Citation preview
Plan de Continuidad de Negocio
Plan de Continuidad de Negocio
Ramiro Cid | @ramirocid ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Índice 1. Posibles tipos de desastres
Pág. 4
2. Plan de continuidad
Pág. 7
3. Diferentes enfoques de Business Continuity Plan
Pág. 14
4. BS 25999
Pág. 17
5. Business Impact Analysis (BIA)
Pág. 23
6. Estrategias para la creación de BCP
Pág. 25
7. Estrategias posibles para los centros de respaldo
Pág. 26
8. Estructura de los BCP
Pág. 32
9. Relación de procesos de los BCP
Pág. 42
2 ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
¿100% Seguridad?
“El único sistema que es realmente seguro es uno apagado y desconectado de la red, encerrado en una caja fuerte forrada de titanio, enterrado en un bunker, rodeado de gas nervioso y custodiado por guardas armados y muy bien pagados. Incluso entonces, no daría mi vida por ello …”
Gene Spafford Director de Computer Operations, Audit, and Security Technology (COAST), Universidad de Purdue
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Posibles tipos de desastres Errores Software
Fallos en el Servicio
5%
1%
Otras Errores Hardware
2%
8% Caídas de Energía Errores Humanos
27%
2%
Inundaciones Fugas de agua
10%
1%
Caídas de Red 2% Atentados 7% Sabotaje Tormentas y Rayos 12%
3% Terremotos 5%
Fuego 6%
Huracanes 6%
Chispas y Subidas de Tensión 3%
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Posibles tipos de desastres
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Posibles tipos de desastres Despacho de un Responsable de Área TIC después de un incendio y la utilización de extinción automática por agua.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Plan de continuidad Las organizaciones tratan de evitar las situaciones de riesgos a través de la instalación de medidas de seguridad preventivas. A pesar de la inversión que se pueda realizar, hay que asumir que nunca se podrá obtener una seguridad del 100%. Para tratar de reducir estos riesgos se deben pensar planes de reacción antes las situaciones de riesgo que se consideren más críticas. Los planes de continuidad de negocio se definen para CUANDO falle el sistema, no POR SI FALLA.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Plan de continuidad Un Plan de Continuidad de Negocio es la respuesta prevista por una organización ante aquellas situaciones de riesgo que afectan de forma crítica a los servicios que ofrecen y que son los que le permiten la realización de sus actividades diarias y que deben ser las que se quieren protegen.
En esencia, un Plan de Continuidad de Negocio se centra en obtener el mínimo tiempo de recuperación ante una determinada situación de riesgo así como la minimización de las consecuencias que estas acciones podrían llegar a provocar.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Plan de continuidad Los Planes de Continuidad de Negocio buscan: 1. 2. 3. 4.
Mantener el nivel de servicio en los límites definidos por la organización. Establecer un período de recuperación mínimo para garantizar la continuidad del negocio. Recuperar la situación inicial de los servicios y procesos hasta la situación anterior al incidente de seguridad que lo provocó. Analizar el resultado de la aplicación del Plan de Continuidad de Negocio y los motivos del fallo para optimizar las acciones que la comprenden.
Deben estar en consonancia con el Análisis de Riesgos de la organización ya que permite identificar las medidas de seguridad que se deben implantar en una organización así como ante que situaciones se deberá pensar en el Plan de Continuidad de Negocio.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Análisis de Riesgos y Planes de Continuidad De un proceso de Análisis de Riesgos se obtienen: 1. 2. 3. 4. 5. 6. 7.
Situación a controlar Situación objetivo Controles implementados Controles del plan de continuidad Activos implicados Amenazas Áreas de la empresa implicadas
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los Planes de Continuidad
Activos críticos Definición situaciones críticas
Procesos de trabajo Análisis de riesgos
Asignación de responsabilidades
Comité de emergencia Responsables de planes
Disparo situación de alarma
Indicadores de disparo
y acciones de respuesta
Secuencia de acciones Registros
Planes de mantenimientos
Datos de pruebas y disparo Propuestas de mejora o cambios
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Planes de Continuidad
Tienen que responder a las diferentes situaciones de riesgos que están definidas.
Recogen todas las acciones a llevar a cabo desde el momento que se detecta la emergencia hasta que la empresa vuelve a sus condiciones de funcionamiento.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Planes de Continuidad Resulta fundamental para el éxito de un Plan de Continuidad de Negocio que se tengan en consideración los siguientes aspectos de cara al éxito de este tipo de proyectos: � Detectar todos los recursos necesarios que se requieren tanto para la protección como para la recuperación de los procesos a salvaguardar. � Definir la disponibilidad, mantenimiento y operatividad de todos los recursos implicados en el Plan de Continuidad de Negocio. � Establecer claramente el momento de disparo de los Planes de Continuidad. � Asignar un responsable al Plan de Contingencias específico. � Asignar responsabilidades claramente para cada acción definida. � Establecer un proceso de revisión una vez recuperada la situación.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Diferentes enfoques de Business Continuity Plan Disaster Recovery Planning (DRP) � Recuperación de los servicios TIC y los recursos, dado un evento que ocasiona un interrupción mayor en su funcionamiento.
Bussiness Resumption Planning (BRP) � Reanudación de los procesos de negocio afectados por un fallo en las aplicaciones de IT.
Continuity od Operations Planning (COOP) � Busca la recuperación de las funciones estratégicas de una organización que son desempeñadas en sus instalaciones corporativas.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Diferentes enfoques de Business Continuity Plan Contingencia Planning (CP) � Se enfoca en la recuperación de los servicios y recursos de TI después de un desastre de dimensiones mayores a una interrupción menor.
Emergency Response Planning � Es de salvaguardar, a los empleados, público, ambiente y a los activos de la empresa.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Normativas para la creación de los Planes de Continuidad de Negocio Durante este año 2007 se presentó la primera normativa de carácter internacional en la que se indica que aspectos deben tenerse en consideración a la hora de la creación e implantación de un Plan de Continuidad de Negocio en una organización. Esta normativa se denomina BS 25999. � Es la primera norma con carácter internacional (durante el próximo año pasará a ser ISO) que aporta unas buenas prácticas para la gestión de la continuidad del negocio. � Incluso está en elaboración la segunda parte de esta norma con el objetivo de poder certificar dichos PCN. � Determina como deben gestionarse de la forma correcta los planes de continuidad de negocio con el objetivo de que se integren en las organizaciones.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
BS 25999 Este estándar describe las diferentes fases que tienen que establecerse para la creación y gestión continua de un plan de continuidad de negocio.
Comprensión de la Organización Prueba, mantenimiento y revisión del PCN
Programa de Determinación de Gestión del la estrategia del PCN PCN
Desarrollo e implementación del PCN
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
BS 25999: Primera Fase Comprensión de la organización Esta primera fase a la hora de la creación de un Plan de Continuidad de Negocio resulta la más crítica y fundamental de cara al éxito de este tipo de proyectos. El objetivo fundamental consiste en la comprensión total de las actividades que se realizan por parte de la organización así como todos los elementos que se requieren para la realización de estos procesos. Para la elaboración de esta primera fase se divide en dos sub-fases:
� Gestión del riesgo Tratar de minimizar los riesgos detectado en el Análisis de Riesgo con el fin de reducir los riesgos existentes, preferentemente aquellos que podrían provocar grandes daños para la organización.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
BS 25999: Primera Fase � Business Impact Analysis (BIA) Consiste en identificar los procesos relacionados con la misión de la organización y analizar con mucho detalle los impactos en la gestión comercial del negocio si esos procesos se vieran interrumpidos como resultado de un desastre. Se identifican las áreas críticas para el alcance de la organización, así como la magnitud potencial del impacto operativo y financiero. El BIA resulta el proceso más complejo dentro de un Plan de Continuidad de Negocio ya que es a partir del mismo que se consigue identificar los valores fundamentales de todo PCN: � Tiempo máximo de inactividad por proceso / actividad de negocio. � Tiempo de recuperación de la información que se requiere para ofrecer un proceso /actividad de negocio. � Minimo nivel de servicio que se requiere para ofrecer los procesos /actividades de negocio
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
BS 25999: Segunda Fase Determinación de la estrategia del PCN Consiste en la realización del estudio de las posibles soluciones que existen para poder recuperar los procesos más críticos en el menor tiempo posible con una menor inversión. El objetivo es garantizar que no se superará el tiempo máximo de inactividad de negocio permitido desde el momento en el que sucede la contingencia hasta que el servicio se vuelve a ofrecer.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
BS 25999: Tercera Fase Desarrollo e implantación del Plan de Continuidad de Negocio � Consiste en la creación de: � Los equipos de continuidad de negocio. � Preparación de las infraestructuras requeridas para la ejecución de estos planes de continuidad. � Determinación de los momentos de ejecución de los diferentes planes. � Elaboración de las diferentes acciones que se deberán ejecutar en el momento de uso del Plan de Continuidad de Negocio. � Determinación de las personas que deben ejecutar todas y cada una de las acciones que se deberán desarrollar.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
BS 25999: Tercera Fase Prueba, mantenimiento y revisión del Plan de Continuidad de Negocio � Prueba de los PCN Se deben efectuar de forma periódica pruebas para verificar que el plan de continuidad de negocio consigue los objetivos marcados a la hora de la determinación y creación de estos planes Estas pruebas sirven para la realización de mejoras en el Plan de Continuidad de Negocio.
� Mantenimiento del PCN Se trata de mantener el Plan de Continuidad de Negocio en un estado de preparación constante para dado un desastre poder ejecutarlo minimizando las posibilidades de error.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Business Impact Analysis Resulta una de las fases más importantes a la hora de la creación de los planes de continuidad de negocio. Se realiza a nivel de proceso y no a nivel de activo. Incluye aspectos como:
Conviene una clara y precisa comprensión del negocio La información se extrae de entrevistas con diferentes personas de alta dirección del negocio así Permite decidir que procesos deberán recuperarse con anterioridad en caso de desastre
ramirocid.com
[email protected]
Twitter: @ramirocid
• pérdida de ingresos, •sanciones y multas, • pérdida de imagen • incremento costes.
de
Plan de Continuidad de Negocio
Business Impact Analysis
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estrategias para la creación del PCN Existen varios aspectos fundamentales a la hora de la decisión de una solución:
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estrategias posibles para los Centro de Respaldo Cold Site � Solo tienen: � Cableado eléctrico � Aire Acondicionado
Warm Site � Configuraciones parciales, solo � Conexiones de red � Equipos periféricos � Carecen generalmente de la CPU
� La disponibilidad depende del acopio e instalación de la CPU � Deben ser compatibles, (equipo, red y software) � Necesitan CPU, personal, programas, datos y documentación � Destinado para operaciones de emergencia para periodos cortos
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estrategias posibles para los Centro de Respaldo Hot Site � � � � �
Configuraciones totales Listas para ser usadas dentro de pocas horas Deben ser compatibles: equipos, red y software Necesitan personal, programas, datos y documentación Destinados a � operaciones de emergencia para periodos cortos � operaciones de emergencia para procesos de negocio muy críticos � Caros � compartidos
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estrategias posibles para los Centro de Respaldo Lugares dedicados � Son lugares dedicados (generalmente propios) � Para asegurar su viabilidad es necesario: � No debe estar sujeto a los mismos desastres que el lugar primario � Debe haber coordinación de estrategias de actualización (hard/soft) entre ambos centros � Debe asegurar la disponibilidad de los recursos � Debe haber acuerdos para agregar aplicaciones (carga de trabajo) para la recuperación � Es necesario una prueba periódica
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estrategias posibles para los Centro de Respaldo Sitios móviles � Remolque diseñado para ser trasladado rápidamente � Suelen contener � � � �
Servidores Estaciones de trabajo Equipos de comunicaciones Enlaces vía satélite
� Útiles para � desastres que afectan a una amplia zona geográfica � organizaciones de oficinas múltiples
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estrategias posibles para los Centro de Respaldo Acuerdos recíprocos � Los participantes acuerdan proveerse mutuamente instalaciones en caso de emergencia � Ventajas � Bajo Costo � Es posible que sea la única alternativa
� Inconvenientes � Estos acuerdos NO suelen OBLIGAR a las partes � Pueden existir INCOMPATIBILIDADES de equipos y configuración � Los cambios sobre carga de trabajo afectan a los participantes
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estrategias posibles para los Centro de Respaldo
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP Esquema de los BCP: 1. 2. 3.
4. 5.
Objetivo Alcance Descripción de la situación a controlar 1. Riesgos a controlar 2. Activos que intervienen 3. Nivel de servicio exigido 4. Tiempos para cada respuesta: tiempo total de reacción 5. Recursos necesarios en cada uno de los planes. Disponibilidad y operatividad Listado de Procedimientos concretos y responsables Disparo de Alarma
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP 6. 7. 8. 9. 10.
Plan de respuesta Plan de respaldo Plan de recuperación Plan de análisis y mejora Planes de prueba
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP � Objetivo: recoge brevemente el objetivo del plan de contingencia concreto
� Alcance: recoge el ámbito de aplicación del PC. Se define el servicio, localización en la empresa, personal responsable, etc.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP 3. Descripción de la situación a controlar: Recoge los datos de la situación analizada y los parámetros que se quieren mantener. � � � � �
Situaciones de riesgo: descripción de amenazas y forma de actuación Activos involucrados: listado y consecuencias producidas Niveles exigidos: situación requerida de la empresa para la situación descrita en los PC en los momentos de interrupción del servicio Tiempos de respuesta: tiempo máx. para alcanzar cada una de las fases Recursos necesarios para los planes de respuesta, respaldo y recuperación
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP 4. Planes desarrollados y responsables en cada uno de los planes: listado de los planes o procedimientos concretos con los responsables de los mismos. Se especifica versión, aprobación y distribución, así como la persona responsable de su implantación y mantenimiento. 5. Disparo de alarma: Recoge claramente las situaciones o indicadores que hacen que las acciones indicadas arranquen. Se define quién puede detectar estas situaciones de inicio y qué primera acción debe efectuar.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP 6. Plan de respuesta: procedimiento que describe las acciones a realizar tras el disparo de la alarma o emergencia: � � � � �
Acciones para proteger a las personas Acciones para cortar la situación de riesgo: control de las amenazas Acciones para proteger los activos Acciones de notificaciones públicas Registro de las acciones que se van realizando
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP 7. Plan de respaldo: procedimiento donde se describen las acciones a llevar a cabo para mantener el servicio mientras se resuelve la situación de emergencia. Trata de mantener el servicio en los niveles requeridos por la organización. � � � � �
Recursos necesarios para mantener la operación Mantenimiento de los recursos Activación de las diferentes acciones Registro de las acciones llevadas a cabo: inicio, desarrollo y resultados Personal implicado
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP 8. Plan de recuperación: procedimiento donde se describen los pasos a realizar para restaurar el servicio a los niveles que existían antes de las emergencias. � � � � � �
Restitución de activos, suministros, entorno Arranque de los sistemas, servicios, etc. Pruebas para comprobar los sistemas restaurados Puesta en operación Retirada de los planes de respaldo Registro de las acciones realizadas y resultados.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP 9. Plan de análisis y mejora: procedimiento donde se describe qué datos analizar y cómo hacerlo una vez finalizada la emergencia y restaurados los sistemas � �
� � �
Datos sobre situación de emergencia, causas, duración, daño producido Datos sobre el desarrollo y adecuación de los planes de respuesta, respaldo y restauración. Registros tomados durante el desarrollo de los planes Problemas detectados en el proceso del PC Informe para comité de seguridad/emergencia Propuesta de acciones correctoras y de mejora. Seguimiento.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Estructura de los BCP 10. Planes de prueba: descripción de las pruebas a realizar del plan de contingencias para verificar que funcione correctamente, están los recursos necesarios disponibles, están los procedimientos disponibles y son conocidos. � � � � �
Planificación de las pruebas Responsables de realizar las pruebas Pasos a realizar, simulacros Análisis de los resultados Presentación de mejoras al responsable del plan de contingencias y al comité de seguridad/emergencia.
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
Relación de procesos de los BCP
no
Disparo
Resultados Pruebas
de alarma
Plan de pruebas si Plan de respuesta
Plan de respaldo
Plan de recuperación
Plan de Análisis y Mejora
ramirocid.com
[email protected]
Registros
Twitter: @ramirocid
Propuestas de cambios y mejora
Plan de Continuidad de Negocio
Desarrollo de los PCN Nº
FUNCIÓN
Responsable
Resultado
1
Considerando el Análisis de Riesgos. Describir
Comité Seguridad
Estructura PC
el esquema de los PC
Responsable Seguridad
PC a desarrollar por los responsables PC
2
Para cada PC describir los puntos y procesos
Responsable de los PC
de cada uno de ellos
3 4 5
PC Registros definitivos
Revisar los PC para coordinar acciones y
Comité seguridad
Aprobación formal de los planes
asegurar la coherencia
Responsable Seguridad
Establecer y aprobar la programación de las
Comité seguridad
Aprobación formal de los planes
pruebas y revisiones de los PC
Responsable seguridad
de pruebas
Asegurar la disponibilidad de los recursos
Responsables del PC
Recursos disponibles
Responsable de los PC
Conocimiento y preparación del
necesarios para aplicar los planes
6
Distribución de los planes y formación del personal
7
personal implicado
Desarrollo de pruebas y revisiones
Responsable de PC
Mejora y mantenimiento de los PC
ramirocid.com
[email protected]
Twitter: @ramirocid
Plan de Continuidad de Negocio
¿Dudas? ¿preguntas?
¡¡ Muchas Gracias !! Ramiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL [email protected]
http://www.linkedin.com/in/ramirocid
http://ramirocid.com
http://es.slideshare.net/ramirocid
@ramirocid
http://www.youtube.com/user/cidramiro
ramirocid.com
[email protected]
Twitter: @ramirocid