Conceptos Generales Conceptos Generales DRP • PLAN DE RECUPERACIÓN DE DESASTRES: Estrategias definidas para asegurar la reanudación oportuna y ordenada de los servicios informáticos críticos en caso de contingencia. BCP • PLAN DE CONTINUIDAD DEL NEGOCIO: Conjunto de procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los procesos de negocio generando un impacto mínimo ante un incidente. BCM • ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO: Proceso administrativo completo que identifica impactos potenciales que puedan afectar a la organización. Provee la estructura para dar flexibilidad y respuestas efectivas para salvaguardar los intereses de la organización. Conceptos Generales Un DRP responderá a… • Existen respaldos de la información? • Los sistemas de información son de alta disponibilidad? • Existen centros de datos alternos? • Están documentadas las estrategias de recuperación de los sistemas de información? • Cómo se salvaguarda la información vital? Conceptos Generales Un programa de BCP responderá a… • • • • • Qué es un desastre? Cuál es el impacto asociado? Cuánta pérdida puede ser tolerada? Cuáles son las alternativas? Cómo restablecer las funciones del negocio/servicio? • Cuánto costará un plan de recuperación? • Cuánto es suficiente? Conceptos Generales Objetivos BCM (I) • Proteger al personal y los activos corporativos • Asegurar la continuidad de las operaciones • Garantizar la reanudación de los procesos críticos dentro de los márgenes de tiempo tolerables Integrales con proveedores • Minimizar el proceso de toma de decisiones durante una contingencia Conceptos Generales Objetivos BCM (II) • Reducir los efectos negativos ocasionados por el caos • Cumplir con requerimientos Legales /Contractuales /Gubernamentales • Eliminar la necesidad de desarrollar nuevos procedimientos durante la contingencia • Minimizar la posibilidad de pérdida de información crítica para el negocio Integrales con proveedores • Mantener el servicio al cliente Conceptos Generales “…la resiliencia [es] la capacidad humana de hacer frente a las adversidades de la vida, superarlas y salir de ellas fortalecido e, incluso, transformado” (Grotberg, 1996). Tecnología Comunicaciones Seguridad Conocimiento Rec .Humanos Operaciones Calidad Rec. Desastres Emergencias Finanzas Conceptos Generales Resiliencia Organizacional Conceptos Generales Evaluación de riesgos Comunicación de crisis Sensibilización y capacitación Análisis de impacto Estrategias de recuperación Por dónde comienzo? Pruebas y ejercicios Coordinación con autoridades externas Desarrollo del Plan Actualización del Plan “…plans are useless but planning is essential” Dwight D. Eisenhower “…los planes son inútiles, pero la planeación es esencial” Dwight D. Eisenhower Mejores prácticas y lineamientos aplicables Mejores prácticas País origen USA USA Basilea UK USA Metodología Estándar Guía Desarrollada por: Propósito Disaster Lineamientos. 10 Prácticas Profesionales Recovery para gestionar la continuidad del negocio. mantener un sistema de gestión de Institute (DRII) Professional Practices for Businesss Continuity Management Fecha 2003 Implementar y continuidad del negocio (BCMS): Lineamientos para manejo de programas de National Fire NFPA-1600. Standard on Protection atención de emergencias, atención de 1. Entender la organización 2004 Disaster/Emergency Management 1. Inicio y Administración del Proyecto desastres y programas de continuidad del Association 1. and Regulaciones Business Continuity Programs 2. Determinar las estrategias deRiesgo continuidad del negocio (NFPA) negocio. 2. Evaluación y Control de 2. Evaluación de riesgos 3. Desarrollar ede implementar las estrategias 3. Análisis Impacto del Negocio Bank for Principios (BIA) para apoyar entidades del sector 3. Prevención de incidentes 4. Ejercitar y mantener el BCMS BASEL - High level for International de financiero en la gestión de continuidad del 4. principles Selección y Desarrollo Estrategias de Continuidad 2006 1. Entender la organización 4. business Mitigación continuity Settlements negocio con miras a mejorar la resiliencia del 5. Monitorear y revisar el BCMS 5.administración Respuesta y(BIS) Operaciones de Emergencia sector financiero. 2. Definir política de cumplimiento 5. Logística y de recursos 6. Integrar BCM en la cultura organizacional Principios: 6. Desarrollo e Implementación Planes de Continuidad 3. Planeación 6. Ayuda y asistencia Estándares para desarrolar y gestionar 1. Soportede y Concientización responsabilidad deEntrenamiento lacontinuidad alta gerencia 7. Programas y BS25999 Business Continuity British Standards programas de 2006 4. Implementación y operación 7. Planeación 2. Manejo de interrupciones importates endelanegocios. operatividad Management 8. Prueba, Ejercitación Institute (BSI) Parte 1: Código dede práctica 2007 y Mantenimiento los Planes de 5. de Seguimiento 8. Administración incidentes Parte 2: Especificaciones 3. Objetivos de recuperación Continuidad 9. ISO Comunicaciones 22399:2007. Societal 4. securityComunicaciones internas y externas Principios y elementos para desarrollo e International 9. Comunicación de Crisis Guideline for incident preparedness 10. Procedimientos operacionales implementación de programas de atención de Organization for 5. Comunicaciones globales 2007 and operational continuity 10.Coordinación con Autoridades Públicas Standardization incidentes y continuidad operacional en las 11.management. Entrenamiento 6. PruebasISO organizaciones. 12. Ejercicios, evaluaciones y acciones correctivas 7. Revisiones de BCM por autoridades financieras 13. Comunicación de crisis 14. Finanzas y administración del programa Mejores prácticas País origen Colombia Metodología Estándar Guía GTC 176. Guía técnica colombiana. Sistema de Continuidad de Negocio 1. 2. 3. 4. 5. 6. 7. 8. Desarrollada por: ICONTEC Propósito Lineamientos para la gestión de continuidad del negocio. Enfocada en gestión de procesos. Principios Sistema de gestión de la continuidad del negocio Gestión del riesgo Análisis de impacto Estrategias de continuidad Desarrollo de los planes de continuidad Manejo de crisis Gestión de competencias para la continuidad del negocio 9. Mantenimiento y actualización del sistema de gestión de la continuidad del negocio Fecha 2008 Regulaciones que incluyen BCP Metodología Estándar Guía País origen Desarrollada por: Propósito Fecha UK ISO27001. Information Security Management British Standards Institute (BSI) Estándares para el desarrollo, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI). A.14 Gestión de la Continuidad del Negocio UK ITIL. IT Infrastructure Library’s Service Delivery Management practices Office of Governement Commerce Lineamientos para mantener la continuidad de servicios de tecnología. 2007 SuperFinanciera Reglas relativas a la administración del riesgo operativo. 3.1.3.1 Administración de la continuidad del negocio 2006 SuperFinanciera 3.2.3 Exigir que los terceros dispongan de planes de contingencia y de continuidad debidamente documentados 2007 Colombia Colombia SARO Circular 052 2005 Proceso metodológico según BS25999 Metodología Cultura organizacional Entender la organización Probar, mantener y revisar Programa de Administración de Continuidad del Negocio Desarrollo e implementación de respuestas Estrategias de continuidad Metodología Entender la organización Programa de Administración de Estrategias Probar, mantener y de revisar continuidad Continuidad del Negocio Desarr ollo e implem entació n de respue stas • Política de continuidad • Gobernabilidad • Implementación del programa • Gestión del programa Metodología Entender la organización • Identificar: – Objetivos organizacionales – Factores ambientales – Procesos críticos (interdependencias) – Análisis de riesgos – Análisis de impacto del Negocio (BIA) • • • • Tiempos de Recuperación (RTO) Pérdida de información (RPO) Acuerdos de servicio Recursos mínimos para operar Metodología Entender la organización (Análisis de riesgos) Riesgo • • “Evento que pude ocasionar un daño en un activo” Se valora como una función del impacto, amenaza, vulnerabilidad y probabilidad Riesgo = Probabilidad * Impacto Metodología Entender la organización (Análisis de riesgos) Impacto Consecuencias para el negocio dado el daño al activo. Ejemplos: – Financiero – Imagen – Continuidad – Integridad de personas – Clientes… • Dificultad de cálculo exacto. – Definir y seleccionar una escala de impactos Metodología Entender la organización (Análisis de riesgos) Amenaza • Declaración intencionada de infligir un daño – Robo, virus, acceso no autorizado • Potencial de que un incidente no deseado pueda producir daños a la información – Humano: falta de personal, error de operación… – Técnico: fallo de equipos • Desastre natural, intencional o accidental: – Inundación, terremoto, incendio… Metodología Entender la organización (Análisis de riesgos) Vulnerabilidad Debilidad de un activo que puede ser explotada por una amenaza para materializar una agresión sobre dicho activo: – Falta de control de acceso – Equipos en lugares inadecuados – Cables desprotegidos – Falta de personal clave – Mantenimiento inexistente Una vulnerabilidad, por sí – Puertas abiertas misma, no produce daños. Es una condición para que la – Personal no capacitado amenaza afecte al activo. Metodología Entender la organización (Análisis de riesgos) Probabilidad Cifra que expresa el grado de que un hecho sea absolutamente seguro de que ocurra o no. Se expresa: – Cualitativamente : Bajo, Moderado, Alto, Extremo –Cuantitativamente: 0 - 1 Metodología Entender la organización (Análisis de riesgos) Activo Amenaza Vulnerabilidad Mitigación ¿Qué trata de proteger? ¿Qué teme que suceda? ¿Cómo puede ocurrir la amenaza? ¿Cómo se reduce actualmente el riesgo? Impacto ¿Cuál es el impacto al negocio? Probabilidad ¿Qué tan probable es la amenaza dados los controles? Riesgo es la materialización de una amenaza aprovechando la vulnerabilidad de un activo Metodología Entender la organización (Análisis de riesgos) 1. Establecer el Contexto 3. Analizar Riesgos 4. Evaluar Riesgos 5.Tratar Riesgos Estándar AS/NZS 4360 Monitorizar y Revisar Comunicar y consultar 2. Identificar Riesgos Metodología Entender la organización (Análisis de riesgos) Establecer el contexto • • • • • Estratégico Organizacional Administración de riesgos Criterios Estructura Metodología Entender la organización (Análisis de riesgos) Identificar Riesgos Qué puede suceder? Cómo puede suceder? Metodología Entender la organización (Análisis de riesgos) Analizar Riesgos Medidas cualitativas de impacto Nivel Descriptor Ejemplo 1 Insignificante Sin perjuicios, baja pérdida financiera 2 Menor Tratamiento de primeros auxilios, liberado localmente, pérdida financiera media 3 Moderado Requiere tratamiento médico, pérdida financiera alta 4 Mayor Perjuicios extensivos sin efectos nocivos, pérdida financiera mayor 5 Catastrófico Muerte, efectos nocivos, enorme pérdida financiera Metodología Entender la organización (Análisis de riesgos) Analizar Riesgos Medidas cualitativas de probabilidad Nivel Descriptor Descripción A Casi certeza Se espera que ocurra en la mayoría de las circunstancias B Probable Probablemente ocurrirá en la mayoría de las circunstancias C Posible Podría ocurrir en algún momento D Improbable Podría ocurrir en algún momento E Raro Puede ocurrir solo en circunstancias excepcionales Metodología Entender la organización (Análisis de riesgos) Analizar Riesgos Matriz de análisis de riesgo cualitativo Impacto Insignif. 1 Menores 2 Moderadas 3 Mayores 4 Catastróficas 5 H H E E E M H H E E C (moderado) L M H E E D (improbable) L L M H E L L M H H Probabilidad A (casi certeza) B (probable) L: Bajo M: Moderado H: Alto E: Extremo E (raro) Metodología Entender la organización (Análisis de riesgos) Evaluar riesgos • • • Comparar contra criterios Establecer prioridades de riesgos Decidir entre aceptación o tratamiento de riesgos Metodología Entender la organización (Análisis de riesgos) Tratar riesgos Terminar Tratar Probabilidad Tolerar Transferir Impact Metodología Entender la organización (Análisis de riesgos) Monitorizar y revisar • • Condiciones cambiantes exigen seguimiento permanente Actualización Comunicar y consultar • Plan de comunicaciones – Involucrar interesados (internos y externos) Metodología Entender la organización (BIA) • Identificar: – Objetivos organizacionales – Factores ambientales – Procesos críticos (interdependencias) – Análisis de riesgos – Análisis de impacto del Negocio (BIA) • • • • Tiempos de Recuperación (RTO) Pérdida de información (RPO) Acuerdos de servicio Recursos mínimos para operar Metodología Entender la organización (BIA) BIA (Análisis de Impacto del Negocio) – Identificar procesos críticos – Valorar impacto en procesos críticos • Cualitativo / Cuantitativo – – – – Determinar tiempos objetivos de recuperación Priorizar procesos para su recuperación Determinar los recursos mínimos de recuperación Identificar previamente estrategias Metodología Entender la organización (BIA) Valoración de Impacto ¾Cuantitativo ¾Valor aceptable de la pérdida ¾Volumen promedio de operaciones ¾Operaciones en día crítico ¾Penalidades y multas ¾Cualitativo ¾Descripción del impacto de la NO disponibilidad ¾Reconstrucción de imagen y credibilidad Impacto Empleados Público en general Información Cumplimiento Reputación Financiero Calidad de servicios Ambiente Metodología Entender la organización (BIA) Análisis de impacto de aplicaciones Procesos vs. SI SI1 SI2 Facturación X Cartera X X Pagos X X SI: Sistema de información SI4 X Administración de citas médicas Adquisición medicamentos SI3 SI5 SI7 X X X X X X SI6 X X Metodología Entender la organización (BIA) Tiempos y puntos objetivos de recuperación Punto Objetivo de Recuperación (RPO) Qué tan actualizados necesitan estar los datos? Sem Días Hrs Min Punto de Recuperación Seg Tiempo Objetivo de Recuperación (RTO) Cuál es la tolerancia a la no disponibilidad? Seg Min Hrs Días Sem Tiempo de Recuperación Metodología Entender la organización (BIA) • Requerimientos mínimos aceptables – – – – – Ventanas de recuperación Información Recurso humano Documentos Instalaciones Metodología Estrategias de continuidad • • • • • Recurso humano Tecnología Información vital Proveedores Socios de negocio Metodología Estrategias de continuidad • Recurso humano – Mantener habilidades y conocimiento – Segregación de actividades críticas – Sitios alternos – Acceso remoto Metodología Estrategias de continuidad Las cintas del backup están dentro del vehículo!!! • Tecnología – Elementos por considerar: • • • • Hardware Software Telecomunicaciones Backup y recuperación Metodología Estrategias de continuidad Tecnología Disponibilidad Tiempo abajo 90% 52,560 min/año=36,5 días/año 99% 5,256 min/año=3,65 días/año 99,9% 526 min/año=8,76 horas/año 99,99% 52,56 min/año 99,999% 5,26 min/año 99,9999% 30 seg/año • Tolerancia a fallos (fault tolerance) – • Balanceo de carga (load balancing) – • Sistemas que comparten la carga de trabajo para evitar recursos ociosos y bajo desempeño. Alta Disponibilidad (high availability) – • Un sistema tolerante a fallos puede continuar brindado servicios a pesar de fallas de hardware. Sistema que es continuamente operacional, mediante la implementación de controles preventivos, detectivos y correctivos. Virtualización – Abstracción de recursos computacionales Metodología Estrategias de continuidad (Virtualización) Máquina Virtual 4 Máquina Virtual 3 Máquina Virtual 2 Máquina Virtual 1 VM2.vmx SCSI0-0.vmdk SCSI0-1.vmdk Metodología Estrategias de continuidad Restauración • Tecnología – Centros de cómputo Recuperación Reanudación Respuesta Prevención • • • • Distancia Número Acceso remoto Comunicación redundante • Acuerdos de servicio (SLA) • Seguridad Metodología Estrategias de continuidad Tipos de centros de cómputo Nivel I Nivel II Nivel III Nivel IV Tipo de edificio Compartido Compartido Independiente Independiente Personal Ninguno 1 turno > 1 turno 7x24 Caminos de acceso Solo 1 Solo 1 1 activo 1 pasivo 2 activos Redundancia N N+1 N+1 2(N+1) Climatización ininterrumpida No No Puede ser Sí Puntos únicos de fallo Muchos + error humano Muchos + error humano Varios + error humano Ninguno + error humano Disponibilidad 99.671% 99.794% 99.982% 99.995% Meses para implementar 3 3-6 15-20 15-20 Clasificación según Uptime Institute Metodología Estrategias de continuidad • Tecnología – Alternativas de recuperación • Sitios de recuperación externos (hot site, cold site, warm site) • Recuperación interna • Acuerdos recíprocos • Procedimientos manuales • Suspensión de servicios Tecnología – alternativas de recuperación Sem Días Hrs Min Seg Seg Punto de Recuperación (RPO) Cintas de respaldo Replicación asíncrona Min Hrs Días Sem Tiempo de Recuperación (RTO) Replicación síncrona Hot site Warm site Cold site Acuerdos de respaldo Metodología Estrategias de continuidad • Información vital – Almacenamiento y recuperación – Confidencialidad – Integridad – Disponibilidad – Actualizada – Físico/Digital Metodología Estrategias de continuidad • Proveedores/Socios de Negocios – – – – – Dependencias Coordinación Verificación del plan Pruebas Políticas Metodología Implementación de respuestas • Implementación de planes de continuidad • Respuesta a la emergencia • Respuesta a incidentes de seguridad Metodología Implementación de respuestas BCP Qué? Quién? Cuándo? Dónde? Cómo? • Implementación de planes – Equipos de trabajo • Reanudación • Recuperación – – – – Controles Seguridad Inventarios Recursos Metodología Implementación de respuestas • Respuesta a la emergencia – Salvamento de vidas – Sistema de prevención y atención de emergencias – Sistemas de protección – Autoridades locales – Simulacros Metodología Implementación de respuestas Definir Categorizar Escalar Notificar Pre-planear Recuperación Normal Salvamento de vidas Protección de Propiedad Seguridad Física Tecnología Responder/Estabilizar/Mitigar/Manejar Recuperar – Restaurar - Reanudar Identificar Evento - Respuesta Manejo de respuesta de Emergencia Pública Normal Recuperar/Normal Metodología Probar, mantener y revisar “Escucho y olvido; veo y recuerdo; hago y entiendo.“ Tao Te King Metodología Probar, mantener y revisar • Pruebas • Mantenimiento – Planes – Programa • Revisión Metodología Probar, mantener y revisar • Pruebas – Notificación – Salvamento – Coordinación con autoridades – Estrategias • Tecnológicas • Operativas Metodología Probar, mantener y revisar Complejidad Simple Media Alta Prueba Escritorio simulación Ejercicio parcial Ejercicio de todo el plan Objetivo Variantes Frecuencia Revisión contenido BCP Act./Validar Auditoría Verificación Involucrar roles Trimestral Semestral Anual Situación controlada que no impacte la operación normal Operaciones críticas en sitio alterno (anunciadassorpresa) Evacuación Activación de contingencias tecnológicas y operativas Involucrar proveedores (anunciadassorpresa) Adaptado de: “Types and methods of execising BCM strategies” BS25999-1:2006, p.37 Semestral Semestral Metodología Probar, mantener y revisar • Tipos de pruebas Horarios no hábiles. Horarios no hábiles con grupos de clientes. Horarios hábiles con grupos de clientes. Horarios hábiles con todos los clientes. Día Æ Semana Æ Varias semanas. Alternar producción & contingencia. Metodología Probar, mantener y revisar Metodología Probar, mantener y revisar Metodología Probar, mantener y revisar • Mantenimiento – – – – Actualización Registro Distribución Criterios de revisión Metodología Modelo de Madurez Probar, mantener y revisar Metodología Probar, mantener y revisar Modelo de Madurez Analogía del atleta Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6 •Capacidad para avanzar lentamente •Capacidad para caminar •Capacidad para correr •Apto para correr •Corredor competitivo •Corredor olímpico Organización en riesgo Ejecutor competente Mejor de la clase Adaptado de: “Modelo Completo de Madurez de Continuidad del Negocio de Dominio Público” Virtual Corporation, 2006 Metodología Probar, mantener y revisar Liderazgo Contenido Conciencia Liderazgo Coordinación Competencias Recursos Estructura Penetración Métricas Es el compromiso y entendimiento demostrado por la Alta Gerencia con respecto a la implantación, en toda la compañía y de manera escalada del programa de continuidad Metodología Probar, mantener y revisar Liderazgo Contenido Coordinación Conciencia Competencias Recursos Estructura Penetración Métricas Conciencia El personal de la organización en todos los niveles, conoce y entiende la importancia de la continuidad del negocio. Metodología Probar, mantener y revisar Liderazgo Contenido Conciencia Estructura Coordinación Competencias Recursos Estructura Penetración Métricas Definición del programa de continuidad del negocio con roles y responsabilidades claras. (Nivel y calidad de implementación) Metodología Probar, mantener y revisar Liderazgo Contenido Coordinación Conciencia Competencias Recursos Estructura Penetración Métricas Penetración Nivel de coordinación de la continuidad del negocio existente entre las unidades de negocio. Las áreas incorporan iniciativas. Metodología Probar, mantener y revisar Liderazgo Contenido Coordinación Conciencia Competencias Recursos Estructura Penetración Métricas Métricas Identificación, medición y reporte frecuente de indicadores cuantificables para monitorear el rendimiento del programa de continuidad. Permiten medir el cumplimiento de objetivos establecidos. Metodología Probar, mantener y revisar Liderazgo Contenido Coordinación Conciencia Competencias Recursos Estructura Penetración Métricas Recursos Disponibilidad de recursos humanos y financieros necesarios para asegurar el sostenimiento del programa Metodología Probar, mantener y revisar Liderazgo Contenido Conciencia Coordinación Socios de negocio Coordinación Competencias Recursos Estructura Penetración Métricas Autoridades locales Gobierno Metodología Probar, mantener y revisar Liderazgo Contenido Conciencia Contenido Actualización Coordinación Competencias Estructura Mejora permanente Calidad Administración de seguridad Recursos Penetración Métricas Metodología Cultura Organizacional • Sensibilización • Desarrollo de competencias • Entrenamiento • Aprender de la experiencia • Incluir a proveedores y socios de negocio • Inducción a nuevos empleados Metodología En síntesis…. Planeación de la Continuidad del Negocio Pruebas – Mejora continua Entrenamiento Mantenimiento Aseguramiento de la Calidad Planes Equipos Tareas BIA Responsabilidades Estrategias Alcance Políticas Propósito Objetivos Supuestos Compromiso y soporte de la Alta Gerencia