Abril 2014 Jorge A. Portales
Abril 2014 Jorge A. Portales
¿Por qué Crear un Plan de Contingencias para mi Empresa?
Y Que pasos seguir para Desarrollarlo, sin Morir en el Intento.
Abril 2014 Jorge A. Portales
Primer punto, ¿Qué es un Plan de Contingencias?
Un Plan de Contingencias es un modo ordenado de enfrentar situaciones de Desastre que pongan en riesgo la operación del Negocio.
Es una forma de Continuar con la Operación de las Funciones Críticas del Negocio.
Abril 2014 Jorge A. Portales
Segundo punto, ¿Qué es un Desastre?
De acuerdo al Disaster Recovery Institute International:“Un repentino, evento catastrófico no planeado que causa pérdidas o daños inaceptables.
1) Un evento que compromete la habilidad de la organización para proveer las funciones críticas, procesos o servicios por un periodo de tiempo no aceptable.
2) Un evento donde la Dirección de una organización invoca su recuperación.”
Copyrighted, 2013, by the Disaster Recovery Journal, Page,9
Abril 2014 Jorge A. Portales
Motivos para crear un Plan de Contingencias:
1. Responsabilidad con los Clientes.2. Calidad del Servicio (SLA’s).3. Pérdidas de Oportunidad.4. Pérdidas Financieras.5. Responsabilidad Legal.6. Daño a la Imagen.
Abril 2014 Jorge A. Portales
Algunas de la Funciones que Desempeñan las Empresas:
1. Venta de Servicios.2. Venta de Productos.3. Soporte Técnico.4. Atención a Clientes.5. Encuestas de Opinión.6. Propaganda y/o Publicidad Política.7. Gestión de Cobranza.8. Telemarketing (Suscripciones y ventas varias).9. Gestión de Seguros (Incidentes de Vehículos).
Abril 2014 Jorge A. Portales
Incidentes que pueden convertirse en Desastres:
1. Falla de Energía Eléctrica.2. Afectación a las Vías de Acceso.3. Interrupción de las Comunicaciones. (Líneas).4. Disturbios Civiles.5. Falla del Conmutador (PBX o Centralita).6. Incendio (En Instalaciones propias o de un Vecino).7. Inundación.8. Robo a las Instalaciones.9. Terremoto.10.Falla en los Equipos de Cómputo.11. Falla en las Aplicaciones y/o Software.12.Malware (Virus, Spyware, etc.).13.Atentado (En Instalaciones propias o de un Vecino).
Abril 2014 Jorge A. Portales
Algunas Excusas de la Gente para no Desarrollar un Plan:
1. Tengo “High Availability” en mis Equipos.2. Mis Equipos están en la “Nube”.3. El Centro de Datos no está en mis Instalaciones.4. Tenemos un Seguro de Cobertura Amplia.5. “Aquí no Pasa Nada . . .“
* Los Seguros demoran al menos 30 días en pagar, sólo un porcentaje y no reponen Información.
Abril 2014 Jorge A. Portales
LOS RIESGOS SON REALES !!
Sin embargo. . .
Abril 2014 Jorge A. Portales
Tercer punto Tipos de Desastres:
1. Naturales.2. Humanos.3. Tecnológicos.
Abril 2014 Jorge A. Portales
Tercer punto Tipos de Desastres:
1. Naturales.
2. Humanos.
3. Tecnológicos.
Abril 2014 Jorge A. Portales
Las Ventajas han Crecido, el Riesgo También.
Tecnología y Seguridad
TiempoPrecio/Tamaño CapacidadConectividad Movilidad
Riesg
o
Abril 2014 Jorge A. Portales
Las Ventajas han Crecido, el Riesgo También.
Hasta los 80’s
• Sumadoras, Calculadoras y Terminales.
De los 90’s al 2010
• Terminales y PC’s
• Interacción.
Hoy en día
• Equipos Corporativos y BYOD
Abril 2014 Jorge A. Portales
Las Ventajas han Crecido, el Riesgo También.
BYOD, significa:
Bring Your Own DeviceDamageDisaster
Abril 2014 Jorge A. Portales
70’s DRP
90’s BCP
2004 Resilencia
Evolución de los Planes de Contingencia.
Abril 2014 Jorge A. Portales
Como Desarrollar e Implementar un Plan
1. Aplicando la Metodología de:a. Disaster Recovery Institute International. (DRII)b. The Business Continuity Institute. (BCI).
Ya que son los 2 Institutos a Nivel Mundial que han sentado los estándares sobre la Metodología para el Desarrollo y Mantenimiento de un Plan.
El DRII está ubicado en los Estados Unidos de América y el BCI en el Reino Unido.
Abril 2014 Jorge A. Portales
1. Administración de Proyectos2. Evaluación y Control de Riesgos3. Análisis de Impactos al Negocio4. Desarrollo de Estrategias de Continuidad de Negocios5. Respuesta y Operaciones de Emergencia6. Desarrollo e Implementación de Planes de Continuidad de Negocios7. Programas de Concientización y Capacitación8. Prueba y Mantenimiento de Planes de Continuidad de Negocios9. Comunicación de Crisis10. Coordinación con Autoridades Públicas
DRII – Mejores Prácticas.
Abril 2014 Jorge A. Portales
BCI – Mejores Prácticas.
1. Gestión del BCM.2. Conociendo la Organización.3. Definiendo Opciones del BCM.4. Desarrollando e Implementando
el BCM.5. Practicando, Manteniendo y
Revisando.6. Inculcando el BCM en la
“Cultura” de la Organización.
Abril 2014 Jorge A. Portales
Gestión del
Programa BCM
Conociendo la Organización
Definiendo Opciones del
BCM
Desarrollando e
Implementado el BCM
Practicando, Manteniendo y Revisando
Coincidencias entre el DRI y el BCI
1. Administración de Proyectos2. Evaluación y Control de Riesgos3. Análisis de Impactos al Negocio4. Desarrollo de Estrategias de
Continuidad de Negocios5. Respuesta y Operaciones de
Emergencia6. Desarrollo e Implementación de
Planes de Continuidad de Negocios7. Programas de Concientización y
Capacitación8. Prueba y Mantenimiento de Planes de
Continuidad de Negocios9. Comunicación de Crisis10. Coordinación con Autoridades
Públicas
2
9
8
7
6
10
5
4
1
3
7
Abril 2014 Jorge A. Portales
Pasos a Seguir
• Conocer la Empresa:– Análisis de Impacto al Negocio (BIA).– Análisis de Riesgos (RA).
Abril 2014 Jorge A. Portales
¿Qué es un BIA?
• Un proceso diseñado para priorizar funciones del negocio al evaluar los impactos potenciales cuantitativos (financieros) y cualitativos (no financieros) que pudieran resultar si una organización experimenta un evento de continuidad de negocios
Definición del DRII
Abril 2014 Jorge A. Portales
• Identificar – Funciones y procesos críticos del negocio– Exposiciones e impactos financieros potenciales– Exposiciones e impactos operacionales potenciales– Cuándo empiezan las exposiciones y los impactos– Marcos de tiempo de recuperación (RTOs)– Prioridades y secuencia de recuperación de los procesos– Recursos necesarios para la reanudación de operaciones
(personal, tecnología, equipo, suministros, registros vitales, proveedores, etc.)
– Impactos de una interrupción en diferentes períodos de tiempo– Interdependencias de procesos– Requerimientos legales y regulatorios– Procedimientos alternativos o manuales existentes
Objetivos de un BIA
Abril 2014 Jorge A. Portales
Impacto de las Interrupciones en la Empresa
Financiero Con los clientes Relaciones públicas Legal Regulador Participación del
mercado
Ambiental Operacional Personal Otros interesados Contractual
Abril 2014 Jorge A. Portales
Resultados de un BIA
• Identificación de– Procesos críticos de negocios– Interdependencias internas y externas de procesos– Tecnología necesaria por proceso, cuándo y cuánto– Impactos financieros y operacionales potenciales– Cuándo empiezan las exposiciones y los impactos y qué tan
rápido aumentan– Gastos potenciales no presupuestados– Recursos necesarios, cuándo y cuánto– Acuerdos de niveles de servicio, reportes regulatorios
Abril 2014 Jorge A. Portales
Aplicaciones Críticas
• Aplicaciones Criticas:– Las que sostienen al Negocio.– Las que generan los Ingresos.– Las que pueden ocasionar
problemas Legales, Fiscales o Judiciales.
– Las que puedan afectar Negativamente la Imagen.
Abril 2014 Jorge A. Portales
Funciones de Negocio Críticas
• Funciones de Negocio Criticas:– Identificar las Unidades de Negocio que:.– Generan los Ingresos.– Que pueden ocasionar problemas
Legales, Fiscales o Judiciales.– Que puedan afectar Negativamente la
Imagen de la Empresa.
Abril 2014 Jorge A. Portales
Remote CPU & Mirroring DB
Shadow Data Base
Remote DASD Mirroring
Hot Site / Remote Tape / Channel Extension
Hot Site / Electronic Remote Journaling
Hot Site / Operating System Store / Edit
Hot Site / Electronic Vaulting
Hot SiteCold Site Repair Site
Minutos 6 a 8Horas
24 Horas 48 Horas Semanas Meses
Esf
uerz
o y
Cost
o
Tiempo para Recuperar
Zero Data Loss Requirement
Análisis de Costo/Beneficio
Abril 2014 Jorge A. Portales
Balance Costo Recuperación
Costo de la InterrupciónCostos
Tiempo
Pérdida TolerableMáxima
Duración de la Falla
Presupuesto Recuperación
Tiempo p/recuperar
Costo para Recuperar
Alta Disponibilidad
Backup/Restore
Ventana
costo/tiempo
Análisis de Costo/Beneficio
Abril 2014 Jorge A. Portales
Centros Alternos
• Puede ser:– Localidad Propia.– Instalaciones Rentadas.– Proveedor de Servicio
Externo.
Localidad externa a la empresa que cuenta con las instalaciones y equipo necesario, para la operación de las Aplicaciones Críticas y Funciones de Negocio Prioritarias.
Abril 2014 Jorge A. Portales
Centro de Proceso Alterno
• Puede ser:– Localidad Propia.– Instalaciones Rentadas.– Proveedor de Servicio
Externo.
Localidad externa a la empresa que cuenta con las instalaciones y equipo necesario para la operación de las Aplicaciones Críticas. Lo suficientemente alejada de la Principal para evitar que un Incidente Mayor las afecte a ambas.
Abril 2014 Jorge A. Portales
Escenario 1
Evento A
El desastre ocurre en Centro de Datos o en el Equipo de Cómputo.
Equipo Original Equipo de Respaldo
Abril 2014 Jorge A. Portales
Escenario 1
Configuración al Día de Hoy.
Abril 2014 Jorge A. Portales
Escenario 1Esquema Probable de Solución.
Abril 2014 Jorge A. Portales
Centro de Trabajo Alterno
Localidad externa a la empresa que cuenta con las instalaciones y equipo necesario, para la operación de las Unidades de Negocio Críticas.
El Centro de Trabajo alterno cuenta con las instalaciones, equipo y accesorios para ubicar personal critico.
Estas instalaciones pueden ser otra localidad propia de la empresa, rentada o anexo al Centro de Proceso Alterno.
Abril 2014 Jorge A. Portales
Escenario 2
El desastre ocurre en la Ubicación Principal de la Empresa por la no disponibilidad de las instalaciones.
Centro de trabajo alterno
Evento B
Personal Crítico Sistemas
Usuarios Críticos
Centro de proceso alterno
Abril 2014 Jorge A. Portales
Requerimientos Mínimos
• Servidores– 26GB Memoria
Principal– 800GB en
disco
p
Corporativo
Centro Alterno
Abril 2014 Jorge A. Portales
Contenido de los Planes BCP y DRP
RTOs
Organización
AdministraciónMantenimiento
y Pruebas
Localidades y Recursos Alternos
1. _______2. _______3. _______4. _______
PrioridadesResponsabilidades
Escalación
Inventarios de Recuperación
Listas de Llamadas
BCP/DRP
ContenciónEvaluaciónEscalaciónNotificación
Acciones
Abril 2014 Jorge A. Portales
Contenido de un Plan de Contingencia.a) Evaluación del Evento.b) Declaración de Desastre.c) Notificación al Personal.d) Procedimientos Alternos.e) Procedimientos de Reacción.f) Restauración de Actividades Críticas.g) Evaluación de Daños.h) Aplicación de Seguros.i) Reconstrucción y/o Reparación de Daños.j) Regreso a Instalaciones Propias.k) Evaluación del Plan.l) Documentos Finales y Opciones de
Distribución y Mantenimiento
Abril 2014 Jorge A. Portales
Grupos de Recuperación
– Recuperar la operación de la empresa en el menor tiempo posible.
– Enfrentar un desastre en forma organizada y responsable.
Personal Crítico de la empresa que desarrolla funciones y actividades específicas e interdependientes para lograr un objetivo común.
Abril 2014 Jorge A. Portales
Grupos de Recuperación
Grupo Directivo
Técnico
Usuarios
Coordinador
Comunicaciones
Abril 2014 Jorge A. Portales
Directivo• Integrantes:
- Director General.- Director de Finanzas.- Gerente de Sistemas.- Gerente de Recursos Humanos.- Gerente de Marketing.
Grupo Directivo
Funciones: – Tomar decisiones referentes a la logística del Plan de
Recuperación. – Asignar una partida de emergencia para casos de Desastre.– Contactar a Usuarios Externos.– Emitir Boletines de Prensa (Si fuese necesario).– Contactar Clientes Importantes o Autoridades en caso necesario.
Abril 2014 Jorge A. Portales
Coordinador• Integrantes:
- Gerentes de Área Coordinador
• Funciones:–Coordinar los Grupos de Recuperación–Mantener Informado al Grupo Directivo–Coordinar el uso del equipo en el Centro de Trabajo Alterno–Coordinar los servicios de apoyo al personal–Coordinar la realización de las pruebas anuales–Mantener actualizado el Plan de Recuperación
Abril 2014 Jorge A. Portales
Técnico
Técnico
• Integrantes
- Jefe de Soporte.
- Analistas.
- Programadores.
- Operadores.• Funciones
– Verificar la adecuada realización de los respaldos.– Evaluar el estado del equipo y su disponibilidad.– Establecer contacto con los proveedores críticos.– Restaurar y/o reconstruir las Bases de Datos.– Reanudar las operaciones esenciales dentro de los objetivos
de recuperación.– Restablecer equipo a condición operativa.
Abril 2014 Jorge A. Portales
Comunicaciones
• Integrantes:
- Gerente de Comunicaciones.
- Personal del Área.
Comunicaciones
• Funciones– Evaluar el daño de la red de comunicaciones– Determinar alternativas de comunicación– Habilitar el canal alterno de comunicaciones– Notificación a externos – Restablecer el Ambiente Operativo de Sistemas a nivel
de Telecomunicaciones y Periféricos
Abril 2014 Jorge A. Portales
Usuarios
• Integrantes:
- Líderes de Grupo
- Usuarios CríticosUsuarios
• Funciones:— Evaluar el daño— Determinar Usuarios Críticos— Mantener la continuidad en el procesamiento de
información a fin de evitar cualquier interrupción en la operación.
— Establecer medios de comunicación entre el personal
Abril 2014 Jorge A. Portales
• Plan de Recuperación en Caso de Desastres:
—Recuperar la operatividad dependiente de la tecnología de la información en el menor tiempo posible.
—Documentar los requerimientos, estrategias y procedimientos necesarios para la Recuperación.
—Cumplir con los tiempos obtenidos en los Análisis.
Objetivo del DRP
Abril 2014 Jorge A. Portales
• Plan de Continuidad del Negocio:
—Recuperar la Funcionalidad de las Unidades de Negocio que se han Identificado como Críticas.
—Documentar los requerimientos, estrategias y procedimientos necesarios para la Continuidad.
—Cumplir con los tiempos obtenidos en los Análisis.
Objetivo del BCP
Abril 2014 Jorge A. Portales
• Administración de la Continuidad del Negocio:
—Mantener Actualizados los Planes.
—Conservar la Cultura de Seguridad en la Empresa.
—Estar en Contacto con los Institutos para mantenerse Actualizado en Tendencias.
Objetivo del BCM
Abril 2014 Jorge A. Portales
Proteger su reputación y marca corporativa Preservar y mejorar el valor de su empresa Mantener estándares de Excelencia Optimizar recursos y procesos Minimizar la pérdida de Ingresos Aumentar la confianza y lealtad de sus clientes Reducir primas de seguros Ofrecer “continuidad de sus productos” como ventaja competitiva Cumplir con “gobierno corporativo” Tener excelentes relaciones con sus empleados, clientes, socios,
proveedores, aseguradores, inversionistas y accionistas
ENTONCES, SU ORGANIZACIÓN VA POR BUEN CAMINO !!
Si su Programa BCM actual logra…
Abril 2014 Jorge A. Portales
¿DUDAS?¿PREGUNTAS?COMENTARIOS
Abril 2014 Jorge A. Portales