Continuidad Del Negocio
description
Transcript of Continuidad Del Negocio
![Page 1: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/1.jpg)
Continuidad del Negocio y
Recuperación de Desastres
![Page 2: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/2.jpg)
Conceptos de PCN y PRD
Plan de Continuidad del Negocio:
“Conjunto de acciones orientadas a
contrarrestar las interrupciones de las
actividades del negocio y para proteger los
procesos críticos del negocio de los efectos
de fallas mayores o desastres.”
Algunas Definiciones
![Page 3: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/3.jpg)
Plan de Recuperación ante Desastres:
“Procedimientos para respuesta ante
emergencias, operaciones de respaldo
ampliado y recuperación post-desastre para
una instalación computacional que
experimente una pérdida parcial o total de los
recursos computacionales e instalaciones
físicas.”
Conceptos de PCN y PRD
![Page 4: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/4.jpg)
Conceptos de PCN y PRD
Plan de Contingencias:
“Procedimientos orientados a recuperar las
operaciones computacionales ante la ocurrencias
de fallas menores (aquellas no consideradas como
desastres p.e., fallas de hardware, cortes de luz,
corrupción de datos, etc. )”
![Page 5: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/5.jpg)
PCN/BCP
Plan RD
Plan de
contingencia
Relación
![Page 6: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/6.jpg)
• Se crean para prevenir las interrupciones, a la actividad normal.
• Se diseñan para proteger los procesos críticos del
negocio Ante:
–Desastres Naturales –Fallas humanas –Pérdidas de Capital.
29/07/2015 Jorge Zientarski B. 6
Conceptos de PCN y PRD
![Page 7: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/7.jpg)
Terremotos Fuego Temporales Tornados Sequía
Inundaciones
Tormenta Eléctrica
Viento
Huracán
Plagas
Conceptos de PCN y PRD
Desastres Naturales
![Page 8: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/8.jpg)
• Terrorismo
• Huelga
• Armas de Destrucción
Masiva
• Personal Disgustado
• Publicidad
• Espionaje
• Accidente Químico
• Errores
• Virus Computacional
Conceptos de PCN y PRD
Desastres Causados por el Hombre
![Page 9: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/9.jpg)
Un evento ocurre - seguido del efecto
dominó
Una vez ocurrido el evento …..la causa es irrelevante
![Page 10: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/10.jpg)
Cual el valor de la planificación?
Recuperación
![Page 11: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/11.jpg)
Cuatro elementos principales de BCP
• Alcance e iniciación del Plan – Marca el comienzo del proceso, exige la creación del alcance y otros elementos
para definir los parámetros del plan.
• BIA – Ayuda a las unidades a entender el impacto de una interrupción, evaluación de
vulnerabilidades.
• Desarrollo del BCP – La información recogida en el BIA sirve para desarrollar el plan real de continuidad
del negocio. • Área de implementación • Plan de Pruebas • Mantenimiento del plan en curso
• Aprobación del Plan e Implementación – Aprobación final de la Alta Gerencia
• Concienciación del plan • Implementación de un procedimiento de mantenimiento
29/07/2015 Jorge Zientarski B. 11
![Page 12: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/12.jpg)
Alcance e Iniciación del Plan Implicación de responsabilidades
¿Quién? ¿Qué hace?
Ejecutivos Inician el proyecto, dan la aprobación final y soporte en curso
Alta Gerencia Identifica y prioriza tiempos críticos
Comité de BCP
Direcciona los procesos de: planificación, implementación y
pruebas
Jefaturas Participan en la implementación y pruebas
Jorge Zientarski B. 12 29/07/2015
![Page 13: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/13.jpg)
Pla
n R
ayo
s
Pla
n T
orn
ad
o
Pla
n
Terre
mo
to
Pla
n R
ev
olu
cio
n
Planes de Continuidad de Negocio
Planeación basada en escenarios
![Page 14: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/14.jpg)
Planeación basada en escenarios
• El desarrollo del plan es multi-
disciplinario y requiere la coordinación
de todos los grupos funcionales.
• Puede ser el mejor enfoque pero
consume muchísimo tiempo.
• El contenido se repite en múltiples
documentos.
• Es difícil mantener todos actualizados
![Page 15: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/15.jpg)
Planeación basada en
consecuencias
Consecuencia
Respuesta Productos
Provisions
Ganancias
Recuperación
![Page 16: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/16.jpg)
Objetivo de Punto de Recuperación y Objetivo de Tiempo de Recuperación
• RPO y RTO están basados en parámetros de tiempo.
• Cuanto más bajo sea el tiempo de recuperación requerido, más elevado será el costo de las estrategias de recuperación.
• Los parámetros a considerar para definir las estrategias de recuperación: – Ventana de interrupción.
– Objetivo de entrega de servicio (SDO).
– Cortes máximos tolerables.
![Page 17: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/17.jpg)
Objetivo Punto Recuperación (RPO) y Objetivo Tiempo de Recuperación (RTO)
![Page 18: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/18.jpg)
Alternativas de Recuperación
![Page 19: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/19.jpg)
Estrategias de Recuperación
• Las acciones más efectivas serían:
– Eliminar la amenaza completamente.
– Minimizar la probabilidad y el efecto de la ocurrencia.
• Una estrategia de recuperación es una combinación de
medidas preventivas, detectivas y correctivas.
• La selección de una estrategia de recuperación dependería de:
– La criticidad del proceso del negocio y las aplicaciones que soportan los
procesos.
– Costo.
– El tiempo requerido para recuperarse.
– Seguridad.
![Page 20: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/20.jpg)
Estrategias de Recuperación
![Page 21: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/21.jpg)
Aspectos a Tener en Cuenta en el Desarrollo del Plan
• La participación de la Gerencia y de los usuarios es vital para el éxito del BCP
– Es esencial para la identificación de los procesos críticos, sus tiempos de recuperación y la especificación de los recursos.
– Participación de los servicios de soporte, las operaciones del negocio y el soporte de procesamiento de la información.
• Considerar a toda la organización en el BCP
![Page 22: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/22.jpg)
Aspectos a Tener en Cuenta en el Desarrollo del Plan
• Donde no exista un BCP para toda la organización, el Plan de Continuidad Tecnológica debe extenderse
• Incluir en el plan los siguientes puntos:
– Una lista de información detallada del personal
– La configuración de las instalaciones físicas
![Page 23: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/23.jpg)
Organigrama BCM
![Page 24: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/24.jpg)
Estrategias de Recuperación
![Page 25: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/25.jpg)
Desarrollo del BCM
GERENCIAMIENTO BCM
PRUEBAS, MANTENIMIENTO Y AUDITORÍA
CONSTRUCCIÓN E INSERCIÓN DE
CULTURA DEL BCM
DESARROLLO E IMPLEMENTACIÓN
PLANES Y SOLUCIONES
ESTRATEGIAS DE CONTINUIDAD
ENTENDIMIENTO DEL NEGOCIO
![Page 26: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/26.jpg)
Organigrama BCM
GOLD TEAM
Evacuación
Oficial BCM
Comunicación ex/in Infraestructura Seguridad Continuidad Operativa Sistemas de
Información
Equipo de Evacuación Equipo IT Titulares / Suplentes
SILVER TEAM
BRONCE TEAM
![Page 27: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/27.jpg)
Pruebas del Plan
• Programar la prueba durante un tiempo que minimice las interrupciones a las operaciones normales.
• La prueba debe simular las condiciones reales de procesamiento.
• Ejecución de la prueba – Documentación de Resultados.
– Análisis de Resultados.
– Mantenimiento del Plan.
![Page 28: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/28.jpg)
Auditoría al Plan de Continuidad del Negocio / Recuperación de Desastres
• Revisión del Plan de Continuidad del Negocio
• Evaluación de los Resultados de las Pruebas Anteriores
• Evaluar el Sitio de Almacenamiento Alterno
• Entrevistar al Personal Clave
• Evaluar la Seguridad del Sitio Alterno
• Revisar el Contrato de Procesamiento Alternativo
• Revisar la Cobertura de Seguros
![Page 29: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/29.jpg)
Revisión del Plan de Continuidad del Negocio
• Cuando se está revisando el plan desarrollado, los
Auditores de SI deben verificar que sean evidentes los
elementos básicos de un buen plan.
• Los elementos básicos incluyen:
– Actualización de documentos.
– Efectividad de los documentos.
– Entrevistas al personal para verificar si el plan es apropiado y
completo.
– Etc.
![Page 30: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/30.jpg)
Evaluación de los Resultados de las Pruebas Anteriores
• Documentación histórica de las pruebas anteriores
debe ser mantenida.
• El Auditor SI debe revisar los resultados de las pruebas
para:
– determinar que se hayan incorporado al plan las acciones
correctivas.
– evaluar cumplimiento y precisión.
– determinar las tendencias de problemas y las resoluciones de los
problemas.
![Page 31: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/31.jpg)
Evaluar el Sitio de Almacenamiento Alterno
• El Auditor SI debe:
– evaluar las condiciones para asegurar la presencia,
sincronización y vigencia de los medios y de la
documentación.
– realizar una revisión detallada del inventario.
– revisar toda la documentación .
– evaluar la disponibilidad de la instalación.
![Page 32: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/32.jpg)
Entrevistar al Personal Clave
• El personal clave debe tener un entendimiento de
las responsabilidades que se le ha asignado.
• Documentación detallada y actualizada debe ser
mantenida.
![Page 33: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/33.jpg)
Evaluar la Seguridad del Sitio Alterno
• El Auditor SI debe:
– evaluar los controles de acceso físico y ambiental.
– examinar el equipo para verificar si tiene
actualizadas las tarjetas de inspección y de
calibración.
![Page 34: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/34.jpg)
Revisar el Contrato de Procesamiento Alternativo
• Se deben verificar las referencias del proveedor del sitio de
procesamiento alterno listadas en el contrato; las ofertas
del proveedor deben constar por escrito.
• Se debe revisar el contrato contra los lineamientos
siguientes:
– el contrato esté redactado con claridad y sea
comprensible
– acuerdo de la organización con las reglas
– Acuerdos de Niveles de Servicio
![Page 35: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/35.jpg)
Revisar la Cobertura de Seguros
• La cobertura del seguro debe reflejar el costo real de
recuperación.
• Una adecuada cobertura de lo siguiente debe ser
revisada:
– daños de los medios.
– interrupción del negocio.
– reemplazo de equipo.
– procesamiento de la continuidad del negocio.
![Page 36: Continuidad Del Negocio](https://reader030.fdocuments.net/reader030/viewer/2022033103/563dbb5b550346aa9aac74f8/html5/thumbnails/36.jpg)
Esito sería …..
Solo una pequeña muestra del PCN o BCP!!!
MSc. Jose Marcial Flores Guerrero, CISA, CGEIT