gestión de continuidad del negocio

Fernando De los Ríos

Director Gerente [email protected]

Gestión de Continuidad del Negocio:

Compartiendo Experiencias

Lima, 28 de Mayo de 2014

PERÚ

CIO Perú – GCN, 28/05/14 Pág. 2 ©Cognotek, 2014 www.cognotek.net [email protected]

PERÚ

Fernando De los Ríos, Asesor Cognotek Procesos de Negocio, Gobierno y Gestión de TI

Cencosud / E.Wong Sistemas de Información

Telefónica – Perú Infraestructura Tecnológica Desarrollo de Sistemas PA2K

Banco Latino Proyectos de Sistemas Pruebas de Software Oficial de Seguridad de Información Servicios Generales

Hobbies La lectura, pasión por la tecnología, su evolución y aplicación práctica a la vida diaria, y la práctica del squash. www.cognotek.net


PERÚ

Video


PERÚ ¿Estamos preparados para …??


PERÚ ¿O para…?


PERÚ ¿Estamos atentos a nuestro entorno?


PERÚ ¿Cuáles son los desafíos actuales?


PERÚ Recordemos…

Jeolla – Corea del Sur, 27 de mayo 2014.- Un incendio en hospital rural cobró la vida de al

menos 21 personas e hirió a muchas otras, algunas de gravedad.

Soma, Manisa – Turquía, 13 de mayo 2014.- Un incendio provocado por la explosión de un

transformador en una mina de carbón ocasionó > 274 muertes.

Gwaechon – Corea del Sur, 20 de abril 2014.- Un incendio en un data center de Samsung

provoca errores en terminales de todo el mundo.

Lima, 14 de diciembre 2013.- Usuarios de Claro reportan caída masiva de su sistema de

telefonía móvil.

Caracas, 22 de noviembre 2013 – Noticias24.- Usuarios de Twitter reportaron que en la

Torre IBM, ubicada en la Av. Ernesto Blohn de Chuao, hay un incendio desde la 1:00pm.

Cercado de Lima, 28 de julio 2000.- Vándalos rompían lunas, prendían fuego y arrojaban

bombas incendiarias al interior del Banco de la Nación.

Cercado de Lima, 20 de marzo 1999.- Se produjo un incendio en el edificio del Data Center

(Nicolás de Piérola) de Telefónica.

Lima, xx de xxxxx de xxxx.- (Nuestra empresa) sufrió una corte de servicio debido a....


PERÚ Encuesta de Symantec – 2012

Muestra 2,053 Organizaciones 30 países

NAM 2 (500) LATAM 14 (250) EMEA 5 (503) APJ 9 (800)

Copyright © 2012 Symantec Corporation. All rights reserved.


PERÚ Cómo se deben preparar las empresas

Requieren gestionar

la Continuidad del

Negocio


PERÚ Definición

Qué es Gestión de la Continuidad del Negocio

Es un proceso de gestión integral para

establecer y mantener un plan que

permita al Negocio y a TI responder a

incidentes e interrupciones de

servicio para la operación continua de

los procesos críticos para el negocio y

los servicios de TI requeridos, y

mantener la disponibilidad de la

información a un nivel aceptable para la

empresa.


PERÚ Definición

Qué NO es Gestión de la

Continuidad del Negocio

Un trabajo solo para el equipo de TI

Solo un Plan de continuidad del negocio

Un trabajo / esfuerzo de una sola vez


PERÚ Dependencias de una Organización

Disponibilidad de los Sistemas (aplicaciones, datos,

redes de comunicaciones, etc.)

Organización

Proveedores

Subcontratistas

Suministradores

Clientes /

Usuarios

Distribuidores

Dependencia de Infraestructura (energía,

telecomunicaciones, etc.)


PERÚ Dependencias de una Organización


PERÚ Marco Metodológico


PERÚ Procesos COBIT5

Procesos de Gobierno de TI Empresarial

Evaluar, Dirigir y Monitorear

Procesos de Gestión de TI Empresarial

Alinear, Planear y Organizar

APO01

Gestionar el

Marco de

Gestión de TI

APO02

Gestionar la

Estrategia

APO03

Administrar la

Arquitectura

Empresarial

APO06

Gestionar los

Costos y el

Presupuesto

APO04

Gestionar la

Innovación

APO05

Gestionar la

Cartera

APO07

Gestionar los

Recursos

Humanos

APO08

Gestionar

las

Relaciones

APO09

Gestionar los

Acuerdos de

Servicios

APO10

Gestionar a los

Proveedores

APO11

Gestionar la

Calidad

APO12

Gestionar

el Riesgo

APO13

Gestionar la

Seguridad

Construir, Adquirir e Implementar

BAI01

Gestionar

Programas y

Proyectos

BAI02 Gestionar la

Definición de

Requerimientos

BAI03 Gestionar la

Identificación y

Construcción de

Soluciones

BAI06

Gestionar los

Cambios

BAI04 Gestionar la

Disponibilidad y

Capacidad

BAI05 Gestionar la

Habilitación del

Cambio

Organizacional

BAI07 Gestionar la

Aceptación y

Transición de los

Cambios

BAI08

Gestionar el

Conocimiento

BAI09

Gestionar los

Activos

BAI10

Gestionar la

Configuración

Operación, Servicio y Soporte

DSS01

Gestionar las

Operaciones

DSS02 Gestionar los

Requerimientos de

Servicio e Incidentes

DSS03

Gestionar los

Problemas

DSS06 Gestionar los

Controles de los

Procesos de Negocio

DSS04

Gestionar la

Continuidad

DSS05 Gestionar los

Servicios de Seguridad

Monitorear, Medir y

Evaluar

MEA01 Monitorear, Medir

y Evaluar el Rendimiento

y la Conformidad

MEA02 Monitorear,

Medir y Evaluar el

Sistema de Control

Interno

MEA03 Monitorear, Medir y

Evaluar el Cumplimiento de

los Requerimientos

Externos

EDM01 Asegurar el

Establecimiento y

Mantenimiento del

Marco de Gobierno

EDM02 Asegurar

la Optimización

del Valor

EDM03 Asegurar

la Optimización

del Riesgo

EDM04 Asegurar

la Optimización

de los Recursos

EDM05 Asegurar

la Transparencia

a los

Stakeholders


PERÚ Gestionar la Continuidad (DSS04)

OBJETIVOS MÉTRICAS

► Información crítica disponible

según los niveles de servicio

mínimos requeridos

► Servicios críticos robustos

► Pruebas de efectividad del plan

► Plan de continuidad actualizado

► Stakeholders capacitados en el

plan

► % servicios TI que cumplen con la

disponibilidad requerida

► % restauraciones ok

► % back-ups transferidos y

almacenados de manera segura

► # sistemas críticos no cubiertos

en el plan

► # ejercicios y pruebas exitosas

► Frecuencia de pruebas

► % mejoras incorporadas al plan

► % stakeholders capacitados

► % de mejoras incorporadas en la

capacitación


PERÚ Gestionar la Continuidad (DSS04)

PRÁCTICAS DE GESTIÓN SALIDAS / ENTREGABLES

► Definir la política de continuidad del

negocio, objetivos y alcance

► Mantener una estrategia de continuidad

► Desarrollar e implementar una respuesta a

la continuidad del negocio

► Ejecutar, probar y revisar el PCN

► Revisar, mantener y mejorar el PCN

► Proporcionar capacitación en el PCN

► Gestionar acuerdos de respaldo

► Ejecutar revisiones post-reanudación

► Políticas y objetivos de continuidad del negocio

► Escenarios de incidentes que causan una interrupción

► Valoraciones de las capacidades actuales y vacíos de

continuidad

► Análisis de impacto en el negocio

► Requerimientos de continuidad

► Opciones estratégicas aprobadas

► Acciones y recomendaciones de respuesta a incidentes

► Plan de Continuidad del negocio (PCN)

► Pruebas de objetivos

► Pruebas de ejercicios

► Pruebas de resultados y recomendaciones

► Resultados de las revisiones de los planes

► Cambios recomendados a los planes

► Requerimientos de capacitación

► Resultados de la supervisión de habilidades y competencias

► Probar los resultados de las copias de seguridad de los datos

► Informe de revisión post-reanudación

► Cambios aprobados a los planes


PERÚ Secuencia de Eventos de un Incidente

Línea de Tiempo

Recuperación / Reanudación a Operación Normal

Respuesta al Incidente

Continuidad del Negocio

Incidente Objetivo General de Recuperación:

Retornar a la normalidad lo antes posible

De minutos a horas:

- Identificar al personal y

terceros afectados

- Atender víctimas

- Contener / limitar

daños

- Evaluar daños

- Invocar al PCN

De minutos a días:

- Contactar al personal,

clientes, proveedores,

etc.

- Restablecer procesos

críticos de negocio

- Reconstruir el trabajo

perdido

De semanas a meses:

- Reparación de daños

- Reubicación al lugar de trabajo permanente

- Recuperación de gastos de las aseguradoras


PERÚ Gestión de Continuidad del Negocio GCN

CICLO DE VIDA

Entender la

Organización

Definir la

estrategia

de GCN

Desarrollar e

implementar

el PCN

Entrenar,

mantener y

revisar

Administración

del Programa

de GCN



Administración del

Programa GCN

► Alcance de la GCN

► Acuerdo y firma de políticas

► Identificación y compromiso de

las partes interesadas

(stakeholders)

► Acuerdo sobre el enfoque

► Roles y responsabilidades

► Considerar el uso de una

herramienta de SW

Entender a la

Organización

► Identificar los productos y servicios clave y las

actividades críticas que los soportan

► Identificar los objetivos, obligaciones y

deberes de la organización

► Identificar las actividades, activos y recursos

de soporte

► Evaluar el impacto de fallos en las

actividades, activos y recursos (BIA)

► Identificar y evaluar las amenazas

► Identificar todas las interdependencias de las

actividades

► Entender la fortaleza de los terceros



Entender a la

Organización

Línea de Tiempo

Nivel de

Servicio Nivel de Servicio Normal

Mínimo Nivel de Servicio

TOR

TMCS

Plan de Gestión de Incidente

Plan de Continuidad del Negocio TMCS: Tolerancia Máxima de Corte de Servicio

TOR: Tiempo Objetivo de Restablecimiento

OK!



Entender a la

Organización

Línea de Tiempo

Nivel de

Servicio Nivel de Servicio Normal

Mínimo Nivel de Servicio

TOR

TMCS

Plan de Gestión de Incidente

Plan de Continuidad del Negocio TMCS: Tolerancia Máxima de Corte de Servicio

TOR: Tiempo Objetivo de Restablecimiento

Desastre!!



Definir la

Estrategia de GCN

► Definir una estructura de respuesta a

incidentes habilitando una respuesta y

recuperación efectiva

► Identificar los plazos y niveles de

servicio después de una disrupción del

servicio

► Acordar los plazos para restablecer los

niveles de servicio normales

► Gestionar a las partes interesadas

► La estrategia puede variar, producto de

una revisión de eventos externos o

internos

Desarrollar e

Implementar el PCN

► Alineado a los objetivos de la estrategia

de la GCN de la organización

► Desarrollo de planes para gestionar de

manera efectiva un corte del servicio

hasta contenerlo

► Crear planes de continuidad del

negocio diseñados para facilitar el

restablecimiento de las actividades

críticas

► Planes detallados incluyendo personas,

comunicaciones, roles y

responsabilidades, locaciones,

recursos, etc.



Entrenar,

mantener y revisar

► Valida la efectividad de los

planes

► Asegura el entendimiento de

los planes, roles y

responsabilidades

► Identifica oportunidades de

mejora

► Mantiene la relevancia de

los planes como resultado

de cambios en el negocio

► Diferentes tipos de ejercicios:

► Comprobación de puestos de trabajo

► Revisión de instalaciones

► Simulaciones

► Componentes / actividades

► Prueba completa

► Apoyos al ejercicio

► Programas de sensibilización

► Desarrollo de competencias


PERÚ Planificar – Hacer – Verificar – Actuar

Planificar :

Establecer

Hacer :

Implementar

y Operar

Verificar :

Monitorear y

Revisar

Actuar :

Mantener y

Mejorar

Partes

Interesadas

Requisitos

para la

Continuidad

del Negocio

Partes

Interesadas

Continuidad

del Negocio

Gestionada

Mejora Continua del Sistema de Gestión

de Continuidad del Negocio (SGCN)


PERÚ Consideraciones a Tener en Cuenta

► Compromiso de la Alta Dirección

► Compromiso e involucramiento de las

áreas de negocio

► NO es un proyecto de TI

► Arquitectura empresarial

► Arquitectura tecnológica

► Utilizar una herramienta de SW para

la GCN

► Hablar el idioma de los clientes /

usuarios: $$$

► Justificación viene por la parte

económica – Análisis de Impacto

► Foco en los procesos críticos de

negocio

► Procesos y procedimientos de

contingencia: manuales o automáticos

► Capacitación constante

► Actualización de planes, incorporar

mejoras y difundirlas

► Comunicación, comunicación,

comunicación

► Monitoreo de métricas sugeridas

► Asegurar que respaldos funcionan

► Almacenar respaldos en otro site

► Probar, probar, probar

► Automatizar pruebas de

transferencia automática de fuente

de energía (comercial / grupo elect)

► Contratar servicios de diferentes

proveedores (datos, energía)

► El PCN es un documento vivo y se

debe mantener como tal


PERÚ Justificación Económica

► En función a los ingresos de la empresa

► En función a los costos de operación

Ejemplo

► Empresa “A” tiene ingresos por S/.250M / año

Ingresos por hora de empresa “A”

250M / 52 sem / 5 días / 12h = S/.80,128 / h

► Empresa “A” tiene 1,250 empleados

Remuneración mensual promedio de un

empleado S/.3,500

Costo por hora de 1 empleado

3,500 x 1.5 / 22 / 8 = S/.30 / h

Costo por hora de 1,250 empleados

1,250 x 30 = S/.37,500 / h

Un corte de servicio de 2 horas le

cuesta a la empresa:

2 x (80,128+37,500) = S/.235,256

1 día sin servicio le cuesta:

(12 x 80,128) + (8 x 37,500)

= S/.1,261,536


PERÚ Beneficios de un SGCN

► Preserva los intereses de los stakeholders

► Mejora el resultado operacional de la

empresa:

► Reduce riesgos, se traduce en reducción de costos.

► Reduce tiempos de inactividad.

► Mejora la competitividad.

► Mayor eficacia operativa: reingeniería de

negocios

► Proteje los bienes materiales y el

conocimiento (know-how) del negocio

► Mejora en el cumplimiento de las

legislaciones de Seguridad y Salud

► Mejora la seguridad global


PERÚ Conclusiones

► Los desafíos actuales demandan que las

empresas tengan una GCN

► La GCN es responsabilidad de la Alta

Dirección

► El aporte de TI a la GCN es fundamental

► Visión holística:

► Partes interesadas

► Procesos críticos de negocio

► Facilidades / optimizar uso de recursos

► Contratos

► Obligaciones

► Proveedores de servicios públicos

► Marco metodológico

► COBIT 5

► ISO 22301 / BS 25999

► ITIL v3

► ISO 27002

► Velocidad de respuesta para restablecer

los procesos críticos

► Respuesta al incidente – TMCS

► Continuidad del negocio

► Recuperación / restablecimiento a las condiciones

normales de operación (BAU)

► Ciclo de vida de la GCN

► Entender la organización

► Definir la estrategia

► Desarrollar e implementar el PCN

► Entrenar, mantener y revisar

► Evaluar el uso de un software (nube)

► Hablar el idioma del usuario $$$

► Nuevos sistemas: incorporarlos desde la

planificación en la GCN

► Capacitar, capacitar, capacitar

► Probar, probar, probar

► Entrenar, entrenar, entrenar


PERÚ Estar atentos a los riesgos


PERÚ En resumen…. Estar Preparados!!

Cuanto más se suda en la paz,

menos se sangra en la

guerra


PERÚ Estándares existentes

ISACA: COBIT5

ISO 22301

ANSI/ASIS/BSI BCM.01:2010 Business Continuity Management Systems

British Standards Institute: BS 25999, Parts 1 and 2: Business Continuity

National Fire Protection Association: NFPA 1600:2010 Standard on Disaster / Emergency Management and Business

Continuity Programs

ASIS International: ASIS SPC.1-2009: Organizational Resilience: Security, Preparedness, and Continuity Management

Systems – Requirements with Guidance for Use

Australia / New Zealand Standard AS/NZS 5050: Business Continuity – Managing disruption-related risk

Singapore Standard SS540: Business Continuity Management

Canadian Standard: CSA Z1600: Emergency Management and Business Continuity Programs

Government of Japan BCP Guideline

Japanese Corporate Code – BCP

ISO 24762: Information Technology – Security Techniques – Guidelines for information and communications

technology disaster recovery services

National Association of Stock Dealers: NASD 3510/3520: Business Continuity Plans and Emergency Contact

Information

National Institute of Standards and Technology: NIST SP 800-34: Contingency Planning Guide for Federal Information

Systems

New York Stock Exchange: NYSE Rule 446: Corporate-Wide BCP


PERÚ Enlaces de Interés

www.isaca.org/cobit

www.iso.org

www.25999.info

http://www.cirmagazine.com/cir/reports/BCSoftwareReport2013-14.pdf

https://drii.org/

http://www.fema.gov/es

http://www.pas56.com/

www.london.gov.uk/sites/default/files/guide-for-small-businesses.pdf

www.gov.uk/government/uploads/system/uploads/attachment_data/file/1

37994/Business_Continuity_Managment_Toolkit.pdf

http://www.slideshare.net/symantec/2012-smb-disaster-preparedness-

survey-global-results-may-2012


PERÚ

Fernando De los Ríos [email protected]

www.cognotek.net

www.linkedin.com/fernandelos

@fernandelos

www.slideshare.net/fernandelos