4 Elementos fundamentales del plan de continuidad 1

  • Slides: 71
Download presentation
4. Elementos fundamentales del plan de continuidad 1

4. Elementos fundamentales del plan de continuidad 1

2 Definición de servicios de Tecnologías de Información 1. Evaluación de análisis de riesgo

2 Definición de servicios de Tecnologías de Información 1. Evaluación de análisis de riesgo 2. Análisis de impacto en el negocio 3. Desarrollo de estrategias de continuidad 4. Respuesta a incidentes 5. Plan de acción 6. Plan de vuelta a la normalidad 7. Pruebas y actualización

Caso Walmart 3 �Walmart ha sufrido los estragos de desastres naturales en numerosas ocasiones

Caso Walmart 3 �Walmart ha sufrido los estragos de desastres naturales en numerosas ocasiones �Cuenta con oficina donde se realizan todos los planes de continuidad de negocio: Centro de Continuidad de Operaciones en la Ciudad de México �Objetivo Reestablecer operaciones después de un desastre natural «las empresas dan estabilidad a la sociedad» �Tres simulacros al año para desarrollar una cultura de prevención de desastres

Caso Walmart Centro de Continuidad de Operaciones 4 � Maneja toda la información que

Caso Walmart Centro de Continuidad de Operaciones 4 � Maneja toda la información que surge sobre un fenómeno natural � Caso de los huracanes Seguimiento: inicio, trayectoria, primeras consecuencias, proyecciones Contacto con las tiendas: revisión de instalaciones, análisis de abasto completo de las mercancías más demandadas, proyección de las posibles vías de comunicación, … � Otras acciones Teleconferencias con cada departamento involucrado en la operación Solicitud de procuración de bienestar de los asociados Mantener en contacto con las autoridades � Efecto Recuperación de sus operaciones con mayor prontitud Mexicali: primera en reabrir y atender las necesidades de la población

Beneficios de un plan de continuidad de negocios 5 Beneficios � «seguro de vida»

Beneficios de un plan de continuidad de negocios 5 Beneficios � «seguro de vida» que ayuda a las empresas a salir a flote de un desastre natural �Conocimiento �Control �Consistencia �Resiliencia �Agilidad

Beneficios de un plan de continuidad de negocios 6 Conocimiento Control Sabe lo que

Beneficios de un plan de continuidad de negocios 6 Conocimiento Control Sabe lo que tiene que hacer en cada uno de los frentes de la organización (relación con los clientes, operaciones, control de staff) Se cuenta con los procesos, documentos, roles, responsabilidades para cubrir con las necesidades básicas

Beneficios de un plan de continuidad de negocios 7 Consistencia Resiliencia Mantiene viva la

Beneficios de un plan de continuidad de negocios 7 Consistencia Resiliencia Mantiene viva la operación del negocio y le permite dar seguimiento a sus relaciones internas, externas Tiene la capacidad de regresar ordenadamente a su operación normal conforme la situación de contingencia se controla

Beneficios de un plan de continuidad de negocios 8 Agilidad Tiene un tiempo de

Beneficios de un plan de continuidad de negocios 8 Agilidad Tiene un tiempo de respuesta definido para recuperar su operación básica

Plan de continuidad de negocio alcance 9 Diseñado para crear una situación de preparación

Plan de continuidad de negocio alcance 9 Diseñado para crear una situación de preparación que proporcione una respuesta inmediata diseñada en función de una serie de posibles escenarios previamente definidos

Plan de continuidad de negocio funciones de la Dirección 10 �Cuidadosa elaboración e implementación

Plan de continuidad de negocio funciones de la Dirección 10 �Cuidadosa elaboración e implementación �Propuesto a la Dirección para su aprobación

11 Evaluación de análisis de riesgo

11 Evaluación de análisis de riesgo

Evaluación de análisis de riesgo 12 �Estudio de las amenazas a que están sometidos

Evaluación de análisis de riesgo 12 �Estudio de las amenazas a que están sometidos los activos de una organización y evaluación de su vulnerabilidad �Estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que están puedan producir

Evaluación de análisis de riesgo ¿Cómo realizarlo? 13 1. Identificar los peligros 2. Decidir

Evaluación de análisis de riesgo ¿Cómo realizarlo? 13 1. Identificar los peligros 2. Decidir quien puede ser dañado y cómo 3. Evaluar los riesgos y decidir las precauciones 4. Registrar sus hallazgos e implementarlos 5. Revisar su análisis y poner al día si es necesario

Evaluación de análisis de riesgo matriz 14 Basada en el método de análisis de

Evaluación de análisis de riesgo matriz 14 Basada en el método de análisis de riesgo con un grafo de riesgo usando la fórmula: riesgo = probabilidad de amenaza × magnitud de daño

Evaluación de análisis de riesgo matriz 15 La Matriz contiene una colección de diferentes

Evaluación de análisis de riesgo matriz 15 La Matriz contiene una colección de diferentes Amenazas (campos verdes) y elementos de información (campos rojos) Para llenar la Matriz, tenemos que estimar los valores de la Probabilidad de Amenaza (campos azules) por cada Amenaza y la Magnitud de Daño (campos amarillas) por cada Elemento de Información

Evaluación de análisis de riesgo matriz 16 Algunas medidas de protección necesarias � Proteger

Evaluación de análisis de riesgo matriz 16 Algunas medidas de protección necesarias � Proteger los datos de RR. HH, Finanzas contra virus � Proteger los datos de finanzas y el coordinador contra robo � Evitar que se compartan las contraseñas de los portátiles

Evaluación de análisis de riesgo identificación de recursos 17 � Hardware Procesadores, tarjetas, teclados,

Evaluación de análisis de riesgo identificación de recursos 17 � Hardware Procesadores, tarjetas, teclados, terminales, estaciones de trabajo, computadoras personales, impresoras, unidades de disco, líneas de comunicación, routers, … � Software Códigos fuentes y objeto, utilidades, programas de diagnóstico, sistemas operativos, programas de comunicación � Información En ejecución, almacenados en línea, almacenados fuera de línea, en comunicación, bases de datos, … � Personas Usuarios, operadores, … � Accesorios Papel, cintas, toners, …

Evaluación de análisis de riesgo identificación de amenazas 18 � Desastres de entorno Desastres

Evaluación de análisis de riesgo identificación de amenazas 18 � Desastres de entorno Desastres naturales, desastres producidos por elementos cercanos (cortes de suministro eléctrico, …), peligros relacionados con operadores, programadores o usuarios del sistema � Amenazas en el sistema Vulnerabilidades de los equipos y su software (fallas del sistema operativo, medidas de protección, fallas en las sistemas, copias de seguridad, … � Amenazas en la red Analizar aspectos relativos al cifrado de los datos en tránsito por la red, proteger una red local del resto de internet, instalar sistemas de autenticación de usuarios remotos que necesitan acceder a ciertos recursos internos a la organización

19 Análisis de impacto en el negocio

19 Análisis de impacto en el negocio

Análisis de impacto en el negocio 20 Determinar los procesos críticos de la empresa,

Análisis de impacto en el negocio 20 Determinar los procesos críticos de la empresa, evaluar sus impactos económicos y operacionales sobre el negocio en caso de no disponer de los recursos humanos, logísticos o tecnológicos para ejecutarlos además de establecer un orden de prioridad de recuperación de dichos procesos

Análisis de impacto en el negocio impactos más comunes y tiempos de recuperación 21

Análisis de impacto en el negocio impactos más comunes y tiempos de recuperación 21 1. Recuperación en el mismo día 2. 1 -2 días 3. 3 -7 días 4. Más de una semana

Análisis de impacto en el negocio recuperación en el mismo día 22 1. 2.

Análisis de impacto en el negocio recuperación en el mismo día 22 1. 2. 3. 4. 5. Respuesta de llamadas telefónicas de clientes Procesamiento de funciones financieras muy voluminosas y sensibles al tiempo Aspectos relacionados con la salud y la seguridad Impactos medi 0 ambientales Daño grave a la imagen o reputación

Análisis de impacto en el negocio 1 -2 días 23 La mayor parte de

Análisis de impacto en el negocio 1 -2 días 23 La mayor parte de los negocios puede sobrevivir durante un día de interrupción sin que haya consecuencias amenazadoras para la compañía Sin embargo, 1. El servicio a clientes comienza a deteriorarse 2. La información relativa a clientes necesita estar restaurada y disponible para satisfacer las necesidades de entregas y gestión de pedidos 3. Los impactos en ingresos comienzan a hacerse patentes

Análisis de impacto en el negocio 3 -7 días 24 Pocas compañías pueden soportar

Análisis de impacto en el negocio 3 -7 días 24 Pocas compañías pueden soportar que las funciones de sus negocios principales estén interrumpidas más de un par de días 1. Notoriedad extremadamente alta (informaciones negativas en la prensa económica, impacto en la cotización de las acciones) 2. Pérdida de clientes (a largo plazo y quizás permanentemente) 3. Problemas contractuales graves (plazos incumplidos, cláusulas de penalización, pleitos) 4. Amenaza financiera o quiebra

Análisis de impacto en el negocio más de una semana 25 � La mayor

Análisis de impacto en el negocio más de una semana 25 � La mayor parte de las organizaciones no pueden predecir exactamente los impactos de interrupciones de larga duración � Las interrupciones largas son escasas � Los plazos son tan grandes, que la mayor parte de las organizaciones gastarán todos los recursos que sean necesarios para recuperar un cierto nivel de servicio dentro del plazo de una semana 1. La reconstrucción de la información es enormemente costosa 2. La pérdida permanente de información impacta en la competitividad a largo plazo 3. La desmotivación y altas tasas de rotación de personal son frecuentes después de que ocurra una interrupción demasiado prolongada

Análisis de impacto en el negocio resumen de la Dirección: objetivos 26 � Definir

Análisis de impacto en el negocio resumen de la Dirección: objetivos 26 � Definir los tipos de impacto que se deberían considerar (económico, comercial, operacional, de imagen, jurídico, …) � Identificar las funciones críticas de la organización � Identificar el impacto causado a la organización por la interrupción de cada una de ellas � Informar a la dirección de los resultados anteriores para a que puedan fijar prioridades definiendo cuáles son las funciones consideradas prioritarias y establecer los umbrales máximos de recuperación para cada una de dichas funciones � Posibilitar la identificación de los recursos mínimos necesarios para una recuperación satisfactoria de las funciones definidas como críticas y justificar su adquisición

Análisis de impacto en el negocio resumen de la Dirección: alcance del análisis 27

Análisis de impacto en el negocio resumen de la Dirección: alcance del análisis 27 Se refiere a los efectos, tangibles como intangibles, que causarían en la organización la interrupción de las funciones consideras como críticas por el equipo directivo de la organización

Análisis de impacto en el negocio resumen de la Dirección: resumen de resultados 28

Análisis de impacto en el negocio resumen de la Dirección: resumen de resultados 28 Valoración cuantitativa Valoración cualitativa

Análisis de impacto en el negocio resumen de la Dirección: resumen de resultados 29

Análisis de impacto en el negocio resumen de la Dirección: resumen de resultados 29 Calificación de impactos

Análisis de impacto en el negocio 30 Resultados del análisis Valoración cuantitativa de los

Análisis de impacto en el negocio 30 Resultados del análisis Valoración cuantitativa de los impactos producidos por la interrupción de funciones Requisitos para la recuperación �Costos de recuperación �Pérdidas asumibles �Umbrales de recuperación �Requisitos mínimos aceptables para la recuperación (REMAR)

Análisis de impacto soluciones para registros vitales 31 �Selección de las instalaciones de almacenamiento

Análisis de impacto soluciones para registros vitales 31 �Selección de las instalaciones de almacenamiento externo �Consideraciones: seguridad y accesibilidad �Ubicaciones posibles

Análisis de impacto estrategias de respuesta 32 �Diferir la realización de las funciones de

Análisis de impacto estrategias de respuesta 32 �Diferir la realización de las funciones de negocio �Reubicar las operaciones de negocio durante el tiempo de recuperación �Posponer las funciones de negocio

Análisis de impacto estrategias de reubicación 33 � Instalaciones de operación alternativas, instalaciones informáticas

Análisis de impacto estrategias de reubicación 33 � Instalaciones de operación alternativas, instalaciones informáticas y de telecomunicaciones � Centro de gestión de crisis/áreas de traslado � Consideraciones ¿se pueden modificar las operaciones normales? ¿qué dependencias de entradas y salidas existen? ¿qué procesos de reporteo se pueden suprimir? ¿qué operaciones y procesos concurrentes son posibles? ¿se puede minimizar la logística operando en un centro de respaldo? ¿cuál es la capacidad necesaria para operar en este modo de supervivencia? ¿cuál es la posibilidad de los diversos sistemas y aplicaciones informáticas?

Análisis de impacto estrategias de centros alternativos 34

Análisis de impacto estrategias de centros alternativos 34

Análisis de impacto anexos: cuestionarios de valoración 35 �Impacto económico �Impacto comercial �Impacto operacional

Análisis de impacto anexos: cuestionarios de valoración 35 �Impacto económico �Impacto comercial �Impacto operacional �Impacto en imagen �Impacto legal

36 Desarrollo de estrategias de continuidad

36 Desarrollo de estrategias de continuidad

Desarrollo de estrategias de continuidad 37 Desarrollarlas y valorarlas hasta llegar a un equilibrio

Desarrollo de estrategias de continuidad 37 Desarrollarlas y valorarlas hasta llegar a un equilibrio entre los gastos incurridos, los riesgos a mitigar y los beneficios económicos aportados

Desarrollo de estrategias de continuidad 38 �No se puede dar un modelo fijo de

Desarrollo de estrategias de continuidad 38 �No se puede dar un modelo fijo de estrategia �Dependencia características de cada organización grado de criticidad de sus funciones y aplicaciones disponibilidad de servicios alternativos … �Basarse en la disponibilidad de un centro alternativo, propio o subordinado, en el que se realizarán las operaciones que permitan continuidad de las funciones críticas en un período inferior al definido por los umbrales de respuesta y recuperación

Desarrollo de estrategias de continuidad 39 Centro de control Centro alternativo Lugar de reunión

Desarrollo de estrategias de continuidad 39 Centro de control Centro alternativo Lugar de reunión para las actividades de valoración inicial, la coordinación y toma de decisiones �Centro frío Equipo de gestión de incidentes y asesores durante las fases iniciales de respuesta y recuperación �Centro móvil �Centro caliente �Centro espejo

Desarrollo de estrategias de continuidad centro alternativo 40 Centro frío Centro caliente Sala vacía

Desarrollo de estrategias de continuidad centro alternativo 40 Centro frío Centro caliente Sala vacía preparada con las condiciones ambientales para albergar equipos informáticos � Instalación de energía eléctrica � Climatización � Falso suelo � Cierta estructura de comunicaciones � Instalación totalmente configurado a las especificaciones del cliente y disponible en pocas horas � Recomendado para organizaciones en las cuales su umbral de recuperación no superar las 24/48 horas

Desarrollo de estrategias de continuidad centro alternativo 41 Centro espejo Centro móvil � En

Desarrollo de estrategias de continuidad centro alternativo 41 Centro espejo Centro móvil � En caso de necesidades de � Trasladar las facilidades respuesta inmediatas � Instalaciones idénticas y actualizadas permanentemente con objeto de que una de ellas se haga cargo automáticamente del trabajo si la otra sufre una interrupción informáticas de respaldo al lugar determinado previamente en el plan de contingencia � Consiste en una sala acondicionada, equipada y configurable en pocas horas � Umbrales de recuperación: 6 -8 horas en adelante

Desarrollo de estrategias de continuidad 42 �Otra localización dentro de la organización �Acuerdos de

Desarrollo de estrategias de continuidad 42 �Otra localización dentro de la organización �Acuerdos de ayuda mutua �Acuerdos con los proveedores de equipos �Empresas de servicio

Desarrollo de estrategias de continuidad procedimientos de backup 43 �Dirección de Sistemas: servicio centralizado

Desarrollo de estrategias de continuidad procedimientos de backup 43 �Dirección de Sistemas: servicio centralizado para ayudar al resto de las entidades en el proceso de protección de la información mediante la obtención de copias de seguridad �Cada entidad debe ser individualmente responsable de la identificación y protección de todos los registros vitales para una recuperación satisfactoria de la información contenida en los equipos locales

Desarrollo de estrategias de continuidad centro de almacenamiento externo 44 Solución propia � Accesibilidad:

Desarrollo de estrategias de continuidad centro de almacenamiento externo 44 Solución propia � Accesibilidad: 24 horas, 365 días al año � Resistencia al fuego (RF-120) � Temperatura controlada (20°C) � Hermeticidad ante agua � Medidas de seguridad adicionales � Humedad controlada (50%) � Resistencia al aplastamiento � Hermeticidad ante gases Sistema de detección Sistema de extinción Cierre rápido Protección contra robo

Desarrollo de estrategias de continuidad centro de almacenamiento externo 45 Solución externa � Almacén

Desarrollo de estrategias de continuidad centro de almacenamiento externo 45 Solución externa � Almacén vigilado y conectado a una central de alarmas 24 horas, 365 días y dotado con sistemas de seguridad pasiva � Sala de almacenamiento de soportes presurizada: no polvo y exenta de campos magnéticos � Sistema de extinción de incendios mediante gas inerte � Control automatizado de parámetros de: temperatura, humedad, pureza de aire, accesos, … � Sistemas alimentación eléctrica redundantes � Vehículos sin distintivos con aire acondicionado � Transporte en maletines o contenedores � Transporte con comunicación con la base (radio, teléfono, buscapersonas, …) � Disponibilidad las 24 horas, 365 días al año � Recogida y entrega planificada en las instalaciones del cliente

Desarrollo de estrategias de continuidad centro de almacenamiento externo 46 � Posibilidad de acceso

Desarrollo de estrategias de continuidad centro de almacenamiento externo 46 � Posibilidad de acceso inmediato y/o posibilidad de solicitudes de urgencia con un tiempo de respuesta aceptable (2/3 horas) � Cobertura de seguro adecuada � Conceptos de facturación claros y cerrados, incluidas las tarifas para servicios de emergencia en horario normal, nocturno, fines de semana, fiestas, … � Software de administración y logística integrados � Confidencialidad de los datos almacenados

47 Respuesta a incidentes

47 Respuesta a incidentes

Respuesta a incidentes 48 Equipo de gestión de incidentes �Formado por los jefes de

Respuesta a incidentes 48 Equipo de gestión de incidentes �Formado por los jefes de equipo de los equipos restantes y dirigido por una persona con suficiente nivel jerárquico dentro de la estructura de la organización �Funciones Planificar y controlar actividades Decidir la ubicación del centro de control Realizar los informes de situación Evaluar los daños �Planificación de reuniones periódicas para revisar el plan y organizar pruebas

Respuesta a incidentes 49 Equipo de operaciones informáticas �Responsable de la rápida y efectiva

Respuesta a incidentes 49 Equipo de operaciones informáticas �Responsable de la rápida y efectiva reimplantación de las instalaciones informáticas después del desastre

Respuesta a incidentes 50 Equipo de operaciones informáticas: funciones � Instalación de la solución

Respuesta a incidentes 50 Equipo de operaciones informáticas: funciones � Instalación de la solución de recuperación � Aviso a la empresa de servicios de respaldo � Solicitud de copias de seguridad adecuadas de programas y datos � Prueba de la máquina de respaldo � Restauración de la comunicaciones locales y remotas � Obtención de soportes magnéticos para backup, material preimpreso y suministros � Recuperación de copias de seguridad del sistema operativos, programas y datos � Realizar pruebas de comprobación de la calidad de las aplicaciones restauradas

Respuesta a incidentes 51 Equipo de administración � Provisión de recursos a los demás

Respuesta a incidentes 51 Equipo de administración � Provisión de recursos a los demás equipos � Asignación y administración de una caja para gastos de menor cuantía � Coordinar la seguridad del edificio � Relaciones con los servicios públicos (bomberos, policía, protección civil, …) � Notificación a la compañías de seguros adecuadas y relaciones con los peritos � Relaciones con el personal y tratamiento de los problemas que se les puedan presentar � Relación con los medios de comunicación y edición de notas de prensa

Respuesta a incidentes 52 Equipo de atención a usuarios Mantener informado a todos demás

Respuesta a incidentes 52 Equipo de atención a usuarios Mantener informado a todos demás departamentos usuarios del progreso realizado mediante la publicación regular de boletines informativos actuando como intermediario entre los departamentos usuarios y el proceso de recuperación

Respuesta a incidentes 53 Equipo de inmuebles �Responsable de la reconstrucción y reacondicionamiento de

Respuesta a incidentes 53 Equipo de inmuebles �Responsable de la reconstrucción y reacondicionamiento de la sala �Coordinación de un cierto número de subcontratistas y proveedores

Respuesta a incidentes 54 Equipo de servicios generales �Soporte de cualquier servicio auxiliar que

Respuesta a incidentes 54 Equipo de servicios generales �Soporte de cualquier servicio auxiliar que pueda ser necesario para la completa recuperación de todas las áreas afectadas �Coordinar un cierto número de subcontratistas y proveedores

55 Plan de acción

55 Plan de acción

Plan de acción 56 �Documenta la evaluación inicial y actividades de puesta en marcha

Plan de acción 56 �Documenta la evaluación inicial y actividades de puesta en marcha de equipo y toma decisiones efectuadas por el equipo de gestión incidentes �Importante: inmediata notificación al responsable apropiado de cualquier suceso que pueda causar interrupción en las operaciones informáticas �Enemigo a batir: el tiempo

Plan de acción tipos de desastre 57 �Desastre menor Aquel que provoca una parada

Plan de acción tipos de desastre 57 �Desastre menor Aquel que provoca una parada que no sobrepase las cuatro horas Ejemplos: fallas de hw debidos a usuarios, daños menores o problemas de sw �Desastre mayor Aquel que provoca una parada de más de cuatro horas y que no sobrepase un día Ejemplos: inundación de la sala, rotura del aire acondicionado �Desastre catastrófico Fuera de servicio más de un día que no sobrepase una semana Ejemplo: destrucción total del centro informático

Plan de acción activación de procedimientos de emergencia 58 �Notificación de primera alerta �Escalamiento

Plan de acción activación de procedimientos de emergencia 58 �Notificación de primera alerta �Escalamiento de problemas �Informe de emergencia �Evaluación de daños

Plan de acción procedimientos de respuesta 59 �Coordinación de actuaciones por el equipo de

Plan de acción procedimientos de respuesta 59 �Coordinación de actuaciones por el equipo de gestión de incidentes �Procedimientos del departamento de Administración departamento de Asesoría Jurídica departamento Comercial departamento de Producción departamento de Recursos Materiales departamento de Inmuebles departamento de Logística departamento de Recursos Humanos

Plan de acción procedimientos de respuesta 60 departamento de Relaciones Públicas departamento de Seguridad

Plan de acción procedimientos de respuesta 60 departamento de Relaciones Públicas departamento de Seguridad departamento de Sistemas de Información servicio de Archivo Central servicio de Correos servicio de Viajes servicio de Telecomunicaciones

Plan de acción procedimientos de recuperación 61 �Necesitan más tiempo para ser puestos en

Plan de acción procedimientos de recuperación 61 �Necesitan más tiempo para ser puestos en marcha �Son a menudo más costosos y complicados a implantar �Ejemplo: reconstrucción de los registros perdidos y las computadoras personales dañadas pueden llevar días o semanas y requiere mayor dedicación del personal

Plan de acción procedimientos de recuperación 62 �Coordinar la preparación del lugar de recuperación

Plan de acción procedimientos de recuperación 62 �Coordinar la preparación del lugar de recuperación �Traslado al centro de respaldo �Procedimientos de recuperación del sistema operativo �Procedimientos de recuperación de aplicaciones �Procedimientos de recuperación de datos

63 Plan de vuelta a la normalidad

63 Plan de vuelta a la normalidad

Plan de vuelta a la normalidad 64 �La reanudación de las operaciones no debe

Plan de vuelta a la normalidad 64 �La reanudación de las operaciones no debe poner un riesgo adicional �Planificar cuidadosamente la vuelta a la normalidad �Acciones Reunión de planificación � Fecha, hora de disponibilidad para el regreso � Estado de los servicios de soporte (teléfonos, servicios informáticos, …) � Cualquier requisito o apoyo logístico especial Sesión de planificación dirigida por el jefe de cada equipo de recuperación Desarrollar un programa final aprobado y revisado Poner en marcha los procedimientos modificados de continuidad de negocio reanudando las operaciones en el lugar de trabajo permanente

65 Pruebas y actualización

65 Pruebas y actualización

Pruebas y actualización 66 �La buena documentación de un manual no es suficiente para

Pruebas y actualización 66 �La buena documentación de un manual no es suficiente para garantizar que el plan de continuidad de negocio va a responder según lo previesto �Necesidad de entrenamiento y pruebas periódicas �Actualización de los planes �Contenido del programa de pruebas y entrenamiento Revisiones periódicas Ejercicios de entrenamiento Pruebas técnicas

Pruebas y actualización revisiones periódicas 67 � ¿siguen siendo válidas las premisas de partida

Pruebas y actualización revisiones periódicas 67 � ¿siguen siendo válidas las premisas de partida sobre las que se construyó el plan? � ¿se han transformado en críticas, funciones de negocio que antes no lo eran? � ¿están todavía disponibles los recursos de recuperación, incluyendo las copias de seguridad actualizadas en el almacenamiento externo? � ¿son todavía apropiados, en cantidades y umbrales de recuperación, los recursos críticos que se han definido? � ¿ha habido algún cambio en la criticidad de alguna información, que ahora la haga esencial para la recuperación? � ¿son todavía apropiados los umbrales de recuperación de las funciones de negocio identificadas como críticas?

Pruebas y actualización ejercicios de entrenamiento 68 Recomendación: ejercicio anual similar a la revisión

Pruebas y actualización ejercicios de entrenamiento 68 Recomendación: ejercicio anual similar a la revisión de procedimientos de respuesta y recuperación efectuada durante el desarrollo del plan

Pruebas y actualización pruebas técnicas 69 � Base: buen funcionamiento de la tecnología �

Pruebas y actualización pruebas técnicas 69 � Base: buen funcionamiento de la tecnología � Recomendación: prueba anual de determinados elementos tecnológicos y logísticos del plan � Ejemplos Restaurar todos los backups de PCs y LANs Conmutar las telecomunicaciones de voz y datos al centro alternativo Comprobar la idoneidad de los backups existentes en el almacenamiento externo y su posibilidad de lectura Verificar la disponibilidad de los proveedores de recursos críticos (substitución de PCs, impresoras y consumibles) Recuperar los elementos custodiados en el almacenamiento externo Efectuar algunas transacciones y procesos reales utilizando los recursos y registros identificados en el plan

Pruebas y actualización mantenimiento del plan 70 � Mantener actualizado el plan de continuidad

Pruebas y actualización mantenimiento del plan 70 � Mantener actualizado el plan de continuidad de negocio � Revisión y validación de necesidades y estrategias � Actualizaciones (coordinador del plan) Mantener una copia actualizada en casa y en la oficina Asegurarse de que todos los miembros del equipo y el personal alternativo tienen una copia actualizada en su casa Asegurarse que todo el personal de los equipos de recuperación considera la preparación de las actividades de recuperación como parte de sus actividades diarias Asegurarse de que las actividades de backup y almacenamiento de registros vitales están siendo ejecutadas Participar en el programa de pruebas del plan de continuidad de negocio

Fin 71

Fin 71