sistema de gestión de la continuidad de negocio del dogcv1
TRANSCRIPT
Sistema de Gestión de la Continuidad de Negocio
Producción DOGC
19 Mayo 2011
Índice
Objetivos¿Era la certificación un objetivo inicial?Cronologia de desarrollo del proyectoAlcance¿Qué metodología se ha seguido?Resultados
BIAPlan de continuidadPruebasPlan de FormaciónSistema de Gestión de la Continuidad de Negocio
Herramienta para seguimiento del proyectoHerramienta Gestión Documental del SGCNLecciones aprendidas
2
Objetivos
Disponer de todos los recursos necesarios (humanos, tecnológicos, proveedores,
procedimientos, ...) para garantizar las funciones de edición/producción del Diari Oficial
de la Generalitat de Catalunya ante posibles contingencias.
Este objetivo permitirá:
Minimizar el tiempo de interrupción de las operaciones críticas implicadas en
la producción del DOGC.
Evitar o minimizar problemas legales
Proteger la imagen y credibilidad de la entidad
Simplificar la toma de decisiones cuando se produzca un desastre
Planificar el retorno a las operaciones normales de forma controlada3
¿Era la certificación un objetivo inicial?
Rotundamente NO.
La certificación nunca fue un objetivo sino que ha sido la consecuencia de un largo
proceso de maduración de la entidad en lo que se refiere a cultura de continuidad de
negocio.
La certificación requiere de una madurez que se adquiere de forma progresiva. En el
EADOP se consideró que primero la organización debía entender qué era la continuidad,
qué beneficios le aportaba, como reaccionaba, etc.
Y como todo avanzó correctamente …. El EADOP decidió hacer un paso más.
4
Cronología de Desarrollo del Proyecto
Inicio del Proyecto (Des 2008)Análisis de Impacto en el Negocio (BIA)
Análisis de Riesgos (AR)
Estrategias de Continuidad
Plan de Continuidad
Plan de Formación y Sesiones formativas
Plan de pruebas y pruebas de distintos tipos
El EADOP decide certificar el Sistema de Gestión de la Continuidad de Negocio
Jul -2010
Sept -2010 Adecuación la Norma BS-25999: creación del Sistema de Gestión
Dic -2010/Ene -2011 El EADOP cambia de oficinas; cambio de Gobierno; cambio de Dirección
En/Mar-2011 Proceso de auditoria interna
Mar/Abr -2011 Proceso de auditoria externa (Certificación)
Certificación BS259995
Alcance
El Sistema de Gestión de la Continuidad de Negocio (SGCN) del EADOP
se circunscribe a todos los procesos relacionados con la actividad de
Edición (Producción) del Diari Oficial de la Generalitat de Catalunya que
dirige la Entitat Autònoma del Diari Oficial i de Publicacions así como
todos los activos, personas, instalaciones, proveedores involucrados en
esta actividad.
6
¿Qué metodología se ha seguido?
Metodologia GCNCAT de la Generalitat de Catalunya
Plan de Continuidad de negoci [Í
Fase II•Proceso de escalado•Proceso de toma de decisiones•Linias de comunicación•Roles y responsabilidades•Equipo de gestión•Recursos•Procedimientos de respuesta
Anñalisi de Impacto de negocio [Í
Fase I
•Recogida de información •Identificar procesos críticos•Determinar impacto de la no disponibilidad•Análisis de riesgos•Selección de estrategias de continuidad
Plan de Continuidad de negocio
Informe BIA (*)* Formado por:• Análisis de procesos e impacto• Análisis de riesgos• Estrategias de Continuidad
Fase III
Tareas para implantar el plan de forma efectiva
[Í
•Formación
•Definición y ejecución de pruebas
•Procedimientos de revisión y mantenimiento
Plan de formación
Plan de Pruebas
Procedimientos de revisióny mantenimiento
Requisitos
Previos
Fase 0
•Compromiso de la Dirección•Elaboración y difusión de la política de continuidad
Política de Continuidad Firmada
GESTIÓN DE LA CONTINUIDAD DE NEGOCIO
7
¿Qué metodología se ha seguido?
SITUACIÓN NORMALSITUACIÓN NORMAL CONTINGENCIA
Restauración Centro /Edificio afectado
PlanificaciónIntervención
inmediataObra civil
Instalación red y
equipos
Prevención
Continuidad
Recuperación / Situación degradado RetornoGestión Incidente
CONTINGENCIA
Area de Trabajo
Sistemas /Redes
Manteniment
Formació
Análisis de Riesgos
Análisi de impacto (BIA)
Estrategias de Continuidad
Detección
Comité Crisis
Decisión
Evaluación dañosArea de Trabajo
Tecnología
Nivel 1
Nivel n
Nivel 2
Proves
Evaluación/ Activación Plan
8
¿Qué metodología se ha seguido?
RTOEl Recovery Time Objective es el tiempo máximo aceptable de interrupción de un proceso/aplicación específico
RPO
Antes Desastre
Backup de cinta Replicación
Asíncrona
Alta
DisponibilidadHot Site
Tiempo de recuperaciónRecovery Point
Después Desastre
Segundos Minutos Horas Días SemanasSegundosMinutosHorasDíasSemanas
Replicación
Síncrona
+ Coste - Coste - Coste + Coste
El Recovery Point Objective es la máxima cantidad de información que un proceso/aplicación puede perder
9
Resultados de todo el proceso
Resultados más relevantes:
Resultados del BIA
Resultados del Plan de Continuidad
Pruebas
Herramienta para el seguimiento del proyecto/Sistema de Gestión (PPM)
Herramienta para el almacenamiento i gestión de toda la documentación (Portal de Seguridad)
Desarrollo del Sistema de Gestión de la Continuidad de Negocio para optar a la certificación en la norma BS-25999
10
Resultados del BIA
Procesos1 Recepción de documentos
2 Tarificar y tramitar documentos <<Anuncios>>
3 Tratamiento de Textos: Gestión de documentos (I) <<Entrada de anuncios al circuito>>
4 Tratamiento de Textos: Corrección linguística
5 Producción del documento (I) <<Aplicación de estilos>>
6 Tratamiento de Textos: Gestión de documentos (II) <<Selección de textos y sumario>>
7 Producción del documento (II) <<Compaginar y Maquetar>>
8 Tratamiento de Textos: Gestión de documentos (III) <<Sumario definitivo>>
9 Unidad de Bases de Datos <<Pre - Publicación>>
Procesos de negocio críticosANNEX
3
Resultados del BIA
Requisitos del Negocio• RTO: XX
• RPO: YY
R T O0
R P
O
a b c
X
Y
Z
Procesos críticos DOGC
p
Resultados del BIA/ Estrategias
Área de Trabajo alternativaPersonal
Crítico afectado
Personal No Crítico(en las primeras horas)
Edificio Principal
Resultados Plan de Continuidad – Documentación
ÍndicePlan de Continuidad
Gestión de IncidentesGestión de la CrisiActivación del Plan y de los procedimientos de recuperación
Plan de RetornoPlan de PruebasPlan de Mantenimiento
AnexosAnexo 1 – Teléfonos de localitzaciónAnexo 2 – Roles y ResponsabilidadesAnexo 3 – Conclusiones BIAAnexo 4 – Traslado del Area de Trabajo de respaldo Anexo 5 – Procediments tecnològics de recuperacióAnexo 6 - Procediments de RetornAnexo 7 – Procediments de gestió d’incidents a SSCCAnexo – 8.1 Registre d’esdeveniments/ DecisionsAnexo – 8.2 Acta de reunió del Comitè de Crisi
Resultados Plan de Continuidad - Roles y Responsabilidades
Comité de Gestión de la Continuidad
Equipo de gestión de Incidentes
Gestor de Incidentes
Servicios Generales
Área TIC
Gestor de la continuïtat de negoci:Equipos de Soporte
Asesoria Jurídica
Compras
Administración
Gestor de Incidentes
Resp. Comunicación
Área TIC
Dirección
Inci
dent
e/ C
onti
ngen
cia
Comunicación
Áreas de Negocio
RRHHRRHH
Área de Producción Área Tratamiento de Textos Subd.Coordinación Editorial Área Gestión Administrativa Anuncios Unidad Base Datos
Resultados Plab de Continuidad – Árbol Llamadas
Gestor Continuidad:
Sr. XXXXX
Gestor Continuidad 2:
Sr. JJJJJ
Resp. Área RRHH:
Sr. XYXYXY
Equipo RRHH:
Equipo Área
Financiera
Equipo
Área TIC
Resp. Área Financiera:
Sr. BVBVBV
Resp. Área TIC :
Sr. AAAAA
Cuerpos de Seguridad
Proveedores
Personal de la organización
Dirección de la Organización
Resp. Área Trabajo
Alternativa:
Sr. TTTTTT
Resultados – Plan de pruebas
1. Prueba A de Revisión: revisión “en despacho” de todos los
procedimientos del plan con el personal involucrado.
2. Prueba B – Simulacro corte de comunicaciones con la red
corporativa de la Generalitat
3. Prueba C – Recuperación unitaria de máquinas virtuales.
4. Prueba D – Recuperación de Área de Trabajo Alternativa.
5. Prueba E – Simulación de un Desastre Total que requiere
recuperación de CPD + Recuperación en Área Alternativa de los
puestos de trabajo.
Resultados - Plan de pruebas
Herramienta para seguimiento del proyecto
Todo el proyecto se gestiona des de la herramienta PPM
19
Herramienta Gestión Documental del SGCN
El Portal de Seguridad almacena, de forma protegida, toda la documentación del SGCN y del Plan de Continuidad:
20
Resultados – Sistema de Gestión de la Continuidad de Negocio
• Implantar mejoras• Adoptar acciones
preventivas y correctivas
• Comunicar acciones y resultados
• Verificar que las mejoras cumplen su objetivo
• Definir e implantar el Plan de Continuidad
• Definir e implantar los planes de recuperación
• Implantar la medidas asociadas
• Desarrollar procedimientos de monitorización• Revisar los niveles de riesgo• Revisar y probar regularmente el Plan
• Analizar los procesos• Definir las necesidades• Establecer los requerimientos del Plan de
Continuidad
Hacer (DO)
Lecciones aprendidas (Key Success Factors)
22
• Un soporte y impulso permanente de la Dirección del EADOP
• La elevada involucración de las áreas de negocio y TIC
Participación activa en los simulacros/ pruebas
Participación en las sesiones formativas
Soporte en la elaboración de material de concienciación
• Identificación clara de roles y responsabilidades del Sistema de Gestión y del Plan de gestión de incidentes/ continuidad
• Definición de métricas “medibles” que permitan evaluar de forma periódica el Sistema de Gestión y el Plan.
• Hacer pruebas periódicamente
• Disponer de una infraestructura tecnológica “muy avanzada” y enfocada a garantizar el servicio
• Utilizar una “metodología” fiable para el desarrollo de todo el SGCN i del Plan.
232326/05/2011
Gracias por su atención!!!Información de contacto:
David Forner GriñóResponsable de Continuïtat CTTICISSP, CISA, BS25999 Lead AuditorÀrea de Seguretat, Qualitat i Relació amb proveïdors