Continuidad de Negocio

José Manuel Ballester Fernández

Consejero Delegado TEMANOVA-ALINTEC

Director Cátedra Buen Gobierno Universidad Deusto

2

Reflexión Inicial

“El tiempo de la reflexión es una economía de tiempo”

Siro , Publius (Siglo I A.C.)

3

José Manuel Ballester Fernández

ALGUNA INFORMACIÓN PERSONAL

▶ Doctor Ingeniero Industrial, MBA, CISA, CISM, CGEIT

» Socio AUREN

» Consejero Delegado TEMANOVA/ALINTEC

» Director Postgrado Buen Gobierno Universidad Deusto

» Director Cátedra Buen Gobierno Universidad Deusto

▶ Miembro de ISACA, AUTELSI, AETIC, AEDI, AENOR

▶ Former President de ASIA / ISACA Madrid Chapter

▶ CobiT® Foundation Certificate

▶ Certified Information Systems Auditor (CISA)

▶ Certified Information Security Manager (CISM)

▶ Certified Governance Enterprise IT (CGEIT)

▶ Accredited CobiT® Trainer

▶ Member CGEIT Committee Board ISACA

▶ Member ISO JTC1/WG6 IT Governance

▶ coEditor ISO38500

4

1. Evolución

2. Análisis de Riesgos / Análisis de Impacto

3. Componentes del PCN

4. Gestión de la Continuidad

5. Factores Críticos de Éxito

Índice

5

Recuperación de DesastresEvolución I ...

 

DESASTRE - 1. m. Desgracia grande, suceso infeliz y lamentable.DRAE

-Apagando fuegos-Cuando ya han comenzado-Enfocado a grandes desastres(sobre todo naturales)

La Evolución

6

Planes de ContingenciasEvolución II ...

CONTINGENCIA: 1. f. Posibilidad de que algo suceda o no suceda. 2. f. Cosa que puede suceder o no suceder.DRAE

-Se planifica ...-Incluso lo no previsible ...-Se dota de medios, pero ...-No está alineado con el Negocio

La Evolución

7

Gestión de la Continuidad del NegocioEvolución III ...

 

- Proceso cíclico- Impulsado y apoyado (involucrado) por la Alta Dirección- Para buscar la Continuidad del Negocio- Ante cualquier eventualidad

La Evolución

8

“Proceso de desarrollar acuerdos previos y procedimientos que permitan a una organización

responder a un evento de modo que las funciones críticas del negocio continúen con los

niveles de interrupción o cambios esenciales planificados.”

(Disaster Recovery International Insitute)

Gestión de la Continuidad del Negocio

La Evolución

9

Análisis de Riesgos. Objetivos:

1 Análisis y minimización de los riesgos

2 Identificación de amenazas y vulnerabilidades (ACTIVOS)

3 Identificación de impactos potenciales

4 Determinación de niveles aceptables de riesgo

5 Planteamiento de alternativas para mitigar riesgos

Análisis de Riesgos

10

Análisis de Impacto. Objetivos:

1 Definir tipos de impacto

2 Identificar funciones críticas (PROCESOS)

3 Identificar el impacto por cada una de las causas de desastre

4 Informar a la Dirección

5 Identificar recursos mínimos necesarios

Análisis de Impacto (BIA)

11

Análisis de Impacto. Aspectos Claves:

1 Criticidad de los recursos y los procesos (objetiva)

2 Periodo de tiempo de recuperación

3 Pérdidas en función de éstos periodos

4 Sistema de clasificación de impactos

Análisis de Impacto (BIA)

12

Fallos del sistema Fuego Software Inundación Rayo Sabotaje Terrorismo

%76 8 6 4 2 2 2

R456736 96520 58182 56

Días 6 92 16 30 29 91 28

Fuente: Synstar Business Continuity

Análisis de Impacto (BIA)

Causas de Interrupción

13

Estrategia y Alternativas:

1 Estudiar los componentes del Plan

2 Necesidades de infraestructura externa

3 Alternativas disponibles

4 Análisis de procedimientos alternativos

5 Informe a la dirección

Estrategias y Alternativas

14

Componentes del Plan

Copias deseguridad

CentroAlternativo

Manual deProcedimientos

Infraestr

uctura

externa Procedimientos

Componentes del Plan

15

Centro Alternativo:

1 Opciones (Centro espejo, caliente, frío, móvil).

2 Medios propios, acuerdos mutuos, outsourcing.

3 Dimensionamiento adecuado. Servicios críticos.

4 Compatibilidad. Hardware y software.

5 SLA y coste claramente definidos.

Componentes del Plan

16

Componentes del Plan.

1 Preparar un boceto de contenidos.

2 Sistematizar el contenido de los procedimientos.

3 Métodos de redacción

4 Definición de equipos de recuperación

5 Planificar la vuelta a la normalidad

Componentes del Plan

17

Equipos de Recuperación. Áreas a cubrir.

1 Funciones administrativas.

2 Instalaciones físicas.

3 Logística.

4 Soporte a usuarios.

5 Sistemas alternativos.

6 Restauración y reconstrucción.

7 Otras áreas importantes.

Componentes del Plan

18

Equipos de Recuperación. O ...GRAN ENTIDAD

1 Equipo de respuesta a incidentes2 Equipo de atención de emergencias3 Equipo de determinación de los daños 4 Equipo de administración de la emergencia5 Equipo de almacenamiento externo6 Equipo de software7 Equipo de aplicaciones8 Equipo de seguridad 9 Equipo de operaciones de emergencia 10 Equipo de recuperación de red11 Equipo de Comunicaciones12 Equipo de Transporte13 Equipo de Hardware de Usuario14 Equipo de preparación de datos y registros15 Equipo de soporte administrativo16 Equipo de suministros17 Equipo de salvamento 18 Equipo de reubicación18 Equipo de Coordinación19 Equipo de Asuntos Legales20 Equipo de prueba de recuperación21 Equipo de Entrenamiento

PEQUEÑA EMPRESA1 Coordinador del equipo2 Recursos humanos3 Sistemas informáticos 4 Instalaciones5 Soporte

Componentes del Plan

19

Equipos de Recuperación. Perfiles.

1 Disponibilidad 24h / Accesibilidad2 Decisión y autoridad para gastar dinero3 Posición senior y respetado4 Capaz de tratar con otros departamentos5 Buen conocimiento del negocio/función6 Buen comunicador y sereno ante la presión7 Capacidad probada de liderazgo.

Coordinados y liderados por la Gerencia, Presidencia, o similar

Componentes del Plan

20

Más allá de la planificación de la continuidad

Componentes del PlanEstrategias de recuperaciónManual de procedimientos

Diseño del PlanAnálisis de Riesgos

Análisis de Impactos

EntrenamientoPruebas

Mantenimiento

Gestión de la Continuidad

21

Gestión de la Continuidad. Entrenamiento. 1 Programa de difusión.

2 Formación de TODOS los empleados a distintos niveles.

Nunca sabemos quién descubrirá la incidencia.

3 Realización de ejercicios de simulación.

5 Revisión y actualización de la documentación del plan.

Gestión de la Continuidad

22

Gestión de la Continuidad. Pruebas.

1 Pruebas totales planificadas o por sorpresa parciales.

2 Coordinadas con todas las funciones afectadas.

3 Evaluación y documentación de los resultados.

4 Actualización del plan.

5 Informe a la Dirección.

Gestión de la Continuidad

23

Gestión de la Continuidad. Pruebas.

1 Verificar si el plan es completo y preciso.

2 Evaluar el desempeño del/los equipos de gestión.

3 Evaluar el conocimiento y entrenamiento del resto de personal.

5 Evaluar la coordinación entre los distintos equipos, internos o externos.

6 Evaluar la validez de los datos del plan.

Gestión de la Continuidad

24

Gestión de la Continuidad. Mantenimiento.

Usando el entrenamiento y las pruebas será más fácil:

1 Actualizar la información contenida en el plan.

2 Revisar la idoneidad de los procedimientos.

3 Hacer cambios en los equipos de gestión.

5 Descubrir nuevos incidentes.

6 Reforzar relaciones con partners internos o externos.

Gestión de la Continuidad

25

Involucra a la Alta Dirección

CIO

BCP

Factores de éxito

26

Confía en la gente de la organización

Ellos son los que conocen el negocio

Factores de éxito

27

Direcciones de interés

www.bsi.orgwww.bscm.eswww.infoseguridad.comwww.thebci.orgwww.globalcontinuity.comwww.survive.comwww.continuitycentral.comwww.drj.comwww.isaca.org

28

Reflexión Final

“Las ideas no duran mucho hay que hacer algo con ellas”

Santiago Ramón y Cajal (1854-1934)

29

Fin de la presentación

Muchas gracias