• Author / Uploaded
• Loo Saw Sean

Citation preview

Cómo plantear un PCN 3 noviembre 2010 Aspectos generales

Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz

Presentación Definiciones Plan de Contingencias Plan de Continuidad

Soluciones de continuidad Soluciones tecnológicas Soluciones organizativas Como implantar un plan de

Identificación de la estructura TI

continuidad

Valoraciones en la organización

Buenas Prácticas

Componentes del Plan de

Ejemplos y visión práctica

Continuidad de Negocio

Ejemplo 1

Realización del Plan

Ejemplo 2

Se trata de entender que: La continuidad del negocio no tiene una única solución No se dispone de la solución perfecta, se conoce cual era una vez solucionada Las TIC como servicio para lograr los objetivos del negocio

Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz

Normas de referencia a consultar BS 25999:

• BS 25999-1:2006 Code of practice for business continuity management

• BS 25999-2:2007 Specification for business continuity management. Nist 800-34: Contingency Planning Guide for Federal Information Systems (revisada el 10 de mayo)

Buenas prácticas de ayuda relacionadas ISO/IEC 27001:2005: Sistema de Gestión de la Seguridad de la Información MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información CobiT v4.1: Control Objectives for Information and related Technology Serie NIST: National Institute of Standards and Technology

Objetivos del BCP

Minimizar la magnitud de la interrupción sobre los procesos críticos ante eventos inesperados. Contar con los elementos regulatorios y jurídicos para enfrentar juicios o demandas de terceros o gubernamentales.

Contar con personal entrenado para el manejo de crisis y recuperación de las operaciones. Asegurar que los registros vitales estén disponibles ante el evento de contingencia. Contar con la mayoría de los procedimientos probados.

Minimizar la dependencia de los servicios informáticos ante el evento de la contingencia.

BCM (Business Continuity Management) BCP (Business Continuity Plan)

Considera la administración de la continuidad del negocio como parte de un proceso

Plan dirigido a los Procesos del Negocio

DRP (Disaster Recovery Plan)

Plan específico a tecnología de la Información

DRP Disaster Recovery Plan Plan de Recuperación en Caso de Desastre Orientado a recuperar en el menor tiempo posible la operación de las APLICACIONES CRITICAS, Equipo alternativo, minimizando el impacto y el costo de un desastre.

DRP

BRS Business Recovery Services Servicio informático o realizado por personal especializado dentro de la infraestructura de TI Da soporte en casos de contingencia.

BRS DRP

BRP Business Recovery Plan Documento formalizado para la recuperación de los procesos de negocio existentes en la entidad.

BRP BRS DRP

PCN Plan de Continuidad de Negocio (BCP Bussiness Continuity Plan) Conjunto de acciones que se deben realizar en caso de desastre. Deben asegurar la recuperación a la mayor brevedad posible de las operaciones críticas para el negocio.

BCP BRP BRS DRP

GCN Gestión de la Continuidad de Negocio (BCM Bussiness Continuity Management)

Recoge las personas, procesos y tecnología necesarios para garantizar que los Planes de Recuperación de Negocio y de Desastres se mantienen actualizados de forma permanente

Gestión de Continuidad de Negocio

BCP BRP BRS DRP

Plan de Recuperación (DRP) Objetivo Alcance

Ofrecer una solución de respaldo a los SI en caso de contingencia

Sistemas de Información

Principales Alcance limitado a los Recursos Características TI: •Emplazamientos de los SI •Procedimientos técnicos de recuperación •Equipo de emergencia especializado en la recuperación de sistemas

Plan de Continuidad de Negocio (BCP) Asegurar la continuidad de la Entidad en caso de contingencia

Procesos Críticos de Gestión Enfocado a la operatividad de la Entidad: •Procedimiento de actuación logísticos alternativos (para TI y para el negocio) •Equipo de emergencia focalizado en la recuperación del negocio. •Priorización en base a la importancia de cada proceso.

Definiciones empleados en la Continuidad de los servicios Incidencia: [ITILv3] “… interruption to an IT Service or reduction ...”

Definiciones empleados en la Continuidad de los servicios Work around: Es un “by-pass” de un problema.

Definiciones empleados en la Continuidad de los servicios Análisis de riesgos: Evaluación de amenazas de todos los activos que dan soporte a los procesos de negocio. Gestión de Prioridades: Dentro de los Planes de Continuidad de Negocio se requiere de una definición de prioridades basándose en las necesidades definidas por el negocio.

Definiciones empleados en la Continuidad de los servicios Contingencia: Situación de inoperatividad provocada por alguna amenaza. Desastres, incidencias masivas, etc. La definición de contingencia se suele definir en el propio plan. Escenario de contingencia: Situación hipotética empleada en los Planes de Continuidad de Negocio.

Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz

Problema 1

Donde está el valor de nuestra empresa??? Hacemos pasteles o damos soporte TI?

Problema 2

Hablamos con orientación a negocio? Decir lo mismo con diferentes palabras

Sistema Servicio de correo

Plataforma/SO/Versión Exchange/Sistema VirtualWindows/v2008 SP2

Descripción Servidor de correo electrónico

Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz

Análisis de Riesgos

!

" "

BIA (Bussiness Impact Analisys) Análisis de Impacto en el Negocio Coste Vs Valor

Proceso1

Proceso2

1 seg

30 min

1 hora

1 día

3 días

5 días

Leve

Leve

Medio

Medio

Medio

Grave

300 €

600 €

1000 €

1500 €

2000 €

5000 €

1 seg

30 min

1 hora

1 día

3 días

5 días

Leve

Leve

Leve

Medio

Grave

Grave

300 €

600 €

600 €

1500 €

2000 €

50000 €

!

Recovery Objectives RTO: Recovery Time Objetive

• ¿Cuánto tiempo podemos estar sin servicio? • Objetivo de tiempo de recuperación, cual es el tiempo máximo medido en horas/días para la recuperación de la disponibilidad del servicio.

RPO: Recovery Point Objetive

• ¿Cuánto tiempo de trabajo podemos perder? • Objetivo del punto de recuperación, a qué momento del tiempo debe recuperarse el servicio (último día, última hora, zero data loss, etc.).

!

Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz

!

RPO

Cont inge ncia

RTO=5 min

RTO=1 hora

1 semana

Correo electrónico

App Contabilidad

Vuelta a la normalidad

Sistema de ficheros compartidos

Servicios varios

…

…

"

Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz

#

"

# Documentación

Un documento formalizado perteneciente a la entidad Aprobado y estudiado por la Dirección

Recoge todas las conclusiones identificadas Actividades que se contemplan Actividades que NO se contemplan

Existe personal con responsabilidad del mantenimiento del documento

"

# Estructura

1.Análisis de Impacto en el Negocio 2.Estrategia de Recuperación 3.Medidas preventivas 4.Procedimientos de invocación y recuperación 5.Mantenimiento del Plan 6.Prueba

$

Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz

$ Soluciones Tecnológicas

Tipos de Centros de Recuperación: Cold sites

• Centros con sitio e infraestructuras adecuadas para soportar el proceso de recuperación Warm sites

• Centros que se encuentran parcialmente equipados con los sistemas de información Hot sites

• Centros que disponen del equipamiento adecuado para la recuperación de la actividad

$ Soluciones Tecnológicas

Site

Coste

Hardware

Cold Site Bajo Nulo Warm Site Medio Parcial Hot Site Medio/alto Total

Telecomunic Setup Time aciones

Nulo Largo Partial/Full Medio Total Corto

Location

Acordada Acordada Acordada

$ Soluciones Tecnológicas

La virtualización Las copias de seguridad Fuentes redundantes SAI/UPS Identificación del punto único de fallo (single point of failure)

$ Soluciones Organizativas

Responsable de Continuidad

Comité de Contingencia

!

! !

Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz

!

!

Estrategia

1.Conocer con qué se genera valor 2.Realizar el BIA 3.Análisis de Riesgos 4.Medidas preventivas

!

!

Realización

Invocación Magnitud de los daños de los servicios Criticidad de los sistemas afectados Duración estimada de la contingencia que supera el RTO

Proceso1

1 seg

30 min

1 hora

1 día

3 días

5 días

Leve

Leve

Medio

Medio

Medio

Grave

300 €

600 €

1000 €

1500 €

2000 €

5000 €

!

!

Realización

Notificación Personal interno

• Grupos de contacto • Llamadas telefónicas • Envío de mensajes a los correos personales Grupos de interés

• Clientes • Proveedores

!

!

Realización

Notificación Contenido informativo

• • • • • •

Naturaleza de la interrupción Duración estimada de la interrupción Detalles de la situación de la recuperación Cuando se adelantará más información Instrucciones para preparar la nueva ubicación de trabajo Instrucciones para completar la notificación, mediante el árbol de contactos

!

!

Realización

Recuperación DRP

• Identificando qué se necesita y dónde se encuentra • Establecer el nivel de detalle necesario – Capacidad de la persona responsable de la recuperación – Posibilidad de que esa persona no pueda acceder

!

!

Realización

Valoración Causa de la contingencia Posibilidad de interrupciones o daños adicionales Estado de la infraestructura Inventario y estado de los sistemas informáticos Tipo de daños en los sistemas y especialmente en los datos Soportes a ser remplazados Tiempo estimado de vuelta a la normalidad

!

!

Mantenimiento

Plan actualizado Cambios en la estructura de la empresa Cambios en la infraestructura

Pruebas Verificar números de teléfono

• El proveedor es el mismo? Verificar versionados

• La estructura de la base de datos es la misma?

“Sentido común, el menos común de los sentidos” Hay que mantener el Plan en papel, fuera de las instalaciones La frecuencia de las copias es coherente con las necesidades de continuidad Puedo asegurar la confidencialidad de la información que se maneja en la recuperación?

!

Consultec, S.L. Bilbao – Donostia San Sebastián – Madrid – Pamplona – Santander – Vitoria Gasteiz

!

%

Ejemplo 1 Pequeño comercio

CPD

Contiene: -Servidor de correo -Aplicación contablefinanciera

Externalizado: -Página Web -Copias de Seguridad

!

%

Ejemplo 2

CPD 1

Contiene: -Servidor de correo -Aplicación contablefinanciera -Aplicación de negocio1

CPD 2

Contiene: -Servidor Backup CPD1 -Aplicación de negocio2

¿Preguntas?