Disaster Recovery Plan: que fer en cas de pèrdua crítica de dades

Anuncio
Cibernàrium
Disaster Recovery Plan: que fer en cas de
pèrdua crítica de dades
Capacitació Tecnològica per a Professionals i
Empreses
www.bcn.cat/cibernarium
Ajuntament
de Barcelona
Cibernàrium
Barcelona Activa: Qui som?
Barcelona Activa, integrada en l’àrea d’Economia, Empresa i Ocupació, és l’organització executora de les
polítiques de promoció econòmica de l’Ajuntament de Barcelona.
Des de fa 25 anys impulsa el creixement econòmic de Barcelona i el seu àmbit d’influència donant suport a
les empreses, la iniciativa emprenedora i l'ocupació, alhora que promociona la ciutat internacionalment i els
seus sectors estratègics; en clau de proximitat al territori.
Barcelona Activa va ser guanyadora del Gran Premi del Jurat 2011, atorgat per la DG d’Empresa i Indústria de
la Comissió Europea en el marc dels European Enterprise Awards, per la iniciativa empresarial més creativa i
inspiradora d’Europa.
Pàg 2
www.bcn.cat/cibernarium
www.segall.es
Ajuntament
de Barcelona
Cibernàrium
Àrees d’activitat de Barcelona Activa
Barcelona Activa s’estructura en tres grans blocs de serveis a les Empreses, a l’Emprenedoria i
a la Ocupació. La Formació és un instrument transversal present en els tres blocs, així com
també tot el relacionat amb l’economia social.
Empresa
Emprenedoria
Capacitació
Professional
i Ocupació
Formació
Economia Social
Pàg 3
www.bcn.cat/cibernarium
www.segall.es
Ajuntament
de Barcelona
Cibernàrium
Una xarxa d’Equipaments Especialitzats
Seu Central
Parc Tecnològic
BCN Nord
Centre
Iniciativa Emprenedora
Incubadora
Glòries
Almogàvers
Business Factory
Centre
Desenvolupament
Professional Porta22
Cibernàrium
MediaTIC
Convent
de Sant Agustí
Xarxa de Proximitat
Can Jaumandreu
Ca n’Andalet
13 antenes Cibernàrium a biblioteques
10 punts d’atenció en Ocupació
Pàg 4
www.bcn.cat/cibernarium
www.segall.es
Disaster Recovery Plan
Cibernàrium
Enric Gómez Arcusa
Ingeniero Industrial por la E.T.S.E.I.B.
C.I.S.A. (Certified Information Systems Auditor)
Auditor y Consultor, con más de 35 años de experiencia en el sector de las
Tecnologías de la Información, especialmente en temas de Seguridad de la Información.
Entre otras, ha trabajado en empresas de auditoria y consultoría (Price Waterhouse, G.M.S.),
servicios (Entel), seguros (Winterthur Ibérica), y automoción (S.E.A.T., Lear Coporation).
Con amplia experiencia en programas de auditoría informática, así como en la supervisión e
implantación de proyectos de Disaster Recovery.
Actualmente colabora con el grupo de especialistas técnicos de SEGALL TECNOLOGIA.
Más información en:
https://www.linkedin.com/pub/enrique-gomez/4/521/142
http://www.segall.es
[email protected]
5
www.bcn.cat/cibernarium
www.segall.es
Disaster Recovery Plan
Cibernàrium
Disaster Recovery Plan
Cómo asegurar la disponibilidad y supervivencia
de los sistemas de información de la empresa
Pàg 6
www.bcn.cat/cibernarium
www.segall.es
Disaster Recovery Plan
Cibernàrium
Índice
1.
Introducción
2.
Visión general
3.
Alcance
4.
Requerimientos
5.
Componentes básicos
6.
Algunos productos
7.
Preguntas
Pàg 7
www.bcn.cat/cibernarium
www.segall.es
1. Introducción
Cibernàrium
IMAGINE…
…que su empresa estuviera en
New Orleans, después del
Huracán Katrina (Agosto 2005)…
8
www.bcn.cat/cibernarium
www.segall.es
1. Introducción
Cibernàrium
…o en Springfield, Massachusetts,
después del tornado del 1 de
Junio de 2011…
9
www.bcn.cat/cibernarium
www.segall.es
1. Introducción
Cibernàrium
2011: Año de desastres en Massachusetts
• Enero: Ventiscas
• 1 de Junio: Tornado
• 18-28 de Agosto: Huracán Irene. Más de 500.000 personas sin
suministro eléctrico, algunas durante más de una semana
• 24 de Agosto: Terremoto
•
29 de Octubre: Tempestad de nieve. Más de 600.000 personas sin
suministro eléctrico. La interrupción duró varios días
Millones en daños y pérdidas de negocios
10
www.bcn.cat/cibernarium
www.segall.es
1. Introducción
Cibernàrium
Algunas declaraciones recientes de grandes desastres
•
•
•
•
•
•
•
29-30 Octubre 2012
8-17 Enero 2013
8-9 Febrero 2013
11-21 Junio 2013
17-18 Nov. 2013
10-15 Febrero 2014
11-12 Mayo 2014
Ohio
Louisiana
New York
Colorado
Illinois
S. Carolina
Nebraska
•
3-4 Junio 2014
Iowa
•
•
•
24 Agosto 2014
California
18 Septiembre 2014 California
30 Septiembre 2014 Kentucky
•
10 Octubre 2014
Montana
Huracán Sandy
Fuertes tormentas, tornados e inundaciones
Intensas tormentas de nieve
Incendio incontrolado
Intensas tormentas, fuertes vientos e inundaciones
Intensas tormentas de nieve
Intensas tormentas, tornados, fuertes vientos e
inundaciones
Intensas tormentas, tornados, fuertes vientos e
inundaciones
Terremoto
Gran incendio
Fuertes tormentas, inundaciones, derrumbes y
deslizamientos de tierra
Intensas tormentas, fuertes vientos e inundaciones
Fuente: FEMA (Federal Emergency Management Agency)
11
www.bcn.cat/cibernarium
www.segall.es
1. Introducción
Cibernàrium
Sectores de infraestructura crítica
•
Agricultura y alimentación
•
Comunicaciones
•
Energía
•
Fabricación
•
Instalaciones comerciales
•
Instalaciones gubernamentales
•
IT
•
Presas
•
Químico
•
Reactores nucleares, Materiales y Residuos
•
Servicios de emergencia
•
Salud y Salud pública
•
Servicios financieros
•
Transportes
•
Tratamiento de Aguas y Aguas residuales
Fuente: CERT (Community Emergency Response Team), Software Engineering Institute , Enero 2014
12
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
¿Qué es un Disaster Recovery Plan?
Es un conjunto de procesos de recuperación que cubre los datos,
el hardware y el software crítico, para que un negocio pueda
comenzar de nuevo sus operaciones en caso de un desastre
natural o causado por humanos.
También debería incluir procedimientos para enfrentarse a la
pérdida inesperada o repentina de personal clave.
13
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
Definiciones:
¿Qué entendemos por desastre?
Un evento que impacta en la capacidad de una instalación para
operar normalmente.
•
•
•
•
•
•
•
•
•
•
Catástrofes
Fuego
Fallos en el suministro eléctrico
Ataques terroristas, disturbios
Interrupciones organizadas o deliberadas
Fallos del sistema y/o equipo
Error humano
Virus, amenazas y ataques informáticos
Cuestiones legales
Huelgas de empleados
14
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
Definiciones:
¿Qué entendemos por sistema crítico?
Es un sistema soportado por IT, definido como indispensable para
las operaciones de la empresa por los procesos del negocio o los
propietarios de los datos.
15
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
Definiciones:
¿Qué entendemos por riesgo?
Es un problema potencial que puede provocar un desastre
16
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
Definiciones:
¿Qué entendemos por evaluación de riesgos?
Es el proceso de identificación de riesgos (tal como se ha definido
anteriormente), evaluando la posibilidad de que esos eventos
ocurran
17
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
¿Porqué abordar un proyecto de Disaster Recovery Plan?
• Concienciación de la Dirección
• Establecer un programa básico de referencia para DR
• Eficiencia operacional
• Minimizar los riesgos de IT (implica incrementar la seguridad)
• Responsabilidades Patrimoniales
• Requerimiento Legal
• Requerimientos de clientes
• Requerimientos de Auditoría Interna y/o Externa
18
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
¿Porqué abordar un proyecto de Disaster Recovery Plan?
“Una compañía que experimenta una interrupción de sus servicios
informáticos durante más de 10 días nunca se recuperará
financieramente por completo. El 50% tendrá que finalizar su
actividad en 5 años.”
•
El 70% de las pequeñas empresas que sufren una importante pérdida de datos cerrarán
en un año
•
Las compañías que no son capaces de reanudar sus operaciones en los 10 días
siguientes a la ocurrencia de un desastre no es probable que sobrevivan
•
De aquellas empresas que experimenten un desastre y no tengan un plan de
emergencia, el 43% nunca volverá a abrir; de las que vuelvan a abrir, sólo el 29%
estarán aún operativas dos años después.
Fuente: Counselors to America’s Small Businesses
19
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
¿Porqué abordar un proyecto de Disaster Recovery Plan?
•
El 15-40% de las empresas fracasan después de un desastre natural o hecho
por el hombre *
•
El 35% de las pequeñas y medianas empresas tienen un plan integral de
recuperación de desastres **
•
El 94% de los propietarios de pequeñas empresas creen que un desastre
podría afectar seriamente su negocio dentro de los próximos dos años ***
•
El 51% de los estadounidenses ha experimentado al menos un caso de
emergencia que ha implicado la pérdida de servicios durante al menos 3 días,
la evacuación de su hogar u oficina, la pérdida de la comunicación con los
miembros de la familia o tener que proporcionar primeros auxilios a los demás
****
Fuentes: *Insurance Information Institute, **Gartner, ***American Red Cross and FedEx Small Business Survey, 2007,
****American Red Cross/Harris Poll Survey, 2009.
20
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
¿Porqué abordar un proyecto de Disaster Recovery Plan?
Principales eventos disruptivos de negocio
•
Interrupción del suministro eléctrico
•
Interrupción de Internet
•
Caída de un servidor
•
Virus, hackers y brechas de seguridad
•
Problemas basados en la ubicación, como evacuación de un edificio debido a
un incendio, derrames peligrosos, rotura de conducciones, robo, etc.
21
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
¿Porqué abordar un proyecto de Disaster Recovery Plan?
¿Cuál es el coste actual en € para el negocio
si estuviera interrumpido un día?
22
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
¿Porqué abordar un proyecto de Disaster Recovery Plan?
¿Cuál es el coste actual en € para un negocio
si estuviera interrumpido un día?
Coste medio del tiempo de inactividad:
•
Pequeñas empresas:
2.300 € al día
•
Medianas empresas:
18.000 € al día
Fuente: Symantec 2011 SMB Disaster Preparedness Survey - Global: January 2011
23
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
¿Porqué abordar un proyecto de Disaster Recovery Plan?
¿Cuál es el coste actual en € para un negocio
si estuviera interrumpido un día?
Coste real del tiempo de inactividad:
•
•
•
Pérdida de capacidad de trabajo
Pérdida de ingresos
Pérdida de servicio
Todos son efectos en cascada. La pérdida total es mayor de lo que se piensa
24
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
¿Porqué abordar un proyecto de Disaster Recovery Plan?
A pesar de las advertencias, la mayoría de las pequeñas y medianas
empresas aún no están preparadas para un desastre
•
El 50% no tienen un Disaster Recovery Plan implantado
•
El 41% nunca ha pensado en implantar un plan
Fuente: Symantec 2011 SMB Disaster Preparedness Survey - Global: January 2011
25
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
¿Porqué abordar un proyecto de Disaster Recovery Plan?
Las pequeñas y medianas empresas están en situación de riesgo
•
El 40% dijeron que el Disaster Recovery no es una prioridad
•
Menos del 50% hacen back-up de sus datos semanalmente o con mayor
frecuencia
•
El 23% hacen back-up de sus datos diariamente
Symantec 2011 SMB Disaster Preparedness Survey - Global: January 2011
26
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
¿Porqué abordar un proyecto de Disaster Recovery Plan?
Las pequeñas y medianas empresas no actúan hasta que es
demasiado tarde
•
El 50% de pequeñas y medianas empresas que implementaron un Disaster
Recovery Plan lo hicieron después de experimentar una interrupción y/o una
pérdida de datos
•
De hecho, sólo el 28% probó su Disaster Recovery Plan
Symantec 2011 SMB Disaster Preparedness Survey - Global: January 2011
27
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
¿Porqué abordar un proyecto de Disaster Recovery Plan?
Errores comunes de las pequeñas y medianas empresas
Falta de:
•
•
•
•
•
•
•
Un Disaster Recovery Plan formal y por escrito
Protección de datos externa
Políticas de retención de datos
Pruebas de restauración / pruebas del DR plan efectuadas regularmente
Garantías de protección de datos críticos
Centrarse en la recuperación
Una persona designada como responsable del DR Plan
28
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
Objetivos de un proyecto DRP
• Desarrollar el Disaster Recovery Plan para todas las ubicaciones
afectadas
• Incrementar la concienciación de la Dirección sobre el impacto en el
negocio debido a interrupciones significativas del sistema
• Implantar un modo homogéneo para desarrollar y documentar los
planes
• Probar los Disaster Recovery Plans desarrollados para asegurar su
viabilidad
• Implantar procesos para abordar y mantener los planes de Disaster
Recovery cuando se produzcan cambios en el entorno de las TI
29
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
Análisis de Impacto
Enfoque
Fase I Análisis de
Impacto
Proceso del
Disaster
Recovery Plan
En esta fase, se identifica
el impacto en el negocio si
los sistemas de información
se interrumpen por un
período de tiempo
prolongado.
Como parte del análisis de
impacto, se realiza una
evaluación de riesgos del
entorno operativo existente
30
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
Análisis de Impacto
Enfoque
Fase I Análisis de
Impacto
Proceso del
Disaster
Recovery Plan
Fase II Moderación
de Riesgos
En esta fase, se identifica
el impacto en el negocio si
los sistemas de información
se interrumpen por un
período de tiempo
prolongado.
Como parte del análisis de
impacto, se realiza una
evaluación de riesgos del
entorno operativo existente
Moderación de
Riesgos
En esta fase se evalúan
estrategias alternativas
para reducir los riesgos
asociados con la pérdida
de capacidades del sistema
de información, que fueron
identificados en la fase de
Análisis de Impacto
31
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
Análisis de Impacto
Enfoque
Fase I Análisis de
Impacto
Proceso del
Disaster
Recovery Plan
Fase II Moderación
de Riesgos
En esta fase, se identifica
el impacto en el negocio si
los sistemas de información
se interrumpen por un
período de tiempo
prolongado.
Como parte del análisis de
impacto, se realiza una
evaluación de riesgos del
entorno operativo existente
Moderación de
Riesgos
Fase III Desarrollo
del Plan
Desarrollo del Plan
Una vez decidida la estrategia alternativa, se
documentan los procesos de recuperación para los
sistemas críticos identificados durante la fase de
Análisis de Impacto
En esta fase se evalúan
estrategias alternativas
para reducir los riesgos
asociados con la pérdida
de capacidades del sistema
de información, que fueron
identificados en la fase de
Análisis de Impacto
32
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
Análisis de Impacto
Enfoque
Fase I Análisis de
Impacto
Mantenimiento del
Plan
En esta fase se
institucionaliza el
proceso de Disaster
Recovery Plan en la
Organización.
Esto implica la
definición de los
parámetros de prueba
y el ajuste de los
procesos existentes
para incluir los
componentes de
recuperación de
desastres
Fase IV Mantenimiento
del Plan
Proceso del
Disaster
Recovery Plan
Fase II Moderación
de Riesgos
En esta fase, se identifica
el impacto en el negocio si
los sistemas de información
se interrumpen por un
período de tiempo
prolongado.
Como parte del análisis de
impacto, se realiza una
evaluación de riesgos del
entorno operativo existente
Moderación de
Riesgos
Fase III Desarrollo
del Plan
Desarrollo del Plan
Una vez decidida la estrategia alternativa, se
documentan los procesos de recuperación para los
sistemas críticos identificados durante la fase de
Análisis de Impacto
En esta fase se evalúan
estrategias alternativas
para reducir los riesgos
asociados con la pérdida
de capacidades del sistema
de información, que fueron
identificados en la fase de
Análisis de Impacto
33
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
Análisis de Impacto
Enfoque
Fase I Análisis de
Impacto
Mantenimiento del
Plan
En esta fase se
institucionaliza el
proceso de Disaster
Recovery Plan en la
Organización.
Esto implica la
definición de los
parámetros de prueba
y el ajuste de los
procesos existentes
para incluir los
componentes de
recuperación de
desastres
Fase IV Mantenimiento
del Plan
Proceso del
Disaster
Recovery Plan
Fase II Moderación
de Riesgos
En esta fase, se identifica
el impacto en el negocio si
los sistemas de información
se interrumpen por un
período de tiempo
prolongado.
Como parte del análisis de
impacto, se realiza una
evaluación de riesgos del
entorno operativo existente
Moderación de
Riesgos
Fase III Desarrollo
del Plan
Desarrollo del Plan
Una vez decidida la estrategia alternativa, se
documentan los procesos de recuperación para los
sistemas críticos identificados durante la fase de
Análisis de Impacto
En esta fase se evalúan
estrategias alternativas
para reducir los riesgos
asociados con la pérdida
de capacidades del sistema
de información, que fueron
identificados en la fase de
Análisis de Impacto
34
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
Productos finales
• Análisis de Impacto en el Negocio (B.I.A.), incluyendo la priorización de
hard y soft
• Procedimientos de declaración de Desastre
• Notificación de emergencias y planes de comunicación
• Planificación y estrategias de Back-up
• Estrategias de recuperación y enfoques documentados para la
restauración de las infraestructuras críticas de IT
• Procedimientos de restauración de hard y soft
• Procedimientos de prueba del Disaster Recovery
• Procedimientos documentados para asegurar que el Disaster Recovery
Plan permanece viable en el tiempo
35
www.bcn.cat/cibernarium
www.segall.es
2. Visión general
Cibernàrium
VS
36
www.bcn.cat/cibernarium
www.segall.es
3. Alcance
Cibernàrium
Relación entre Disaster Recovery y Seguridad TI
• El objetivo final de ambos es minimizar el riesgo
• Ambos identifican los riesgos para que puedan ser tenidos en
cuenta y minimizados
• Los responsables de seguridad tienen también responsabilidad
sobre el Disaster Recovery
• La política de Disaster Recovery es uno de los
componentes principales de las medidas de
protección de datos
37
www.bcn.cat/cibernarium
www.segall.es
3. Alcance
Cibernàrium
Componentes del Disaster Recovery Plan
Personas
Procesos
Tecnología
38
www.bcn.cat/cibernarium
www.segall.es
3. Alcance
Cibernàrium
Componentes del Disaster Recovery Plan
Personas
En primer lugar se
identifican los
procesos clave de
negocio
Procesos
Tecnología
39
www.bcn.cat/cibernarium
www.segall.es
3. Alcance
Cibernàrium
Componentes del Disaster Recovery Plan
Personas
Después, hay
que identificar las
personas que
soportan esos
procesos
Procesos
Tecnología
40
www.bcn.cat/cibernarium
www.segall.es
3. Alcance
Cibernàrium
Componentes del Disaster Recovery Plan
Personas
Finalmente, se
ha de considerar
la pérdida de la
tecnología que
soporta esos
procesos
Procesos
Tecnología
41
www.bcn.cat/cibernarium
www.segall.es
3. Alcance
Cibernàrium
Dos tipos de planes:
Ubicaciones simples y Centros de Datos
• Los Centros de Datos dan servicio a múltiples ubicaciones y por
ello representan un riesgo mayor para la empresa
VS
• Las ubicaciones simples normalmente tienen una sala de
ordenadores, aunque a menudo hay sistemas de negocio
soportados por un Centro de Datos más grande
• El enfoque del Plan es algo diferente para los Centros de Datos
que para las salas de ordenadores de las ubicaciones simples
42
www.bcn.cat/cibernarium
www.segall.es
3. Alcance
Cibernàrium
Disaster recovery vs Continuidad del negocio
• Disaster recovery es el primer paso en un programa de
continuidad global
• Disaster recovery cubre los componentes de TI de las
operaciones de negocio – incluyendo la sala de ordenadores y
los procesos gestionados por TI
• La Continuidad de negocio se ocupa de las áreas operativas,
incluyendo planes de recuperación financieros y de la planta de
producción.
Los procedimientos de recuperación de estas áreas se
pueden ir abordando a medida que madure el programa de
continuidad global.
.
43
www.bcn.cat/cibernarium
www.segall.es
4. Requerimientos
Cibernàrium
Requerimientos básicos para un proyecto con éxito
• Es necesario apoyo operacional
El Director de la ubicación y el Controller han de estar involucrados e informados
Hay que notificar el estado del proyecto al Comité de Dirección
• La gestión del tiempo es esencial para poder cumplir la intensa
planificación
• Se deben mantener informes de estado
Las ubicaciones deben informar del estado de las tareas
La Dirección Operativa debe estar puesta al día con la periodicidad suficiente
La oficina global del proyecto necesita ser informada para que los promotores tengan una idea
precisa del estado del proyecto
44
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
Componentes básicos de un DR Plan
1.
2.
3.
4.
5.
Inventario
Evaluación de riesgos
Análisis de Impacto en el Negocio (BIA)
Listas de contacto de empleados, clientes y proveedores
Procedimientos de notificación y respuesta a emergencias
6. Procedimientos de backup de datos
7. Procedimientos de recuperación de datos
8. Procedimientos de recuperación del sistema
9. Estrategias de prueba del Plan
10. Procedimientos de mantenimiento del Plan
45
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
1. Inventario
• Realizar un inventario actualizado de equipos y software para
cada ubicación
• Además del inventario de los componentes hard y soft
existentes, es conveniente determinar la configuración mínima
necesaria para que los sistemas críticos puedan funcionar
adecuadamente
46
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
2. Evaluación de riesgos
• Determinar los escenarios posibles y evaluar su riesgo
- ¿Qué tipo de emergencias ha experimentado en el pasado?
- ¿Qué pasaría si un proceso o sistema fallara?
- ¿Qué amenazas tiene la ubicación de su negocio?
- Si a su vecino le sucediera un desastre, ¿tendría consecuencias
para Vd.?
• Cada ubicación puede tener escenarios y grados de riesgo
diferentes
47
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
3. Análisis de Impacto en el negocio (BIA)
• El BIA es una herramienta diseñada para ayudar a identificar los
procesos críticos de negocio y los sistemas de IT que los
soportan o posibilitan. El objetivo de esta herramienta es
identificar los sistemas críticos de IT de forma que se pueda
establecer un Disaster Recovery (DR) Plan cuando sea
necesario.
• Cada ubicación debe evaluar sus procesos de negocio e
identificar los sistemas de IT que les dan soporte.
• El BIA debe ser realizado y actualizado anualmente para cada
proceso de negocio que requiera de un sistema de IT para
funcionar normalmente.
48
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
3. Análisis de Impacto en el negocio (BIA)
Para cada proceso de negocio:
B
A
¿Existe el
proceso en
esta
ubicación?
Si
No
Si
¿Es un
proceso
crítico?
D
C
No
¿Existen en
esta ubicación
sistemas de IT
que soportan
este proceso?
Si
No
¿Son estos
sistemas de
IT críticos
para el
proceso?
Si
No
Un Disaster Recovery Plan no es necesario para este proceso en esta ubicación
Existen sistemas críticos de IT gestionados desde esta ubicación.
Crear el Disaster Recovery Plan que corresponda
49
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
3. Análisis de Impacto en el negocio (BIA)
• Asegurar que todas las aplicaciones (no solo las críticas) han
sido contempladas en el BIA. El Responsable de IT ha de
asegurarse de que todas las aplicaciones, bases de datos,
sistemas operativos y componentes de la infraestructura de IT
se han tenido en cuenta en el BIA.
• Obtener el “Tiempo hasta Impacto” (time to impact):
“Cuánto tiempo puede utilizarse el proceso alternativo al Sistema de
IT interrumpido (o prescindir de él) antes de que se produzca un fallo
en el proceso de negocio”.
50
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
3. Análisis de Impacto en el negocio (BIA)
Areas típicas de negocio:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Facturación
Cobros
Pagos
Compras
Calidad
Desarrollo de productos (I + D)
Información Financiera
Recursos Humanos
Logística y Materiales
Producción
Tecnologías de la Información (EDI, BB.DD., Sistemas Operativos, …)
Comunicación / Relaciones Públicas
Entorno físico
Auditoría Interna
51
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
4. Listas de contactos
• Empleados clave y participantes en los procesos de
recuperación
• Proveedores (especialmente los de hard, soft y servicios)
• Clientes
52
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
5. Procedimientos de notificación y respuesta a
emergencias
• Los procedimientos de notificación son críticos para una
respuesta puntual a una interrupción del negocio. Una rápida
notificación al personal clave ayudará a asegurar que se
minimiza el impacto de una interrupción, y que la respuesta a la
misma será rápida. Cuanto más rápido empiezan las tareas de
recuperación, menor es la cantidad de datos y operaciones de
producción que se pierden
• Documentar siempre el resultado de los contactos realizados
53
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
5. Procedimientos de notificación y respuesta a
emergencias
Ejemplo de procedimiento:
1. Si la persona está disponible, darle la siguiente información:
- Breve descripción del problema
- Ubicación del Centro de Mando del Incidente
- Número de teléfono del Centro de Mando del Incidente
- Cualquier requerimiento de acción inmediata
- Informar a la persona de no hacer ninguna declaración pública
sobre la situación
- Informar a la persona de no hacer llamadas a otros empleados
(esto evita prematuras notificaciones)
54
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
5. Procedimientos de notificación y respuesta a
emergencias
Ejemplo de procedimiento (cont.):
2. Si la persona no está disponible, preguntar dónde se puede
contactar con ella
- Si está en alguna ubicación que no sea el lugar de trabajo,
obtener el número de teléfono, hacer la llamada, y dar la
información citada en el punto 1
- Si la persona esta en el lugar de trabajo, indicar que ya le
contactará allí
(NO COMENTAR SITUACIONES DE DESASTRE CON LA PERSONA QUE CONTESTE AL
TELÉFONO)
- Contactar al Jefe de Equipo inmediatamente
55
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
5. Procedimientos de notificación y respuesta a
emergencias
Ejemplo de procedimiento (cont.):
3. Si no hay respuesta:
- Registrar la hora en que se hicieron los intentos de contacto
- Preparar una lista de las personas que no pudieron ser
contactadas y dársela al Jefe de Equipo
El Jefe de Equipo delegará la tarea de contacto telefónico al
Equipo de Recuperación o a otro personal administrativo de
soporte
56
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
5. Procedimientos de notificación y respuesta a
emergencias
Ejemplo de procedimiento (cont.):
4. Si la información de contacto no es válida:
(P. ej. número equivocado, teléfono desconectado, …)
- Si la persona se ha trasladado, intentar obtener el nuevo
número de teléfono y contactar con ella
- Comunicar al Jefe de Equipo que la información de contacto es
incorrecta
57
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
6. Procedimientos de back-up de datos
• Back-up
Hacer copias de seguridad sin planificación
de recuperación no tiene sentido
• Disaster Recovery
La recuperación sin copias de seguridad
es imposible
58
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
6. Procedimientos de back-up de datos
• Planes de back-up
- ¿Cuánto tiempo puede funcionar su negocio sin datos críticos a disposición de sus
empleados, clientes, socios, etc.?
- ¿Qué datos son extremadamente importantes para conseguir volver a funcionar después de
un evento perjudicial imprevisto?
- ¿Qué tipo de solución de copia de seguridad (local / remoto basado en cloud) se requiere
para hacer frente a sus necesidades?
- ¿Qué nivel de copia de seguridad de datos (archivos, imagen global) se necesita y cuál es la
frecuencia de las copias de seguridad?
- ¿Qué equipos (sobremesa / portátiles / dispositivos móviles) necesitan ser respaldados?
Revisar y modificar (si procede) los procedimientos de back-up existentes para
adecuarlos a las necesidades definidas en el análisis de impacto en el negocio
59
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
6. Procedimientos de back-up de datos
• Documentar los procedimientos de back-up
- Archivos a copiar
- Tipo de copia
- Nomeclatura de las copias
- Tipo de soporte utilizado
- Frecuencia de las copias
- Número de versiones a guardar
- Ubicación de las copias y su rotación
- Hard y soft utilizados para obtener las copias
60
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
7. Procedimientos de recuperación de datos
• Software de back-up utilizado
• Guías de recuperación “paso a paso”
• Requerimientos del sistema (unidades de cinta, etc.)
• Durante el proceso de recuperación, ¿cuál es el orden en el que
los sistemas, aplicaciones y datos serán recuperados?
• ¿Cómo van a tener acceso los empleados a las aplicaciones y
los datos en caso de que no se pueda acceder al lugar de
trabajo regular?
61
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
8. Procedimientos de recuperación del sistema
• Sistemas operativos
• Aplicaciones
• Configuraciones (hardware, interfaces, direcciones IP, etc.)
62
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
8. Procedimientos de recuperación del sistema
Definición de Estrategias Alternativas
•
Se centran en los procesos de restauración de aplicaciones críticas de
negocio
•
Gestionar los riesgos desde el punto de vista de toda la empresa
•
Desarrollar las estrategias de recuperación basándose en el análisis de
impacto en el negocio
•
Desarrollar y/o asegurarse de que existen procedimientos manuales para
apoyar los procesos críticos de negocio (p. ej. transacciones EDI)
•
Siempre que sea posible, utilizar los servicios compartidos disponibles en
toda la empresa (p. ej. soporte de la LAN, WAN)
•
Cuando sea necesario, debe seguirse el proceso de aprobación de
inversiones para gestionar riesgos específicos del negocio
63
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
8. Procedimientos de recuperación del sistema
• Evaluar el “Tiempo de recuperación” (time to recover):
“Cuánto tiempo se necesita para recuperar el Sistema de IT que soporta
el proceso de negocio”
• Para recuperación de hardware definir:
- Ubicación: Dónde se necesita que esté el hardware
- Requerimientos: Qué hardware mínimo se necesita
- Tiempo de recuperación: En cuánto tiempo se necesita
64
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
8. Procedimientos de recuperación del sistema
• Una copia reciente del DR Plan debe estar disponible para todos
los miembros del equipo de recuperación, con las listas de
contactos actualizadas
• El DR Plan ha de estar guardado en una ubicación externa segura
• Revisar los Tiempos de Recuperación expresados en el DR Plan y
evaluar su razonabilidad
(P.ej. 2 horas para recuperar un servidor, incluyendo la obtención del
hardware, carga del Sistema operativo, parches, software, etc. puede no ser
un tiempo razonable).
65
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
9. Estrategias de prueba del Plan
• Alcance de las pruebas
- Revisión de Calidad
- Guía estructurada
- Test de Simulación / Paralelo / Interrupción completa
• Verificar que el plan de pruebas del DR Plan incluye un ejercicio
de contactar a los miembros de las listas de contactos interna y
externa. Cada ubicación debería haber llamado a los contactos
de la lista para asegurar que los números de teléfono y los
nombres son válidos.
• Necesidad de pruebas periódicas
- Al menos anualmente, y cuando se produzcan cambios
66
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
9. Estrategias de prueba del Plan
Revisión de Calidad
• El objetivo de este test es validar el contenido del DRP. Este test no
trata escenarios específicos de desastre
• Este test lo dirige y aprueba el responsable de negocio, con la
participación del personal técnico del equipo de recuperación
• Actividades:
- Validar los sistemas de información que son críticos para las operaciones del
negocio
- Validar la información de back-up de datos
- Validar la información de contactos
- Validar la información de almacenamiento externo y ubicaciones estratégicas
- Validar los procedimientos de alerta y notificación
67
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
9. Estrategias de prueba del Plan
Guía estructurada
• El objetivo de este test es validar que el DR Plan es capaz de recuperar
los procesos críticos en caso de que los sistemas que los soportan no
estuvieran disponibles
• Este test lo dirige y aprueba el responsable de IT, con la participación
del equipo técnico de recuperación, y proveedores/consultores, cuando
sea aplicable
• Actividades:
Los miembros del equipo recorren verbalmente los pasos específicos tal
como se documentan en el plan para identificar lagunas y deficiencias, y
confirmar la eficacia general del Plan
68
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
9. Estrategias de prueba del Plan
Test de Simulación / Paralelo / Interrupción completa
• El objetivo de este test es probar en un entorno real o pseudo-real que
determinados sistemas y funciones previamente definidos pueden
recuperarse satisfactoriamente en el tiempo estipulado, siguiendo los
procesos de recuperación descritos en el Plan
• En función del ámbito de la prueba, se identifican las personas, unidades
de negocio y proveedores de servicios que han de estar involucrados en la
prueba, así como sus diversos roles y responsabilidades
• Actividades:
- Planificar día y hora del test
- Identificar las tareas y los responsables de llevarlas a cabo
- Estimar la duración de la prueba
- Documentar el resultado del test y las sugerencias de modificación, si procede
69
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
9. Estrategias de prueba del Plan
Realización, aceptación de las pruebas y documentación de los
resultados
• Confirmar que la ubicación ha realizado pruebas del DR Plan dentro de
los últimos doce meses.
• Obtener de la ubicación evidencias de la realización de pruebas del DR
Plan, de la revisión de las partes interesadas y de la aprobación de los
resultados.
• Confirmar que se ha notificado a la Dirección que las pruebas del DR
Plan se han realizado y han sido satisfactorias.
70
www.bcn.cat/cibernarium
www.segall.es
5. Componentes básicos del DRP
Cibernàrium
10. Procedimientos de mantenimiento del Plan
• Revisión anual (como mínimo)
• Actualización cuando se produzcan cambios
Determinar si existen procedimientos para asegurar que
los cambios criticos han sido actualizados en el DR Plan
Verificar si los cambios experimentados por la estrategia de continuidad de IT
han sido reflejados en el DR Plan.
(Ejemplos de cambios pueden ser: direcciones y/o números de teléfono, estrategia de
negocio, ubicación de instalaciones, legislación, sub-contratistas, proveedores, clientes
clave, nuevos riesgos tanto operacionales como financieros, cambios de hardware /
software en los sistemas críticos, cambios en el personal).
71
www.bcn.cat/cibernarium
www.segall.es
6. Algunos productos
Cibernàrium
Algunos productos / soluciones de software
• SUNGARD Availabilty Services
http://www.sungardas.com/
• AGILITY Recovery
http://www2.agilityrecovery.com/
• KingsBridge
http://disasterrecovery.com/
• BCP Generator
http://www.disaster-recovery-plan.com/
• Guardian Software (cloud solutions)
http://guardiansoftware.es
• StorageCraft
http://www.storagecraft.com/
72
www.bcn.cat/cibernarium
www.segall.es
7. Preguntas
Cibernàrium
73
www.bcn.cat/cibernarium
www.segall.es
Cibernàrium
¡Muchas gracias!
74
www.bcn.cat/cibernarium
www.segall.es
Cibernàrium
bcn.cat/barcelonactiva
bcn.cat/cibernarium
www.bcn.cat/cibernarium
Descargar