Continuidad de Servicios

Eduardo Lobos

La Continuidad de Servicios

BCP El Plan de Continuidad del Negocio es una metodologa usada para crear planes de cmo una organizacin debe recuperar y restaurar sus funciones crticas, que han sido interrumpidas, dentro de un tiempo predeterminado El establecimiento de procedimientos y medidas de seguridad estn destinados a salvaguardar las unidades administrativa y operacional DRP Plan de recuperacin ante desastres es un proceso de recuperacin que cubre los datos, el hardware y el software crtico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos.

Planificar la continuidad

Restablecer las operaciones de TI y de negocio, ante eventos que pudieran interrumpir la habilidad de lograr sus objetivos estratgicos

Planes de continuidad

Para implementar el Plan de Continuidad es necesario identificar aquellos procesos que han sido definidos como crticos para el negocio; los recursos que facilitan su operacin, entender los riesgos e impactos por eventuales interrupciones, definir estrategias y planes de recuperacin, entrenar a las personas involucradas, realizar ejercicios de prueba y mantener actualizados los planes y procedimientos

Etapas de Planificacin para la recuperacin

Conocer y entender el negocio Anlisis de Impacto (identificando riesgos) Estrategia de mitigacin de riesgos Desarrollo de respuestas Pruebas y simulacin Entrenamiento

Lneas de Negocio Productos y Servicios crticos

Recursos crticos Amenazas Vulnerabilidades

Planes a largo y corto plazo para asegurar consistencia

Procedimientos y guas para minimizar los requerimientos de continuidad Evaluacin de resultado de las pruebas, implementar un plan de accin de acuerdo con los resultados Sesiones de entrenamiento sobre procedimientos y roles que participan en caso de un desastre

Conocer y entender el negocio

Entender el contexto en el que opera el negocio Entender los productos y servicios crticos que genera y proporciona la organizacin (sus objetivos) Entender con que barreras o interrupciones se puede encontrar el negocio a la hora de generar y ofrecer esos productos y servicios crticos Entender como la organizacin continuar con su actividad (objetivos) una vez ha ocurrido la interrupcin

Recursos Crticos de TI

Durante el diseo del plan de continuidad se identifican los aplicativos, servicios de terceros, sistemas operativos, personal, insumos, archivos de datos que resultan crticos as como los tiempos necesarios para la recuperacin despus de que se presenta un desastre Los datos y las operaciones crticas deben ser identificadas, documentadas, priorizadas y aprobadas por los dueos de los procesos del negocio, en cooperacin con la Gerencia de Sistemas Los costos se deben mantener en niveles aceptables, considerando requerimientos regulatorios y contractuales Considerar requerimientos para lapsos diferentes: 1 a 4 horas, 4 a 24 horas, ms de 24 horas y perodos operacionales crticos

Anlisis de impacto al negocio (BIA)

El anlisis de impacto al negocio tiene como objetivo identificar, cuantificar y calificar como se ve afectado el negocio por prdida o interrupcin de las operaciones y provee la informacin con base en la cual se determinan las estrategias de recuperacin mas apropiadas

Evaluacin de riesgos e identificacin de controles

Identificar y evaluar riesgos relacionados a la continuidad de las operaciones; esto es, la probabilidad y el impacto de una variedad de amenazas que pudieran ocasionar interrupciones a dichos servicios Posteriormente se priorizan los riesgos y se determinan medidas a implementar para mitigarlos

Almacenamiento de respaldo en sitio alterno

El almacenamiento externo de copias de respaldo, documentacin y otros recursos de TI, catalogados como crticos, debe ser establecido para soportar los planes de recuperacin y continuidad de negocio. La instalacin de almacenamiento externo debe contar con medidas ambientales apropiadas para los medios y otros recursos almacenados; y debe tener un nivel de seguridad suficiente, que permita proteger los recursos de respaldo contra accesos no autorizados, robo o dao. Los acuerdos/contratos del sitio alterno deben ser peridicamente analizados, al menos una vez al ao, para garantizar que ofrezca seguridad y proteccin ambiental

Desarrollo de estrategias de recuperacin

Se establecen y seleccionan los mtodos de operacin alternativos a ser utilizados despus de una interrupcin para mantener los procesos y servicios crticos del negocio y sus dependencias, tanto internas como externas, con base en las prioridades y tiempos establecidos en el BIA Desarrollo de planes con los procedimientos a seguir para la recuperacin de las operaciones crticas posterior a un evento de desastre que interrumpa la continuidad del negocio. Los planes a desarrollar deben soportar las estrategias de recuperacin seleccionadas Tambin contempla el desarrollo de planes de restauracin (regreso a la operacin normal) una vez restablecidos el sitio y los recursos de operacin primarios

Recuperacin y reanudacin de servicios

Planear las acciones a tomar para el perodo en el que TI recupera y reanuda servicios, incluyendo: Activacin de contingencia Inicio de procesamiento alternativo Comunicacin con clientes e interesados Procedimientos de reanudacin

Asegurar que la compaa entiende los tiempos de recuperacin de TI y las inversiones de tecnologa necesarias para soportar las necesidades de recuperacin y reanudacin

Pruebas y simulacin

Desarrollo del plan de pruebas y ejercicios de los planes de recuperacin considerando los diferentes tipos: Pruebas simuladas Pruebas en produccin (parciales o completas)

Procedimiento de afinamiento del Plan de Continuidad

Dada una exitosa reanudacin de la funcin de TI despus de un desastre, la gerencia de TI deber establecer procedimientos para evaluar lo adecuado del plan y actualizarlo de acuerdo con los resultados de dicha evaluacin

Distribucin del Plan de Continuidad de TI

Dada la naturaleza sensitiva de la informacin del plan de continuidad, dicha informacin deber ser distribuida solo a personal autorizado y mantenerse bajo adecuadas medidas de seguridad para evitar su divulgacin no autorizada. Consecuentemente, algunas secciones del plan debern ser distribuidas solo a las personas cuyas actividades hagan necesario conocerlas Se debe generar un crecimiento que permita contar con planes disponibles bajo todos los escenarios de desastre en un mediano plazo

Entrenamiento

Definicin y ejecucin de un programa de concientizacin y entrenamiento dirigido al personal involucrado en la recuperacin y restauracin de las operaciones

Mantenimiento

Desarrollo del plan de mantenimiento del BCP/DRP para asegurar que las reas permanezcan preparadas para el manejo de incidentes relacionados a la continuidad del negocio a pesar de los cambios a las personas, los procesos y la tecnologa

Control de Resultados

Indicadores de objetivos
Cantidad de Procesos Crticos de Negocio que tienen planes adecuados de continuidad Pruebas regulares y formales sobre los planes con el fin de asegurar su consistencia

Indicadores de desempeo
Tiempo entre el diagnostico de un incidente y la decisin de ejecutar el Plan de Continuidad Nmero y grado de interrupciones a la continuidad del servicio

Reduccin del tiempo improductivo

Frecuencia de ejecucin de pruebas del plan

Cantidad de servicios TI con monitoreo automtico de disponibilidad

Tiempo para normalizar el nivel de servicio despus de la ejecucin del plan

Efectos desfavorables

Si el Seguridad Vecinal suspende sus servicios debido a un evento no previsto: Qu haran sus clientes? Qu haran sus competidores? Qu haran sus bancos y/o sociedades financieras?

Proyecto: Implantacin de un BCP

MUCHAS GRACIAS!