Definición del problema
• Para las unidades operativas:
• Pocos recursos, requerimientos de productividad, incrementar
la visión, actualización tecnológica y entrenamiento, menos
tiempo para recuperaciones.
• Para los ejecutivos:
• Planeación, organización dinámica, buena implementación,
estrategia vs rentabilidad
• Para los administradores de la recuperación:
• Estrategia vs táctica, organización dinámica, prevenir/preservar
vs continuidad/recuperar, planeación, RTO cortos, Soluciones
de bajos costos, enfocarse sobre BPR, reflejar los objetivos de
la compañía.
Definición del problema
• Identificar los servicios críticos.
• Reanudar los servicios críticos:
•
•
•
•
•
•
“Transparentemente”.
En otras (remotas?) localidades o instalaciones.
Con menos capacidades y condiciones.
Usando solo datos almacenados fuera del sitio.
Dentro del tiempo designado.
Sin las personas claves.
Definición del problema
Mercado
Servicio a los clientes
Desarrollo de productos
Diseño
Construcción y liberación
Calidad
Controles financieros
$$$
Objetivo
Satisfacción
excepcional
de los clientes
$$$
Desastre
Telecomunicaciones
Datos
MainFrame
LAN
Compromiso de la alta gerencia
• Responsabilidades:
– Para la Administración:
• “Proteger y preservar los bienes y recursos de la
compañía.”
– Para el coordinador:
• “Asegurar que todos los componentes del plan están
presentes”.
• “Asegurar que una adecuada planeación,
preparación y entrenamiento han sido llevados a
cabo para las áreas específicas”.
Políticas para el plan de
continuidad del negocio
• El B.C.P. debe ser aprobado por la
administración.
• Las aprobaciones deberán basarse sobre la
valoración del plan para la organización.
• Los costos deberán ser evaluados basados en
este valor.
• El B.C.P. deberá representar un cambio
considerable.
Administración del proyecto
• La administración del proyecto provee la metodología y
estructura para asegurar que su plan de continuidad del
negocio será desarrollado e implementado a tiempo, dentro
del presupuesto y a satisfacción de toda la administración a
todos los niveles (“middle”, “senior” y “executive”).
• Seguir las fases recomendadas en la metodología.
• Usar software para administración de proyectos.
• Fases en la administración de proyectos:
• Creación del proyecto.
• Conducir el proyecto.
• Reportar el progreso del proyecto.
Productos
“Classic: WHO - WHAT - WHEN - WHERE - HOW”
• QUIÉN ejecuta las acciones de recuperación.
• QUÉ es necesario para continuar, reanudar,
recuperar y restaurar las funciones del negocio.
• CUANDO las funciones del negocio deben ser
reanudadas.
• DÓNDE debe reanudarse la compañía, el
negocio y las funciones operativas.
• CÓMO: Procedimientos para continuidad,
reanudación, recuperación y restauración.
Comité de acuerdos para el plan
• Como parte de la administración del
proyecto se debe establecer un comité de
acuerdos.
• Estructurar las relaciones entre los
miembros del equipo, los administradores,
los usuarios los clientes y el exterior de la
organización.
• Definir responsabilidades.
Toma de decisiones,
Aprobaciones,
Asignaciones.
Adecuada planeación,
preparación y
entrenamiento en las
distintas áreas.
Comité de contingencia
Coordinación de contingencia
Coord. Area 1
Grupos
Operativos
Proteger y preservar
los bienes y recursos
de la compañía.
Alta gerencia
Apoyo en la contrucción
del plan y en la
atención a las emergencias.
Coord. Area 2
Grupos
Operativos
Colaboración y
operación.
Grupos de apoyo
Coordinación dentro
del área.
Grupos
Operativos
Fase 2
Requerimientos funcionales
Identificar
bienes a Proteger
Análisis de
Riesgos (R.A.)
Análisis
de Impacto (B.I.A.)
Identificar los bienes a ser
protegidos
TELECOMUNICACIONES
Aplicaciones
Personas
Hardware (Mainframe,
PCs. LAN)
Niveles de protección
Seguridad física
Seguridad lógica
BIENES
Planes de
acción
Controles
Controles
Controles
“Los controles
pueden
minimizar
las pérdidas,
pero no
eliminar el
riesgo”
Análisis de riesgos
BIENES EN RIESGO
AMENAZA
PROBABILIDAD
FALLAS EN 2 PBX
FALLAS DE POTENCIA
HURACANES
MEDIA
MEDIA
PROBABILIDAD
CERO EN
COLOMBIA
CONTROL
NINGUNO
2 PLANTAS
UPS en el Sótano
UPS en el C.D.C.
PERSONAS
APLICATIVO
BASE DE DATOS
EQUIPOS
HARDWARE
COMUNICACIONES
POTENCIA
FACILIDADES
INSTALACIONES
Business Impact Analisys
A m en azas
D e te rm in a r
ve n ta n a s
d e re c u p e ra c ió n
V u ln erab ilid ad es
R ies g os
A n álisis d e ries g os
C rite rio s:
Im a ge n ,
im p a c to s .fin a n c ie ro s,
im p a c to s o p e ra tivo s,
M e rc a d o ,
M o ra l e m p le a d o s,
im a ge n p ú b lic a ,
R e gu la c io n e s
V alorar el im p acto
d e u n a caíd a
D eterm in ar las fu n cion es
d el n eg ocio s en sib les al tiem p o
P é rd id a d e c o n tro l
so b re la e m p re sa ,
P é rd id a d e c o n tro l so b re
e l flu jo d e in gre so s,
P é rd id a d e la u n id a d
fu n c io n a l d e l
n e go c io .
D eterm in ar los sistem as, d atos
y telec o m u n icacion es S en sib les al tiem p o
M od elo d el an álisis d e im p acto d e u n a caíd a
Elementos claves del B.I.A.
• Definir los criterios para determinar la criticidad
de los procesos y sistemas.
• Definir las consecuencias de la caída de las
operaciones del negocio.
• Recovery Time Objetive: Es el tiempo dentro del
cual los procesos del negocio pueden ser
restaurados dentro de niveles aceptables de
capacidades operacionales para minimizar el
impacto de una caída.
Ventana de recuperación
Interrupción
Procedimientos
de
Reanudación
Los sistemas
críticos están
operativos y con
datos al tiempo
real.
Tiempo
Recovery Time Objetive
Tiempo entre el punto de interrupción y el punto en el cual los
sistemas críticos (sensitivos al tiempo) estarán operativos y
actualizados con datos al tiempo real.
Negocio
Funcional
Fase 3
Diseño & Desarrollo
Ventanas de
Recuperación
(R.T.O.)
Plan General
Identificación de
Pérdidas
Alcance
Estrategias
Escenarios
Equipos
Sistema de Notificación
Presupuesto
Identificación de estrategias
•
•
•
•
Identificar los requerimientos de estrategias de recuperación.
Identificar las posibles alternativas de estrategias de recuperación.
Seleccionar el almacenamiento fuera-del-sitio.
Seleccionar el sitio alterno.
Costo de la opción
• Realizar un análisis costo beneficio.
Ventana de recuperación
Recuperación
Interna
Hot site
comercial
Cold site
con equipos
Cold site
con acuerdos
Ninguna
estrategia
Identificar requerimientos
• Marcos de tiempo / Ventanas de
recuperación.
• Tipos de necesidades de recuperación:
• Centro de datos, voz, comunicaciones, funciones
del negocio.
• Ubicaciones:
• Centro comando de emergencia, Sitio de
reanudación y recuperación.
• Necesidades de personal:
• Administrativo, técnico, funcional.
Identificar estrategias
•
•
•
•
•
•
•
•
•
•
No hacer nada.
Diferir acciones.
Procedimientos manuales.
Acuerdos recíprocos.
Redundancia de recursos.
Sitios alternos.
Servicio comerciales.
Consorcio con otras compañías.
Procesamiento distribuido.
Comunicaciones alternas.
Estrategias a tener en cuenta
• Seleccionar el OFF-SITE STORAGE.
• Seleccionar el sitio alterno.
• Otras estrategias:
–
–
–
–
–
Degradación del servicio.
Recuperación interna.
Recuperación comercial.
Recuperación cooperativa.
Combinación de estrategias.
Degradación del servicio
• Reducción de las respuestas a los servicios.
• Procedimientos manuales.
• Obviar servicios hasta la recuperación.
Estrategias internas
• Control interno de las instalaciones de
backups y sistemas para ser usados en
emergencia:
– Mantener los sistemas de HW en la mejor
configuración.
– Ejecutar pruebas.
– Controles de seguridad.
– Disponibles para el administrador.
Estrategias de recuperación
comercial
•
•
•
•
Servicios contratados.
HOT-SITE comerciales.
COLD-SITE o SHELL-SITE.
Facilidades de los vendedores.
Como trabajar en la organización
• Determinar las áreas que van a participar en el
proceso de construcción del plan de continuidad.
• Estas áreas deberán asignar personal que trabaje
en conjunto con los coordinadores del plan.
• Las áreas de control participan aportando
mecanismos de control para garantizar que el
proyecto cumpla sus objetivos.
Equipo de trabajo
Alta Gerencia
Auditoría
Control Interno
Unidad de
Seguridad
Informática
Areas de apoyo
Áreas Funcionales
Apoyo de la alta gerencia
Compromiso
Asignación de
Recursos para
el proyecto
Credibilidad
Impulsar
Capacitación
Trabajo en equipo
Departamento
de Comunicaciones
Institucionales
Departamento
de Edificios
Control Interno
Departamento
de Protección y
Seguridad
Departamento
de Informática
Departamento
de Riesgos Profesionales
Auditoría
Fase 4
Implantación
Contratos y Acuerdos
Escribir
Procedimientos
DistribuciónRespuesta
del plan
Emergencia
v.s.
Recuperación del Negocio
Implantación de
Adquisición
de recursos
Estrategias
Fase 5
Pruebas y Ejercicios
Evaluar y Refinar
el plan
Planear Escenarios
Programas de Entrenamiento
Efectuar Ejercicios
Fase 5: Pruebas y ejercicios
 Diseñar programas de entrenamiento, toma
de consciencia corporativa y mecanismos de
distribución del plan para el personal.
 Programar los ejercicios y definición de los
objetivos de los mismos.
 Preparar los escenarios.
 Efectuar los ejercicios.
 Evaluar los ejercicios para refinar el plan.
Fase 6: Mantenimiento y
actualización
 Programar y calcular la inversión en actividades de
actualización y mantenimiento.
 Evaluar herramientas de software como apoyo.
 Establecer criterios de revisión.
 Procedimientos de mantenimiento del plan: procedimientos
de actualización, procedimientos de reporte de estado,
procedimientos de auditoría y control.
 Establecer mecanismos de distribución de la actualización
del plan y procedimientos de control.
Fase 7: EJECUCIÓN
 Cada empleado sabe que hacer, donde ir, a
quien reportarse durante todo momento de
la emergencia.
Resumen del
Ciclo del proceso
Asignación
de
tareas
Procesos de
Continuidad
del Negocio
Procedimientos
Requerimientos
Funcionales
Pruebas y
Ejercicios
Requerimientos y
tiempos
Otras metodología
• Metodologías :
•
•
•
•
•
PRICE WATTER HOUSE
GUARDIAN
RISK CONCEPTS LTD.
Disaster Recovery Institute.
Otras particulares de las distintas empresas de
servicios informáticos: IBM, SAIC, etc.
SOFTWARE DE APOYO
• SUNGARD
• RECOVERY SERVICES
• PLANNING SOLUTIONS
• STROHL SYSTEMS
• COMDISCO
Descargar

Definición del problema