Continuidad del Negocio
Conceptos y Estrategias
Ingeniera Sandra P. Camacho B.
CBCP
Seguridad Informática
•
•
•
•
•
•
•
Disponibilidad
Integridad
Confidencialidad
Autenticación
No repudiación
Control de acceso
Auditabilidad
Seguridad Informática
• Disponibilidad
– Utilizar la información en el momento oportuno
Agenda
• Porqué se requiere planear la continuidad?
• Cómo planear la continuidad? Conceptos y
estrategias
Leyes de Murfy
Qué puede suceder?
• Desastres de grandes dimensiones
• Pequeños incidentes
Porque se requiere planear la
continuidad?
• Casos de desastres contra la continuidad
– Sitios WEB atacados mediante Denial of
Service
– Situación terremoto de Armenia
– Atentados terroristas
– Desordenes públicos que impiden el acceso a
las instalaciones
– Centros de cómputo fuera de servicio
Preparación para riesgos de
cualquier dimensión
Controles
Estrategias
Alternativas
Acciones rápidas
Amenazas
• Naturales
• Humanas
• Tecnológicas
No se pueden evitar pero
se puede mitigar su impacto
Naturales
– Atentan contra las instalaciones físicas
• Inundaciones
• Temblores o terremotos (Armenia)
• Incendios
– Menor dimensión
• Tormentas eléctricas
Humanas
• Atentados contra las instalaciones físicas
– Terrorismo
– Sabotaje
– Bombas
• Menores dimensiones
– Contra las personas
– Contra los equipos o la información
Tecnológicas
•
•
•
•
•
Pérdida de potencia
Fallas en equipos UPS, plantas, etc.
Daños fortuitos
Fallas en condiciones ambientales
Denial of Service
– Casos Yahoo, Amazon, HotMail, etc.
• Virus
Recuperación VS
Continuidad
Continuidad
Disponibilidad
Supervivencia
BIENES
Recuperación
Recuperación
Recuperación VS Continuidad
• Inicialmente la planeación se concentraba
en la recuperación de interrupciones sobre
sistemas de información
• Hoy se busca garantizar la continuidad de la
funcionalidad del negocio
Recuperación VS
Continuidad
Normalidad
Transacciones
Consultas
Nuevos clientes
Requerimientos
etc
Interrupción
Tiempo de pérdida
Normalidad
Transacciones
Consultas
Nuevos clientes
Requerimientos
etc
Tiempo
Impactos
Credibilidad de los clientes
Operativos
Financieros
Imagen
Mercado
Consideraciones legales
Impactos
Personas
Imagen
Nivel
afectadas (tipo, cantidad)
(área, Organización, País)
de afectación (interno, externo)
78 1
1%
0%7% 2
5%
3
10%
4
5
5%
1%
6
71%
Impactos
Tiempo
que permanece fuera el servicio y horarios
críticos
Económico
(demandas, pérdidas financieras, etc.)
Procesos críticos
Cierre diario
Negocio
Contable
Pagos
0
1
2
3
4
5
6
7
8
9
10
11
12
13
Horario (horas)
14
15
16
17
18
19
20
21
22
23
24
Impactos
• Probabilidades de sobrevivir a un desastre: “de 5
empresas 2 no vuelven a abrir y de los 3 que
permanecen, 1 sale del negocio dentro de los
siguientes 2 años”.[gartner Group Study-April
1992]
• Desde finales de 1960 se esta trabajando en el
tema, inicialmente solo a nivel de informática, hoy
se involucra toda la organización.
Impactos
Los desastres han incrementado en la medida
en que la industria avanza, es necesario
planear mas que reaccionar
–
–
–
–
Globalización
Consolidación y centralización
Infraestructura
Cambios tecnológicos
Objetivos y requerimientos

Garantizar que los servicios que provee la
organización al exterior y los procesos
críticos internos operen a un nivel aceptable
durante un evento de crisis y logren su
normalidad después de ésta
Objetivos y requerimientos
• Mitigar los efectos causados por un eventual
desastre, mediante la adecuada planeación y
control
• Permitir una respuesta rápida a las emergencias, y
lograr una recuperación eficaz y efectiva
Organizaciones especializadas
• Servicios de apoyo a la continuidad:
– Comdisco
– Sungard
www.comdisco.com
www.sungard.com
• A nivel de disciplina:
– Disaster Recovery Institute
www.dr.org
Una metodología para la
planeación
Reseña del D.R.I.I.
• Fundado formalmente en 1988 (Washington
University St. Louis).
• Propone los lineamientos para los
profesionales en la planeación de
recuperación de negocios mediante la
definición de áreas base del conocimiento.
• Capacitación, asesorías y servicios.
• Certifica profesionales en la materia.
D.R.I.I.
• Actualmente, al menos 1500 empresas
aplican los conceptos y la metodología con
personal certificado en el D.R.I.
• Algunas empresas son:
•
•
•
•
•
•
•
•
TEXAS INSTRUMENTS
AT&T
BELL SOUTH
NATIONAL BANK (North Carolina)
WORLD BANK
MERRILL LYNCH
BANCO CENTRAL DE VENEZUELA
BANCO DE LA REPÚBLICA COLOMBIA
Certificaciones ofrecidas por el
D.R.I.
• Associate Business Continuity Planner
• Certified Business Continuity Professional
• Master Business Continuity Professional
Cursos ofrecidos por el D.R.I.I.
Cursos Básicos:
DRP-111. “Introduction to Business Continuity Planning”
DRP-112. “Managing & developing the B.C.P.”
DRP-113. “Business Communications For C.P.”
DRP-114. “Implementing & testing the B.C.P.”
Cursos Especializados:
DRP-210. “Business Impact Analysis”
DRP-211. “B.C.P. For local area networks”
DRP-212. “Prevention, Control & Mitigation in C.P.”
DRP-213. “Corporate Incident Management”
DRP- 501. “B.C.P. review”
DRP- 601. “Master level case study review”
Áreas del conocimiento base del
D.R.I.I.
1. Administración e iniciación del proyecto.
2. Evaluación de riesgos y controles.
3. Análisis del impacto sobre el negocio.
4. Estrategias de recuperación.
5. Respuesta a la emergencia.
6. Desarrollo e implementación del plan.
7. Programas de concientización y entrenamiento del
personal.
8. Pruebas y ejercicios del plan.
9. Mantenimiento y actualización del plan.
Metodología D.R.I.I.
• Basada en las áreas del conocimiento base
de los profesionales en planeación de la
continuidad del negocio.
• Proporciona un estándar internacional para
las prácticas en la construcción de “Planes
de Continuidad del Negocio”.
• Originada desde antes de 1989.
• Revisada permanentemente por expertos en
la materia.
Situaciones
Normalidad
PROBLEMA
DESASTRE
“Un evento externo o
interno interrumpe uno o
más procesos del
Respuesta a la emergencia
negocio”
Toma del control
Toma de decisiones
Reanudación de operaciones críticas
Restauración
Recuperación de las
capacidades diarias
Fases de la metodología
En cualquier
momento
es posible
devolverse
a efectuar
cambios
en una
fase previa.
Definición
Requerimientos Func.
Diseño y Desarrollo
Implementación
Pruebas y ejercicios
Mantenimiento
EJECUCIÓN
Fase 1
Inicio y definición
Concientización
del problema
Planeación
Compromiso
Alta Gerencia
Definición
de Objetivos
Herramientas
Definición de
Responsabilidades
Capacitación
Descargar

Continuidad del Negocio