continuidad del negocio conceptos y estrategias ingeniera sandra p. camacho b. cbcp
TRANSCRIPT
Continuidad del Negocio
Conceptos y Estrategias
Ingeniera Sandra P. Camacho B.
CBCP
Seguridad Informática
• Disponibilidad
• Integridad
• Confidencialidad
• Autenticación
• No repudiación
• Control de acceso
• Auditabilidad
Seguridad Informática
• Disponibilidad
– Utilizar la información en el momento oportuno
Agenda
• Porqué se requiere planear la continuidad?
• Cómo planear la continuidad? Conceptos y estrategias
Leyes de Murfy
Qué puede suceder?
• Desastres de grandes dimensiones
• Pequeños incidentes
Porque se requiere planear la continuidad?
• Casos de desastres contra la continuidad– Sitios WEB atacados mediante Denial of
Service– Situación terremoto de Armenia– Atentados terroristas– Desordenes públicos que impiden el acceso a
las instalaciones– Centros de cómputo fuera de servicio
Controles
Estrategias
Alternativas
Acciones rápidas
Preparación para riesgos de cualquier dimensión
Amenazas
• Naturales
• Humanas
• Tecnológicas
No se pueden evitar pero
se puede mitigar su impacto
Naturales
– Atentan contra las instalaciones físicas• Inundaciones
• Temblores o terremotos (Armenia)
• Incendios
– Menor dimensión• Tormentas eléctricas
Humanas
• Atentados contra las instalaciones físicas– Terrorismo– Sabotaje– Bombas
• Menores dimensiones– Contra las personas– Contra los equipos o la información
Tecnológicas
• Pérdida de potencia
• Fallas en equipos UPS, plantas, etc.
• Daños fortuitos
• Fallas en condiciones ambientales
• Denial of Service– Casos Yahoo, Amazon, HotMail, etc.
• Virus
Continuidad
Recuperación
Disponibilidad Supervivencia
Recuperación
BIENES
Recuperación VS Continuidad
Recuperación VS Continuidad
• Inicialmente la planeación se concentraba en la recuperación de interrupciones sobre sistemas de información
• Hoy se busca garantizar la continuidad de la funcionalidad del negocio
TiempoTiempo de pérdida
Recuperación VS Continuidad
NormalidadTransacciones
ConsultasNuevos clientesRequerimientos
etc
NormalidadTransacciones
ConsultasNuevos clientesRequerimientos
etc
Interrupción
Impactos
Credibilidad de los clientesOperativos
FinancierosImagen
MercadoConsideraciones legales
Impactos
Personas afectadas (tipo, cantidad)
Imagen (área, Organización, País)
Nivel de afectación (interno, externo)
17% 2
5% 310%
45%51%
671%
71%8
0%
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Pagos
Contable
Negocio
Cierre diario
Pro
ce
so
s c
ríti
co
s
Horario (horas)
Impactos
Tiempo que permanece fuera el servicio y horarios críticos
Económico (demandas, pérdidas financieras, etc.)
Impactos
• Probabilidades de sobrevivir a un desastre: “de 5 empresas 2 no vuelven a abrir y de los 3 que permanecen, 1 sale del negocio dentro de los siguientes 2 años”.[gartner Group Study-April 1992]
• Desde finales de 1960 se esta trabajando en el tema, inicialmente solo a nivel de informática, hoy se involucra toda la organización.
Impactos
Los desastres han incrementado en la medida en que la industria avanza, es necesario
planear mas que reaccionar– Globalización– Consolidación y centralización– Infraestructura– Cambios tecnológicos
Objetivos y requerimientos
Garantizar que los servicios que provee la organización al exterior y los procesos críticos internos operen a un nivel aceptable durante un evento de crisis y logren su normalidad después de ésta
Objetivos y requerimientos
• Mitigar los efectos causados por un eventual desastre, mediante la adecuada planeación y control
• Permitir una respuesta rápida a las emergencias, y lograr una recuperación eficaz y efectiva
Organizaciones especializadas
• Servicios de apoyo a la continuidad:– Comdisco www.comdisco.com
– Sungard www.sungard.com
• A nivel de disciplina:– Disaster Recovery Institute www.dr.org
Una metodología para la planeación
Reseña del D.R.I.I.
• Fundado formalmente en 1988 (Washington University St. Louis).
• Propone los lineamientos para los profesionales en la planeación de recuperación de negocios mediante la definición de áreas base del conocimiento.
• Capacitación, asesorías y servicios.• Certifica profesionales en la materia.
D.R.I.I.• Actualmente, al menos 1500 empresas
aplican los conceptos y la metodología con personal certificado en el D.R.I.
• Algunas empresas son:• TEXAS INSTRUMENTS• AT&T• BELL SOUTH• NATIONAL BANK (North Carolina)• WORLD BANK• MERRILL LYNCH• BANCO CENTRAL DE VENEZUELA• BANCO DE LA REPÚBLICA COLOMBIA
Certificaciones ofrecidas por el D.R.I.
• Associate Business Continuity Planner
• Certified Business Continuity Professional
• Master Business Continuity Professional
Cursos ofrecidos por el D.R.I.I.Cursos Básicos:
DRP-111. “Introduction to Business Continuity Planning”
DRP-112. “Managing & developing the B.C.P.”
DRP-113. “Business Communications For C.P.”
DRP-114. “Implementing & testing the B.C.P.”
Cursos Especializados:DRP-210. “Business Impact Analysis”
DRP-211. “B.C.P. For local area networks”
DRP-212. “Prevention, Control & Mitigation in C.P.”
DRP-213. “Corporate Incident Management”
DRP- 501. “B.C.P. review”
DRP- 601. “Master level case study review”
Áreas del conocimiento base del D.R.I.I.
1. Administración e iniciación del proyecto.2. Evaluación de riesgos y controles.3. Análisis del impacto sobre el negocio.4. Estrategias de recuperación.5. Respuesta a la emergencia.6. Desarrollo e implementación del plan.7. Programas de concientización y entrenamiento del
personal.8. Pruebas y ejercicios del plan.9. Mantenimiento y actualización del plan.
Metodología D.R.I.I.• Basada en las áreas del conocimiento base
de los profesionales en planeación de la continuidad del negocio.
• Proporciona un estándar internacional para las prácticas en la construcción de “Planes de Continuidad del Negocio”.
• Originada desde antes de 1989.
• Revisada permanentemente por expertos en la materia.
PROBLEMA“Un evento externo o
interno interrumpe uno o más procesos del
negocio”
Recuperación de las capacidades diarias
Respuesta a la emergencia
Toma del control
Toma de decisiones
Reanudación de operaciones críticas
Situaciones
Restauración
Normalidad
DESASTRE
Requerimientos Func.
EJECUCIÓN
Mantenimiento
Pruebas y ejercicios
Implementación
Diseño y Desarrollo
Definición
Fases de la metodología
En cualquiermomento es posibledevolversea efectuarcambios en una
fase previa.
Fase 1Inicio y definición
Definición de Responsabilidades
Definiciónde Objetivos
Planeación
Compromiso Alta GerenciaConcientización
del problema
Herramientas
Capacitación