Continuidad de Negocios y

Recuperacin ante Desastres

Plan de Continuidad de Negocios vs Plan de Recuperacin ante desastres

Definiciones
Plan de Continuidad de Negocios: Es el proceso desarrollado para prevenir interrupciones que afecten el desempeo de las actividades normales del Negocio. En caso que un evento de Riesgo no pueda ser evitado, este plan debe tender minimizar su impacto (duracin y econmico). Tiene un alcance Operativo y Tecnolgico.
Plan de Recuperacin ante Desastres:
Es el proceso de retomar el desarrollo normal del Negocio,

luego de declarado un evento que afecta la continuidad del mismo. Generalmente est focalizado en los aspectos Tecnolgicos.

Linea de Tiempo de una Contingencia

Unidades de Negocio Unidades Operativas

Plan de Contingencia y Procedimientos (PCP)

Contencin Mitigacin Operacin en Contingencia
Vuelta a la Normalidad

Comit Administracin de Crisis Comit Continuidad de Negocio

RPO

RTO

t4
RPO: Punto de Recuperacin Objetivo

t1
Ejecucin Arbol de Llamados

t2
RTO: Tiempo de Recuperacin Objetivo

t3

Sitio Alterno
Perodo en Contingencia

t5
Tiempo para retornar a la Normalidad

t6 t

Tecnologa Administracin Contralora Comunicaciones RRHH

Actividades para levantar sitio y/o sistemas alternos

Mantener Contingencia y Soporte a la operacin

Actividades para la Vuelta a la Normalidad Ejecutar Vuelta Normalidad

Plan de Recuperacin de Desastres (DRP)

Administracin de la Continuidad de Negocios

Aspectos de la administracin de la continuidad de los negocios:
1.- Proceso Definir 1.Estrategia de Gestin

5.- Pruebas y Mantenimiento

2.- Anlisis de Impacto

4.- Diseo y Desarrollo del Plan

3.- Estrategia de Recuperacin

1.- Definir Estrategia de Continuidad

Comprensin de los riesgos que enfrenta la organizacin en trminos de

probabilidad de ocurrencia de impacto; Comprensin del impacto que una interrupcin puede tener en los negocios y definicin de los objetivos comerciales de las herramientas de procesamiento de informacin; Considerar la contratacin e seguros que podran formar del proceso de continuidad de negocio; Elaboracin y documentacin de una estrategia de continuidad de los negocios consecuente con los objetivos y prioridades de los negocios acordados; Elaboracin y documentacin de planes de continuidad del negocio de conformidad con la estrategia de continuidad acordada; Pruebas y actualizacin peridicas de los planes y procesos implementados; Garantizar que la administracin de la continuidad de los negocios est incorpora a los procesos y estructura de la organizacin.

Definicin de Escenarios de Contingencia

Ejemplos de Escenarios:

Incidentes que puedan causar dao fsico en alguno de los pisos donde laboran las reas, impidiendo el acceso o uso de las instalaciones.
Incidentes que puedan afectar directamente el acceso a las instalaciones tal como: Atentado de bomba, un atentado externo tal como un fuego cerca de la instalacin desordenes pblicos. Impedimentos o desastres regionales no esperados tales como Terremotos, que afecten el sector del Centro de la Ciudad. Incidentes externos o internos, que potencialmente podra causar una interrupcin en el negocio, tal como prdida de potencia o del servicio de telecomunicaciones. Incidentes que podran afectar el cumplimiento de los labores de los funcionarios, tales como huelgas, cortes de servicio de transporte, desastres naturales, etc.

2.- Anlisis de Impacto (BIA)

La continuidad de los negocios debe comenzar por la identificacin de eventos que puedan ocasionar interrupciones en los procesos de los negocios.

El objetivo es determinar que impacto (ojal econmico) podra legar a tener un desastre sobre las funciones crticas del negocio.

Consideraciones del Anlisis de Impacto

Alto

Montos y Cantidad de sus Transacciones

Existencia a SLAs Consecuencias directas o indirectas de no disponer del proceso.
Bajo

Evaluar necesidad de controles

Obtener informacin sobre los procesos internos de la compaa.

Riesgo Inaceptable

Implementar Controles

Riesgo Aceptable

Evaluar necesidad de controles

Alto

Determinar perodo crtico de cada procesos y funcin. Determinar mximo tiempo de falla tolerable por cada proceso crtico. Priorizar procesos y funciones en funcin de su mximo tiempo de falla tolerable (MTF). Documentar las conclusiones y recomendaciones para cada proceso o funcin.

3.- Estrategia de Recuperacin

Corresponden a las acciones predefinidas a tomar con el objetivo de restablecer las operaciones del negocios, en el plazo determinado, una vez que ocurra alguna interrupcin o falla en los procesos o funciones crticas.

Estrategia de Recuperacin
Las Operaciones pueden ser interrumpidas por diferentes maneras: Perdidas de Datos: El foco en este caso es recuperar la informacin.
Terrorismo

Sabotaje
Robo Virus Programas Malignos

Medidas de prevencin Tomar Respaldos (Backup) Reguardo Externos Copiado remoto de datos Clonar Discos (Snapshot) Antivirus

Estrategia de Recuperacin
Interrupciones Operacionales: La interrupcin es

causada por la prdida de algn tipo de equipamiento.

Fallas de hardware Fallas elctricas Fallas de discos o memorias Robos de hardware

Medidas de prevencin Datacenter de contingencia Equipamiento redundante Manejo de redundancia en almacenamiento. Fuentes de energa de respaldo (grupos electrgenos)

Estrategia de Recuperacin
Interrupciones de instalaciones o suministros: Incendios Inundaciones Tornados o vientos fuertes Problemas de ventilacin del calor y aire acondicionado Problemas de Telecomunicaciones

Medidas de prevencin Datacenter de contingencia Emplazamientos adecuados. Proteccin fachadas, ventanas, puertas. Detectores de incendios Uso de materiales ignfugos Revisin de conductos de agua y drenajes Verificar manejo del material de desecho

Estrategia de Recuperacin
Interrupciones al Negocio:
Perdidas de personal Huelgas Perdidas o inhabilitacin de espacios fsicos Fallas en los proveedores Medidas de prevencin Entrenamiento en labores crticas Duplicidad de cargos y funciones Capacitacin Definicin de usos de espacios alternativos Uso de proveedores alternativos

Estrategia de Recuperacin
Para evaluar las estrategias a utilizar se debe:
1. Documentar todos los costos para cada alternativa. 2. Obtener estimacin de cualquier servicio

externalizado que podra ser necesario. 3. Desarrollar acuerdos con proveedores de servicios. 4. Evaluar que alternativa de recuperacin son posibles en caso de perdida completa de las instalaciones (peor caso). 5. Registrar y analizar las estrategias seleccionadas con la gerencia.

Tiempos de recuperacin ante desastres

Perodo mximo de paro de una empresa sin

poner en peligro su supervivencia:

Sector Seguros: Sector Fabricacin: Sector Industrial: Sector Distribucin: Sector Financiero:

5,6 das 4,9 das 4,8 das 3,3 das 2,0 das

4.- Diseo y Desarrollo del Plan

Preparar y documentar un plan detallado para la recuperacin

de los sistemas y procesos crticos del negocio. Este plan debe ser una gua de implementacin (responder el que hacer, no el como hacerlo). Debe incluir:
Identificacin de funciones crticas y priorizacin de la restauracin.

Identificacin de sistemas que son necesarios por las funciones

crticas. Estimacin del dao potencial y calculo de los recursos mnimo para recuperar los servicios. Seleccin de estrategia de recuperacin y determinacin de personal crtico para la recuperacin. Determinar quien administrar la restauracin y prueba de los procesos. Calcular los fondos necesarios y administracin necesaria para cumplir el este objetivo.

5.- Pruebas y Mantenimiento

Las pruebas del plan son extremadamente crticas, dado que sin

ellas no podemos evaluar si el plan funcionar o no. Existen 5 posibilidades de pruebas:

Checklist: Consiste en distribuir copias del plan a todos los involucrados, los

cuales deben revisar el plan y aceptarlo. No es una prueba formal, pero siempre es un buen comienzo. Discusin en mesa redonda (tabletop): Consiste en reunir a todos los involucrados y seguir el plan lnea por lnea. Este mecanismo permite descubrir dependencia o relaciones entre los distintos departamentos. Ensayo (walkthrough): Esta es una simulacin en terreno de la contingencia, siguiendo paso a paso el plan. Permite comprobar que todos los involucrados pueden cumplir con su deber. Funcional: Permite aplicar el plan de contingencia, moviendo los servicios a un sitio alternativo (el cual queda corriendo en paralelo). Interrupcin Total: Consiste en interrumpir intencionalmente el servicio productivo y aplicar el plan de contingencia. Esta es claramente la alternativa de mayor costo y consumidora de tiempo.

Necesidad de Entrenamiento
Adems de las pruebas, es necesario un programa de entrenamiento que entregue la informacin y la capacitacin del personal adscrito al plan. Deben realizarse cursos que deben de contemplar en detalle los siguientes aspectos:
Descripcin general del plan. Funciones y obligaciones del personal

adscrito a cada uno de los equipos de emergencias.

Descripcin de las posibles emergencias

que pueden afectar a organizacin.

Mantenimiento y Reevaluacin del Plan

Para lograr que el plan se mantenga actualizado y permita la recuperacin ante un desastre, es necesario documentar las responsabilidades de su mantenimiento, elaborando una matriz que indique para cada una de las secciones del plan:
El responsable de las revisiones peridicas de cada uno de los

planes de continuidad del negocio.

La periodicidad con la que realizar una revisin.
Una descripcin con los principales aspectos a revisar. Identificacin de cambios en las disposiciones relativas al negocio

an no reflejadas en los planes de continuidad.

Plan de Recuperacin ante Desastres (DRP)

Definicin de Plan de Recuperacin Es el conjunto de acciones necesarias de ejecutar para volver a la situacin que exista antes del desastre.
Este plan puede dividirse en 2 roles: 1. Salvamento: Restaurar la funcionalidad de los sistemas daados, unidades y de las instalaciones. Incluye los siguiente pasos:
o Evaluar los daos o Recuperacin del equipamiento reparable. o Reparacin y limpieza de las instalaciones. Recuperacin del equipamiento faltante. o Restauracin de las instalaciones a su estado original.

2.

Recuperacin: Se focaliza en la responsabilidad de migrar los servicios a un sitio alternativo.

Alternativas de Recuperacin
OPCIONES ANTE DESASTRES
Hacer Nada Procedimientos Manuales Acuerdos Recprocos Recuperacin Gradual (Standby Frio) Recuperacin Intermedia (Standby Templado) Recuperacin Inmediata (Standby Caliente)

Alternativas de Recuperacin
Tipos de Respaldo (Backup)
Full: Respalda toda la informacin disponible a la

fecha de ejecucin. Incremental: Respalda todos los archivos modificados desde el ltimo backup ejecutado. Diferencial: Respalda todos los archivos modificados desde el ltimo backup full.
Estrategia de Backup

Como auditar un Plan de Continuidad de Negocios

Toma de conciencia y educacin dentro de la

organizacin. Anlisis de impacto en el negocio realizados. Estrategias de Recuperacin Tecnologa y Negocios adoptadas. Desarrollo y documentacin del plan. Procedimiento de mantenimiento del plan. Evaluar evidencia de pruebas del plan.