Continuidad de Negocio
José Manuel Ballester Fernández
Consejero Delegado TEMANOVA-ALINTEC
Director Cátedra Buen Gobierno Universidad Deusto
2
Reflexión Inicial
“El tiempo de la reflexión es una economía de tiempo”
Siro , Publius (Siglo I A.C.)
3
José Manuel Ballester Fernández
ALGUNA INFORMACIÓN PERSONAL
▶ Doctor Ingeniero Industrial, MBA, CISA, CISM, CGEIT
» Socio AUREN
» Consejero Delegado TEMANOVA/ALINTEC
» Director Postgrado Buen Gobierno Universidad Deusto
» Director Cátedra Buen Gobierno Universidad Deusto
▶ Miembro de ISACA, AUTELSI, AETIC, AEDI, AENOR
▶ Former President de ASIA / ISACA Madrid Chapter
▶ CobiT® Foundation Certificate
▶ Certified Information Systems Auditor (CISA)
▶ Certified Information Security Manager (CISM)
▶ Certified Governance Enterprise IT (CGEIT)
▶ Accredited CobiT® Trainer
▶ Member CGEIT Committee Board ISACA
▶ Member ISO JTC1/WG6 IT Governance
▶ coEditor ISO38500
4
1. Evolución
2. Análisis de Riesgos / Análisis de Impacto
3. Componentes del PCN
4. Gestión de la Continuidad
5. Factores Críticos de Éxito
Índice
5
Recuperación de DesastresEvolución I ...
DESASTRE - 1. m. Desgracia grande, suceso infeliz y lamentable.DRAE
-Apagando fuegos-Cuando ya han comenzado-Enfocado a grandes desastres(sobre todo naturales)
La Evolución
6
Planes de ContingenciasEvolución II ...
CONTINGENCIA: 1. f. Posibilidad de que algo suceda o no suceda. 2. f. Cosa que puede suceder o no suceder.DRAE
-Se planifica ...-Incluso lo no previsible ...-Se dota de medios, pero ...-No está alineado con el Negocio
La Evolución
7
Gestión de la Continuidad del NegocioEvolución III ...
- Proceso cíclico- Impulsado y apoyado (involucrado) por la Alta Dirección- Para buscar la Continuidad del Negocio- Ante cualquier eventualidad
La Evolución
8
“Proceso de desarrollar acuerdos previos y procedimientos que permitan a una organización
responder a un evento de modo que las funciones críticas del negocio continúen con los
niveles de interrupción o cambios esenciales planificados.”
(Disaster Recovery International Insitute)
Gestión de la Continuidad del Negocio
La Evolución
9
Análisis de Riesgos. Objetivos:
1 Análisis y minimización de los riesgos
2 Identificación de amenazas y vulnerabilidades (ACTIVOS)
3 Identificación de impactos potenciales
4 Determinación de niveles aceptables de riesgo
5 Planteamiento de alternativas para mitigar riesgos
Análisis de Riesgos
10
Análisis de Impacto. Objetivos:
1 Definir tipos de impacto
2 Identificar funciones críticas (PROCESOS)
3 Identificar el impacto por cada una de las causas de desastre
4 Informar a la Dirección
5 Identificar recursos mínimos necesarios
Análisis de Impacto (BIA)
11
Análisis de Impacto. Aspectos Claves:
1 Criticidad de los recursos y los procesos (objetiva)
2 Periodo de tiempo de recuperación
3 Pérdidas en función de éstos periodos
4 Sistema de clasificación de impactos
Análisis de Impacto (BIA)
12
Fallos del sistema Fuego Software Inundación Rayo Sabotaje Terrorismo
%76 8 6 4 2 2 2
R456736 96520 58182 56
Días 6 92 16 30 29 91 28
Fuente: Synstar Business Continuity
Análisis de Impacto (BIA)
Causas de Interrupción
13
Estrategia y Alternativas:
1 Estudiar los componentes del Plan
2 Necesidades de infraestructura externa
3 Alternativas disponibles
4 Análisis de procedimientos alternativos
5 Informe a la dirección
Estrategias y Alternativas
14
Componentes del Plan
Copias deseguridad
CentroAlternativo
Manual deProcedimientos
Infraestr
uctura
externa Procedimientos
Componentes del Plan
15
Centro Alternativo:
1 Opciones (Centro espejo, caliente, frío, móvil).
2 Medios propios, acuerdos mutuos, outsourcing.
3 Dimensionamiento adecuado. Servicios críticos.
4 Compatibilidad. Hardware y software.
5 SLA y coste claramente definidos.
Componentes del Plan
16
Componentes del Plan.
1 Preparar un boceto de contenidos.
2 Sistematizar el contenido de los procedimientos.
3 Métodos de redacción
4 Definición de equipos de recuperación
5 Planificar la vuelta a la normalidad
Componentes del Plan
17
Equipos de Recuperación. Áreas a cubrir.
1 Funciones administrativas.
2 Instalaciones físicas.
3 Logística.
4 Soporte a usuarios.
5 Sistemas alternativos.
6 Restauración y reconstrucción.
7 Otras áreas importantes.
Componentes del Plan
18
Equipos de Recuperación. O ...GRAN ENTIDAD
1 Equipo de respuesta a incidentes2 Equipo de atención de emergencias3 Equipo de determinación de los daños 4 Equipo de administración de la emergencia5 Equipo de almacenamiento externo6 Equipo de software7 Equipo de aplicaciones8 Equipo de seguridad 9 Equipo de operaciones de emergencia 10 Equipo de recuperación de red11 Equipo de Comunicaciones12 Equipo de Transporte13 Equipo de Hardware de Usuario14 Equipo de preparación de datos y registros15 Equipo de soporte administrativo16 Equipo de suministros17 Equipo de salvamento 18 Equipo de reubicación18 Equipo de Coordinación19 Equipo de Asuntos Legales20 Equipo de prueba de recuperación21 Equipo de Entrenamiento
PEQUEÑA EMPRESA1 Coordinador del equipo2 Recursos humanos3 Sistemas informáticos 4 Instalaciones5 Soporte
Componentes del Plan
19
Equipos de Recuperación. Perfiles.
1 Disponibilidad 24h / Accesibilidad2 Decisión y autoridad para gastar dinero3 Posición senior y respetado4 Capaz de tratar con otros departamentos5 Buen conocimiento del negocio/función6 Buen comunicador y sereno ante la presión7 Capacidad probada de liderazgo.
Coordinados y liderados por la Gerencia, Presidencia, o similar
Componentes del Plan
20
Más allá de la planificación de la continuidad
Componentes del PlanEstrategias de recuperaciónManual de procedimientos
Diseño del PlanAnálisis de Riesgos
Análisis de Impactos
EntrenamientoPruebas
Mantenimiento
Gestión de la Continuidad
21
Gestión de la Continuidad. Entrenamiento. 1 Programa de difusión.
2 Formación de TODOS los empleados a distintos niveles.
Nunca sabemos quién descubrirá la incidencia.
3 Realización de ejercicios de simulación.
5 Revisión y actualización de la documentación del plan.
Gestión de la Continuidad
22
Gestión de la Continuidad. Pruebas.
1 Pruebas totales planificadas o por sorpresa parciales.
2 Coordinadas con todas las funciones afectadas.
3 Evaluación y documentación de los resultados.
4 Actualización del plan.
5 Informe a la Dirección.
Gestión de la Continuidad
23
Gestión de la Continuidad. Pruebas.
1 Verificar si el plan es completo y preciso.
2 Evaluar el desempeño del/los equipos de gestión.
3 Evaluar el conocimiento y entrenamiento del resto de personal.
5 Evaluar la coordinación entre los distintos equipos, internos o externos.
6 Evaluar la validez de los datos del plan.
Gestión de la Continuidad
24
Gestión de la Continuidad. Mantenimiento.
Usando el entrenamiento y las pruebas será más fácil:
1 Actualizar la información contenida en el plan.
2 Revisar la idoneidad de los procedimientos.
3 Hacer cambios en los equipos de gestión.
5 Descubrir nuevos incidentes.
6 Reforzar relaciones con partners internos o externos.
Gestión de la Continuidad
25
Involucra a la Alta Dirección
CIO
BCP
Factores de éxito
26
Confía en la gente de la organización
Ellos son los que conocen el negocio
Factores de éxito
27
Direcciones de interés
www.bsi.orgwww.bscm.eswww.infoseguridad.comwww.thebci.orgwww.globalcontinuity.comwww.survive.comwww.continuitycentral.comwww.drj.comwww.isaca.org
28
Reflexión Final
“Las ideas no duran mucho hay que hacer algo con ellas”
Santiago Ramón y Cajal (1854-1934)
29
Fin de la presentación
Muchas gracias