Cómo plantear un PCN 3 noviembre 2010 Aspectos generales Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pam
Views 199 Downloads 4 File size 1MB
Cómo plantear un PCN 3 noviembre 2010 Aspectos generales
Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz
Presentación Definiciones Plan de Contingencias Plan de Continuidad
Soluciones de continuidad Soluciones tecnológicas Soluciones organizativas Como implantar un plan de
Identificación de la estructura TI
continuidad
Valoraciones en la organización
Buenas Prácticas
Componentes del Plan de
Ejemplos y visión práctica
Continuidad de Negocio
Ejemplo 1
Realización del Plan
Ejemplo 2
Se trata de entender que: La continuidad del negocio no tiene una única solución No se dispone de la solución perfecta, se conoce cual era una vez solucionada Las TIC como servicio para lograr los objetivos del negocio
Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz
Normas de referencia a consultar BS 25999:
• BS 25999-1:2006 Code of practice for business continuity management
• BS 25999-2:2007 Specification for business continuity management. Nist 800-34: Contingency Planning Guide for Federal Information Systems (revisada el 10 de mayo)
Buenas prácticas de ayuda relacionadas ISO/IEC 27001:2005: Sistema de Gestión de la Seguridad de la Información MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información CobiT v4.1: Control Objectives for Information and related Technology Serie NIST: National Institute of Standards and Technology
Objetivos del BCP
Minimizar la magnitud de la interrupción sobre los procesos críticos ante eventos inesperados. Contar con los elementos regulatorios y jurídicos para enfrentar juicios o demandas de terceros o gubernamentales.
Contar con personal entrenado para el manejo de crisis y recuperación de las operaciones. Asegurar que los registros vitales estén disponibles ante el evento de contingencia. Contar con la mayoría de los procedimientos probados.
Minimizar la dependencia de los servicios informáticos ante el evento de la contingencia.
BCM (Business Continuity Management) BCP (Business Continuity Plan)
Considera la administración de la continuidad del negocio como parte de un proceso
Plan dirigido a los Procesos del Negocio
DRP (Disaster Recovery Plan)
Plan específico a tecnología de la Información
DRP Disaster Recovery Plan Plan de Recuperación en Caso de Desastre Orientado a recuperar en el menor tiempo posible la operación de las APLICACIONES CRITICAS, Equipo alternativo, minimizando el impacto y el costo de un desastre.
DRP
BRS Business Recovery Services Servicio informático o realizado por personal especializado dentro de la infraestructura de TI Da soporte en casos de contingencia.
BRS DRP
BRP Business Recovery Plan Documento formalizado para la recuperación de los procesos de negocio existentes en la entidad.
BRP BRS DRP
PCN Plan de Continuidad de Negocio (BCP Bussiness Continuity Plan) Conjunto de acciones que se deben realizar en caso de desastre. Deben asegurar la recuperación a la mayor brevedad posible de las operaciones críticas para el negocio.
BCP BRP BRS DRP
GCN Gestión de la Continuidad de Negocio (BCM Bussiness Continuity Management)
Recoge las personas, procesos y tecnología necesarios para garantizar que los Planes de Recuperación de Negocio y de Desastres se mantienen actualizados de forma permanente
Gestión de Continuidad de Negocio
BCP BRP BRS DRP
Plan de Recuperación (DRP) Objetivo Alcance
Ofrecer una solución de respaldo a los SI en caso de contingencia
Sistemas de Información
Principales Alcance limitado a los Recursos Características TI: •Emplazamientos de los SI •Procedimientos técnicos de recuperación •Equipo de emergencia especializado en la recuperación de sistemas
Plan de Continuidad de Negocio (BCP) Asegurar la continuidad de la Entidad en caso de contingencia
Procesos Críticos de Gestión Enfocado a la operatividad de la Entidad: •Procedimiento de actuación logísticos alternativos (para TI y para el negocio) •Equipo de emergencia focalizado en la recuperación del negocio. •Priorización en base a la importancia de cada proceso.
Definiciones empleados en la Continuidad de los servicios Incidencia: [ITILv3] “… interruption to an IT Service or reduction ...”
Definiciones empleados en la Continuidad de los servicios Work around: Es un “by-pass” de un problema.
Definiciones empleados en la Continuidad de los servicios Análisis de riesgos: Evaluación de amenazas de todos los activos que dan soporte a los procesos de negocio. Gestión de Prioridades: Dentro de los Planes de Continuidad de Negocio se requiere de una definición de prioridades basándose en las necesidades definidas por el negocio.
Definiciones empleados en la Continuidad de los servicios Contingencia: Situación de inoperatividad provocada por alguna amenaza. Desastres, incidencias masivas, etc. La definición de contingencia se suele definir en el propio plan. Escenario de contingencia: Situación hipotética empleada en los Planes de Continuidad de Negocio.
Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz
Problema 1
Donde está el valor de nuestra empresa??? Hacemos pasteles o damos soporte TI?
Problema 2
Hablamos con orientación a negocio? Decir lo mismo con diferentes palabras
Sistema Servicio de correo
Plataforma/SO/Versión Exchange/Sistema VirtualWindows/v2008 SP2
Descripción Servidor de correo electrónico
Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz
Análisis de Riesgos
!
" "
BIA (Bussiness Impact Analisys) Análisis de Impacto en el Negocio Coste Vs Valor
Proceso1
Proceso2
1 seg
30 min
1 hora
1 día
3 días
5 días
Leve
Leve
Medio
Medio
Medio
Grave
300 €
600 €
1000 €
1500 €
2000 €
5000 €
1 seg
30 min
1 hora
1 día
3 días
5 días
Leve
Leve
Leve
Medio
Grave
Grave
300 €
600 €
600 €
1500 €
2000 €
50000 €
!
Recovery Objectives RTO: Recovery Time Objetive
• ¿Cuánto tiempo podemos estar sin servicio? • Objetivo de tiempo de recuperación, cual es el tiempo máximo medido en horas/días para la recuperación de la disponibilidad del servicio.
RPO: Recovery Point Objetive
• ¿Cuánto tiempo de trabajo podemos perder? • Objetivo del punto de recuperación, a qué momento del tiempo debe recuperarse el servicio (último día, última hora, zero data loss, etc.).
!
Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz
!
RPO
Cont inge ncia
RTO=5 min
RTO=1 hora
1 semana
Correo electrónico
App Contabilidad
Vuelta a la normalidad
Sistema de ficheros compartidos
Servicios varios
…
…
"
Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz
#
"
# Documentación
Un documento formalizado perteneciente a la entidad Aprobado y estudiado por la Dirección
Recoge todas las conclusiones identificadas Actividades que se contemplan Actividades que NO se contemplan
Existe personal con responsabilidad del mantenimiento del documento
"
# Estructura
1.Análisis de Impacto en el Negocio 2.Estrategia de Recuperación 3.Medidas preventivas 4.Procedimientos de invocación y recuperación 5.Mantenimiento del Plan 6.Prueba
$
Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz
$ Soluciones Tecnológicas
Tipos de Centros de Recuperación: Cold sites
• Centros con sitio e infraestructuras adecuadas para soportar el proceso de recuperación Warm sites
• Centros que se encuentran parcialmente equipados con los sistemas de información Hot sites
• Centros que disponen del equipamiento adecuado para la recuperación de la actividad
$ Soluciones Tecnológicas
Site
Coste
Hardware
Cold Site Bajo Nulo Warm Site Medio Parcial Hot Site Medio/alto Total
Telecomunic Setup Time aciones
Nulo Largo Partial/Full Medio Total Corto
Location
Acordada Acordada Acordada
$ Soluciones Tecnológicas
La virtualización Las copias de seguridad Fuentes redundantes SAI/UPS Identificación del punto único de fallo (single point of failure)
$ Soluciones Organizativas
Responsable de Continuidad
Comité de Contingencia
!
! !
Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz
!
!
Estrategia
1.Conocer con qué se genera valor 2.Realizar el BIA 3.Análisis de Riesgos 4.Medidas preventivas
!
!
Realización
Invocación Magnitud de los daños de los servicios Criticidad de los sistemas afectados Duración estimada de la contingencia que supera el RTO
Proceso1
1 seg
30 min
1 hora
1 día
3 días
5 días
Leve
Leve
Medio
Medio
Medio
Grave
300 €
600 €
1000 €
1500 €
2000 €
5000 €
!
!
Realización
Notificación Personal interno
• Grupos de contacto • Llamadas telefónicas • Envío de mensajes a los correos personales Grupos de interés
• Clientes • Proveedores
!
!
Realización
Notificación Contenido informativo
• • • • • •
Naturaleza de la interrupción Duración estimada de la interrupción Detalles de la situación de la recuperación Cuando se adelantará más información Instrucciones para preparar la nueva ubicación de trabajo Instrucciones para completar la notificación, mediante el árbol de contactos
!
!
Realización
Recuperación DRP
• Identificando qué se necesita y dónde se encuentra • Establecer el nivel de detalle necesario – Capacidad de la persona responsable de la recuperación – Posibilidad de que esa persona no pueda acceder
!
!
Realización
Valoración Causa de la contingencia Posibilidad de interrupciones o daños adicionales Estado de la infraestructura Inventario y estado de los sistemas informáticos Tipo de daños en los sistemas y especialmente en los datos Soportes a ser remplazados Tiempo estimado de vuelta a la normalidad
!
!
Mantenimiento
Plan actualizado Cambios en la estructura de la empresa Cambios en la infraestructura
Pruebas Verificar números de teléfono
• El proveedor es el mismo? Verificar versionados
• La estructura de la base de datos es la misma?
“Sentido común, el menos común de los sentidos” Hay que mantener el Plan en papel, fuera de las instalaciones La frecuencia de las copias es coherente con las necesidades de continuidad Puedo asegurar la confidencialidad de la información que se maneja en la recuperación?
!
Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz
!
%
Ejemplo 1 Pequeño comercio
CPD
Contiene: -Servidor de correo -Aplicación contablefinanciera
Externalizado: -Página Web -Copias de Seguridad
!
%
Ejemplo 2
CPD 1
Contiene: -Servidor de correo -Aplicación contablefinanciera -Aplicación de negocio1
CPD 2
Contiene: -Servidor Backup CPD1 -Aplicación de negocio2
¿Preguntas?