Descargar la presentación
La descarga está en progreso. Por favor, espere
1
Néstor Orlando Romero ABCP, Msc
Planes de Contingencia: Un enfoque práctico Néstor Orlando Romero ABCP, Msc Junio 2002
2
3/29/2017 Agenda Introducción Historia DRI Definiciones Metodología
3
3/29/2017 Introducción Pretende minimizar las pérdidas de productividad dada la ocurrencia de un incidente que genere una interrupción Continuidad vs. Recuperación del negocio
4
Motivación Eventos no esperados (New York, 11 de Septiembre)
3/29/2017 Motivación Eventos no esperados (New York, 11 de Septiembre) Alta dependencia de la información y de las infraestructuras informáticas Alta motivación para atacantes Planes de contingencia ya no son un lujo sino una necesidad
5
Historia 60’s 70’s Primeros planes de recuperación
3/29/2017 Historia 60’s Primeros planes de recuperación Solo Sistemas de Información Solo en EU 70’s Recuperación de Desastres Alguna actividad fuera de EU Dependencia de Sistemas centralizados
6
Historia (cont.) 80’s 90’s Recuperación, no continuidad
3/29/2017 Historia (cont.) 80’s Recuperación, no continuidad Planes probados por fuegos, terremotos, huracanes Transición de planes de SI a planes corporativos Aparece software especializado 90’s Planes corporativos Centrado en el negocio
7
Disaster Recovery Institute
3/29/2017 Disaster Recovery Institute Fundado en (Washington University) Propone los lineamientos para los profesionales en la planeación de recuperación de negocios mediante la definición de áreas de conocimiento Ofrece capacitación y asesorías Certifica profesionales
8
Disaster Recovery Institute (cont.)
3/29/2017 Disaster Recovery Institute (cont.) Actualmente, al menos 1500 empresas aplican los conceptos y metodología del DRI. Algunas de ellas son: Texas Instruments AT & T Bell South National Bank World Bank Merrill Lynch Banco Central de Venezuela
9
Áreas de conocimiento base del DRI
3/29/2017 Áreas de conocimiento base del DRI 1. Administración e iniciación del proyecto 2. Evaluación de riesgos y controles 3. Análisis de Impacto del negocio 4. Estrategias de recuperación 5. Respuesta a la emergencia 6. Desarrollo e implementación del plan 7. Programas de concientización y entrenamiento 8. Pruebas y ejercicios del plan 9. Mantenimiento y actualización del plan
10
3/29/2017 Definiciones Desastre: Es cualquier evento que crea inhabilidad para una parte de una organización para proveer sus funciones críticas del negocio por algún periodo de tiempo (inconveniencia o desastre).
11
3/29/2017 Definiciones (cont.) Plan de recuperación de desastres: Un conjunto aprobado de actividades y procedimientos los cuales hacen posible a una organización responder a un desastre y reiniciar sus funciones críticas en una condición aceptable, en un marco de tiempo determinado.
12
3/29/2017 Definiciones (cont.) Plan de continuidad del negocio: Son todas las actividades y procedimientos aprobados que hacen posible a una organización responder a un evento en tal forma que las funciones críticas del negocio continúen sin interrupción o cambio significativo
13
Donde encaja la administración de riesgos?
Plan de Manejo del Riesgo Consecuencias Respuesta a Continuidad de Negocio Respuesta al Riesgo (Monitoreo, mantenimiento y Atención de incidentes) Opciones de Tratamiento Mitigar, Reducir, Aceptar, Asumir, Evitar, Transferir Plan estratégico de Administración de Riesgos Administración de Crisis Financiero Relaciones legales y comerciales Cambios Tecnológicos Cambios Políticos Eventos naturales Cambios procedimentales Software Presión de la competencia Comportamie nto humano Dispositivos o equipos Económico Objetivos Integridad Disponibilidad Accidentalidad Continuidad Confidencialidad Fuentes de Riesgo
14
Proceso de planeación de contingencias
Tomado de IT Contingency Planning Guide (NIST)
15
Requerimientos Funcionales
3/29/2017 Metodología Fases: Definición Requerimientos Funcionales Diseño y Desarrollo Implementación Pruebas y ejercicios Mantenimiento Ejecución
16
Etapas durante un desastre
Normalidad DESASTRE Normalidad Restauración Declaración de la emergencia Toma del control Toma de decisiones Reanudación de operaciones Recuperación de las capacidades
17
3/29/2017 Fase 1: Definición Definir el problema (Recuperación de desastres vs. Continuidad del negocio) Conciencia en la alta gerencia y políticas de continuidad del negocio Definición de los objetivos y requerimientos de continuidad (Quien, que, cuando, donde y como) Alcance y objetivos del proyecto Comité de seguimiento al proyecto
18
Fase 2: Requerimientos funcionales
3/29/2017 Fase 2: Requerimientos funcionales Identificación de los bienes a ser protegidos Efectuar el análisis de riesgos Realizar el análisis de impacto del negocio (BIA) Identificación de las estrategias Costo-beneficio de las estrategias Selección de la estrategia Presupuesto de inversión
19
Bienes a ser protegidos
3/29/2017 Bienes a ser protegidos TELECOMUNICACIONES Equipos Instalaciones Circuitos Seguridad, Potencia Protección & Ambiente Clientes y Usuarios (Externos e Internos) Hardware (Mainframe, PC’s, LAN) Inventario & Materiales Sistemas Operativos Datos Plantas de producción & equipo Aplicaciones Personas
20
3/29/2017 Análisis de Riesgos El análisis de riesgos permite identificar las vulnerabilidades de la compañía, evaluar los controles existentes, así como prever si son necesarios nuevos controles. Puede ser cualitativo o cuantitativo
21
Análisis de Riesgos (cont.)
3/29/2017 Análisis de Riesgos (cont.) Actividades: Identificar las amenazas y vulnerabilidades sobre los elementos críticos Establecer los riesgos utilizando A.L.E (Anual Loss Exposure, Riesgo=frec x exposic, Benef=R-r-c) Identificar y analizar controles existentes Analizar el valor de los controles adicionales Recomendar la implantación de controles para mitigar los riesgos
22
Análisis de impacto del negocio
3/29/2017 Análisis de impacto del negocio Basados en los riesgos ya identificados: Determinar los procesos, funciones, departamentos y áreas de trabajo del negocio sensibles en el tiempo Determinar los sistemas, datos y telecomunicaciones sensibles en el tiempo Determinar el tiempo de disponibilidad requerido (RTO)
23
Análisis de impacto del negocio (cont.)
3/29/2017 Análisis de impacto del negocio (cont.) Es importante definir el criterio de criticidad de las funciones y procesos Definir las consecuencias de las caídas del negocio Establecer el RTO (tiempo objetivo de recuperación) de los procesos críticos
24
Recovery Time Objective
3/29/2017 Recovery Time Objective Los sistemas críticos son operativos y con datos actuales Punto de interrrupción Reinicio de las operaciones tiempo Recovery Time Objective Procesos del negocio funcionando Es el tiempo entre el punto de interrupción, y el punto en el cuál los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con los datos actualizados
25
Identificación de estrategias
3/29/2017 Identificación de estrategias Identificar los requerimientos de las estrategias de recuperación: Tiempos Personal requerido Sitios (recuperación, coordinación, reinicio) Tipos (CdeC, funciones del negocio, comunic.) Identificar las posibles alternativas de recuperación : No hacer nada
26
Identificación de estrategias (cont.)
3/29/2017 Identificación de estrategias (cont.) Diferir acciones Procedimientos manuales Acuerdos recíprocos Sitios alternos Servicios comerciales (recuperación interna, hot site, cold site, warm site, nada) Consorcio con otras compañías Procesamiento distribuido Comunicaciones alternas
27
Identificación de estrategias (cont.)
3/29/2017 Identificación de estrategias (cont.) Seleccionar el almacenamiento fuera del sitio Seleccionar el sitio alterno Realizar un análisis costo beneficio
28
Fase 3: Diseño y desarrollo
3/29/2017 Fase 3: Diseño y desarrollo Definir el alcance del plan Estructurar una organización jerárquica paralela para administrar emergencias, con esquemas de notificación Definición de escenarios Programas de control de personal Detallar la administración general del plan
29
3/29/2017 Fase 4: Implementación Crear procedimientos de atención a al emergencia Crear procedimientos para controlar la crisis Designar la autoridad Crear procedimientos para encadenar respuesta a la emergencia y recuperación Detallar procedimientos de reinicio, recuperación y restauración Contratos y recursos para recuperación
30
Fase 5: Pruebas y ejercicios
3/29/2017 Fase 5: Pruebas y ejercicios Diseñar programas de entrenamiento, conciencia corporativa y mecanismos de distribución del plan Programar ejercicios con objetivos claros Preparar los escenarios Efectuar ejercicios Evaluar resultados
31
Fase 6: Mantenimiento y actualización
3/29/2017 Fase 6: Mantenimiento y actualización Programar y calcular la inversión en actividades de actualización y mantenimiento Evaluar herramientas de software como apoyo Establecer criterios de revisión Procedimientos de mantenimiento del plan: Procedimientos de actualización Procedimientos de reporte de estado
32
Fase 6: Mantenimiento y actualización (cont.)
3/29/2017 Fase 6: Mantenimiento y actualización (cont.) Procedimientos de auditoría y control Establecer mecanismos de distribución de la actualización del plan y procedimientos de control
33
3/29/2017 Fase 7: Ejecución Cada empleado sabe que hacer, donde ir, a quien reportarse durante la emergencia. Se inicia el plan de respuesta a la emergencia Se inicia el procedimiento de recuperación del negocio, si es necesario
34
3/29/2017 FIN!
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.