Planes de Contingencia Un enfoque prctico Nstor Orlando

  • Slides: 34
Download presentation
Planes de Contingencia: Un enfoque práctico Néstor Orlando Romero ABCP, Msc Junio 2002

Planes de Contingencia: Un enfoque práctico Néstor Orlando Romero ABCP, Msc Junio 2002

Agenda n n n Introducción Historia DRI Definiciones Metodología

Agenda n n n Introducción Historia DRI Definiciones Metodología

Introducción n n Pretende minimizar las pérdidas de productividad dada la ocurrencia de un

Introducción n n Pretende minimizar las pérdidas de productividad dada la ocurrencia de un incidente que genere una interrupción Continuidad vs. Recuperación del negocio

Motivación n n Eventos no esperados (New York, 11 de Septiembre) Alta dependencia de

Motivación n n Eventos no esperados (New York, 11 de Septiembre) Alta dependencia de la información y de las infraestructuras informáticas Alta motivación para atacantes Planes de contingencia ya no son un lujo sino una necesidad

Historia n 60’s Primeros planes de recuperación u Solo Sistemas de Información u Solo

Historia n 60’s Primeros planes de recuperación u Solo Sistemas de Información u Solo en EU u n 70’s Recuperación de Desastres u Alguna actividad fuera de EU u Dependencia de Sistemas centralizados u

Historia (cont. ) n 80’s Recuperación, no continuidad u Planes probados por fuegos, terremotos,

Historia (cont. ) n 80’s Recuperación, no continuidad u Planes probados por fuegos, terremotos, huracanes u Transición de planes de SI a planes corporativos u Aparece software especializado u n 90’s Planes corporativos u Centrado en el negocio u

Disaster Recovery Institute n n Fundado en 1. 988 (Washington University) Propone los lineamientos

Disaster Recovery Institute n n Fundado en 1. 988 (Washington University) Propone los lineamientos para los profesionales en la planeación de recuperación de negocios mediante la definición de áreas de conocimiento Ofrece capacitación y asesorías Certifica profesionales

Disaster Recovery Institute (cont. ) n Actualmente, al menos 1500 empresas aplican los conceptos

Disaster Recovery Institute (cont. ) n Actualmente, al menos 1500 empresas aplican los conceptos y metodología del DRI. Algunas de ellas son: Texas Instruments u AT & T u Bell South u National Bank u World Bank u Merrill Lynch u Banco Central de Venezuela u

Áreas de conocimiento base del DRI 1. Administración e iniciación del proyecto 2. Evaluación

Áreas de conocimiento base del DRI 1. Administración e iniciación del proyecto 2. Evaluación de riesgos y controles 3. Análisis de Impacto del negocio 4. Estrategias de recuperación 5. Respuesta a la emergencia 6. Desarrollo e implementación del plan 7. Programas de concientización y entrenamiento 8. Pruebas y ejercicios del plan 9. Mantenimiento y actualización del plan

Definiciones n Desastre: Es cualquier evento que crea inhabilidad para una parte de una

Definiciones n Desastre: Es cualquier evento que crea inhabilidad para una parte de una organización para proveer sus funciones críticas del negocio por algún periodo de tiempo (inconveniencia o desastre).

Definiciones (cont. ) n Plan de recuperación de desastres: Un conjunto aprobado de actividades

Definiciones (cont. ) n Plan de recuperación de desastres: Un conjunto aprobado de actividades y procedimientos los cuales hacen posible a una organización responder a un desastre y reiniciar sus funciones críticas en una condición aceptable, en un marco de tiempo determinado.

Definiciones (cont. ) n Plan de continuidad del negocio: Son todas las actividades y

Definiciones (cont. ) n Plan de continuidad del negocio: Son todas las actividades y procedimientos aprobados que hacen posible a una organización responder a un evento en tal forma que las funciones críticas del negocio continúen sin interrupción o cambio significativo

Donde encaja la administración de riesgos? Plan estratégico de Administración de Riesgos Administración de

Donde encaja la administración de riesgos? Plan estratégico de Administración de Riesgos Administración de Crisis Dispositivos o equipos Comportamie nto humano Presión de la competencia Software Cambios procedimentales Eventos naturales Cambios Políticos Cambios Tecnológicos Relaciones legales y comerciales Fuentes de Consecuencias Riesgo Financiero Económico Objetivos Disponibilidad Confidencialidad Integridad Continuidad Accidentalidad Plan de Manejo del Riesgo Opciones de Tratamiento Mitigar, Reducir, Aceptar, Asumir, Evitar, Transferir Respuesta al Riesgo (Monitoreo, mantenimiento y Atención de incidentes) Respuesta a Continuidad de Negocio

Proceso de planeación de contingencias Tomado de IT Contingency Planning Guide (NIST)

Proceso de planeación de contingencias Tomado de IT Contingency Planning Guide (NIST)

Metodología Fases: Definición Requerimientos Funcionales Diseño y Desarrollo Implementación Pruebas y ejercicios Mantenimiento Ejecución

Metodología Fases: Definición Requerimientos Funcionales Diseño y Desarrollo Implementación Pruebas y ejercicios Mantenimiento Ejecución

Etapas durante un desastre Normalidad DESASTRE Declaración de la emergencia Toma del control Toma

Etapas durante un desastre Normalidad DESASTRE Declaración de la emergencia Toma del control Toma de decisiones Restauración Reanudación de operaciones Recuperación de las capacidades

Fase 1: Definición n n Definir el problema (Recuperación de desastres vs. Continuidad del

Fase 1: Definición n n Definir el problema (Recuperación de desastres vs. Continuidad del negocio) Conciencia en la alta gerencia y políticas de continuidad del negocio Definición de los objetivos y requerimientos de continuidad (Quien, que, cuando, donde y como) Alcance y objetivos del proyecto Comité de seguimiento al proyecto

Fase 2: Requerimientos funcionales n n n n Identificación de los bienes a ser

Fase 2: Requerimientos funcionales n n n n Identificación de los bienes a ser protegidos Efectuar el análisis de riesgos Realizar el análisis de impacto del negocio (BIA) Identificación de las estrategias Costo-beneficio de las estrategias Selección de la estrategia Presupuesto de inversión

ipo Equ TELECOMUNICACIONES s Ci rcu ito Cl s i (E en xte tes

ipo Equ TELECOMUNICACIONES s Ci rcu ito Cl s i (E en xte tes rno y s e Usu Int ari ern os os) Instalaciones Bienes a ser protegidos cia n te nte o , P bie d m ida A r & gu Se ción tec o Pr Hardware (Mainframe, PC’s, LAN) Sis tem ario & t n e v n I ales Materi nas Perso s e Aplicacion c uc d pro po e i s d equ a t n & Pla ión as Op er Da tos ativ o s

Análisis de Riesgos n n El análisis de riesgos permite identificar las vulnerabilidades de

Análisis de Riesgos n n El análisis de riesgos permite identificar las vulnerabilidades de la compañía, evaluar los controles existentes, así como prever si son necesarios nuevos controles. Puede ser cualitativo o cuantitativo

Análisis de Riesgos (cont. ) n Actividades: u Identificar las amenazas y vulnerabilidades sobre

Análisis de Riesgos (cont. ) n Actividades: u Identificar las amenazas y vulnerabilidades sobre los elementos críticos u Establecer los riesgos utilizando A. L. E (Anual Loss Exposure, Riesgo=frec x exposic, Benef=R-r-c) u Identificar y analizar controles existentes u Analizar el valor de los controles adicionales u Recomendar la implantación de controles para mitigar los riesgos

Análisis de impacto del negocio Basados en los riesgos ya identificados: n Determinar los

Análisis de impacto del negocio Basados en los riesgos ya identificados: n Determinar los procesos, funciones, departamentos y áreas de trabajo del negocio sensibles en el tiempo n Determinar los sistemas, datos y telecomunicaciones sensibles en el tiempo n Determinar el tiempo de disponibilidad requerido (RTO)

Análisis de impacto del negocio (cont. ) n n n Es importante definir el

Análisis de impacto del negocio (cont. ) n n n Es importante definir el criterio de criticidad de las funciones y procesos Definir las consecuencias de las caídas del negocio Establecer el RTO (tiempo objetivo de recuperación) de los procesos críticos

Recovery Time Objective Punto de interrrupción Reinicio de las operaciones Los sistemas críticos son

Recovery Time Objective Punto de interrrupción Reinicio de las operaciones Los sistemas críticos son operativos y con datos actuales tiempo Recovery Time Objective Es el tiempo entre el punto de interrupción, y el punto en el cuál los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con los datos actualizados Procesos del negocio funcionando

Identificación de estrategias n Identificar los requerimientos de las estrategias de recuperación: u Tiempos

Identificación de estrategias n Identificar los requerimientos de las estrategias de recuperación: u Tiempos u Personal requerido u Sitios (recuperación, coordinación, reinicio) u Tipos (Cde. C, funciones del negocio, comunic. ) n Identificar las posibles alternativas de recuperación : u No hacer nada

Identificación de estrategias (cont. ) u Diferir acciones u Procedimientos manuales u Acuerdos recíprocos

Identificación de estrategias (cont. ) u Diferir acciones u Procedimientos manuales u Acuerdos recíprocos u Sitios alternos u Servicios comerciales (recuperación interna, hot site, cold site, warm site, nada) u Consorcio con otras compañías u Procesamiento distribuido u Comunicaciones alternas

Identificación de estrategias (cont. ) n n n Seleccionar el almacenamiento fuera del sitio

Identificación de estrategias (cont. ) n n n Seleccionar el almacenamiento fuera del sitio Seleccionar el sitio alterno Realizar un análisis costo beneficio

Fase 3: Diseño y desarrollo n n n Definir el alcance del plan Estructurar

Fase 3: Diseño y desarrollo n n n Definir el alcance del plan Estructurar una organización jerárquica paralela para administrar emergencias, con esquemas de notificación Definición de escenarios Programas de control de personal Detallar la administración general del plan

Fase 4: Implementación n n n Crear procedimientos de atención a al emergencia Crear

Fase 4: Implementación n n n Crear procedimientos de atención a al emergencia Crear procedimientos para controlar la crisis Designar la autoridad Crear procedimientos para encadenar respuesta a la emergencia y recuperación Detallar procedimientos de reinicio, recuperación y restauración Contratos y recursos para recuperación

Fase 5: Pruebas y ejercicios n n n Diseñar programas de entrenamiento, conciencia corporativa

Fase 5: Pruebas y ejercicios n n n Diseñar programas de entrenamiento, conciencia corporativa y mecanismos de distribución del plan Programar ejercicios con objetivos claros Preparar los escenarios Efectuar ejercicios Evaluar resultados

Fase 6: Mantenimiento y actualización n n Programar y calcular la inversión en actividades

Fase 6: Mantenimiento y actualización n n Programar y calcular la inversión en actividades de actualización y mantenimiento Evaluar herramientas de software como apoyo Establecer criterios de revisión Procedimientos de mantenimiento del plan: u Procedimientos de actualización u Procedimientos de reporte de estado

Fase 6: Mantenimiento y actualización (cont. ) u Procedimientos n de auditoría y control

Fase 6: Mantenimiento y actualización (cont. ) u Procedimientos n de auditoría y control Establecer mecanismos de distribución de la actualización del plan y procedimientos de control

Fase 7: Ejecución n Cada empleado sabe que hacer, donde ir, a quien reportarse

Fase 7: Ejecución n Cada empleado sabe que hacer, donde ir, a quien reportarse durante la emergencia. Se inicia el plan de respuesta a la emergencia Se inicia el procedimiento de recuperación del negocio, si es necesario

FIN!

FIN!

CONTROL Y PLANES DE CONTINGENCIA CONTROL Y PLANESCONTROL Y PLANES DE CONTINGENCIA CONTROL Y PLANES
GESTION DE CONTINGENCIA QU SE ENTIENDE POR CONTINGENCIAGESTION DE CONTINGENCIA QU SE ENTIENDE POR CONTINGENCIA
Tablas de contingencia Tablas de contingencia Una tablaTablas de contingencia Tablas de contingencia Una tabla
CONTINGENCIA Y BACKUP 1 CONTINGENCIA Dependencia en losCONTINGENCIA Y BACKUP 1 CONTINGENCIA Dependencia en los
DENGUE Plan de contingencia Plan de contingencia CoordinacinDENGUE Plan de contingencia Plan de contingencia Coordinacin
Didctica ELE Enfoque estructural Enfoque comunicativo Enfoque porDidctica ELE Enfoque estructural Enfoque comunicativo Enfoque por
Enfoque sociotcnico Enfoque Sistmico Enfoque Socio Tcnico OrigenEnfoque sociotcnico Enfoque Sistmico Enfoque Socio Tcnico Origen
Enfoque de contingencia para la seleccin de mediosEnfoque de contingencia para la seleccin de medios
Planes de Contingencia Eventos Pblicos 1 DATOS DELPlanes de Contingencia Eventos Pblicos 1 DATOS DEL
PREFECTURA NAVAL ARGENTINA PLANES DE CONTINGENCIA RIESGO DEPREFECTURA NAVAL ARGENTINA PLANES DE CONTINGENCIA RIESGO DE
Planes de contingencia Toda empresa est sujeta aPlanes de contingencia Toda empresa est sujeta a
PLANES DE CONTINGENCIA Qu es un plan dePLANES DE CONTINGENCIA Qu es un plan de
Factura Telemtica Seminario Prctico Factura Telemtica Seminario PrcticoFactura Telemtica Seminario Prctico Factura Telemtica Seminario Prctico
Caso prctico Afganistn Caso prctico Sexo Hombre EdadCaso prctico Afganistn Caso prctico Sexo Hombre Edad
TRABAJO PRCTICO OBTENCIN DE STERES TRABAJO PRCTICO OBTENCINTRABAJO PRCTICO OBTENCIN DE STERES TRABAJO PRCTICO OBTENCIN
Curso de coaching Un enfoque prctico e integralCurso de coaching Un enfoque prctico e integral
NEUMONA DE LENTA RESOLUCIN UN ENFOQUE PRCTICO MartnNEUMONA DE LENTA RESOLUCIN UN ENFOQUE PRCTICO Martn
COMPETENCIAS CLAVE Un enfoque prctico Irene Ortega RamalCOMPETENCIAS CLAVE Un enfoque prctico Irene Ortega Ramal
Windows Vista Office 2007 Un enfoque prctico MSPWindows Vista Office 2007 Un enfoque prctico MSP
Classification Salvatore Orlando Data Mining S Orlando 1Classification Salvatore Orlando Data Mining S Orlando 1
The Gathering Orlando Florida January 10 2019 OrlandoThe Gathering Orlando Florida January 10 2019 Orlando
Input Output Salvatore Orlando Arch Elab S OrlandoInput Output Salvatore Orlando Arch Elab S Orlando
Orlando di Lasso Prophetiae Sibyllarum Carmina Chromatico OrlandoOrlando di Lasso Prophetiae Sibyllarum Carmina Chromatico Orlando
Association mining Salvatore Orlando Data Mining S OrlandoAssociation mining Salvatore Orlando Data Mining S Orlando