PresentaciónPresentaciónPresentaciónPresentación

Cómoplantear un

PCN

3 noviembre 2010Aspectos generales

Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz

Aspectos generales

Índice

� Presentación

� Definiciones

� Plan de Contingencias

� Plan de Continuidad

�

� Soluciones de continuidad

� Soluciones tecnológicas

� Soluciones organizativas

� Como implantar un plan de

2

� Identificación de la estructura TI

� Valoraciones en la organización

� Componentes del Plan de

Continuidad de Negocio

� Realización del Plan

continuidad

� Buenas Prácticas

� Ejemplos y visión práctica

� Ejemplo 1

� Ejemplo 2

Objetivos de la sesión

� Se trata de entender que:

� La continuidad del negocio no tiene una única solución

� No se dispone de la solución perfecta, se conoce cual era una vez solucionada

3

solucionada

� Las TIC como servicio para lograr los objetivos del negocio

DefinicionesDefinicionesDefinicionesDefiniciones

Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz

� Normas de referencia a consultar� BS 25999:

• BS 25999-1:2006 Code of practice for business continuity management

• BS 25999-2:2007 Specification for business continuity management.

Definiciones

5

� Nist 800-34 : Contingency Planning Guide for Federal Information Systems (revisada el 10 de mayo)

� Buenas prácticas de ayuda relacionadas� ISO/IEC 27001:2005: Sistema de Gestión de la Seguridad de la

Información

� MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

Definiciones

6

� CobiT v4.1 : Control Objectives for Information and related Technology

� Serie NIST : National Institute of Standards and Technology

Definiciones

� Minimizar la magnitud de la interrupción sobre los procesos críticos ante eventos inesperados.

� Contar con los elementos regulatorios y jurídicos para enfrentar juicios o demandas de terceros o gubernamentales.

� Contar con personal entrenado para el manejo de crisis y

Objetivos del BCP

7

� Contar con personal entrenado para el manejo de crisis y recuperación de las operaciones.

� Asegurar que los registros vitales estén disponibles ante el evento de contingencia.

� Contar con la mayoría de los procedimientos probados .

� Minimizar la dependencia de los servicios informáticos ante el evento de la contingencia.

Definiciones

BCM (Business Continuity Management)

BCP

Considera la administración de la continuidad del negocio como parte de un proceso

8

BCP(Business Continuity Plan)

Plan específico atecnología de la Información

Plan dirigido alos Procesosdel Negocio

DRP (Disaster Recovery Plan)

� DRP Disaster Recovery Plan� Plan de Recuperación en Caso de Desastre

� Orientado a recuperar en el menor tiempo posible la operación de las APLICACIONES CRITICAS,

� Equipo alternativo, minimizando el impacto y el costo de un desastre.

Definiciones

9

DRP

� BRS Business Recovery Services� Servicio informático o realizado por personal especializado dentro

de la infraestructura de TI

� Da soporte en casos de contingencia.

Definiciones

10

DRPBRS

� BRP Business Recovery Plan� Documento formalizado para la recuperación de los procesos de

negocio existentes en la entidad.

Definiciones

11

DRPBRS

BRP

� PCN Plan de Continuidad de Negocio (BCP Bussiness Continuity Plan)

� Conjunto de acciones que se deben realizar en caso de desastre .

� Deben asegurar la recuperación a la mayor brevedad posible de las operaciones críticas para el negocio .

Definiciones

12

DRPBRS

BRPBCP

� GCN Gestión de la Continuidad de Negocio (BCM BussinessContinuity Management)

� Recoge las personas, procesos y tecnología necesarios para garantizar que los Planes de Recuperación de Negocio y de Desastres se mantienen actualizados de forma permanente

Definiciones

13

DRPBRS

BRP

Gestión de Continuidad de

Negocio

BCP

Definiciones

Objetivo

Alcance

Plan de Recuperación (DRP)

Plan de Continuidad de Negocio (BCP)

Ofrecer una solución de respaldo a los SI en caso de contingencia

Asegurar la continuidad de la Entidad en caso de contingencia

Sistemas de Información Procesos Críticos de Gestión

14

Principales Características

Sistemas de Información Procesos Críticos de Gestión

Alcance limitado a los Recursos TI:

•Emplazamientos de los SI•Procedimientos técnicos de recuperación•Equipo de emergencia especializado en la recuperación de sistemas

Enfocado a la operatividad de la Entidad:

•Procedimiento de actuaciónlogísticos alternativos (para TI y para el negocio)•Equipo de emergencia focalizado en la recuperación del negocio.•Priorización en base a la importancia de cada proceso.

Conceptos Continuidad de Negocio

� Definiciones empleados en la Continuidad de los servicios

� Incidencia : [ITILv3] “… interruption toan IT Service or reduction ...”

15

Conceptos Continuidad de Negocio

� Definiciones empleados en la Continuidad de los servicios

� Work around : Es un “by-pass” de un problema.

16

Conceptos Continuidad de Negocio

� Definiciones empleados en la Continuidad de los servicios

� Análisis de riesgos : Evaluación de amenazas de todos los activos que dan soporte a los procesos de negocio.

� Gestión de Prioridades : Dentro de los Planes de Continuidad de

17

� Gestión de Prioridades : Dentro de los Planes de Continuidad de Negocio se requiere de una definición de prioridades basándose en las necesidades definidas por el negocio.

Conceptos Continuidad de Negocio

� Definiciones empleados en la Continuidad de los servicios

� Contingencia : Situación de inoperatividad provocada por alguna amenaza. Desastres, incidencias masivas, etc. La definición de contingencia se suele definir en el propio plan.

�

18

� Escenario de contingencia : Situación hipotética empleada en los Planes de Continuidad de Negocio.

Identificación Identificación Identificación Identificación estructura TIestructura TIestructura TIestructura TI

Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz

� Donde está el valor de nuestra empresa???� Hacemos pasteles o damos soporte TI?

Identificación de la estructura TI

Problema 1

20

� Hablamos con orientación a negocio?� Decir lo mismo con diferentes palabras

Identificación de la estructura TI

Problema 2

21

Recurso compartidoSistema de ficherosCarpeta compartidaCarpeta del servidor

Identificación de la Estructura TI

Sistema Plataforma/SO/Versión DescripciónServicio de correo Exchange/Sistema Virtual-

Windows/v2008 SP2Servidor de correo electrónico

22

Análisis BIAAnálisis BIAAnálisis BIAAnálisis BIA

Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz

Análisis BIA

ACTIVO

Análisis de Riesgos

24

AMENAZA evento

VULNERABILIDAD estado

� BIA (Bussiness Impact Analisys) Análisis de Impacto en el Negocio� Coste Vs Valor

Análisis BIA

1 seg

Leve

30 min

Leve

1 hora

Medio

1 día

Medio

3 días

Medio

5 días

GraveProceso1

25

300 € 600 € 1000 € 1500 €

Medio

2000 €

Grave

5000 €

Proceso1

1 seg

Leve

300 €

30 min

Leve

600 €

1 hora

Leve

600 €

1 día

Medio

1500 €

3 días

Grave

2000 €

5 días

Grave

50000 €

Proceso2

� Recovery Objectives� RTO: Recovery Time Objetive

• ¿Cuánto tiempo podemos estar sin servicio?

• Objetivo de tiempo de recuperación, cual es el tiempo máximo medido en horas/días para la recuperación de la disponibilidad del servicio.

Componentes del Plan de Continuidad de Negocio

26

servicio.

� RPO: Recovery Point Objetive• ¿Cuánto tiempo de trabajo podemos perder?

• Objetivo del punto de recuperación, a qué momento del tiempo debe recuperarse el servicio (último día, última hora, zero data loss, etc.).

Componentes Componentes Componentes Componentes del BCPdel BCPdel BCPdel BCP

Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz

Componentes del Plan de Continuidad de Negocio

Contingencia

28

1 semana

Vuelta a la normalidad

RTO=5 min

Correo electrónico

Sistema de ficheros compartidos

…

RTO=1 hora

App Contabilidad

Servicios varios

…

ncia

RPO

Realización Realización Realización Realización del Plandel Plandel Plandel Plan

Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz

� Un documento formalizado perteneciente a la entidad� Aprobado y estudiado por la Dirección

� Recoge todas las conclusiones identificadas� Actividades que se contemplan

Realización del Plan

Documentación

30

� Actividades que se contemplan

� Actividades que NO se contemplan

� Existe personal con responsabilidad del mantenimiento del documento

1.Análisis de Impacto en el Negocio

2.Estrategia de Recuperación

3.

Realización del Plan

Estructura

31

3.Medidas preventivas

4.Procedimientos de invocación y recuperación

5.Mantenimiento del Plan

6.Prueba

Soluciones Soluciones Soluciones Soluciones de de de de

ContinuidadContinuidadContinuidadContinuidad

Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz

ContinuidadContinuidadContinuidadContinuidad

� Tipos de Centros de Recuperación:� Cold sites

• Centros con sitio e infraestructuras adecuadas para soportar el proceso de recuperación

� Warm sites

Soluciones de Continuidad

Soluciones Tecnológicas

33

� Warm sites

• Centros que se encuentran parcialmente equipados con los sistemas de información

� Hot sites

• Centros que disponen del equipamiento adecuado para la recuperación de la actividad

Soluciones de Continuidad

Site Coste HardwareTelecomunic

acionesSetup Time Location

Soluciones Tecnológicas

34

Site Coste Hardware acionesSetup Time Location

Cold Site Bajo Nulo Nulo Largo Acordada

Warm Site Medio Parcial Partial/Full Medio Acordada

Hot Site Medio/alto Total Total Corto Acordada

� La virtualización

� Las copias de seguridad

�

Soluciones de Continuidad

Soluciones Tecnológicas

35

� Fuentes redundantes

� SAI/UPS

� Identificación del punto único de fallo (single point of failure)

� Responsable de Continuidad

Soluciones de Continuidad

Soluciones Organizativas

36

� Comité de Contingencia

Componentes del Plan

Comité de

Contingencia Desastres /

contingencias

Procedimientos

de respuesta

Personas

BCP

37

Análisis

Riesgos

Análisis

de

Riesgos

Análisis de

ImpactoCentro de

Respaldo

Medidas

Preventivas

de respuestaBCP

Cómo Cómo Cómo Cómo implantar un implantar un implantar un implantar un

BCPBCPBCPBCP

Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz

BCPBCPBCPBCP

1.Conocer con qué se genera valor

2.Realizar el BIA

3.Análisis de Riesgos

4.

Cómo implantar un BCP

Estrategia

39

4.Medidas preventivas

� Invocación � Magnitud de los daños de los servicios

� Criticidad de los sistemas afectados

� Duración estimada de la contingencia que supera el RTO

Cómo implantar un Plan de Continuidad

Realización

40

1 seg

Leve

300 €

30 min

Leve

600 €

1 hora

Medio

1000 €

1 día

Medio

1500 €

3 días

Medio

2000 €

5 días

Grave

5000 €

Proceso1

� Notificación� Personal interno

• Grupos de contacto

• Llamadas telefónicas

• Envío de mensajes a los correos personales

Cómo implantar un Plan de Continuidad

Realización

41

• Envío de mensajes a los correos personales

� Grupos de interés

• Clientes

• Proveedores

� Notificación� Contenido informativo

• Naturaleza de la interrupción

• Duración estimada de la interrupción

• Detalles de la situación de la recuperación

Cómo implantar un Plan de Continuidad

Realización

42

• Detalles de la situación de la recuperación

• Cuando se adelantará más información

• Instrucciones para preparar la nueva ubicación de trabajo

• Instrucciones para completar la notificación, mediante el árbol de contactos

� Recuperación� DRP

• Identificando qué se necesita y dónde se encuentra

• Establecer el nivel de detalle necesario– Capacidad de la persona responsable de la recuperación

Cómo implantar un Plan de Continuidad

Realización

43

– Capacidad de la persona responsable de la recuperación

– Posibilidad de que esa persona no pueda acceder

� Valoración� Causa de la contingencia

� Posibilidad de interrupciones o daños adicionales

� Estado de la infraestructura

� Inventario y estado de los sistemas informáticos

Cómo implantar un Plan de Continuidad

Realización

44

� Inventario y estado de los sistemas informáticos

� Tipo de daños en los sistemas y especialmente en los datos

� Soportes a ser remplazados

� Tiempo estimado de vuelta a la normalidad

� Plan actualizado� Cambios en la estructura de la empresa

� Cambios en la infraestructura

� Pruebas

Cómo implantar un Plan de Continuidad

Mantenimiento

45

� Pruebas� Verificar números de teléfono

• El proveedor es el mismo?

� Verificar versionados

• La estructura de la base de datos es la misma?

“Sentido común, el menos común de los sentidos”

� Hay que mantener el Plan en papel, fuera de las instalaciones

� La frecuencia de las copias es coherente con las necesidades de continuidad

Buenas prácticas

46

de continuidad

� Puedo asegurar la confidencialidad de la información que se maneja en la recuperación?

EjemplosEjemplosEjemplosEjemplos

Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz

Pequeño comercio

� Ejemplo 1

Ejemplos y visión práctica

CPD

Contiene:-Servidor de correo-Aplicación contable-financiera

Externalizado:-Página Web-Copias de Seguridad

48

� Ejemplo 2

Ejemplos y visión práctica

CPD 1

Contiene:-Servidor de correo-Aplicación contable-financiera CPD 2

Contiene:-Servidor BackupCPD1-Aplicación de negocio2

49

CPD 1 financiera-Aplicación de negocio1

CPD 2 negocio2

50

¿Preguntas?

Contacto

Muchas gracias por su atención

Andoni Martin

amartin@consultec.es

51

amartin@consultec.es

902 23 66 66