Manuel Ballester IEEE,MBA,CISA,CISM
Continuidad de NegocioContinuidad de Negocio
Manuel Manuel BallesterBallester
FIST Conference September/Madrid 2005
@
Manuel Ballester IEEE,MBA,CISA,CISM
ReflexiReflexióón Inicialn Inicial
““El tiempo de la reflexiEl tiempo de la reflexióón es una n es una economeconomíía de tiempoa de tiempo””
Siro , Siro , PubliusPublius (Siglo I A.C.)(Siglo I A.C.)
Manuel Ballester IEEE,MBA,CISA,CISM
ContenidoContenido
�� Proceso de planificaciProceso de planificacióón de la continuidad del n de la continuidad del negocio /recuperacinegocio /recuperacióón frente a desastresn frente a desastres
�� AnAnáálisis de Impacto en el negocio (BIA)lisis de Impacto en el negocio (BIA)�� ClasificaciClasificacióón de Operaciones, Ann de Operaciones, Anáálisis Criticidadlisis Criticidad�� Objetivo Punto RecuperaciObjetivo Punto Recuperacióón (RPO) y n (RPO) y
Objetivo Tiempo de RecuperaciObjetivo Tiempo de Recuperacióón (RTO)n (RTO)�� Estrategias de RecuperaciEstrategias de Recuperacióónn
Manuel Ballester IEEE,MBA,CISA,CISM
ContenidoContenido
�� Alternativas de RecuperaciAlternativas de Recuperacióónn�� Desarrollo de (BCP y DRP)Desarrollo de (BCP y DRP)�� OrganizaciOrganizacióón y Asignacin y Asignacióón de Responsablesn de Responsables�� Otros aspectos del Desarrollo del PlanOtros aspectos del Desarrollo del Plan�� Componentes Claves de un BCPComponentes Claves de un BCP�� Pruebas del PlanPruebas del Plan�� ResumenResumen
Manuel Ballester IEEE,MBA,CISA,CISM
AntecedentesAntecedentesA pesar de los efectos negativos en las organizaciones, muchas empresas aún no toman
medidas para contar con planes que les permitan lograr la Continuidad del Negocio.
• 72% de todos los negocios tienen alguna de estas condiciones:– No tienen Plan de Continuidad del Negocio.– Si lo tienen, nunca lo han probado.– Su Plan falló cuándo lo probaron.
• Solamente 18% de los datos de usuario final están protegidos. *
*VERITAS Disaster Recovery Survey 2004.
Manuel Ballester IEEE,MBA,CISA,CISM
Proceso de planificaciProceso de planificacióón de la continuidad del n de la continuidad del negocio /recuperacinegocio /recuperacióón frente a desastresn frente a desastres
�� Los desastres:Los desastres:�� Impactan adversamente las operaciones del negocioImpactan adversamente las operaciones del negocio�� Interrumpen la operaciInterrumpen la operacióón de procesamiento de n de procesamiento de
informaciinformacióón crn crííticatica�� No todas las interrupciones son desastresNo todas las interrupciones son desastres�� Tipos de desastres e interrupcionesTipos de desastres e interrupciones�� Causas de interrupciCausas de interrupcióón del servicion del servicio
Manuel Ballester IEEE,MBA,CISA,CISM
AnAnáálisis del Impacto sobre el Negocio (BIA)lisis del Impacto sobre el Negocio (BIA)
�� Criticidad de los recursos de informaciCriticidad de los recursos de informacióónn�� ParticipaciParticipacióón del personal de SI y los usuarios finalesn del personal de SI y los usuarios finales�� AnAnáálisis de todos los tipos de recursos de informacilisis de todos los tipos de recursos de informacióónn�� Tres aspectos claves para el anTres aspectos claves para el anáálisis:lisis:
�� Criticidad de los recursos de informaciCriticidad de los recursos de informacióón relacionados con los n relacionados con los procesos crprocesos crííticos del negocioticos del negocio
�� PerPerííodo de tiempo de recuperaciodo de tiempo de recuperacióón crn críítico antes de incurrir en tico antes de incurrir en ppéérdidas significativasrdidas significativas
�� Sistema de clasificaciSistema de clasificacióón de riesgosn de riesgos
Manuel Ballester IEEE,MBA,CISA,CISM
AnAnáálisis del Impacto sobre el Negocio (BIA)lisis del Impacto sobre el Negocio (BIA)
Manuel Ballester IEEE,MBA,CISA,CISM
ClasificaciClasificacióón de Operaciones, Ann de Operaciones, Anáálisis Criticidadlisis Criticidad
Manuel Ballester IEEE,MBA,CISA,CISM
Objetivo Punto RecuperaciObjetivo Punto Recuperacióón (RPO) yn (RPO) yObjetivo Tiempo de RecuperaciObjetivo Tiempo de Recuperacióón (RTO)n (RTO)
Manuel Ballester IEEE,MBA,CISA,CISM
Estrategias de RecuperaciEstrategias de RecuperacióónnUna estrategia de RecuperaciUna estrategia de Recuperacióón es una n es una
combinacicombinacióón de medidas preventivas, n de medidas preventivas, detectivasdetectivas y correctivasy correctivas
-- Eliminar la amenaza completamenteEliminar la amenaza completamente-- Minimizar la probabilidad de que ocurraMinimizar la probabilidad de que ocurra-- Minimizar el efectoMinimizar el efecto
Manuel Ballester IEEE,MBA,CISA,CISM
Estrategias de RecuperaciEstrategias de Recuperacióónn
Identificar las estrategias de recuperaciIdentificar las estrategias de recuperacióónn
�� La criticidad de los procesos del negocio y La criticidad de los procesos del negocio y aplicaciones que soportan los procesosaplicaciones que soportan los procesos
�� CosteCoste�� Tiempo requerido para la recuperaciTiempo requerido para la recuperacióónn�� SeguridadSeguridad
Manuel Ballester IEEE,MBA,CISA,CISM
Estrategias de RecuperaciEstrategias de Recuperacióónn
Manuel Ballester IEEE,MBA,CISA,CISM
Alternativas de RecuperaciAlternativas de Recuperacióónn
Las interrupciones mLas interrupciones máás prolongadas y ms prolongadas y máás s costosas, en particular los desastres que costosas, en particular los desastres que afectan a las instalaciones, requieren afectan a las instalaciones, requieren recuperacirecuperacióón (n (offsiteoffsite))
Manuel Ballester IEEE,MBA,CISA,CISM
Alternativas de RecuperaciAlternativas de RecuperacióónnTipos de instalaciones de respaldo Hardware alternativosTipos de instalaciones de respaldo Hardware alternativos
�� Hot Hot SitesSites�� WarmWarm SitesSites�� Cold Cold SitesSites�� Instalaciones de procesamiento duplicadosInstalaciones de procesamiento duplicados�� Sitios MSitios Móóvilesviles�� Acuerdos recAcuerdos recííprocos con otras organizacionesprocos con otras organizaciones
Manuel Ballester IEEE,MBA,CISA,CISM
Alternativas de RecuperaciAlternativas de Recuperacióónn
Manuel Ballester IEEE,MBA,CISA,CISM
Desarrollo de (BCP y DRP)Desarrollo de (BCP y DRP)�� Basado en en BIA y la estrategia de Basado en en BIA y la estrategia de
recuperacirecuperacióón seleccionada por la gerencian seleccionada por la gerencia�� DeberDeberíía abarcar todos los temas a abarcar todos los temas
involucrados en la recuperaciinvolucrados en la recuperacióón de un n de un desastredesastre
�� DeberDeberíía resolver todos los problemas a resolver todos los problemas involucrados en la interrupciinvolucrados en la interrupcióón del n del negocionegocio
Manuel Ballester IEEE,MBA,CISA,CISM
Desarrollo de (BCP y DRP)Desarrollo de (BCP y DRP)Factores que se deben considerar:Factores que se deben considerar:
�� Estar preparados antes de un desastre cubriendo todas las Estar preparados antes de un desastre cubriendo todas las incidenciasincidencias
�� Procedimientos de evacuaciProcedimientos de evacuacióónn�� Procedimientos para declarar desastres Procedimientos para declarar desastres �� Circunstancias en que se debe declarar desastreCircunstancias en que se debe declarar desastre�� Clara identificaciClara identificacióón de responsabilidades en el plann de responsabilidades en el plan
Manuel Ballester IEEE,MBA,CISA,CISM
Desarrollo de (BCP y DRP)Desarrollo de (BCP y DRP)
Factores que se deben considerar:Factores que se deben considerar:
�� Clara identificaciClara identificacióón de personas y funciones en el plann de personas y funciones en el plan�� Clara identificaciClara identificacióón de informacin de informacióón de los contratosn de los contratos�� ExplicaciExplicacióón paso a paso de la recuperacin paso a paso de la recuperacióónn�� Clara identificaciClara identificacióón de recursos necesariosn de recursos necesarios�� AplicaciAplicacióón paso por paso de la etapa de recuperacin paso por paso de la etapa de recuperacióónn
Manuel Ballester IEEE,MBA,CISA,CISM
OrganizaciOrganizacióón y asignacin y asignacióón de n de responsabilidadesresponsabilidades
�� Equipo de respuesta a incidentesEquipo de respuesta a incidentes�� Equipo de Equipo de atenciatencióón de n de emergenciaemergenciass�� Equipo de determinaciEquipo de determinacióón de los dan de los daññosos�� Equipo de administraciEquipo de administracióón de la n de la
emergencia emergencia
Manuel Ballester IEEE,MBA,CISA,CISM
OrganizaciOrganizacióón y asignacin y asignacióón de n de responsabilidadesresponsabilidades
�� Equipo de almacenamiento Equipo de almacenamiento externoexterno�� Equipo de softwareEquipo de software�� Equipo de aplicacionesEquipo de aplicaciones�� Equipo de seguridadEquipo de seguridad�� Equipo de operaciones de emergencia Equipo de operaciones de emergencia
Manuel Ballester IEEE,MBA,CISA,CISM
OrganizaciOrganizacióón y asignacin y asignacióón de n de responsabilidadesresponsabilidades
�� Equipo de recuperaciEquipo de recuperacióón de redn de red�� Equipo de ComunicacionesEquipo de Comunicaciones�� Equipo de TransporteEquipo de Transporte�� Equipo de Hardware de UsuarioEquipo de Hardware de Usuario�� Equipo de preparaciEquipo de preparacióón de datos y registrosn de datos y registros�� Equipo de soporte administrativoEquipo de soporte administrativo
Manuel Ballester IEEE,MBA,CISA,CISM
OrganizaciOrganizacióón y asignacin y asignacióón de n de responsabilidadesresponsabilidades
�� Equipo de suministrosEquipo de suministros�� Equipo de salvamento Equipo de salvamento �� Equipo de reubicaciEquipo de reubicacióónn�� Equipo de CoordinaciEquipo de Coordinacióónn�� Equipo de Asuntos LegalesEquipo de Asuntos Legales�� Equipo de prueba de recuperaciEquipo de prueba de recuperacióónn�� Equipo de EntrenamientoEquipo de Entrenamiento
Manuel Ballester IEEE,MBA,CISA,CISM
Otros aspectos del Desarrollo del PlanOtros aspectos del Desarrollo del Plan
�� Los componentes de este plan incluyen:Los componentes de este plan incluyen:�� Personal clave para toma de decisionesPersonal clave para toma de decisiones
�� InformaciInformacióón de contacton de contacto�� Respaldo de los suministros requeridosRespaldo de los suministros requeridos
�� ConfiguraciConfiguracióón de las instalacionesn de las instalaciones�� Mesas, sillas, telMesas, sillas, telééfonosfonos……
�� MMéétodos de recuperacitodos de recuperacióón de desastres para redes n de desastres para redes de telecomunicacionesde telecomunicaciones
Manuel Ballester IEEE,MBA,CISA,CISM
Incluyen:Incluyen:�� Plan de Continuidad de negocio (BCP)Plan de Continuidad de negocio (BCP)�� Plan de RecuperaciPlan de Recuperacióón de Negocio (BRP)n de Negocio (BRP)�� Plan de Continuidad de Operaciones (COOP)Plan de Continuidad de Operaciones (COOP)�� Plan de Soporte de ContinuidadPlan de Soporte de Continuidad
Componentes de un Plan Efectivo Componentes de un Plan Efectivo de Continuidad del Negociode Continuidad del Negocio (BCP)(BCP)
Manuel Ballester IEEE,MBA,CISA,CISM
Incluyen:Incluyen:�� Plan de Contingencia T.I.Plan de Contingencia T.I.�� Plan de ComunicaciPlan de Comunicacióón de n de CrCríísissis�� Plan de Respuestas a incidentesPlan de Respuestas a incidentes�� Plan de RecuperaciPlan de Recuperacióón del desastre (DRP)n del desastre (DRP)�� Plan de Emergencia de ocupantes (OEP)Plan de Emergencia de ocupantes (OEP)
Componentes de un Plan Efectivo Componentes de un Plan Efectivo de Continuidad del Negociode Continuidad del Negocio (BCP)(BCP)
Manuel Ballester IEEE,MBA,CISA,CISM
Para las fases de planificaciPara las fases de planificacióón, implementacin, implementacióón n y evaluaciy evaluacióón se debe acordar:n se debe acordar:
�� Metas/requerimientos/productos de cada faseMetas/requerimientos/productos de cada fase�� Instalaciones alternativas para las tareas y operacionesInstalaciones alternativas para las tareas y operaciones�� Recursos de informaciRecursos de informacióón crn críítica a instalartica a instalar�� Personas responsables de su ejecuciPersonas responsables de su ejecucióónn�� Recursos disponibles para Plan de ejecuciRecursos disponibles para Plan de ejecucióónn�� Cronograma de actividades y prioridadesCronograma de actividades y prioridades
Componentes de un Plan Efectivo Componentes de un Plan Efectivo de Continuidad del Negociode Continuidad del Negocio (BCP)(BCP)
Manuel Ballester IEEE,MBA,CISA,CISM
Personal Clave para la toma de decisionesPersonal Clave para la toma de decisiones
�� Lista de prioridades de contactosLista de prioridades de contactos�� TelTelééfonos y direcciones de personas crfonos y direcciones de personas crííticas a contactarticas a contactar�� TelTelééfonos y direcciones de representantes de los fonos y direcciones de representantes de los
equipos y softwareequipos y software�� TelTelééfonos de suministradores de equipos y serviciosfonos de suministradores de equipos y servicios
Componentes de un Plan Efectivo Componentes de un Plan Efectivo de Continuidad del Negociode Continuidad del Negocio (BCP)(BCP)
Manuel Ballester IEEE,MBA,CISA,CISM
Personal Clave para la toma de decisionesPersonal Clave para la toma de decisiones
�� TelTelééfonos de personas en sitio de recuperacifonos de personas en sitio de recuperacióón n �� TelTelééfonos de personas instalaciones de fonos de personas instalaciones de
almacenamiento externoalmacenamiento externo�� TelTelééfonos de agentes de segurosfonos de agentes de seguros�� TelTelééfonos de personas de empresas contratadasfonos de personas de empresas contratadas�� TelTelééfonos de agencias legalesfonos de agencias legales
Componentes de un Plan Efectivo Componentes de un Plan Efectivo de Continuidad del Negociode Continuidad del Negocio (BCP)(BCP)
Manuel Ballester IEEE,MBA,CISA,CISM
Respaldo de los suministros RequeridosRespaldo de los suministros Requeridos
�� Procedimientos escritos, detallados y actualizadosProcedimientos escritos, detallados y actualizados�� Formularios requeridosFormularios requeridos
�� PedidosPedidos�� AlbaranesAlbaranes�� FacturasFacturas
�� Considerar conexiones con otros sistemasConsiderar conexiones con otros sistemas
Componentes de un Plan Efectivo Componentes de un Plan Efectivo de Continuidad del Negociode Continuidad del Negocio (BCP)(BCP)
Manuel Ballester IEEE,MBA,CISA,CISM
�� MMéétodos de prevencitodos de prevencióón para redes:n para redes:��RedundanciaRedundancia
��Enrutamiento alternativo Enrutamiento alternativo
��Diversidad de red de largo alcance Diversidad de red de largo alcance
��ProtecciProteccióón den dell circuito de "circuito de "ÚÚltimoltimo KilKilóómetrometro" "
��RecuperaciRecuperacióón de voz n de voz
Componentes de un Plan Efectivo Componentes de un Plan Efectivo de Continuidad del Negociode Continuidad del Negocio (BCP)(BCP)
Manuel Ballester IEEE,MBA,CISA,CISM
�� MMéétodos de recuperacitodos de recuperacióón frente a desastres n frente a desastres para servidorespara servidores
-- Suministro de dos proveedores de energSuministro de dos proveedores de energííaa-- Uso de generadores elUso de generadores elééctricos (ctricos (gasoleogasoleo))-- Uso de Sistemas Uso de Sistemas ininterumpidosininterumpidos (SAI)(SAI)
Componentes de un Plan Efectivo Componentes de un Plan Efectivo de Continuidad del Negociode Continuidad del Negocio (BCP)(BCP)
Manuel Ballester IEEE,MBA,CISA,CISM
�� Servidores tolerantes a fallosServidores tolerantes a fallos
�� RedundantesRedundantes�� ClusterCluster�� Balanceo de cargaBalanceo de carga
Componentes de un Plan Efectivo Componentes de un Plan Efectivo de Continuidad del Negociode Continuidad del Negocio (BCP(BCP))
Manuel Ballester IEEE,MBA,CISA,CISM
�� SegurosSeguros
�� Equipo de SI e instalacionesEquipo de SI e instalaciones�� ReconstrucciReconstruccióón de medios (software) n de medios (software) �� Gastos adicionalesGastos adicionales�� InterrupciInterrupcióón del negocio n del negocio
Componentes de un Plan Efectivo Componentes de un Plan Efectivo de Continuidad del Negociode Continuidad del Negocio (BCP)(BCP)
Manuel Ballester IEEE,MBA,CISA,CISM
Componentes de un Plan Efectivo Componentes de un Plan Efectivo de Continuidad del Negociode Continuidad del Negocio (BCP)(BCP)
Manuel Ballester IEEE,MBA,CISA,CISM
Componentes de un Plan Efectivo Componentes de un Plan Efectivo de Continuidad del Negociode Continuidad del Negocio (BCP)(BCP)
Manuel Ballester IEEE,MBA,CISA,CISM
Pruebas del PlanPruebas del Plan
�� EspecificacionesEspecificaciones�� Medir la habilidad y capacidad del lugar de respaldoMedir la habilidad y capacidad del lugar de respaldo
�� Evaluar la capacidad de recuperaciEvaluar la capacidad de recuperacióón de registros vitalesn de registros vitales
�� Evaluar estado y cantidad de equipos y suministros en el lugar Evaluar estado y cantidad de equipos y suministros en el lugar de recuperacide recuperacióónn
�� Medir el desempeMedir el desempeñño general de actividades operativas y de o general de actividades operativas y de sistemas relacionados con el negociosistemas relacionados con el negocio
Manuel Ballester IEEE,MBA,CISA,CISM
Pruebas del PlanPruebas del Plan
�� EspecificacionesEspecificaciones�� Verificar si el plan es completo y precisoVerificar si el plan es completo y preciso
�� Evaluar el desempeEvaluar el desempeñño del personal involucradoo del personal involucrado
�� Evaluar el entrenamiento y conocimiento del personal que no Evaluar el entrenamiento y conocimiento del personal que no pertenece al negociopertenece al negocio
�� Evaluar la coordinaciEvaluar la coordinacióón entre equipo continuidad y proveedores n entre equipo continuidad y proveedores externosexternos
Manuel Ballester IEEE,MBA,CISA,CISM
Pruebas del PlanPruebas del Plan
�� RealizaciRealizacióón de Pruebasn de Pruebas�� EtapasEtapas
�� PrePre--PruebaPrueba�� PruebaPrueba�� PostPost--PruebaPrueba
�� Tipos de PruebaTipos de Prueba
�� Prueba sobre papelPrueba sobre papel�� Prueba del estado de preparaciPrueba del estado de preparacióónn�� Prueba operativa completaPrueba operativa completa
Manuel Ballester IEEE,MBA,CISA,CISM
Pruebas del PlanPruebas del Plan
�� DocumentaciDocumentacióón de los resultadosn de los resultados�� AnAnáálisis de resultadoslisis de resultados
�� TiempoTiempo�� CantidadCantidad�� ConteoConteo�� ExactitudExactitud
Manuel Ballester IEEE,MBA,CISA,CISM
Pruebas del PlanPruebas del Plan�� Mantenimiento del planMantenimiento del plan
Factores que impactanFactores que impactan
-- Cambios en la organizaciCambios en la organizacióónn
-- Nuevos recursos/aplicacionesNuevos recursos/aplicaciones
-- Cambios en la estrategia del negocioCambios en la estrategia del negocio
-- Cambios en software o hardwareCambios en software o hardware
Manuel Ballester IEEE,MBA,CISA,CISM
Pruebas del PlanPruebas del Plan�� Mantenimiento del planMantenimiento del plan
Responsabilidades del plan incluyenResponsabilidades del plan incluyen
-- Desarrollar un plan para revisiDesarrollar un plan para revisióón y mantenimiento perin y mantenimiento perióódicodico
-- Exigir revisiones no programadas ante cambios significativosExigir revisiones no programadas ante cambios significativos
-- Examinar las revisiones y actualizarlas despuExaminar las revisiones y actualizarlas despuéés de las revisioness de las revisiones
-- Coordinar pruebas programadas y no programadas evaluar suficiencCoordinar pruebas programadas y no programadas evaluar suficienciaia
-- Participar en las pruebas anualesParticipar en las pruebas anuales
Manuel Ballester IEEE,MBA,CISA,CISM
Pruebas del PlanPruebas del Plan�� Mantenimiento del planMantenimiento del plan
Responsabilidades del plan incluyenResponsabilidades del plan incluyenDesarrollar un programa de entrenamientoDesarrollar un programa de entrenamiento
-- Mantener registro de las actividades deMantener registro de las actividades de
-- MantenimientoMantenimiento
-- PruebasPruebas
-- EntrenamientoEntrenamiento
-- RevisionesRevisiones
-- Actualizar, por lo menos trimestralmente, lista de contactosActualizar, por lo menos trimestralmente, lista de contactos
Manuel Ballester IEEE,MBA,CISA,CISM
Pruebas del PlanPruebas del Plan
Manuel Ballester IEEE,MBA,CISA,CISM
RESUMENRESUMEN
-- Preparar anPreparar anáálisis de impacto del negociolisis de impacto del negocio-- Identificar y clasificar sistemas y recursos (crIdentificar y clasificar sistemas y recursos (crííticos)ticos)-- Escoger estrategias apropiadas para la recuperaciEscoger estrategias apropiadas para la recuperacióónn-- Desarrollar un plan detallado para recuperar instalaciones (TIC)Desarrollar un plan detallado para recuperar instalaciones (TIC)-- Desarrollar un plan detallado para las funciones crDesarrollar un plan detallado para las funciones crííticasticas-- Probar los planesProbar los planes-- Mantener actualizados los planesMantener actualizados los planes
Manuel Ballester IEEE,MBA,CISA,CISM
ReflexiReflexióón Finaln Final
““Lo que no es Lo que no es úútil para la colmena no til para la colmena no es es úútil para la abejatil para la abeja””
Marco Aurelio (121Marco Aurelio (121--180 D.C.)180 D.C.)
Manuel Ballester IEEE,MBA,CISA,CISM
Attribution. You must give the original author credit.
For any reuse or distribution, you must make the license terms of this workclear to others.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivsLicense. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.
Creative CommonsAttribution-NoDerivs 2.0
You are free:
•to copy, distribute, display, and perform this work
•to make commercial use of this work
Under the following conditions:
No Derivative Works. You may not alter, transform, or build upon this work.
Manuel Ballester IEEE,MBA,CISA,CISM
Muchas Gracias Muchas Gracias
[email protected]@borrmart.es
Manuel BallesterMadrid, September 2005
FIST Conference www.fistconference.org
@