Plan de continuidad
-
Upload
milaria1947 -
Category
Services
-
view
184 -
download
0
description
Transcript of Plan de continuidad
PLAN DE CONTINUIDAD DEL
NEGOCIO (BCP)
AUTORES:
CAMILA MARTINEZ
NILSON LONDOÑO
INSTRUTOR:
ISABEL YEPES
FICHA:
455596
TECNOLOGIA DE GESTION DE REDES DE DATOS
SENA (CESGE)
MEDELLIN
COLOMBIA
Tabla de contenido INTRODUCCION: .............................................................................................................................. 4
OBJETIVOS: .......................................................................................................................................... 5
LOS OBJETIVOS DEL BCP: ................................................................................................................. 5
¿QUE ES UN PLAN DE CONTINUIDAD DE NEGOCIO? ...................................................................... 6
MAPA BCP. ...................................................................................................................................... 7
FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS: ......................................................... 8
CON QUE CUENTA LA INSTITUCION: ............................................................................................... 8
RIESGOS: .......................................................................................................................................... 9
DAÑOS DE SOFTWARE Y HARDWARE: ........................................................................................ 9
PERDIDA DE DATOS Y SERVICIOS. ............................................................................................... 9
DESASTRE NATURAL: ................................................................................................................. 10
ELEMENTOS A CONSIDERAR: .................................................................................................... 11
INASISTESNCIA DE ENERGIA: ..................................................................................................... 11
¿POR QUÉ DEBEMOS PREOCUPARNOS POR LOS PROBLEMAS DEL SUMINISTRO ELÉCTRICO? .... 11
FASE II. ESTRATEGIA DE RESPALDO. .................................................................................................. 12
IDENTIFIQUE SUS NECESIDADES DE RESPALDO DE DATOS:. ......................................................... 13
CONSIDERE EL RESPALDO DE DATOS INTERNO: ........................................................................... 13
EXPLORE EL RESPALDO DE DATOS EN LÍNEA: ............................................................................... 13
ESTABLEZCA PROCESOS PARA TODA LA COMPAÑÍA: ................................................................... 13
SELECCIÓN DE ESTRATEGIAS. ........................................................................................................ 13
FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD. ........................................................................ 14
¿QUE NECESITAMOS PARA DESARROLLAR NUESTRO PLAN? ....................................................... 15
GRUPOS DE TRABAJO. ................................................................................................................... 15
GRUPO DE DIRECTORES. ........................................................................................................... 15
GRUPO DE INSTRUCTORES O PERSONAL CAPACITADO: ........................................................... 15
GRUPO DE LOGÍSTICA: .............................................................................................................. 15
GRUPO DE VERIFICACIÓN:. ........................................................................................................ 15
GRUPO DE COMUNICACIÓN: .................................................................................................... 16
FASE IV. PRUEBAS Y MANTENIMIENTO. ............................................................................................ 17
OBJETIVO: ...................................................................................................................................... 17
TIPOS DE PRUEBAS: ....................................................................................................................... 17
REALISMO: ................................................................................................................................. 17
EXPOSICIÓN MÍNIMA: ................................................................................................................... 17
EJERCICIOS TECNICOS: .................................................................................................................. 17
TEST COMPLETO: ........................................................................................................................... 18
MANTENIMIENTO DEL PLAN DE CONTINUIDAD: .......................................................................... 18
CONCLUSIONES: ............................................................................................................................ 19
BIBLIOGRAFIA: ............................................................................................................................... 20
INTRODUCCION:
Dentro de la Gestión de la Seguridad de la Información en una compañía o institución de educación superior como nuestro caso, es importante contar con un plan alternativo que asegure la continuidad de la actividad del Negocio en caso de que ocurran incidentes graves. Tradicionalmente, los Planes de Continuidad, denominados Planes de Contingencia en sus orígenes, están asociados a grandes compañías que necesitan reaccionar de forma inmediata ante cualquier evento que interrumpa sus servicios. La realidad es que cualquier compañía puede sufrir un incidente que afecte a su continuidad y, dependiendo de la forma en que se gestione dicho incidente, las consecuencias pueden ser más o menos graves. El objetivo de esta guía es dar a conocer ciertas actividades necesarias para desarrollar un Plan de Continuidad de Negocio, proporcionando plantillas y ejemplos que ayuden al lector a entender cada una de las fases y tareas que componen el Plan. Queremos destacar que la guía puede servir para desarrollar un Plan de
Continuidad de Negocio tanto en una compañía grande media o pequeña
como también en una institución de educación superior especialmente
aquellas que brindan carreras relacionadas con el desarrollo de software,
telecomunicaciones, sistemas entre otras.
OBJETIVOS:
Se busca ayudar a difundir la importancia de tener un BCP, el cual ayuda principalmente a las compañías a amortiguar cualquier catástrofe que puede ocurrir en su empresa. Previniendo no solo gastos enormes si no también que se pierda una vida.
LOS OBJETIVOS DEL BCP:
1. Salvaguardar los intereses de sus clientes y socios además del negocio y la imagen de la organización.
2. Identificar los puntos débiles en los sistemas de la organización. 3. Analizar las comunicaciones e infraestructuras. 4. Conocer la logística para restablecer los servicios, independientemente
de los sistemas. 5. Ofrecer alternativas viables a todos los procesos críticos de negocio.
¿QUE ES UN PLAN DE CONTINUIDAD DE NEGOCIO?
Cada año son millones las organizaciones que padecen inundaciones,
incendios, ataques terroristas, actos vandálicos y otras amenazas. Las
compañías que logran superar estos traumas son las previsoras, las que están
preparadas para enfrentarse a lo peor, las que estiman los posibles daños
que pueden sufrir y ponen en marcha las medidas necesarias para
protegerse.
Un Plan de Continuidad de Negocio se compone de varias fases que comienzan con un análisis de los procesos que componen la organización. Este análisis servirá para priorizar qué procesos son críticos para el negocio y establecer una política de recuperación ante un desastre. Por cada proceso se identifican los impactos potenciales que amenazan la organización, estableciendo un plan que permita continuar con la actividad empresarial en caso de una interrupción. En el desarrollo de un Plan de Continuidad de Negocio surgen varias preguntas dos preguntas claves son: ¿Cuáles son los recursos de información relacionados con los procesos críticos del negocio de la compañía?
¿Cuál es el período de tiempo de recuperación crítico para los recursos de información en el cual se debe establecer el procesamiento del negocio antes de que se experimenten pérdidas significativas o aceptables? Un Plan de Continuidad reducirá el número y la magnitud de las decisiones que se toman durante un período en que los errores pueden resultar mayores. El Plan establecerá, organizará y documentará los riesgos,
responsabilidades, políticas y procedimientos, acuerdos con entidades internas y externas. internas y externas.
MAPA BCP.
Un punto clave es tener un mapa del BCP, Esto facilitara y reducirá la toma de decisiones. Entre más reducido y efectivo sea tendremos mayor probabilidad de que el riesgo sea nulo o cause poco daño en nuestra empresa o institución y permita un normal funcionamiento de la empresa lo cual es súper importante porque en medio hay una cantidad significante de cosas que pueden afectar gravemente, como perdida de dinero, clientes y vida.
Nosotros dividiremos este mapa por fases, nuestra primera fase es Identificación, la segunda fase es Análisis, la tercera es Diseño, la cuarta es ejecución y por la última fase es Medición.
FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS:
Se trata de obtener un conocimiento de los objetivos de negocio y de los
procesos que se consideran críticos para el funcionamiento de la compañía.
Una vez identificados los procesos críticos, se analizarán cuáles son los
riesgos asociados a dichos procesos para identificar cuáles son las causas
potenciales que pueden llegar a interrumpir un negocio.
CON QUE CUENTA LA INSTITUCION:
Nuestra institución de educación superior cuenta con centros de formación
en los cuales hay una arquitectura de red que brinda diferentes servicios
como DHCP, DNS, VPN, LDAP, PROXY, PXE, FTP, BASES DE DATOS,
DIRECTORIO ACTIVO, WIFI y WSUS.
Unos con más prioridad que otros que pueden ser indispensables para la
educación sobre todo para aquellas carreras familiarizadas con
teleinformática.
Como nuestra tecnología Gestión de redes de datos.
RIESGOS:
Unos de los riesgos más relevantes y que pueden causar gran daño a la
institución son los siguientes.
Pérdida de datos y servicios, daños de software y hardware, desastre natural
e inasistencia de energía.
El impacto que pueden causar estos riesgos son grandes pues una pérdida
total de información y datos en los servidores principales del SENA
provocarían que muchísimos Aprendices nos quedáramos por largo tiempo
incluso días sin volver a retomar nuestros estudios ya que solicitamos de toda
esta cantidad de servicios que brinda para poner en marcha todas nuestras
actividades.
La inasistencia eléctrica provocara que los aprendices no puedan hacer uso
de las herramientas tecnológicas que nos brinda el Sena pero por lo regular la
energía vuelve rápidamente pero también puede ser un daño a largo plazo.
DAÑOS DE SOFTWARE Y HARDWARE:
Este riesgo implicaría más gastos económicos, pues si algún dispositivo activo
llegase a dañarse, quemarse entre otros, ocasionaría un gasto económico
para remplazar rápidamente el dispositivo, esta institución cuenta con
cuartos de telecomunicaciones donde se encuentra alojados la mayoría de
estos dispositivos y algo peligroso que llegase a pasar podría causar un daño
múltiple y al mismo tiempo causaría un daño enorme a todo la
infraestructura de red física y lógicamente.
PERDIDA DE DATOS Y SERVICIOS.
Es indispensable el uso del internet porque está en nuestra más preciada
herramienta para el aprendizaje.
Las bases de datos en las que todos los aprendices del Sena están registrados
pueden ser eliminadas por diferentes causas como desastres naturales,
incendios toda esa información se podría perder y causaría gran impacto a
nuestra formación.
Cada aprendiz del Sena está registrado en la Plataforma Sofía Plus, la perdida
de esta plataforma sería algo crucial pues allí se encuentra toda nuestra
formación con el Sena desde técnicas, tecnologías cursos y demás,
perderíamos contactos con empresas que solicitan nuestros servicios para las
prácticas y muchos aprendices a punto de salir de su formación se verían en
gran problema.
Pero todas aquellas personas que pertenezcan al Sena y aquellas que en
tiempo de convocatoria desearían ingresar a un programa de formación
estarían totalmente afectadas, el proceso de formación se alargarían a un
más,.
Para hallar un periodo máximo de Interrupción, tendríamos que hacer un
conjunto de daños que se presentaron, obtener una cifra concreta de las
pérdidas, cantidad de personal a cargo de este proyecto.
Pero si los daños fueron mínimos posiblemente solo tome un día o 2
solucionarlo.
DESASTRE NATURAL:
Un Desastre natural puede ser totalmente fatal,podría acabar con toda la institución y la perdida
monetaria seria grandísima, pero por supuesto la vida humana es totalmente prioridad.
CLASIFICACION DE LOS DESASTRES.
Podemos plantear la siguiente clasificación de los desastres de la siguiente manera: DESASTRES NATURALES
a. Terremotos
b. Inundaciones
c. Fallas de potencia prologadas
ACCIDENTALES
a. Falla en la base de datos b. Falla de la estructura física
INTENCIONALES
Externas
a. Terrorismo b. Hackers
Internas
a. Huelga b. Sabotaje c. borrado de datos
ELEMENTOS A CONSIDERAR:
a. Servidores. b. Base de datos. c. Sistemas telefónicos. d. Redes locales. e. Recuperación de los data centers. f. Personal. g. Edificios y oficinas.
INASISTESNCIA DE ENERGIA:
¿POR QUÉ DEBEMOS PREOCUPARNOS POR LOS PROBLEMAS DEL SUMINISTRO
ELÉCTRICO?
Una pequeña interrupción en la energía eléctrica puede significar un daño a una computadora, un sistema en red, u otro equipo electrónico sensibles.
¿CUÁN FRECUENTES SON LOS PROBLEMAS ELÉCTRICOS?
Se puede concluir que cada semana ocurren casos con la energía eléctrica algunas veces, daños simples otras veces daños más graves que necesitan de personal capacitado.
¿Cuáles son las consecuencias de los problemas energéticos?
Aun los problemas de índole menor pueden costarle dinero. Cada vez que una interrupción en el suministro retarda un trabajo en proceso, se pierde un tiempo, y esa pérdida significa dinero.
Mucho más serio y costoso es el hecho que los problemas de energía no sólo pueden corromper archivos críticos de datos, también pueden dañar permanentemente a computadoras y equipos electrónicos.
¿Cómo pueden ser prevenidos los problemas de energía?
Siempre debemos conectar nuestros equipos electrónicos a Reguladores de voltaje, que además incorporen protectores de sobretensión, picos transitorios, y filtros de ruidos eléctricos otra opción para una protección aún más completa a una UPS con las mismas protecciones.
FASE II. ESTRATEGIA DE RESPALDO.
En esta fase se seleccionarán los métodos operativos alternativos que se van
a utilizar en el caso de que ocurra un incidente que provoque una
interrupción en la organización. El método seleccionado deberá garantizar la
restauración de los procesos afectados en los tiempos determinados por el
Análisis de Impacto.
IDENTIFIQUE SUS NECESIDADES DE RESPALDO DE DATOS:
Debemos Identificar los datos más preciados e importantes para la institución, que
permitan luego de que se materialice una amenaza la institución pueda seguir
operando con normalidad.
CONSIDERE EL RESPALDO DE DATOS INTERNO:
Se debe considerar como 1 opción tener copias de respaldo en discos duros
externos, esto depende de la necesidad y la importación de ello.
EXPLORE EL RESPALDO DE DATOS EN LÍNEA:
El respaldo en "nube", o el almacenamiento de archivos en servicios remotos
a los que se accede por Internet, puede ofrecer una alternativa atractiva a la
compra y el mantenimiento de equipos de almacenamiento interno. Decenas
de proveedores de servicios ofrecen respaldo de datos en línea, por lo tanto,
explore las opciones si elige esta estrategia y mantenga constante
comunicación son sus proveedores.
ESTABLEZCA PROCESOS PARA TODA LA COMPAÑÍA:
Una vez instalados los sistemas de respaldo, cree una política formal que
establezca cuáles serán los datos a respaldarse y con qué frecuencia, y el
responsable de administrar los respaldos.
SELECCIÓN DE ESTRATEGIAS.
Se debe actuar rápidamente si llega a materializarse una amenaza.
a. El Sena cuenta con dispositivos activos de respaldo.
b. Servicios virtualizados listo para ser usados.
c. Cuenta con gran personal capacitados para montar cualquier servicio
que se halla dañado.
d. En Antioquia hay más sedes del Sena y allí podrían asistir los
aprendices a clases en caso de que tengan que evacuar su sede
principal.
e. Otra posibilidad es dar clases en línea, ya que podrían no haber
ambientes o espacio suficientes para todos los programas de
formación.
f. El Sena debe contar con personal encargados para tener copias de
seguridad, backup de toda su información, puntos de restauración,
base de datos entre otros, alojados en un lugar fuera de esta sede
donde pueda estar segura en caso de pérdida total de la sede.
g. Estar totalmente en contacto con las diferentes empresas que prestan
servicios al Sena por ejemplo Internet, por si es necesario que les
traslade el servicio a otro lugar.
h. Realizar una y otra vez simulacros de evacuación del personal y si es
posible evacuación de sistemas de información prioritarios.
i. Mantener contacto con centros de salud que puedan actuar
rápidamente.
FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD.
a. Hasta este punto hemos recopilado la siguiente información:
b. Conocimiento de los procesos de la compañía, valorando cuáles son críticos para el funcionamiento del negocio.
c. Valoración de los riesgos que pueden afectar al negocio y que pueden
disparar el Plan de Continuidad de Negocio.
d. Estrategia de Continuidad más adecuada para el negocio.
¿QUE NECESITAMOS PARA DESARROLLAR NUESTRO PLAN?
GRUPOS DE TRABAJO.
GRUPO DE DIRECTORES.
Se encarguen de administrar y dirigir el plan de continuidad. * Analizar la situación. * Organizar los diferentes grupos y personal que se encargaran de llevar a cabo el plan. * Seguimiento en el proceso y responsable de notificar lo ocurrido. * Estimar tiempo de recuperación.
GRUPO DE INSTRUCTORES O PERSONAL CAPACITADO:
Se encarguen de tener un respaldo de los servicios que se implementan en la institución. * Restauración de los servicios. * Recuperación de datos. * Recuperación de software.
GRUPO DE LOGÍSTICA:
Encargado de contabilizar y mantener disponible en lo más posible dispositivos que puedan en algún momento remplazar otros. * Disponibilidad de dispositivos activos. * Encargados de hacer la petición en caso de que el Sena no cuente con el dispositivo.
GRUPO DE VERIFICACIÓN:
Encargado de chequear el funcionamiento de toda la infraestructura de red.
* Aprobar funcionamiento de los diferentes servicios que prestar el Sena.
* Aprobar la recuperación de los datos.
* Aprobar el buen funcionamiento de las plataformas del Sena.
GRUPO DE COMUNICACIÓN:
Encargado de estar al tanto con empresas externas, por ejemplo el
proveedor de servicios de internet, y las demás sedes del Sena del país.
* Mantener la comunicación con otras sedes en caso de solicitar ambientes
de aprendizajes.
* Contacto con los proveedores de servicios.
* Comunicación con los aprendices, instructores y toda persona que haga
parte del Sena.
GRUPO DE DIRECTORES
GRUPO DE
INSTRUCTORES
GRUPO DE
LOGISTICA
GRUPO DE
VERIFICACION
GRUPO DE
COMUNICACION
FASE IV. PRUEBAS Y MANTENIMIENTO.
OBJETIVO:
Realizar pruebas lo más reales posibles que aseguren la viabilidad de las
soluciones adoptadas. Para su desarrollo tendremos lo siguiente en cuenta.
* Probar la reacción de respuesta del plan para comprobar que tan claro se
sigue el diseño.
* Identificar las áreas de mejora en el diseño y ejecución del Plan.
* Comprobar si los procedimientos desarrollados son adecuados para
soportar la recuperación de las operaciones de negocio.
* Evaluar si los cada grupo cumple con sus respetivas funciones.
TIPOS DE PRUEBAS:
Las pruebas de un Plan de Continuidad deben tener dos características
principales:
REALISMO: Es primordial poner esto en práctica en escenarios lo mayor
posible reales que den un grado más de efectividad.
EXPOSICIÓN MÍNIMA: Las pruebas deben diseñarse de forma que impacten
lo menos posible en el negocio, es decir, que si se programa una prueba que
suponga una parada de los sistemas de información, debe realizarse una
ventana de tiempo que impacte lo menos posible para el negocio.
La prueba debe tener en cuenta absolutamente todos los detalles, los grupos
de personal deben cumplir su función y deben actuar rápidamente.
EJERCICIOS TECNICOS:
Los ejercicios técnicos requerirán el uso de equipos de hardware, software y
posibles centros y métodos alternativos para asegurar un rendimiento
adecuado.
Ejemplos de elementos verificados durante un ejercicio de simulación son:
- Procedimientos de emergencia.
- Métodos alternativos.
- Desplazamiento de personal, estudiantes instructores entre otros.
- Realización de backup y restauración.
- Capacidad y rendimiento del hardware.
- Portabilidad del software.
- Accesibilidad al centro de respaldo.
- Movilización de los equipos de trabajo.
- Recuperación de ficheros y documentación almacenados en lugar externo.
- Recuperación de datos.
TEST COMPLETO:
Esto implica la restauración real en otro centro alternativo, con el fin que el
proceso no sea interrumpido y se pueda proseguir con la Formaciones de
igual manera.
Este tipo de prueba requiere la participación de toda la organización de
continuidad del negocio, incluyendo a todos los grupos de trabajo y
aprendices entre otros.
MANTENIMIENTO DEL PLAN DE CONTINUIDAD:
Cada vez se implementan más soluciones para aplicar a nuestro plan de
continuidad o posiblemente hallan fallos y debamos corregirlo así que este
plan de continuidad debe ser constantemente modifica o actualizado para un
mejor éxito.
CONCLUSIONES:
a. El plan debe ser desarrollado para cubrir el peor escenario, de manera que escenarios menores queden cubiertos también.
b. El planteo de escenarios de desastre servirá de base al momento de determinar las alternativas viables para la recuperación.
c. La diferencia entre tener y no tener un plan de continuidad es enorme, siempre que estamos advertido por algo que va o puede pasar podemos corregir muchos errores a tiempo en cambio si algo nos coge totalmente desprevenidos sin saber cómo actuar al respecto o tomando medidas que pueden llegar a causar a un más daño.
d. Esta cuestión no es de unos pocos es de todas aquellas personas que pertenezcan a la institución para así lograr un mayor éxito.
BIBLIOGRAFIA:
a. http://www.sisteseg.com/files/Microsoft_Word_-
_POL_TICA_DE_CONTINUIDAD_DEL_NEGOCIO.pdf
b. http://www.sisteseg.com/sindustrial.html
c. http://www.criptored.upm.es/guiateoria/gt_m001r.htm
d. http://www.mnet.com.mx/plan.html
e. http://seguridadinformacioncolombia.blogspot.com/2010/06/plan-de-
continuidad-de-negocios-o.html