plan de continuidad de negocio

ramirocid.com [email protected] Twitter: @ramirocid

Plan de Continuidad de Negocio

Ramiro Cid | @ramirocid




2

Índice

1. Posibles tipos de desastres Pág. 4

2. Plan de continuidad Pág. 7

3. Diferentes enfoques de Business Continuity Plan Pág. 14

4. BS 25999 Pág. 17

5. Business Impact Analysis (BIA) Pág. 23

6. Estrategias para la creación de BCP Pág. 25

7. Estrategias posibles para los centros de respaldo Pág. 26

8. Estructura de los BCP Pág. 32

9. Relación de procesos de los BCP Pág. 42



¿100% Seguridad?

“El único sistema que es realmente seguro es uno apagado y desconectado

de la red, encerrado en una caja fuerte forrada de titanio, enterrado en un

bunker, rodeado de gas nervioso y custodiado por guardas armados y muy

bien pagados. Incluso entonces, no daría mi vida por ello …”

Gene Spafford

Director de Computer Operations, Audit, and Security Technology (COAST), Universidad de Purdue



Posibles tipos de desastres

Otras

2%Errores Hardware

8%

Errores Humanos

2%

Inundaciones

10%

Caídas de Red

2%

Tormentas y Rayos

12% Terremotos

5%Fuego

6%

Sabotaje

3%

Chispas y Subidas de Tensión

3%

Huracanes

6%

Atentados

7%

Fugas de agua

1%

Caídas de Energía

27%

Fallos en el Servicio

1%

Errores Software

5%




Despacho de un Responsable de Área TIC después de un incendio y la utilizaciónde extinción automática por agua.



Plan de continuidad

Las organizaciones tratan de evitar las situaciones de riesgos a través de la

instalación de medidas de seguridad preventivas.

A pesar de la inversión que se pueda realizar, hay que asumir que nunca se

podrá obtener una seguridad del 100%.

Para tratar de reducir estos riesgos se deben pensar planes de reacción

antes las situaciones de riesgo que se consideren más críticas.

Los planes de continuidad de negocio se definen para CUANDO falle el

sistema, no POR SI FALLA.



Plan de continuidad

Un Plan de Continuidad de Negocio es la respuesta prevista por una organización ante aquellas situaciones de riesgo que afectan de forma crítica a los servicios que ofrecen y que son los que le permiten la realización de sus actividades diarias y que deben ser las que se quieren protegen.

En esencia, un Plan de Continuidad de Negocio se centra en obtener el mínimo tiempo de recuperación ante una determinada situación de riesgo así como la minimización de las consecuencias que estas acciones podrían llegar a provocar.



Plan de continuidad

Los Planes de Continuidad de Negocio buscan:

1. Mantener el nivel de servicio en los límites definidos por la organización.2. Establecer un período de recuperación mínimo para garantizar la

continuidad del negocio.3. Recuperar la situación inicial de los servicios y procesos hasta la situación

anterior al incidente de seguridad que lo provocó.4. Analizar el resultado de la aplicación del Plan de Continuidad de Negocio y

los motivos del fallo para optimizar las acciones que la comprenden.

Deben estar en consonancia con el Análisis de Riesgos de la organización ya

que permite identificar las medidas de seguridad que se deben implantar

en una organización así como ante que situaciones se deberá pensar en

el Plan de Continuidad de Negocio.



Análisis de Riesgos y Planes de Continuidad

De un proceso de Análisis de Riesgos se obtienen:

1. Situación a controlar2. Situación objetivo3. Controles implementados4. Controles del plan de continuidad5. Activos implicados6. Amenazas7. Áreas de la empresa implicadas



Estructura de los Planes de Continuidad

Activos críticos

Definición situaciones críticas Procesos de trabajo

Análisis de riesgos

Asignación de responsabilidades Comité de emergencia

Responsables de planes

Disparo situación de alarma Indicadores de disparo

y acciones de respuesta Secuencia de acciones

Registros

Planes de mantenimientos Datos de pruebas y disparo

Propuestas de mejora o cambios



Planes de Continuidad

Tienen que responder a las diferentes situaciones de riesgos que están

definidas.

Recogen todas las acciones a llevar a cabo desde el momento que se

detecta la emergencia hasta que la empresa vuelve a sus condiciones de

funcionamiento.



Planes de Continuidad

Resulta fundamental para el éxito de un Plan de Continuidad de Negocio

que se tengan en consideración los siguientes aspectos de cara al éxito

de este tipo de proyectos:

� Detectar todos los recursos necesarios que se requieren tanto para la protección como para la recuperación de los procesos a salvaguardar.

� Definir la disponibilidad, mantenimiento y operatividad de todos los recursos implicados en el Plan de Continuidad de Negocio.

� Establecer claramente el momento de disparo de los Planes de Continuidad.� Asignar un responsable al Plan de Contingencias específico.� Asignar responsabilidades claramente para cada acción definida.� Establecer un proceso de revisión una vez recuperada la situación.



Diferentes enfoques de Business Continuity Plan

Disaster Recovery Planning (DRP)

� Recuperación de los servicios TIC y los recursos, dado un evento que ocasiona un interrupción mayor en su funcionamiento.

Bussiness Resumption Planning (BRP)

� Reanudación de los procesos de negocio afectados por un fallo en las aplicaciones de IT.

Continuity od Operations Planning (COOP)

� Busca la recuperación de las funciones estratégicas de una organización que son desempeñadas en sus instalaciones corporativas.



Contingencia Planning (CP)

� Se enfoca en la recuperación de los servicios y recursos de TI después de un desastre de dimensiones mayores a una interrupción menor.

Emergency Response Planning

� Es de salvaguardar, a los empleados, público, ambiente y a los activos de la empresa.

Diferentes enfoques de Business Continuity Plan



Normativas para la creación de los Planes de Continuidad de Negocio

Durante este año 2007 se presentó la primera normativa de carácter internacional en la que se indica que aspectos deben tenerse en consideración a la hora de la creación e implantación de un Plan de Continuidad de Negocio en una organización. Esta normativa se denomina BS 25999.

� Es la primera norma con carácter internacional (durante el próximo año pasará a ser ISO) que aporta unas buenas prácticas para la gestión de la continuidad del negocio.

� Incluso está en elaboración la segunda parte de esta norma con el objetivo de poder certificar dichos PCN.

� Determina como deben gestionarse de la forma correcta los planes de continuidad de negocio con el objetivo de que se integren en las organizaciones.



BS 25999

Este estándar describe las diferentes fases que tienen que establecerse

para la creación y gestión continua de un plan de continuidad de negocio.

Programa de Gestión del

PCN

Comprensión de la Organización

Determinación de la estrategia del

PCN

Desarrollo e implementación del

PCN

Prueba, mantenimiento y revisión del PCN



BS 25999: Primera Fase

Comprensión de la organización

Esta primera fase a la hora de la creación de un Plan de Continuidad de Negocio resulta la más crítica y fundamental de cara al éxito de este tipo de proyectos. El objetivo fundamental consiste en la comprensión total de las actividades que se realizan por parte de la organización así como todos los elementos que se requieren para la realización de estos procesos.

Para la elaboración de esta primera fase se divide en dos sub-fases:

� Gestión del riesgo

Tratar de minimizar los riesgos detectado en el Análisis de Riesgo con el fin de reducir los riesgos existentes, preferentemente aquellos que podrían provocar grandes daños para la organización.



�Business Impact Analysis (BIA)

Consiste en identificar los procesos relacionados con la misión de la organización y analizar con mucho detalle los impactos en la gestión comercial del negocio si esos procesos se vieran interrumpidos como resultado de un desastre.

Se identifican las áreas críticas para el alcance de la organización, así como la magnitud potencial del impacto operativo y financiero.

El BIA resulta el proceso más complejo dentro de un Plan de Continuidad de Negocio ya que es a partir del mismo que se consigue identificar los valores fundamentales de todo PCN:

� Tiempo máximo de inactividad por proceso / actividad de negocio.� Tiempo de recuperación de la información que se requiere para ofrecer un proceso

/actividad de negocio.� Minimo nivel de servicio que se requiere para ofrecer los procesos /actividades de

negocio

BS 25999: Primera Fase



BS 25999: Segunda Fase

Determinación de la estrategia del PCN

Consiste en la realización del estudio de las posibles soluciones que existen para poder recuperar los procesos más críticos en el menor tiempo posible con una menor inversión.

El objetivo es garantizar que no se superará el tiempo máximo de inactividad de negocio permitido desde el momento en el que sucede la contingencia hasta que el servicio se vuelve a ofrecer.



BS 25999: Tercera Fase

Desarrollo e implantación del Plan de Continuidad de Negocio

� Consiste en la creación de:

� Los equipos de continuidad de negocio.� Preparación de las infraestructuras requeridas para la ejecución de estos planes

de continuidad.� Determinación de los momentos de ejecución de los diferentes planes.� Elaboración de las diferentes acciones que se deberán ejecutar en el momento de

uso del Plan de Continuidad de Negocio.� Determinación de las personas que deben ejecutar todas y cada una de las

acciones que se deberán desarrollar.



Prueba, mantenimiento y revisión del Plan de Continuidad de Negocio

� Prueba de los PCN

Se deben efectuar de forma periódica pruebas para verificar que el plan de continuidad de negocio consigue los objetivos marcados a la hora de la determinación y creación de estos planes

Estas pruebas sirven para la realización de mejoras en el Plan de Continuidad de Negocio.

� Mantenimiento del PCN

Se trata de mantener el Plan de Continuidad de Negocio en un estado de preparación constante para dado un desastre poder ejecutarlo minimizando las posibilidades de error.

BS 25999: Tercera Fase



Business Impact Analysis

Resulta una de las fases más importantes a la hora de

la creación de los planes de continuidad de negocio.

Se realiza a nivel de proceso y no a nivel de activo.

Conviene una clara y precisa comprensión del negocio

La información se extrae de entrevistas con diferentes

personas de alta dirección del negocio así

Permite decidir que procesos deberán recuperarse con

anterioridad en caso de desastre

Incluye aspectos como:

• pérdida de ingresos,

•sanciones y multas,

• pérdida de imagen

• incremento decostes.



Business Impact Analysis



Estrategias para la creación del PCN

Existen varios aspectos fundamentales a la hora de la decisión de una

solución:



Estrategias posibles para los Centro de Respaldo

Cold Site

� Solo tienen:

� Cableado eléctrico

� Aire Acondicionado

Warm Site

� Configuraciones parciales, solo

� Conexiones de red

� Equipos periféricos

� Carecen generalmente de la CPU

� La disponibilidad depende del acopio e instalación de la CPU

� Deben ser compatibles, (equipo, red y software)

� Necesitan CPU, personal, programas, datos y documentación

� Destinado para operaciones de emergencia para periodos cortos




Hot Site

� Configuraciones totales� Listas para ser usadas dentro de pocas horas� Deben ser compatibles: equipos, red y software� Necesitan personal, programas, datos y documentación� Destinados a

� operaciones de emergencia para periodos cortos� operaciones de emergencia para procesos de negocio muy críticos� Caros � compartidos




Lugares dedicados

� Son lugares dedicados (generalmente propios)� Para asegurar su viabilidad es necesario:

� No debe estar sujeto a los mismos desastres que el lugar primario� Debe haber coordinación de estrategias de actualización (hard/soft) entre ambos

centros� Debe asegurar la disponibilidad de los recursos� Debe haber acuerdos para agregar aplicaciones (carga de trabajo) para la

recuperación� Es necesario una prueba periódica




Sitios móviles

� Remolque diseñado para ser trasladado rápidamente� Suelen contener

� Servidores� Estaciones de trabajo� Equipos de comunicaciones� Enlaces vía satélite

� Útiles para

� desastres que afectan a una amplia zona geográfica� organizaciones de oficinas múltiples




Acuerdos recíprocos

� Los participantes acuerdan proveerse mutuamente instalaciones en caso de

emergencia

� Ventajas� Bajo Costo� Es posible que sea la única alternativa

� Inconvenientes� Estos acuerdos NO suelen OBLIGAR a las partes� Pueden existir INCOMPATIBILIDADES de equipos y configuración� Los cambios sobre carga de trabajo afectan a los participantes



Estructura de los BCP

Esquema de los BCP:

1. Objetivo2. Alcance3. Descripción de la situación a controlar

1. Riesgos a controlar2. Activos que intervienen3. Nivel de servicio exigido4. Tiempos para cada respuesta: tiempo total de reacción5. Recursos necesarios en cada uno de los planes. Disponibilidad y

operatividad4. Listado de Procedimientos concretos y responsables5. Disparo de Alarma




6. Plan de respuesta7. Plan de respaldo8. Plan de recuperación9. Plan de análisis y mejora10. Planes de prueba




� Objetivo: recoge brevemente el objetivo del plan de contingencia concreto

� Alcance: recoge el ámbito de aplicación del PC. Se define el servicio,

localización en la empresa, personal responsable, etc.




3. Descripción de la situación a controlar: Recoge los datos de la situación

analizada y los parámetros que se quieren mantener.

� Situaciones de riesgo: descripción de amenazas y forma de actuación� Activos involucrados: listado y consecuencias producidas� Niveles exigidos: situación requerida de la empresa para la situación

descrita en los PC en los momentos de interrupción del servicio� Tiempos de respuesta: tiempo máx. para alcanzar cada una de las fases� Recursos necesarios para los planes de respuesta, respaldo y recuperación




4. Planes desarrollados y responsables en cada uno de los planes: listado

de los planes o procedimientos concretos con los responsables de los

mismos. Se especifica versión, aprobación y distribución, así como la

persona responsable de su implantación y mantenimiento.

5. Disparo de alarma: Recoge claramente las situaciones o indicadores que

hacen que las acciones indicadas arranquen. Se define quién puede

detectar estas situaciones de inicio y qué primera acción debe efectuar.




6. Plan de respuesta: procedimiento que describe las acciones a realizar

tras el disparo de la alarma o emergencia:

� Acciones para proteger a las personas� Acciones para cortar la situación de riesgo: control de las amenazas� Acciones para proteger los activos� Acciones de notificaciones públicas� Registro de las acciones que se van realizando




7. Plan de respaldo: procedimiento donde se describen las acciones a llevar

a cabo para mantener el servicio mientras se resuelve la situación de

emergencia. Trata de mantener el servicio en los niveles requeridos por la

organización.

� Recursos necesarios para mantener la operación� Mantenimiento de los recursos� Activación de las diferentes acciones� Registro de las acciones llevadas a cabo: inicio, desarrollo y resultados� Personal implicado




8. Plan de recuperación: procedimiento donde se describen los pasos a

realizar para restaurar el servicio a los niveles que existían antes de las

emergencias.

� Restitución de activos, suministros, entorno� Arranque de los sistemas, servicios, etc.� Pruebas para comprobar los sistemas restaurados� Puesta en operación� Retirada de los planes de respaldo� Registro de las acciones realizadas y resultados.




9. Plan de análisis y mejora: procedimiento donde se describe qué datos

analizar y cómo hacerlo una vez finalizada la emergencia y restaurados

los sistemas

� Datos sobre situación de emergencia, causas, duración, daño producido� Datos sobre el desarrollo y adecuación de los planes de respuesta,

respaldo y restauración. Registros tomados durante el desarrollo de los planes

� Problemas detectados en el proceso del PC� Informe para comité de seguridad/emergencia� Propuesta de acciones correctoras y de mejora. Seguimiento.




10.Planes de prueba: descripción de las pruebas a realizar del plan de

contingencias para verificar que funcione correctamente, están los

recursos necesarios disponibles, están los procedimientos disponibles y

son conocidos.

� Planificación de las pruebas� Responsables de realizar las pruebas� Pasos a realizar, simulacros� Análisis de los resultados� Presentación de mejoras al responsable del plan de contingencias y al

comité de seguridad/emergencia.



Relación de procesos de los BCP

Disparo

de alarma

Plan de respuesta

Plan de respaldo Plan de recuperación

Plan de Análisis y Mejora

Plan de pruebas

Resultados Pruebas

Registros

Propuestas de cambios y mejora

si

no



Desarrollo de los PCN

Nº FUNCIÓN Responsable Resultado

1 Considerando el Análisis de Riesgos. Describir

el esquema de los PC

Comité Seguridad

Responsable Seguridad

Estructura PC

PC a desarrollar por los

responsables PC

2 Para cada PC describir los puntos y procesos

de cada uno de ellos

Responsable de los PC PC

Registros definitivos

3 Revisar los PC para coordinar acciones y

asegurar la coherencia

Comité seguridad

Responsable Seguridad

Aprobación formal de los planes

4 Establecer y aprobar la programación de las

pruebas y revisiones de los PC

Comité seguridad

Responsable seguridad

Aprobación formal de los planes

de pruebas

5 Asegurar la disponibilidad de los recursos

necesarios para aplicar los planes

Responsables del PC Recursos disponibles

6 Distribución de los planes y formación del

personal

Responsable de los PC Conocimiento y preparación del

personal implicado

7 Desarrollo de pruebas y revisiones Responsable de PC Mejora y mantenimiento de los

PC



¿Dudas? ¿preguntas?

¡¡ Muchas Gracias !!

[email protected]

@ramirocid

http://www.linkedin.com/in/ramirocid

http://ramirocid.com http://es.slideshare.net/ramirocid

http://www.youtube.com/user/cidramiro

Ramiro CidCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL