You are on page 1of 97

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Ing. Maurice Frayssinet Delgado


GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Semana III PLAN DE CONTINUIDAD DE NEGOCIOS

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Data Hurfana Toda informacin creada, modificada eliminada entre la ltima copia de seguridad y el punto de falla. Tiempo de Tolerancia Tiempo aceptable de inoperatividad de los procesos segn los usuarios. Tiempo de Recuperacin Tiempo estimado de recuperacin de la infraestructura que soporta la operatividad de los procesos (local, sistemas, servicios, etc.)
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Proceso Conjunto de actividades, tareas y procedimientos organizados y repetibles. Proceso Crtico Proceso considerado como indispensable para la continuidad de las operaciones y servicios de la empresa, y cuya falta o ejecucin deficiente puede tener un impacto financiero significativo para la empresa.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Aplicacin: Programa diseado para asistir en la realizacin de un proceso o tarea especfica.

Aplicacin Crtica: Aplicaciones que soportan los

procesos crticos

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Es una estrategia planificada y constituida por: un conjunto de recursos de respaldo, una organizacin de emergencia y unos procedimientos de actuacin encaminada a conseguir la restauracin

progresiva y gil de los servicios de negocios afectados por una


paralizacin total o parcial de la capacidad operativa de la empresa. Esta estrategia que se materializa en un manual es el resultado de todo un proceso de anlisis y definiciones.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Identificacin

proteccin

de

los

procesos crticos del negocio y los recursos requeridos para mantener un

nivel

aceptable

de

operaciones,
para de la

preparando asegurar la

procedimientos supervisin

organizacin

en

el

caso

de

una

interrupcin significativa
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Implantar la Continuidad del Negocio a nivel de toda la empresa.

Conocer el impacto financiero y no financiero en el negocio


Los propietarios de la informacin debern definir el Tiempo de Recuperacin adecuado Contar con los procedimientos de continuidad del negocio por cada unidad de negocio y de la empresa Concientizar y capacitar a los usuarios acerca de las actividades que deben hacer en caso se active el plan Contar con un Centro de Cmputo Alterno de acuerdo a los requerimientos de las necesidades de la Empresa. Realizar pruebas y proponer mejoras del Plan de Continuidad del Negocio desarrollado, ciclo continuo.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Dada

la

probabilidad

de

un

evento,

generalmente el planeamiento se enfoca a los

escenarios de desastre:
Prdida o no disponibilidad del local ni del equipamiento por efectos del fuego , falta de energa o cualquier otro evento (inundacin, terremoto, etc.) Falla de componente de TI, prdida o no disponibilidad del centro de cmputo En ese sentido los escenarios tpicos son: Desastre total del local principal Desastre total del centro de GESTION DE TIC Y SEGURIDAD DE LA INFORMACION cmputo

Operacin Normal

Interrupcin
Continuidad de procesos crticos de negocio Procesos crticos parcial o totalmente recuperados

Respuesta inmediata

Proceso de Recuperacin

Proceso de Restauracin

Operaciones Normales restauradas

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Que la alta direccin o gerencia tenga pleno conocimiento y este alerta a las posibilidades de un evento negativo que pueda afectar la operacin del negocio total o parcialmente. Obtener el compromiso gerencial que ponga en marcha un programa de recuperacin de negocios.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

ALERTA Y COMPROMISO Demostrar como los eventos,

basados en riesgos y amenazas, pueden


afectar las operaciones de la empresa Demostrar cual es la importancia para la empresa de contar con un plan de continuidad

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Que criterios debe utilizar para obtener el compromiso gerencial? Conocer su audiencia Entender como se logra las planificaciones en su empresa Alertar, luego obtener el compromiso Usar ejemplos relevantes Tratar que lo escuchen no que lo oigan El compromiso debe iniciarse luego de la presentacin Conseguir un patrocinador que sea proactivo y que elimine obstculos.
OBJETIVO: GANAR EL COMPROMISO DE LOS PARTICIPANTES PARA INICIAR UN PLAN DE CONTINUIDADGESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Personal

Planes Orientado a la Accin Simple y Concreto Checklists: Procesos Crticos Sistemas y respaldos Roles y responsabilidades Equipo de recuperacin

Infraestructura Centro de Direccin Instalaciones del Negocio Recursos Equipamiento (negocio) Equipamiento (tecnologa Mobiliario Acuerdos con Proveedores Comunicaciones

Equipo Integrado:
Caractersticas destreza, entrenado autoridad especialistas alternos Proceso de escalabilidad Roles claros Conciencia Responsabilidad

Material de referencia
Nmeros de Contacto

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Anlisis
Etapa I Planificacin del Proyecto
A Planificacin del proyecto B Evaluacin de los planes existentes C Procesos y Funciones Crticas D Riesgos Amenazas

Diseo
Etapa III Seleccin de Estrategia de Recuperacin
F G

Implementacin
Etapa IV Elaboracin del PCN
K Curso de Accin L Preparacin del Plan

Etapa II

Etapa V

Anlisis de Impacto del Negocio


E Periodo

Prueba y Manten.
M Prueba y Mantenimiento Del Plan

Hallazgos Recursos Recursos EstrategiMnimos Mnimos as de de y conclu- de Recupe de Recupe Recuperaracin racin Inoperancia siones cin y (no-comp) (comp) Respaldo Aceptada

j Locacin de Respald o

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto

Identificar un responsable del proyecto PCN Definir las actividades detalladas

Conformacin de equipos de trabajo


Elaborar los cronogramas de trabajo, hitos de control del proyecto Validar actividades anteriormente definidas Cronograma final del proyecto
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Actividades
Revisin de documentacin existente que tenga relacin con el planeamiento de la continuidad, como son los procesos, inventarios, aplicaciones, etc. Coordinar con TI, logstica, riesgos, etc. Desarrollar y adecuar plantillas y herramientas de trabajo Entender la cultura de la empresa Definir los supuestos del plan Identificar las personas claves para la direccin del proyecto (Sponsor) Desarrollo del plan del proyecto (Alcance, plan de trabajo, cronograma, roles y responsabilidades) GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto Documentacin

existente

Informacin de procesos crticos Inventario de tecnologa crtica que soporta los procesos Organigramas Informacin de Seguros Anlisis de Riesgo Evaluaciones de seguridad fsica Informacin de ocurrencias /eventos/desastres. Supuestos Deben ser realistas y limitados en nmeros Deben proveer suficiente detalle de tal manera que las personas comprendan lo que necesitan ejecutar en sus planes.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto

El PCN puede ser dirigido por TI, Riesgos, Auditoria, Finanzas, Operaciones, Legal, Administracin, Seguridad, etc. En el sector financiero existe la tendencia a ser liderado por el rea corporativa de riesgos.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto

Es responsable de:

Definir los miembros del equipo de trabajo y asegurar el xito de la


iniciativa Administrar y motivar al equipo de trabajo para una entrega oportuna de los documentos. Asegurar que la organizacin y el equipo de trabajo del PCN comprenda el propsito, proceso y requerimiento del PCN. Actuar como punto central de contacto entre las reas de negocio y el equipo de desarrollo. Informar el estado del proyecto a la alta gerencia y obtener la aceptacin formal del BCP
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto

El equipo de desarrollo trabajar en conjunto para: Desarrollar el material para el BCP, definir las plantillas y las herramientas a usar. Brindar asesora metodolgica para el desarrollo del BCP Facilitar los talleres y las reuniones de trabajo.

Coordinar el comportamiento de informacin y facilitar el aprendizaje entre


las diferentes unidades de negocio. Proveer control de calidad al proceso y a los documentos finales. Personal dedicado a tiempo completo.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto

El equipo de lderes trabajar en conjunto para: Coordinar el desarrollo del BCP para los procesos crticos asignados Actuar como punto central de contacto con los expertos, durante el proyecto Asegurar que los problemas sean resueltos apropiada y rpidamente Considerar e incluir las unidades de negocios interdependientes.

Obtener la aprobacin de las gerencias


GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto

El equipo trabajar en conjunto para:


Asegurar el cumplimiento de las actividades en los plazos definidos en el cronograma. Identificar los procesos de negocio crtico en la fase de Anlisis de Impacto Identificar a corto y largo plazo las estrategias para continuar con sus funciones ante la eventualidad de una emergencia, evaluar la

estrategia y determinar cul sera la mas exitosa.


Definir los procedimientos necesarios para continuar con las funciones de acuerdo a las estrategias del BCP. Actualizar y mantener el BCP.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto

Documentacin existente recolectada Cronograma preliminar

Organigrama de proyecto
Plan del proyecto

Presentacin del proyecto a la gerencia

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto1

Plan del Proyecto PCN


Objetivo y Alcance Plan de Trabajo Supuestos Cronograma preliminar Roles y responsabilidades Entregables parciales y finales Gestin del proyecto Seguimiento del avance

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto

Comunicar el objetivo del proyecto

Definir el PCN
Delinear el alcance y cronograma del proyecto Describir los de roles los y

responsabilidades miembros proyecto. de la

diferente del

organizacin

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto

Soporte y compromiso de la alta gerencia. Uso de un enfoque de planeamiento basado en escenarios. Respuesta a incidentes / emergencia claramente definida.

Procedimientos muy bien establecidos para el almacenamiento


electrnico de los registros vitales del negocio. Locales alternos. Una robusta estrategia de recuperacin tecnolgica. Pruebas regulares y consistentes del PCN. Un fuerte programa de administracin y mantenimiento del plan.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa I Planificacin del Proyecto

Falta de compromiso de la organizacin (recursos, presupuesto, gestin del proyecto) Delegar a TI todo el esfuerzo del PCN

Planeamiento inadecuado de los supuestos


Plan de administracin de la crisis / emergencia insuficiente Estrategias de recuperacin inviables

Falta de compromiso, educacin y entrenamiento


Falta de mantenimiento y prueba.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

Acumular la informacin y/o entrevistas de la Gerencia de las Unidades del Negocio Validar Funciones, recursos y tiempos de recuperacin Crticos del Negocio Presentacin del Anlisis de Impacto final a la Gerencia Inventario de los procesos crticos y Necesarios del Negocio Evaluacin de las medidas existentes de reduccin de riesgos (Control)

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

El anlisis de impacto debe ser utilizado de dos maneras ; como herramientas para la evaluacin de las amenazas y como una herramienta para determinar los requerimientos del negocio en el evento de una contingencia.
Anlisis de Impacto

Evaluacin de las Amenazas


Cul es el impacto al negocio debido a una contingencia?

Determinacin requerimientos de negocio


Cul es el costo en funcin del tiempo?

Cul es el tiempo mximo aceptable de una interrupcin?


Cules son los principales procesos a recuperar? Cules son los activos y recursos crticos con los que debo contar para continuar con las operaciones crticas?

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

Prdida de imagen Responsabilidades legales Prdida de mercado Costos financieros Prdida de Ventas

Costos adicionales
operativos El tipo de impacto depende de la naturaleza del negocio. La evaluacin de la amenaza ser directamente proporcional al impacto en el negocio y a la probabilidad de ocurrencia.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

En varios de los casos la imagen tiene mayor impacto, debido a que es difcilmente cuantificable y se traduce finalmente en prdida de mercado

Oportunidad para que la competencia demuestre su capacidad de brindar soluciones mas seguras. Prdida de nuevos clientes y exposicin ante nuestros actuales clientes que utilizan nuestros servicios.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

Para cada amenaza no tolerable se debe desarrollar el anlisis de impacto por la ocurrencia de la misma, identificando para cada proceso afectado los recursos, tiempos de recuperacin y otros elementos a considerar para la continuidad del proceso.

Procesos de Negocio Costo de Interrupcin Recursos crticos Aplicaciones crticas Capacidad de generar manualmente Tiempo de recuperacin
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

Actividades Relevar informacin sobre las unidades de negocio a travs del cuestionario de anlisis de impacto, con los representante de cada rea (expertos) Revisar y discutir con las gerencias y/o jefaturas la informacin relevada en los cuestionarios de anlisis de impacto Validar procesos, recursos y tiempos de recuperacin crticos del negocio Identificar las amenazas y/o vulnerabilidades, evaluar probabilidad de ocurrencia Evaluar las medidas implantadas para mitigar las consecuencias Presentacin del anlisis de impacto y evaluacin de riesgos final a la Alta Gerencia
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

Regla del 80/20 Basado en la experiencia de la industria , tpicamente el 20% de

los procesos o subprocesos cubre el 80% de las funciones del


negocio ms crtico

100% de los procesos de la Organizacin Anlisis de Impacto 20% Procesos Crticos

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

Es una evaluacin de las funciones de negocio de una empresa, con el objetivo de comprender los procesos de negocio crticos, dependencias y requerimientos
Objetivo: Determinar la criticidad de los procesos de cada rea evaluada para la Ca.

Identificar el tiempo objetivo de recuperacin y recursos necesarios para


concretar la recuperacin Identificar las aplicaciones que soportan cada proceso Determinar el impacto operacional y financiero de la prdida o interrupcin

del rea.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

Procesos que ejecuta el rea

Informacin de entrada y salida


Proveedores y terceros Documentacin de soporte Dependencia de las telecomunicaciones Dependencia de los aplicativos Equipamiento especializado Impacto cuantitativo y cualitativo Existencia de procedimientos manuales alternativos Tiempos
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

Transferencia del Riesgo Seguros

Programa de Seguridad
Programa de Seguridad de la Informacin Plan de Emergencia Programa de Registros Vitales

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

Estimacin sustentada en las prdidas de ingreso en las que se


incurre como consecuencia de la ocurrencia de un evento adverso establecido en definicin de escenarios. Esta prdida es diferente de la prdida de los ingresos generados por un negocio debido a que la ocurrencia del evento no afecta a todos los factores generadores de ingreso. Es decir: la prdida estimada de un da no es tan simple como

dividir los ingresos del negocio del ltimo trimestre en 90 das.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

Cul sera la prdida mxima que podra sufrir la empresa ante la ocurrencia del escenario definido si no contara con un PCN? No contar con PCN normalmente implica cesar operaciones hasta que la situacin normal pueda restaurarse Cunto tiempo demorara esta restauracin en funcin del

escenario definido?
Si durante este tiempo de demora, la empresa cesa sus operaciones, Cul es la prdida total? La empresa podra sobrevivir ese lapso sin operar?

En el extremo la empresa desaparece y los accionistas pierden el


valor de la empresa.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

Objetivo: Aqu el objetivo es definir cules sern los procesos de negocio que estarn comprendidos en el plan (alcance) Establecer en qu tiempo podr restaurarse la operacin de dichos procesos (RTO: Recovery Time Objective) Los procesos comprendidos en el alcance sern restaurados en el plazo definidos por el RTO Los procesos fuera del alcance cesarn su ejecucin hasta que pueda ser restaurada la operacin normal.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

El impacto o peso final de cada proceso ser una evaluacin de la gerencia en base al impacto financiero y no financiero.

Costo de Interrupcin US$

Valor total del Negocio

Momento de la Quiebra

Mximo costo tolerable

Tiempo mximo de Interrupcin

Tiempo de Interrupcin

El impacto o peso final del proceso ser un proceso de evaluacin comparativo entre los procesos y determinar la criticidad del proceso.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

Extender el alcance del plan reduce el impacto de las prdidas de ingresos pero incrementa el costo de montar y mantener el plan Reducir el RTO reduce el impacto de las prdidas de ingreso, pero incrementa el costo de montar y mantener el plan

Prdida

Costo

Costo

Prdida

Alcance

RTO

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa II Anlisis de Impacto del Negocio

Inventario de procesos crticos del negocio Anlisis de las potenciales amenazas para el negocio Evaluacin de las medidas existentes de reduccin de riesgos Determinacin del impacto financiero y operacional de una interrupcin sobre un proceso de negocio no crtico Establecimiento del tiempo de inoperancia aceptada para la recuperacin de cada proceso crtico del negocio para un nivel aceptable de operacin de emergencia seguida de la interrupcin Establecimiento de recursos mnimos requeridos por procesos de negocio crticos para la recuperacin.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

Discutir Acerca de las estrategias de recuperacin para proveer los recursos requeridos de recuperacin.

Evaluacin de estrategias de recuperacin propuestas


por los proveedores. Requerimientos de ubicacin fsica de recuperacin Identificacin y Anlisis costo/beneficio de las

estrategias de recuperacin. Revisar y aprobar la mejor forma de operar disponible para la estrategia de recuperacin.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

Para Tecnologa de la Informacin y facilidades, identificar la ms adecuada estrategia de recuperacin de acuerdo a los requerimientos del negocio, considerando el tiempo de recuperacin y el costo asociado. Para los procesos de negocio, identificar la estrategia para el proceso de negocio, mientras se espera la recuperacin de TI y las facilidades Para la empresa, identificar la estrategia de negocio con proveedores, alianzas, seguros, registros vitales, seguridad del empleado, comunicaciones, etc. Definir nivel de servicio
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

Desastre declarado (2 hrs.) Evacuacin Evaluacin del dao Reunir al personal Definir lugar de recuperacin Traslado al lugar de la recuperacin Avisar al lugar de la recuperacin Traslado del personal

Tiempo de recuperacin Comunicaciones

Servidores
Hardware Data (Backup) Esfuerzos Adicionales Sincronizacin de data Verificar aplicaciones y comunicaciones Ejecucin de procesos batch

Listo para Usuarios


GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

Desastre declarado Evacuacin Evaluacin del dao

PCs y accesos disponibles

Procedimientos manuales alternativos


Ingreso de transacciones manualmente Volver a crear la data perdida Reanudar procesamiento normal

Reunir al personal
Traslado al lugar de la recuperacin

Avisar al lugar de la recuperacin


Traslado del personal Asignar equipos no TI Telefona
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

Se debe identificar los elementos requeridos para poder continuar con la operacin en caso de una contingencia Conectividad Localidades Servicios de Oficina Tecnologa Transporte

Telefona
Espacio para usuarios
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

En la medida que los sistemas se vuelven ms crticos se debern desarrollar soluciones acordes para mantener la capacidad de continuar con las operaciones crticas en caso de desastre. El diseo debe tomar en consideracin: Tiempo de recuperacin Cunta informacin puede perderse Cunto representa econmicamente prdida Capacidad de procesamiento manual Plataforma tecnolgica

la

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

Costo de Implementacin US$ Centro alterno dedicado

Espejo o rplica de bases de datos

Sistema operativo en espera

Bveda electrnica remota

Centro de cmputo alterno

Minutos

Horas

Das Tiempo de Recuperacin

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

COLD SITE: Espacio propio de la compaa o de un proveedor que


permita la recuperacin de slo el local, sin recursos ni conectividad especial.
RTO: + 10 das Capacidad: para un grupo de empleados Ubicacin: local Uso: espacio que puede no estar disponible, falta de recursos necesarios dificultad para realizar pruebas Costo: bajo Ejemplo: oficinas vacas

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

WARM SITE: Espacio con comunicaciones disponibles pero sin equipamiento


RTO: de 24 hrs. A 5 das para el funcionamiento del local Capacidad: Para muchos empleados Ubicacin: local Uso: se podra contar con todo el equipo para trabajar, considera tiempo de configuracin. Coordinar para realizar pruebas. Costo: medio, considerando comunicaciones y equipamiento Ejemplo: teletrabajo, en oficinas de terceros o propias del grupo o compaa
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

HOT SITE: Ubicacin que cuenta con las instalaciones, equipos de cmputo, telecomunicaciones, lneas dedicadas y Personal preparado para manejar las operaciones realizadas en otro centro de cmputo, el cual ha sido afectado por algn evento.
RTO: de 4 a 24 hrs. Capacidad: para un nmero determinado de empleados Ubicacin: otro local de la Compaa o proveedor especializado Uso: seguridad, mantenimiento de equipamiento, local conocido, siempre disponible, realizacin de pruebas. Costo: slto, se considera comunicaciones, equipamiento, mantenimiento Ejemplo: agencia, otro local de la Ca., centro de contingencia de terceros.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

Obras Civiles Instalaciones elctricas Equipos Auxiliares Sistemas de Seguridad Cableado estructurado

Hardware Software Equipos de Comunicaciones Medios de Comunicaciones Soporte de Hardware Soporte de Software Soporte de Comunicaciones Soporte de Produccin y Operaciones

Adicionalmente se requiere personal para la seguridad del local y limpieza del local
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

Factor de E valuacin Administracin del cambio e implantacin de soluciones

Centro Propio Los constantes cambios en los negocios y la tecnologa requiere una constante maejo de cambios y actualizaciones, con personal disponible y preparado. Constante inversin en equipamiento, contratos de mantenimientos y seguros. La operacin del centro de cmputo requiere de personal dedicado y entrenado en el manejo y mantenimiento del mismo

Centro Proveedor de Servicio Cuentan con personal con experiencia en la problemtica y entrenada. E general las n inversiones son recuperadas en un esquema de econompia en escala

Sistema Operacional

E equipo de operaciones tiene un manejo l optimizado al contar con un equipo de produccin y operacin dedicado a los distintos servicios del centro. Incluyendo personal de mantenimiento (Hw/ Sw) de seguridad, servicios auxiliares y de limpieza E equipo de coordinacin del servicio tiene l personal asignado a estas responsabilidades y en constante coordinacin con otras reas u terceros

Manejo de la capacidad de recuperacin

Requiere constantes pruebas, mantenimiento y personal entrenados para reaccionar. Asi como el manejo de las relaciones entre reas afines u terceros para complementar los servicios

Soporte tcnico

E caso de contingencia se requiere del empleo Los proveedores cuentan con un grupo de n del personal tcnico para la recuperacin, lo cual soporte tcnico, instalaciones y manteniemento estara limitado al personal de la empresa de hardware pudiendo incluso afectar la realizacin de algunas tareas por no contar con los recursos humanos disponibles

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

Desarrollar una matriz de opciones para comparar sus debilidades y fortalezas

sobre las siguientes reas


Cumplimiento Satisfaccin de de tiempo de de

recuperacin objetivo requerimientos negocio para la recuperacin (personal, procesos y tecnologa) Costos (inicial, en operacin, reutilizacin de activos) Capacidad y tiempo de ejecucin Seguridad y continuidad
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

Costo US$

Costo de la Solucin Costo de la Interrupcin Del Servicio

Ventana

Tiempo GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

Resumen de estrategias seleccionadas. Detalle de estrategias seleccionadas: Negocios De la ubicacin fsica De la operacin alternativa (manual) De comunicaciones Detalle de estrategias seleccionadas: Sistemas Descripcin de la estrategia seleccionada por cada recurso TI crtico (Infraestructura, servidores, servicios, comunicaciones, etc.) Consideraciones para la validez de cada estrategia Data crtica y frecuencia de backups Contrato con proveedores Actividades principales y tiempo de recuperacin estimado Restricciones por la estrategia seleccionada
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

- Centro de comando (disponible siempre) Alberga a la alta gerencia inmediatamente despus de lo sucedido el desastre, a fin de proveerles un lugar adecuado para la toma de decisiones - Centro de Cmputo Alterno Alberga los equipos de computo y personal encargado de continuar con el soporte tecnolgico que permite la ejecucin de los procedimientos crticos del negocio - Centro de Negocio Alterno Alberga los equipos encargados de continuar con la ejecucin de los procedimientos crticos del negocio.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa III Seleccin de Estrategia de Recuperacin

Identificacin y anlisis costo/beneficio de las estrategias de recuperacin alternas (aprobada por la gerencia) Requerimientos de ubicacin fsica de recuperacin. Requerimientos para estimar/requerir la preparacin y distribucin de propuestas Estrategias de recuperacin recomendadas para las funciones crticas de negocio. Evaluacin de soluciones crticas de negocio. Acuerdos formales del site alterno. Medidas para la reduccin de riesgos. Establecimiento del tiempo de inoperancia aceptada para la recuperacin de cada proceso crtico del negocio para un nivel aceptable de operacin de emergencia seguida de la interrupcin. Establecimiento de recursos mnimos requeridos por procesos de negocio crticos para la recuperacin.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

Definir los equipos de recuperacin de desastre. Preparar la declaracin de procedimientos de desastre (Gua de Referencia Rpida). Organizacin y Planificacin Recuperacin de Infraestructura Fsica Recuperacin de Infraestructura de Cmputo Recuperacin de Aplicaciones de cmputo Actividades de Post- Recuperacin Preparar el marco del trabajo del plan Preparar los procedimientos de los equipos departamentos crticos Documentar los arreglos de recuperacin Elaborar el borrador del Plan de Continuidad del Negocio.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

La mayor debilidad de los esquemas de continuidad del negocio es la falta de documentacin

Es necesario que alguien o algn equipo se haga cargo de desarrollar y mantener la documentacin
La documentacin: Registrar situaciones y lo pensado antes que se produzca una interrupcin Establecer responsabilidades

Sin documentacin no hay plan de recuperacin Sin plan de recuperacin NO hay continuidad del negocio
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

Durante el tiempo que no se cuente con soporte Informtico las operaciones, de manera restringida debe continuar si es necesario. Procedimientos Formatos impresos Base de datos respaldados Listados e impresiones Documentacin
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

Ejemplos de documentacin

Software y Datos
Sistema operativo y subsistemas Bibliotecas de sistemas Bases de datos Biblioteca de procedimientos Procesos batch Diccionario de datos

Ejemplos de documentacin Inventario de Software Las versiones de documentacin debe ser la mas reciente y en medios magnticos Tener un conjunto de datos de prueba y los resultados que se deberan obtener. Diagramas de flujo y tablas de decisin Detalle de cualquier configuracin o condicin de operacin requerida, incluyendo requerimientos de sistemas operativo. Instrucciones de procesamiento y mensajes, comprobacin y respuesta.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

Ejemplos de documentacin Contratos


Hardware Software

Ejemplos

de

documentacin

Personas a contactar Miembro del equipo Nombres, telfonos Contactos de: direcciones y

Comunicaciones
Acuerdos recprocos Usuarios externos Nivel de servicios

Sistemas, usuarios, Cruz Roja, de


Defensa Civil, Bomberos, Seguros, Proveedores,

Departamento
servicios Seguros Alquileres

compras, finanzas; etc.


GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

Ejemplos de documentacin Comunicacin de datos

Ejemplos de documentacin Suministros

Lneas, protocolos

velocidad,

Formularios legales Fuentes de suministros Suministros para oficina Formatos de ingreso de datos

Especificacin de equipos de comunicacin

Configuraciones
Procedimientos

Formatos
procedimientos

de

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

Misin: Asegurar que toda la informacin a recuperar est completa, almacenada en un local externo seguro, utilizable y que pueda ser obtenida fcilmente por las persona autorizadas.
Objetivos: Debe cumplir con reducir la ventana de recuperacin y los acuerdos de niveles de servicio, al nivel requerido por el negocio. Los procedimientos deben considerar: Tiempo de recuperacin del ambiente operacional (hw, sw, comunicaciones, S.O., programas, productos y aplicaciones) La disponibilidad acordado en los SLA. Tiempo de recuperacin de la data huerfana
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

Revise las etiquetas con los detalles del respaldo previo Emita reportes de excepciones que indiquen data que no esta siendo respaldada Peridicamente emita otros reportes mostrando el contenido de las cintas o volmenes Que cintas estn libres? Qu cintas tiene informacin? Dnde estn las cintas XYZ en este instante? Qu cintas deben salir hoy ? Qu cintas estn viejas? Se prueban las cintas?

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

Responsabilidades Verificar los procesos de respaldo. Probar el estado de los respaldos. Notificar del desvo de los objetivos de respaldo. Mantener los medios de respaldo. Revisar el manejo de los registros vitales. Mantener un sistema que permita el manejo de los registros entre: Centro de Cmputo Almacn externo y recuperarlos en forma controlada
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

Mayor respaldos tiempo

frecuencia reducen

de el

de

recuperacin,

reduce la data hurfana y

mejora la actualidad de la
informacin.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

El plan debe minimizar las interrupciones y la duracin y el impacto de las mismas. En el rea de TI existen una serie de disciplinas que afectan directamente

el manejo de la continuidad como son:


Administracin de los niveles de servicio. Administracin del cambio. Operacin de los servicios. Administracin de la disponibilidad. Administracin de los procesos de respaldo y recuperacin. Administracin de la capacidad y rendimiento. Administracin de problemas. GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

Administracin de los niveles de servicio

Administracin de Cambio El cambio ha sido probado y documentado? Existe un plan de contingencia en caso de que el cambio traiga problemas? Todas las referencias documentadas han sido actualizadas y el personal preparado?

Cul es el horario de atencin?


Cul es el tiempo de respuesta para Cuntas mximas debo momentos pico? las principales transacciones atender en transacciones ?

Qu nivel de disponibilidad
requiero?
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

Operacin de los Servicios


Est documentado y se tiene copia del plan de operaciones?

Administracin de la disponibilidad Qu nivel de disponibilidad hemos obtenido este mes? Existe una mejor forma de medir y controlar la

Se ha revisado el consumo de
suministros y estn identificados los proveedores? En caso de interrupciones existen documentados soporte? procedimientos para solicitar

disponibilidad?

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

Administracin de los procesos de respaldo y recuperacin Con qu frecuencia debemos tomar respaldo? Se han probado los procesos de recuperacin? El tiempo de recuperacin es el adecuado?

Administracin de la capacidad y rendimiento El equipamiento actual tiene la capacidad suficiente para manejar la demanda futura? Es el uso de los recursos el adecuado? El equipamiento podr soportar la nueva aplicacin sin afectar las otras?

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

Administracin de problemas

Qu acciones se toman cuando se


presenta un problema? Existe un registro de problemas y un responsable de revisarlo? Existen criterios para determinar el nivel de impacto del problema?

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

Introduccin que documente el propsito y criterio para

determinar cuando se utilizar el plan. Seccin que documente los pasos a seguir inmediatamente luego de ocurrido el desastre. Procedimientos para recuperar las operaciones de los procesos crticos. Responsabilidades y actividades para todos los equipos de recuperacin. Informacin sobre acuerdos coordinados previamente a la ocurrencia del desastre. Apndices para listas de inventario, contactos, mapas, diagramas y procedimientos de recuperacin, procedimientos manuales y otra informacin detallada.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa IV Elaboracin del PCN

Un plan no es la solucin Un plan no recupera el negocio Un plan son papeles con informacin Las personas recuperan el negocio Las personas requieren de toda la infraestructura para recuperar el negocio.
Preguntas que debe contestar el plan: quin?, qu?, cundo? dnde?, porqu?, cmo?

El plan debe reunir la informacin necesaria para comprender y dar continuidad a las funciones del: Personal, Local, Tecnologa, Proveedores
El alcance, sofisticacin y tamao del plan depender de los requerimientos del negocio y de cada proceso. El plan necesita ser: Tctico, Detallado, Ejecutable GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa V Plan de Pruebas

Planificacin de las Pruebas. Definicin de Escenarios de Pruebas. Participantes en las pruebas. Documentacin de las pruebas. Revisin de los resultados de las pruebas. Actualizacin del Plan. Cronograma de las pruebas.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa V Plan de Pruebas

Definir el alcance y los escenarios de prueba


Identificar a los participantes de la prueba del PCN
Medir los tiempos de la prueba y programar el staff Asignar eventos responsabilidades para resolver los

fortuitos de la prueba
Dirigir el mantenimiento del PCN basado en los resultados de las pruebas del mismo.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa V Plan de Pruebas

Los objetivos del plan de pruebas son: Asegurar la familiaridad y habilidad de los equipos con sus actividades en caso de contingencia. Validar, identificar expuestos y realizar ajustes a la capacidad de recuperacin Consideraciones a tomar en cuenta en la planificacin de pruebas: Las pruebas pueden ser ejecutadas en forma total o parcial Se debe obtener informacin detallada del desarrollo de la prueba para el anlisis Se debe simular las condiciones de una situacin real de recuperacin Se debe utilizar slo informacin que se encuentra en el almacenamiento externo.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa V Plan de Pruebas

1.

Personal
- Gerencia comprometida - Equipos participantes

2.

Objetivos y Alcance de la Prueba - Definir alcance de la prueba (a nivel procesos, aplicacin u componente) - Listar los objetivos primarios de la prueba y los resultados esperados. - Listar los objetivos secundarios de la prueba y los resultados esperados. - Fijar lmite de tiempo para completar los objetivos. Medicin de la Prueba - Registro de la hora inicio y trmino de las tareas y de la prueba. - Documentar los problemas encontrados. - Registrar cualquier desviacin del plan de prueba. Revisin post prueba - Fueron correctos los parmetros? - Se consiguieron los objetivos? - Fue correcto el criterio de medicin? - Identifique reas de problemas, fortalezas y desviaciones del plan - Recomendaciones para mejoras

3.

4.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa V Plan de Pruebas


Definicin

de pruebas de elementos del plan

Diseada

para evaluar lo comprensible y efectivo que es lo especificado en cada procedimiento de recuperacin. El aislamiento de procedimientos de recuperacin clave permite a los equipos enfocar sus esfuerzos a una prueba limitada que puede ser afectada al realizar una prueba total.
Los

procedimientos que pueden ser considerados son:

Procedimientos de evacuacin Notificacin de la emergencia Recuperacin de aplicaciones

Acceso remoto
Recuperacin de un proceso crtico.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa V Plan de Pruebas

Definicin de pruebas integral

Este tipo de pruebas requieren de la


planificacin y preparacin extensiva y no debe realizarse hasta que no se haya probado cada componente del plan. Esta prueba debe incluir pruebas que se crucen crtico. las diferentes unidades de negocios que intervienen en un proceso

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa V Plan de Pruebas

Determinar

si

la

documentacin

de

las

estrategias

de

recuperacin y procedimientos de recuperacin son viables y permiten la recuperacin en el tiempo requerido Validar las premisas y los supuestos definidos Identificar debilidades y fortalezas Incorporar la exigencia de la participacin conjunta de sistemas y

negocios
Incrementar la familiaridad con los procedimientos.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa V Plan de Pruebas

Determinar el alcance
Determinar los objetivos Determinar el mtodo de prueba que permita cumplir con el alcance y objetivo Determinar los participantes Definir el tiempo de prueba Crear el ambiente de prueba (escenario,

facilidades, coordinacin con proveedores, etc.)


Conducir la prueba

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa V Plan de Pruebas

Realizar el seguimiento por medio de cuestionarios o reuniones Realizar crticas sobre la prueba y el plan Llevar las discusiones formales sobre los problemas presentados en la prueba Documentar las pruebas realizadas y los

problemas ocurridos
Actualizacin del plan Considerar los problemas ocurridos para la siguiente prueba

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa V Plan de Pruebas

El plan es un documento vivo que necesita que constantemente sea actualizado

Mantenimiento programado

Revisiones trimestrales Revisin semestral Revisin mensual Mantenimiento no programado por cambios importantes en la organizacin

Personal entrenado: elemento clave para la continuidad operacional ante contingencias


GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa V Plan de Pruebas

El mantenimiento del plan es responsabilidad del lder del comit de recuperacin y de los lderes de los grupos participantes Los cambios son integrados al plan a travs de procesos de manejo de cambios y problemas Los cambios son identificados a travs de la revisin peridica integral o parcial del plan El plan puede requerir actualizacin como resultado de las pruebas El plan puede requerir actualizacin en base a las recomendaciones de la auditoria.
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Etapa V Plan de Pruebas

Roles y responsabilidades continuas sobre el PCN Escenarios significativos de pruebas Definicin de objetivos, cronogramas y disponibilidad de recursos para la prueba Prueba y reportes con los resultados de las pruebas Revisin del ciclo de mantenimiento despus de la prueba Informe de estado del plan para la gerencia

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Estados del Plan


Operatividad Normal Estado de Emergencia Estado de Recuperacin Estado inmediato posterior al deastre en el que se ejecutan las actividades de respuesta a la emergencia Estado en el que se ejecutan las actividades de recuperacin de negocios y TI

Estado de Contingencia

Estado en el que se ejecutan las actividades de recuperacin de negocios y TI


Estado en el que se ejecutan las actividades para el retorno a la operatividad normal

Estado de Resturacin

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Organizacin y planificacin 1. Introduccin 2. Objetivo y Alcance 3. Supuestos y premisas 4. Polticas de pruebas y mantenimiento

Plan de pruebas
Plan mantenimiento de

5. Distribucin del Plan

6. Equipos de contingencia * Comit de contingencia * Lder del plan * Central de monitoreo * Equipo de evacuacin * Equipo de evaluacin de daos * Equipo de soporte corporativo * Equipo de soporte de negocios * Equipo de soporte de tecnologa de informacin

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Plan de Recuperacin de Negocios Plan que direcciona la recuperacin y la operacin en contingencia de

todos

los

procesos

crticos

del

negocio requeridos para mantener un nivel aceptable de operacin ante una interrupcin de los mismos y/o de los recursos que lo soportan

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Plan de Recuperacin de Negocios 1. Objetivo principal 2. Diagrama de escalamiento

3. Centro de Negocios alterno


5. Equipos de plan de recuperacin de negocios Equipo de finanzas Equipo de ventas Equipo de operaciones Equipo de Administracin Equipo de ...................

Los procedimientos manuales sern documentados como anexos al plan


GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Plan de Recuperacin de Sistemas Plan que direcciona la recuperacin y operacin en contingencia de las

aplicaciones

crticas,

incluyendo

comunicaciones, redes, hardware, software y datos ante un evento que origine la interrupcin de la

operatividad de los mismos.

GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

Plan de Recuperacin de Sistemas


1.
2. 3. 5.

Objetivo principal
Diagrama de escalamiento Centro de Cmputo de Contingencia o Alterno Equipos de Plan de Recuperacin de Sistemas

Equipo de Recuperacin
Equipo de Operacin y Produccin Equipo de Soporte Tecnolgico Equipo de Comunicaciones y Redes

Equipo de ...................

Se documentarn los procedimientos manuales de recuperacin de cada recurso de TI como anexo al plan
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION

...En una poca de cambios radicales,


el futuro pertenece a los que siguen aprendiendo.

Aquel que ya aprendi est preparado


para vivir en un mundo que ya no existe

A. Toffler
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION