PLAN DE CONTINUIDAD DE NEGOCIOS

Carlos Francavilla

http://cafrancavilla.wordpress.com

¿Porqué un Plan de Continuidad?

¿A qué nos Exponemos?

Sabotaje

Accidentes

Desastres Naturales

Fallas de servicios públicos

Ataques cibernéticos

Desastres del entorno

Energía

Los efectos del 9-11

Los planes deben actualizarse y probarse frecuentemente

• Se deben considerar todos los tipos de amenazas

• Analizar cuidadosamente las dependencias e interdependencias • Las telecomunicaciones son esenciales

• El apoyo de los empleados es importante • Las copias del plan deben almacenarse en ubicaciones seguras • La seguridad puede impedir el retorno de los empleados al edificio

El personal clave puede no estar disponible

¿Qué tan Preparados estamos?

¡Menos mal que salimos a tiempo!

¿Porqué una Norma Internacional?

Tendemos a Minimizar o Ignorar Riesgos

Impacto de Incidentes

De 5 empresas que experimentaron un desastre o falla extendida

• Dos nunca continuaron su operación

• Una cerro en los siguientes dos años

60 % de las empresas que experimentaron un desastre cerraron sus puertas a los dos años

Fuente Gartner Business are fragile entities

Ciclo de Vida de la Continuidad

Comprender la Organización

Estrategia de Continuidad

Desarrollo e Implantación del

Plan

Prueba y Revisión Continua del Plan

Evolución de la Terminología

DRP/DRM

•Disater Recovery Plan

•Plan de Recuperación de Tecnología

•Década del 80

BCP/BCM

•Business Continuity Plan/Management

•Plan de recuperación de operaciones de negocio ante eventos

•Década del 90

•Estándar dominante BS 25999

IPCOM

•Incident Preparedness and Operational Continuity Management

•Gestión de incidentes y Continuidad de Operaciones

•2007 en adelante

•Estándar dominante ISO/PAS 22399

Plan Propósito Alcance

Continuidad de Negocio (BCP) Provee procedimientos para sostener el negocio mientras se recupera de un incidente

Procesos de Negocio y soporte de tecnología necesaria

Recuperación ante Desastres (DRP) Provee procedimientos detallados para recuperar en un sitio alternativo

Enfocado en TI y limitado a grandes interrupciones con efectos de largo alcance

Relación Jerárquica

IOCM

Incident Preparedness & Operational Continuity

BCM

Business Continuity Management

BCP

Business Continuity Plan

DRP

Disaster Recovery Plan

Pero DRP o BCP

Disaster Recovery Planning

Prevención y recuperación en escenarios de mayor probabilidad y ocurrencia

Ámbito de aplicación: Sistemas de Información

Crítico: Tiempos de pérdida y recuperación de información

Business Continuity Planning

Mantenimiento de la actividad de la empresa

Mediante la recuperación de los procesos o la aplicación de procesos de emergencia

Crítico: Análisis de Impacto económico de Negocio de una detención de la actividad

Normas: Evolución en el tiempo

2006 BS 25999-1

2007 BS 25999-2 & ISO 22399

2008 BS 25777

2011 ISO 27031

2012 ISO 22301

Normas Relacionadas BS (British Standards)

Continuidad de Negocio

BS 25999-1 Código de Práctica

BS 25999-2 Sistema de Gestión de

Continuidad de Negocio

BS 25777 Código de Práctica TIC

Normas Relacionadas ISO

Continuidad de Negocio

ISO 22399 Código de Práctica

ISO 22301 Sistema de Gestión de

continuidad de Negocio

ISO 27031 Código de Práctica TIC

ISO/PAS 22399:2007 Guía para la Preparación de Incidentes y Gestión de la Continuidad Operacional

PAS Publicly Available Specification

Antecedentes ISO/PAS 22399:2007

ISO/PAS 22399:2007

NFPA 1600:2004

•National Fire Protection Association USA •Gestión de Desastres/Emergencias y

Programas de Continuidad de Negocio

HB 221:2004

•Estándar Australiano •Gestión de Continuidad de

Negocio (BCM)

BS 25999-1

•Estándar Reino Unido •Gestión de Continuidad de Negocio

¿Qué Es?

ISO/PAS 22399 Guía General para que las empresas desarrollen su propio criterio

especifico de desempeño para;

Preparación de Incidentes

(Incident Preparedness )

Continuidad Operacional

(Operational Continuity)

Medir la Capacidad de Recuperación

¿Para qué se aplica?

Comprender el contexto total de operaciones

Comprender Barreras, Riesgos y Disrupciones que pueden impedir los objetivos críticos

Evaluar el riesgo residual y la tolerancia al riesgo

Planear la continuidad en caso de que ocurra un evento disruptivo

Desarrollar respuestas a incidentes y emergencias

Definir Roles, Responsabilidades y Recursos

Cumplir con requerimientos Regulatorios y leyes

Fases que Cubre

Mantenimiento del Plan

Prueba del Plan

Entrega del Plan

Enfoque de Diseño del Plan

Análisis de Impacto de Negocio

Definir el Marco de Trabajo

Fases Definir el Marco de Trabajo del Plan

Iniciar el Programa

• Equipo de trabajo • Estrategia y política del

programa • Identificación de

Tiempos y Responsabilidades

Identificar la Organización

• Identificar actividades y objetivos críticos de operación de acuerdo a;

• Estrategia

• Planes de negocio • Análisis de Riesgos

• Análisis FODA

Asignar Responsabilidades

• Desde lo alto de la pirámide

• Recursos, roles, responsabilidades, autoridad

Definir Política del Programa

• Documentar el alcance del programa IPOCM

• Definir la relación con interesados y otras organizaciones

• Revisar las regulaciones y leyes aplicables

IPOCM : Incident Preparedness and Operational Continuity Management

Fases Análisis de Impacto

Identificar Riesgos e Impactos

• Identificar riesgos y amenazas • Considerar

• Tecnología y Recursos Humanos

• Bienestar y seguridad de los interesados

• Daños a la propiedad • Infraestructura

• Entrega de servicios

Análisis de Resultados

• Programa de prevención y mitigación

• Análisis de costo y beneficio del tratamiento de riesgos

Prioridades

• Definir recursos críticos • Detallar los requerimientos

mínimos de recursos del plan

Fases Enfoque del Plan

Determinar las Opciones de Recuperación

•Sitio Alternativo •Ayuda Mutua •Salteo temporario de trabajo

•Suspender, terminar actividades •Cambiar procesos

Fases Entrega del Plan

Plan de Reanudación de Negocios

Acciones necesarias para retornar al estado pre-incidente

Plan de Comunicación y Medios

Información a difundir Antes, durante y después Pública, privada Cualquier afectado

Plan de Soporte de Recuperación

Documentos separados para cada función u operación crítica

Plan de Recupero de Negocio

Basado en el plan de Gestión de Incidentes Documentos separados para cada función u operación crítica

Plan de Gestión de Incidentes

Propósito y contenido Acciones Puntos de disparo Responsabilidades Requerimientos de TI

Plan de Respuesta a Incidentes

Propósito y contenido del plan Importancia de conservar la vida y las propiedades

Fases Prueba del Plan

Determinar el Tipo de Prueba

•Plan de Comunicaciones

•Recuperación de Tecnología

•Plan de Recursos Humanos

•Otros Planes

•Prueba Parcial y/o Total

Documentar el Plan de Pruebas

•Determinar los escenarios realistas

•Acordados y planificados con los interesados

Desarrollar las Pruebas

•Ejecutar los escenarios

Informe de la Prueba

•Documentar los resultados

•Recomendaciones para mejorar el plan

Fases Mantener el Plan

Entrenar a los empleados

•Desarrollar conciencia

•Implementar, Mantener y Mejorar el plan

Mantener y Revisar el Plan

•Evaluar periódicamente

•Reflejar los cambios de procedimientos

•Establecer y documentar el programa de mantenimiento

•Supervisión proactiva del programa para verificar la efectividad

•Desarrollar auditorias internas

•Revisión periódica por el nivel ejecutivo

Desarrollar Conciencia

•Cada empleado debe ser el dueño del programa •Todos deben comprender porqué se

realiza el plan

•El plan IPOCM debe incorporarse a la cultura organizacional

Desarrollo de Respuestas Volver a la Normalidad lo Antes Posible

Incidente Respuesta al Incidente

•Minutos a horas •Contención del daño

•Evaluación del daño • Invocación del Plan

Continuidad de Negocio Minutos a Días

•Recuperación de funciones críticas

•Contacto con clientes y proveedores

Recuperación de la normalidad Semanas a Meses

•Reparación de daños •Cobro de seguros

•Reubicación

Evento T=0

RPO (Recovery Point Objective) RTO (Recovery Time Objective)

Segundos

Minutos

Horas

Días

Días

Horas

Minutos

Segundos

Evento

RTO Representa el tiempo en el que deben recuperarse los servicios y procesos de negocio

RPO Representa el punto en el tiempo en el que deben recuperarse los datos

Acordar la perdida de datos soportada Evitar consecuencias no deseadas

Análisis de Impacto y Riesgos

Análisis de

Impacto

Identificar procesos que soportan a productos y

servicios claves

Determinar las interdependencias de los

procesos

Identificar los recursos necesarios

Comprender y justificar el tiempo máximo de

interrupción de un proceso

Determinar las inversiones de acuerdo al RTO y RPO definidos

Análisis de Impacto y Riesgos

Proceso Vulnerabilidad o Amenaza

Probabilidad de Ocurrencia

Impacto Efecto Financiero

Tratamiento Control Implantado

Análisis probabilidad de interrupción por

evento

Severidad del impacto

Impacto Financiero

Controles actuales

Controles propuestos

Factores Claves del Plan

Plan de Continuidad

Ser comprensible, fácil de usar y

mantener

Mantener la confidencialidad e integridad de los

datos

Proveer a los ejecutivos una clara comprensión de los efectos adversos de

los incidentes

Obtener compromiso de la

junta directiva Identificar las

condiciones que disparan el plan

Identificar los posibilitadores del plan, personas y

tecnología

Responsabilidades y roles para cambiar el

plan en proceso

¿Qué no puede faltar en el plan?

Porqué se debe hacer

Quién lo debe hacer

Cómo y Qué se debe hacer

Cuándo y Dónde se debe hacer

Qué políticas, reglas y estándares se seguirán

Quién puede cambiar el plan y en que circunstancias

Bajo que circunstancias se declarara superado el incidente

PLAN DE CONTINUIDAD DE NEGOCIOS

Carlos Francavilla

http://cafrancavilla.wordpress.com