Plan de contingencia

7/21/2019 Plan de contingencia

http://slidepdf.com/reader/full/plan-de-contingencia-56da74b0ab566 1/34

Planes de Contingencia: Un enfoque práctico

Néstor Orlando Romero ABCP, MscJunio 2002

Agenda

Introducción

Historia

DRI Definiciones

Metodología

Introducción

Pretende minimizar las

pérdidas de productividad

dada la ocurrencia de un

incidente que genere una

interrupción

Continuidad vs. Recuperación

del negocio

Motivación

ventos no esperados !"e# $or%&

'' de (eptiem)re*

+lta dependencia de la información

, de las infraestructuras

inform-ticas

+lta motivación para atacantes

Planes de contingencia ,a no son

un luo sino una necesidad

Historia

Primeros planes de

recuperación

(olo (istemas de Información (olo en 2

Recuperación de Desastres

+lguna actividad fuera de 2

Dependencia de (istemas

centralizados

Historia (cont.)

Recuperación& no continuidad

Planes pro)ados por fuegos&

terremotos& 5uracanes 6ransición de planes de (I a

planes corporativos

+parece soft#are especializado

701s Planes corporativos

Centrado en el negocio

isaster !ecover" Institute (cont.)

+ctualmente& al menos ';00 empresas

aplican los conceptos , metodología del DRI.

+lgunas de ellas son<

6e=as Instruments +6 > 6

?ell (out5

"ational ?an%

9orld ?an% Merrill @,nc5

?anco Central de Aenezuela

#reas de conoci$iento %ase del !I

'. +dministración e iniciación del pro,ecto

B. valuación de riesgos , controles

. +n-lisis de Impacto del negocio

. strategias de recuperación;. Respuesta a la emergencia

/. Desarrollo e implementación del plan

3. Programas de concientización , entrenamiento

4. Prue)as , eercicios del plan

7. Mantenimiento , actualización del plan

efiniciones

Desastre< s cualquier evento que crea

in5a)ilidad para una parte de una

organización para proveer sus funciones

críticas del negocio por algEn periodo de

tiempo !inconveniencia o desastre*.

efiniciones (cont.)

Plan de recuperación de desastres< 2n

conunto apro)ado de actividades ,

procedimientos los cuales 5acen

posi)le a una organización responder a

un desastre , reiniciar sus funciones

críticas en una condición acepta)le& en

un marco de tiempo determinado.

efiniciones (cont.)

Plan de continuidad del negocio< (on

todas las actividades , procedimientos

apro)ados que 5acen posi)le a una

organización responder a un evento ental forma que las funciones críticas del

negocio continEen sin interrupción o

cam)io significativo

P l an d e

M an e j o

d el Ri e s g o

C on s e c u en ci a s

Respuesta a Continuidad de NegocioRespuesta a Continuidad de Negocio

Respuesta al Riesgo(Monitoreo, mantenimiento y Atención de

incidentes)

Respuesta al Riesgo(Monitoreo, mantenimiento y Atención de

incidentes)

Opciones de Tratamiento Mitigar, Reducir,

Aceptar, Asumir, Evitar, Transferir

Opciones de Tratamiento Mitigar, Reducir,

Aceptar, Asumir, Evitar, Transferir

Plan estratégico de Administración deRiesgos

Administración deCrisis

FinancieroFinanciero

R el a c i on

l e g al e s

c om er c i a

R el a c i on e s

l e g al e s

c om er c i al e s

C am i o

T e c n ol ó gi c o s

C am i o

T e c n ol ó gi c o s

C am i o

! ol " t i c o

C am i o

! ol " t i c o

E v ent o

n at ur al e s

E v ent o

n at ur al e

C am i o

pr o c e d i m e

C am i o

pr o c e d i m e

# of t $ ar e

! r e s i ó n

c om p et e

! r e s i ó n d e

c om p et e

C om p or t ami

% um an

C om p or t ami

% um an

&i s p o s i t i v o s

o e ' ui p

&i s p o s i t i v o s

o e ' ui p

EconómicoEconómico ObjetivosObjetivos

IntegridadIntegridadDisponibilidadDisponibilidad

AccidentalidadAccidentalidadContinuidadContinuidad

ConfidencialidadConfidencialidad

F u en t e s

Ri e s g o

onde enca&a la ad$inistración de riesgos'

Proceso de planeación de contingencias

Tomado de IT Contingency Planning uide !"I#T$

Metodologa

8ases< Definición

Requerimientos uncionales

Dise!o " Desarrollo

#m$lementación

Prue%as " e&ercicios

Mantenimiento

'&ecución

tapas durante un desastre

%ecuperación de las capacidades

Declaración de la emergencia

Toma del control

Toma de decisiones

%eanudación de operaciones%estauración

"ormalidadDE#A#T%E "ormalidad

*ase +: efinición

Definir el pro)lema !Recuperación de desastres vs.

Continuidad del negocio*

Conciencia en la alta gerencia , políticas de

continuidad del negocio

Definición de los o)etivos , requerimientos de

continuidad !Fuien& que& cuando& donde , como*

+lcance , o)etivos del pro,ecto

Comité de seguimiento al pro,ecto

*ase ,: !equeri$ientos funcionales

Identificación de los )ienes a ser protegidos

fectuar el an-lisis de riesgos

Realizar el an-lisis de impacto del negocio!?I+*

Identificación de las estrategias

CostoG)eneficio de las estrategias

(elección de la estrategia

Presupuesto de inversión

-ienes a ser protegidos

C l i e n t e s y & s u a r i o s

' t e r n o s e I n t e r n o s $

C i r c u i t o s

E ( u i p o s

i o n e s

# e g u r i d a

d) P o

t e n c i a

P r o t e

c c i ó

n * A m b

i e n t e

I n v e n t a r i o

+ a t e r i a l e s

P l a n t a

s d e p

r o d u c c i ó

* e ( u i p

P e r s

A p l i c a c i o n e

D a t o s

# i s t e m a s O p e r a t i v o s

,ard-are !+ainframe)

PC.s) /A"$

TE/ECO+&"ICACIO"E#

Análisis de !iesgos

l an-lisis de riesgos permite identificar las

vulnera)ilidades de la compaía& evaluar los

controles e=istentes& así como prever si sonnecesarios nuevos controles.

Puede ser cualitativo o cuantitativo

Análisis de !iesgos (cont.) +ctividades<

Identificar las amenazas , vulnera)ilidades so)re

los elementos críticos

sta)lecer los riesgos utilizando +.@. !+nual @oss

=posure& Riesgofrec = e=posic& ?enefRGrGc* Identificar , analizar controles e=istentes

+nalizar el valor de los controles adicionales

Recomendar la implantación de controles para

mitigar los riesgos

Análisis de i$pacto del negocio

?asados en los riesgos ,a identificados<

Determinar los procesos& funciones&

departamentos , -reas de tra)ao delnegocio sensi)les en el tiempo

Determinar los sistemas& datos ,

telecomunicaciones sensi)les en el tiempo

Determinar el tiempo de disponi)ilidad

requerido !R6:*

Análisis de i$pacto del negocio (cont.)

s importante definir el criterio de criticidad

de las funciones , procesos

Definir las consecuencias de las caídas delnegocio

sta)lecer el R6: !tiempo o)etivo de

recuperación* de los procesos críticos

!ecover" i$e /%&ective

Recovery Time Objective

Reinicio de las

o$eraciones

(os sistemas cr)ticos

son o$erati*os "

con datos actuales

Punto de

interrru$ción

tiem$o

's el tiem$o entre el $unto de interru$ción, " el $unto en el cu+l

los sistemas sensi%les en el tiem$o de%en estar funcionando

nue*amente, con los datos actualiados

Procesos del

ne-ocio

funcionando

Identificación de estrategias

Identificar los requerimientos de las estrategias

de recuperación<

6iempos

Personal requerido (itios !recuperación& coordinación& reinicio*

6ipos !CdeC& funciones del negocio& comunic.*

Identificar las posi)les alternativas de

recuperación < "o 5acer nada

Identificación de estrategias (cont.)

Diferir acciones

Procedimientos manuales

+cuerdos recíprocos

(itios alternos

(ervicios comerciales !recuperación interna& 5ot

site& cold site& #arm site& nada*

Consorcio con otras compaías Procesamiento distri)uido

Comunicaciones alternas

*ase 0: ise1o " desarrollo

Definir el alcance del plan

structurar una organización er-rquica

paralela para administrar emergencias& conesquemas de notificación

Definición de escenarios

Programas de control de personal

Detallar la administración general del plan

*ase 2: I$ple$entación Crear procedimientos de atención a al emergencia Crear procedimientos para controlar la crisis

Designar la autoridad

Crear procedimientos para encadenar respuesta ala emergencia , recuperación

Detallar procedimientos de reinicio& recuperación ,

restauración

Contratos , recursos para recuperación

*ase 3: Prue%as " e&ercicios

Disear programas de entrenamiento&

conciencia corporativa , mecanismos de

distri)ución del plan Programar eercicios con o)etivos claros

Preparar los escenarios

fectuar eercicios

valuar resultados

*ase 4: Manteni$iento " actuali5ación

Programar , calcular la inversión en

actividades de actualización , mantenimiento

valuar 5erramientas de soft#are como apo,o sta)lecer criterios de revisión

Procedimientos de mantenimiento del plan<

Procedimientos de actualización Procedimientos de reporte de estado

*ase 4: Manteni$iento " actuali5ación

(cont.) Procedimientos de auditoría , control

sta)lecer mecanismos de distri)ución de la

actualización del plan , procedimientos decontrol

*ase 6: &ecución

Cada empleado sa)e que 5acer& donde ir& a

quien reportarse durante la emergencia.

(e inicia el plan de respuesta a laemergencia

(e inicia el procedimiento de recuperación

del negocio& si es necesario

Plan de contingencia

Documents

Transcript of Plan de contingencia

Plan de contingencia

Plan Contingencia