.
Fase 7: EJECUCIÓN 3Cada empleado sabe que hacer, donde ir, a quien reportarse durante todo momento de la emergencia.
Resumen del Ciclo del proceso Asignación de tareas Procedimientos Procesos de Continuidad del Negocio Definición Requerimientos Funcionales Diseño y Desarrollo Implementación Mantenimiento y Actualización Pruebas y Ejercicios Requerimientos y tiempos
Otras metodología Metodologías : PRICE WATTER HOUSE GUARDIAN RISK CONCEPTS LTD. Disaster Recovery Institute. Otras particulares de las distintas empresas de servicios informáticos: IBM, SAIC, etc.
SOFTWARE DE APOYO SUNGARD RECOVERY SERVICES PLANNING SOLUTIONS STROHL SYSTEMS COMDISCO