Recuperacin y Continuidad del Negocio

CONTENIDO
ANTECEDENTES ALGUNAS EXPERIENCIAS REVISION DE CONCEPTOS GENERALES METODOLOGIA CONCLUSIONES

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

QUE ES UN DESASTRE?

Cualquier EVENTO MAYOR que afecte el funcionamiento normal de las operaciones de un negocio

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

TIPOS DE DESASTRES

Naturales Humanos Tcnicos

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

DESASTRES NATURALES
Incendios Terremotos Inundaciones Tornados Huracanes Hundimientos Exhalaciones volcnicas
25/11/2005 Semana de Seguridad Informtica UNAM ENEP ARAGON

DESASTRES HUMANOS
Pueden ser Accidentales o Intencionales Pueden ser Internos o Externos Amenazas de Bomba Huelgas Plantones Empleados Inconformes Empleados Mal Capacitados Disturbios Sociales

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

DESASTRES TECNICOS
Fallas en el Equipo de Cmputo o algn Perifrico Fallas en el Equipo de Soporte del Centro de Cmputo Fallas en Equipo de Telecomunicaciones o algn componente de la red Fallas en el Enlace Infeccin de Virus

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

67% de las compaas que tienen un desastre por ms de dos semanas, estn fuera del negocio dentro de los dos aos siguientes. Sun Systems Gartner Group estima que, de cinco empresas que sufren una contingencia dos de ellas saldrn del negocio dentro de los cinco siguientes aos. Gartner Group, September 2001 El 40 % de las empresas dicen que tomar mas de un da regresar o poner en lnea los sistemas en caso de que el desastre destruya una localidad principal. Information Week Research, Nov 26, 2001 El porcentaje de estar fuera de servicio por una hora es de $84,000 dlares en un Call Center. IDC

El costo estimado por una hora de un empleado por no operar en caso de contingencia de acuerdo a informacin de la Industria Aseguradora es de $ 370 USD. Meta Group El 45% de las contingencias de los centros de cmputo en EUA es debido a fallas de energa elctrica. Contingency Planning Research Las Funciones del Negocio no pueden continuar operando despus de 4.8 das sin la recupercin de la Infraestructura tecnolgica. Info Security News EL 68% de los negocios RECLAMAN Planes de Contingencia. Disaster Recovery Journal

El 60% de las empresas tienen informacin crtica de los usuarios en sus laptos o desktops. Network World, November 26, 2001

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

Preocupaciones del CIO

Qu es lo que no le permite dormir al CIO desde el 2002? En orden de las 10 primeras preocupaciones: 1. La Seguridad Informtica 2. La Continuidad del Negocio 3. La Decuperacin en casos de Desastre -Information Week
25/11/2005 Semana de Seguridad Informtica UNAM ENEP ARAGON

El dinero no es la nica preocupacin

La prdida de productividad de los empleados Una ruptura en el servicio del cliente La prdida de confianza del cliente y buena voluntad El incremento en los costos de asistencia tcnica Los niveles de servicio acordados con terceros Las Obligaciones legales adquiridas con terceros o con gobierno

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

Evolucin en el Tiempo
BCM
1 5 6 4 2

BCM

BCP

Anlisis de Impacto al Negocio

Estudio de Riesgos

Estrategias de Continuidad

Desarrollo del Plan

Pruebas del Plan

BRP

BRS

DRP Resp. de Informacin

DRP = Disaster Recovery Plan BRS = Business Recovery Services BRP = Business Recovery Plan BCP = Business Continuity Plan BCM = Business Continuity Management

80
25/11/2005

1997

1998

1999

2000

2001

2002

2004

Semana de Seguridad Informtica UNAM ENEP ARAGON

Definicin histrica

Realidad

Business Business Continuity Continuity Planning Planning

Business Continuity Planning (BCP) es un todo que engloba los terminos que describen el proceso de planeacin para asegurar que una organizacin puede sobrevivir ante un evento que cause la interrupcin del proceso normal del negocio.

El Business Continuity est limitado, es enfocado con TI, relacionados con activos y normalmente ligados con unidades especificas de negocio o departamento. Con frecuencia son planeados pero no probados o ejecutados.

Disaster Disaster Recovery Recovery

Disaster Recovery (DR) es una habilidad de la compaa para recuperar en un periodo aceptable de tiempo (basado en el tiempo de recuperacin y la recuperacin basada en ciertos objetivos) por un incidente mayor o desastre y que asegure que los usuarios, sistemas crticos del negocio son eficientemente restaurados en forma completa y accesible.

La recuperacin de datos y el Centro de Cmputo TI con buenos mecanismos ambientales y de proteccin pero pobre apalancamiento de la Infraestructura de TI. No se recuperan totalmente los activos de TI.

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

BS 7799 (I7799): 10 reas de Control

Poltica de Seguridad Organizacin de Seguridad Clasificacin y control de Activos Seguridad del Personal Seguridad Fsica y Ambiental Administracin operacional y de Comunicaciones Control de Acceso Desarrollo y mantenimiento de Sistemas Administracin de la Continuidad del Negocio Cumplimiento
25/11/2005 Semana de Seguridad Informtica UNAM ENEP ARAGON

DISASTER RECOVERY PLAN

Plan de Recuperacin en Caso de Desastre. Est orientado a recuperar en el menor tiempo posible la operacin de las APLICACIONES CRITICAS, utilizando para ello un equipo de cmputo alterno, minimizando el impacto y el costo de un desastre. Responsable: rea de Sistemas
25/11/2005 Semana de Seguridad Informtica UNAM ENEP ARAGON

BUSINESS CONTINUITY PLAN

A diferencia del DRP, el Plan de Continuidad del Negocio (BCP) est orientado a recuperar en el menor tiempo posible la operacin de las FUNCIONES CRITICAS del negocio, estn o no automatizadas. Responsable: Direccin

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

RISK ASSESSMENT
Metodologa orientada a determinar la vulnerabilidad de la empresa. Con base en los diversos riesgos encontrados, se les asigna un valor especfico, segn la probabilidad de ocurrencia y de la cobertura del seguro contratado, con el fin de proponer alternativas para reducir el riesgo.

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

BUSINESS IMPACT ANALYSIS

Anlisis de Impactos al Negocio. A travs de esta metodologa se hace un anlisis de todos los procesos y aplicaciones dentro de la Empresa a travs de un CUESTIONARIO que se aplica en diversos niveles. Como resultado se llega a determinar el portafolio de PROCESOS Y APLICACIONES CRITICAS, as como los Requerimientos Mnimos y las caractersticas de cada uno de ellos.

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

OBJETIVOS DEL PLAN

Garantizar una reanudacin oportuna y eficiente de las operaciones de la Empresa, cuando se presente una interrupcin mayor Asegurar la continuidad del negocio

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

OBJETIVOS DEL PLAN

Reducir las decisiones que se toman durante una contingencia Reducir los efectos negativos ocasionados por el CAOS Evitar la dependencia sobre una persona o grupo de personas en el proceso de recuperacin Eliminar la necesidad de desarrollar nuevos procedimientos durante la recuperacin Minimizar la prdida de Informacin que se considere CRITICA
25/11/2005 Semana de Seguridad Informtica UNAM ENEP ARAGON

Metodologa BCM Metodologa BCM

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

Ciclo de Vida de la Administracin de la Continuidad del Negocio

Entendimiento del Negocio Prueba, Mantenimiento y Plan de Auditora

1 2 6
BCM

Administracin de la Estrategia de Continuidad del Negocio

Estructura y Difusin de la cultura del BCM

25/11/2005

Programa de Administracin del BCM

Desarrollo e Implementacin de Respuesta del BCM

Semana de Seguridad Informtica UNAM ENEP ARAGON

Administracin de la Continuidad del Negocio

Fase 1: Entendimiento del Negocio Estrategia Organizacional y Objetivos del Negocio Factores Crticos del Negocio (Misin de las Actividades Crticas) Productos de Negocio y Servicios (Core del Negocio)

Fase 2: Administracin de la Estrategia de Continuidad del Negocio Fase 3: Desarrollo e Implementacin de Respuesta del BCM Fase 4: Estructura y Difusin de la cultura del BCM Fase 5: Prueba, Mantenimiento y Plan de Auditora. Fase 6: Administracin del programa del BCM

Estrategia Organizacional del BCM (Corporativo)

Niveles de los Procesos de la Estrategia del BCM

Recursos de Recuperacin para la Estrategia del BCM

Plan(es) de Continuidad del Negocio

Planes de los Recursos de Recuperacin

Plan de Manejo de Crisis

Cultura de BCM y Programa de Concientizacin

Educacin y Creacin de las Actividades de Cultura

Programa de Entrenamiento del BCM

Pruebas del BCM

Mantenimiento del BCM

Auditora al BCM

Definicin del Programa

Poltica del BCM

Aseguramiento del BCM

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

Metodologa BCP Metodologa BCP

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

Metodologa BCP
Planeacin del Proyecto
Anlisis de Impacto al Negocio Estudio de Riesgos Estrategias de Continuidad Desarrollo del Plan Pruebas del Plan

Requerimientos Crticos

Evaluacin de Seguridad

Recuperacin Tcnica

Estructura de Plan

Programacin de la Prueba

Dependencia entre Sistemas

Anlisis de Amenazas

Recuperacin de Usuarios

Procedimientos documentados

Procedimientos de la Prueba

Tiempos / Peridos crticos

Mitigacin del Desastre

Instalaciones de Recuperacin

Equipos de Recuperacin

Mtodos de la Prueba

Impactos sin servicio

Recuperacin del Negocio

Mantenimiento a Procedimientos

Evaluacin de la Prueba

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

Metodologa DRP Metodologa DRP

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

Metodologa DRP

Fase I
Anlisis de Amenazas Anlisis de Impacto Aplicativo Determinar los servicios crticos de soporte

Fase II

Fase III

Fase IV

Fase IV

Definir estraDefinir tegia de procesos de recurecuperacin peracin Refinar Determinar estrategia de viabilidad recuperacin de estrategia

Finalizar estrategia de recuperacin

Definicin de Recursos Documentacin del Plan

Capacitacin Pruebas Mantenimiento

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

En el contexto BCM BCP - DRP

Considera la administracin de la continuidad del negocio como parte de un proceso

BCM (Business Continuity Management) BCP (Business Continuity Plan)

Plan dirigido a los procesos del Negocio

DRP (Disaster Recovery Plan)

Plan especfico a tecnologa de la Informacin

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON

Beneficios del BCM

Prever y mitigar el desastre de forma positiva, logrando mantener la continuidad de la empresa su reputacin, credibilidad y lealtad del cliente. Recuperar en forma efectiva en el tiempo a la organizacin, reduciendo los impactos por el evento de la contingencia. Identificar las prioridades del negocio, alinendolas al BCM con la sinergia de la arquitectura de TI proporcionando a la organizacin elementos de competitividad en el ambiente de los negocios y de la industria. Contar con voto de confianza por parte de los accionistas de la organizacin. Delimitar las severidad del dao y riesgos hacia la salud y bienestar de los empleados. Minimizar la magnitud de la interrupcin sobre los procesos crticos ante eventos inesperados. Contar con los elementos regulatorios y jurdicos para enfrentar juicios o demandas de terceros o gubernamentales. Contar con un BCM alineado a los estndares internacionales que permita cubrir los lineamientos solicitados por cada uno de ellos. Contar con personal entrenado para el manejo de crisis y recuperacin de las operaciones. Asegurar que los registros vitales estn disponibles ante el evento de contingencia. Contar con la mayora de los procedimientos probados. Minimizar la dependencia de los servicios informticos ante el evento de la contingencia.
25/11/2005 Semana de Seguridad Informtica UNAM ENEP ARAGON

Alejandro Cerezo INSYS Gerente BCM

Conmutador: 5480-5400

25/11/2005

Semana de Seguridad Informtica UNAM ENEP ARAGON