Planes de Contingencia: Un enfoque pr

1
Planes de Contingencia Un enfoque práctico
Néstor Orlando Romero ABCP, Msc Junio 2002
2
Agenda

• Introducción
• Historia
• DRI
• Definiciones
• Metodología

3
Introducción

• Pretende minimizar las pérdidas de productividad
  dada la ocurrencia de un incidente que genere una
  interrupción
• Continuidad vs. Recuperación del negocio

4
Motivación

• Eventos no esperados (New York, 11 de Septiembre)
• Alta dependencia de la información y de las
  infraestructuras informáticas
• Alta motivación para atacantes
• Planes de contingencia ya no son un lujo sino una
  necesidad

5
Historia

• 60s
• Primeros planes de recuperación
• Solo Sistemas de Información
• Solo en EU
• 70s
• Recuperación de Desastres
• Alguna actividad fuera de EU
• Dependencia de Sistemas centralizados

6
Historia (cont.)

• 80s
• Recuperación, no continuidad
• Planes probados por fuegos, terremotos, huracanes
• Transición de planes de SI a planes corporativos
• Aparece software especializado
• 90s
• Planes corporativos
• Centrado en el negocio

7
Disaster Recovery Institute

• Fundado en 1.988 (Washington University)
• Propone los lineamientos para los profesionales
  en la planeación de recuperación de negocios
  mediante la definición de áreas de conocimiento
• Ofrece capacitación y asesorías
• Certifica profesionales

8
Disaster Recovery Institute (cont.)

• Actualmente, al menos 1500 empresas aplican los
  conceptos y metodología del DRI. Algunas de ellas
  son
• Texas Instruments
• AT T
• Bell South
• National Bank
• World Bank
• Merrill Lynch
• Banco Central de Venezuela

9
Áreas de conocimiento base del DRI

• 1. Administración e iniciación del proyecto
• 2. Evaluación de riesgos y controles
• 3. Análisis de Impacto del negocio
• 4. Estrategias de recuperación
• 5. Respuesta a la emergencia
• 6. Desarrollo e implementación del plan
• 7. Programas de concientización y entrenamiento
• 8. Pruebas y ejercicios del plan
• 9. Mantenimiento y actualización del plan

10
Definiciones

• Desastre Es cualquier evento que crea
  inhabilidad para una parte de una organización
  para proveer sus funciones críticas del negocio
  por algún periodo de tiempo (inconveniencia o
  desastre).

11
Definiciones (cont.)

• Plan de recuperación de desastres Un conjunto
  aprobado de actividades y procedimientos los
  cuales hacen posible a una organización responder
  a un desastre y reiniciar sus funciones críticas
  en una condición aceptable, en un marco de tiempo
  determinado.

12
Definiciones (cont.)

• Plan de continuidad del negocio Son todas las
  actividades y procedimientos aprobados que hacen
  posible a una organización responder a un evento
  en tal forma que las funciones críticas del
  negocio continúen sin interrupción o cambio
  significativo

13
Donde encaja la administración de riesgos?
14
Proceso de planeación de contingencias
Tomado de IT Contingency Planning Guide (NIST)
15
Metodología

• Fases

Definición
Requerimientos Funcionales
Diseño y Desarrollo
Implementación
Pruebas y ejercicios
Mantenimiento
Ejecución
16
Etapas durante un desastre
DESASTRE
Normalidad
Recuperación de las capacidades
17
Fase 1 Definición

• Definir el problema (Recuperación de desastres
  vs. Continuidad del negocio)
• Conciencia en la alta gerencia y políticas de
  continuidad del negocio
• Definición de los objetivos y requerimientos de
  continuidad (Quien, que, cuando, donde y como)
• Alcance y objetivos del proyecto
• Comité de seguimiento al proyecto

18
Fase 2 Requerimientos funcionales

• Identificación de los bienes a ser protegidos
• Efectuar el análisis de riesgos
• Realizar el análisis de impacto del negocio (BIA)
• Identificación de las estrategias
• Costo-beneficio de las estrategias
• Selección de la estrategia
• Presupuesto de inversión

19
Bienes a ser protegidos
TELECOMUNICACIONES
Equipos
Instalaciones
Circuitos
Seguridad, Potencia Protección Ambiente
Clientes y Usuarios (Externos e Internos)
Hardware (Mainframe, PCs, LAN)
Inventario Materiales
Sistemas Operativos
Datos
Plantas de producción equipo
Aplicaciones
Personas
20
Análisis de Riesgos

• El análisis de riesgos permite identificar las
  vulnerabilidades de la compañía, evaluar los
  controles existentes, así como prever si son
  necesarios nuevos controles.
• Puede ser cualitativo o cuantitativo

21
Análisis de Riesgos (cont.)

• Actividades
• Identificar las amenazas y vulnerabilidades sobre
  los elementos críticos
• Establecer los riesgos utilizando A.L.E (Anual
  Loss Exposure, Riesgofrec x exposic,
  BenefR-r-c)
• Identificar y analizar controles existentes
• Analizar el valor de los controles adicionales
• Recomendar la implantación de controles para
  mitigar los riesgos

22
Análisis de impacto del negocio

• Basados en los riesgos ya identificados
• Determinar los procesos, funciones, departamentos
  y áreas de trabajo del negocio sensibles en el
  tiempo
• Determinar los sistemas, datos y
  telecomunicaciones sensibles en el tiempo
• Determinar el tiempo de disponibilidad requerido
  (RTO)

23
Análisis de impacto del negocio (cont.)

• Es importante definir el criterio de criticidad
  de las funciones y procesos
• Definir las consecuencias de las caídas del
  negocio
• Establecer el RTO (tiempo objetivo de
  recuperación) de los procesos críticos

24
Recovery Time Objective
Los sistemas críticos son operativos y con datos
actuales
Reinicio de las operaciones
Punto de interrrupción
tiempo
Recovery Time Objective
Procesos del negocio funcionando
Es el tiempo entre el punto de interrupción, y el
punto en el cuál los sistemas sensibles en el
tiempo deben estar funcionando nuevamente, con
los datos actualizados
25
Identificación de estrategias

• Identificar los requerimientos de las estrategias
  de recuperación
• Tiempos
• Personal requerido
• Sitios (recuperación, coordinación, reinicio)
• Tipos (CdeC, funciones del negocio, comunic.)
• Identificar las posibles alternativas de
  recuperación
• No hacer nada

26
Identificación de estrategias (cont.)

• Diferir acciones
• Procedimientos manuales
• Acuerdos recíprocos
• Sitios alternos
• Servicios comerciales (recuperación interna, hot
  site, cold site, warm site, nada)
• Consorcio con otras compañías
• Procesamiento distribuido
• Comunicaciones alternas

27
Identificación de estrategias (cont.)

• Seleccionar el almacenamiento fuera del sitio
• Seleccionar el sitio alterno
• Realizar un análisis costo beneficio

28
Fase 3 Diseño y desarrollo

• Definir el alcance del plan
• Estructurar una organización jerárquica paralela
  para administrar emergencias, con esquemas de
  notificación
• Definición de escenarios
• Programas de control de personal
• Detallar la administración general del plan

29
Fase 4 Implementación

• Crear procedimientos de atención a al emergencia
• Crear procedimientos para controlar la crisis
• Designar la autoridad
• Crear procedimientos para encadenar respuesta a
  la emergencia y recuperación
• Detallar procedimientos de reinicio, recuperación
  y restauración
• Contratos y recursos para recuperación

30
Fase 5 Pruebas y ejercicios

• Diseñar programas de entrenamiento, conciencia
  corporativa y mecanismos de distribución del plan
• Programar ejercicios con objetivos claros
• Preparar los escenarios
• Efectuar ejercicios
• Evaluar resultados

31
Fase 6 Mantenimiento y actualización

• Programar y calcular la inversión en actividades
  de actualización y mantenimiento
• Evaluar herramientas de software como apoyo
• Establecer criterios de revisión
• Procedimientos de mantenimiento del plan
• Procedimientos de actualización
• Procedimientos de reporte de estado

32
Fase 6 Mantenimiento y actualización (cont.)

• Procedimientos de auditoría y control
• Establecer mecanismos de distribución de la
  actualización del plan y procedimientos de control

33
Fase 7 Ejecución

• Cada empleado sabe que hacer, donde ir, a quien
  reportarse durante la emergencia.
• Se inicia el plan de respuesta a la emergencia
• Se inicia el procedimiento de recuperación del
  negocio, si es necesario

34
FIN!