Sistema de Gestin de la

Continuidad de Negocio
Produccin DOGC
19 Mayo 2011
ndice
Objetivos
Era la certificacin un objetivo inicial?
Cronologia de desarrollo del proyecto
Alcance
Qu metodologa se ha seguido?
Resultados
BIA
Plan de continuidad
Pruebas
Plan de Formacin
Sistema de Gestin de la Continuidad de Negocio
Herramienta para seguimiento del proyecto
Herramienta Gestin Documental del SGCN
Lecciones aprendidas
2
Objetivos
Disponer de todos los recursos necesarios (humanos, tecnolgicos, proveedores,
procedimientos, ...) para garantizar las funciones de edicin/produccin del Diari Oficial
de la Generalitat de Catalunya ante posibles contingencias.
Este objetivo permitir:
Minimizar el tiempo de interrupcin de las operaciones crticas implicadas en
la produccin del DOGC.
Evitar o minimizar problemas legales
Proteger la imagen y credibilidad de la entidad
Simplificar la toma de decisiones cuando se produzca un desastre
Planificar el retorno a las operaciones normales de forma controlada
3
Era la certificacin un objetivo inicial?
Rotundamente NO.
La certificacin nunca fue un objetivo sino que ha sido la consecuencia de un largo
proceso de maduracin de la entidad en lo que se refiere a cultura de continuidad de
negocio.
La certificacin requiere de una madurez que se adquiere de forma progresiva. En el
EADOP se consider que primero la organizacin deba entender qu era la continuidad,
qu beneficios le aportaba, como reaccionaba, etc.
Y como todo avanz correctamente . El EADOP decidi hacer un paso ms.
4
Cronologa de Desarrollo del Proyecto
Inicio del Proyecto (Des 2008)
Anlisis de Impacto en el Negocio (BIA)
Anlisis de Riesgos (AR)
Estrategias de Continuidad
Plan de Continuidad
Plan de Formacin y Sesiones formativas
Plan de pruebas y pruebas de distintos tipos
El EADOP decide certificar el Sistema de Gestin de la
Continuidad de Negocio
Jul -2010
Sept -2010 Adecuacin la Norma BS-25999: creacin del Sistema de Gestin
Dic -2010/Ene -2011 El EADOP cambia de oficinas; cambio de Gobierno; cambio de
Direccin
En/Mar-2011 Proceso de auditoria interna
Mar/Abr -2011 Proceso de auditoria externa (Certificacin)
Certificacin BS25999
5
Alcance
El Sistema de Gestin de la Continuidad de Negocio (SGCN) del EADOP
se circunscribe a todos los procesos relacionados con la actividad de
Edicin (Produccin) del Diari Oficial de la Generalitat de Catalunya que
dirige la Entitat Autnoma del Diari Oficial i de Publicacions as como
todos los activos, personas, instalaciones, proveedores involucrados en
esta actividad.
6
Qu metodologa se ha seguido?
Metodologia GCNCAT de la Generalitat de Catalunya
Plan de
Continuidad
de negoci
[
Fase II
Proceso de escalado
Proceso de toma de
decisiones
Linias de comunicacin
Roles y
responsabilidades
Equipo de gestin
Recursos
Procedimientos de
respuesta
Analisi de
Impacto de
negocio
[
Fase I
Recogida de informacin
Identificar procesos
crticos
Determinar impacto de la
no disponibilidad
Anlisis de riesgos
Seleccin de estrategias
de continuidad
Plan de Continuidad
de negocio
Informe BIA (*)
* Formado por:
Anlisis de procesos e impacto
Anlisis de riesgos
Estrategias de Continuidad
Fase III
Tareas para
implantar el
plan de forma
efectiva
[
Formacin
Definicin y ejecucin
de pruebas
Procedimientos de
revisin y
mantenimiento
Plan de formacin
Plan de Pruebas
Procedimientos de revisin
y mantenimiento
Requisitos
Previos
Fase 0
Compromiso de la
Direccin
Elaboracin y difusin de
la poltica de continuidad
Poltica de
Continuidad
Firmada
GESTIN DE LA CONTINUIDAD DE NEGOCIO
7
Qu metodologa se ha seguido?
SITUACIN
NORMAL
SITUACIN NORMAL CONTINGENCIA
Restauracin Centro /Edificio afectado
Planificacin
Intervencin
inmediata
Obra civil
Instalacin
red y
equipos
Prevencin
Continuidad
Recuperacin / Situacin degradado Retorno Gestin Incidente
CONTINGENCIA
Area de Trabajo
Sistemas /Redes
Manteniment
Formaci
Anlisis de
Riesgos
Anlisi de
impacto (BIA)
Estrategias de
Continuidad
Deteccin
Comit Crisis
Decisin
Evaluacin daos
Area de
Trabajo
Tecnologa
Nivel 1
Nivel n
Nivel 2
Proves
Evaluacin/ Activacin Plan
8
Qu metodologa se ha seguido?
RTO
El Recovery Time Objective es el tiempo
mximo aceptable de interrupcin de un
proceso/ aplicacin especfico
RPO
Antes Desastre
Backup de cinta Replicacin
Asncrona
Alta
Disponibilidad
Hot Site
Tiempo de recuperacin Recovery Point
Despus Desastre
Segundos Minutos Horas Das Semanas Segundos Minutos Horas Das Semanas
Replicacin
Sncrona
+ Coste - Coste - Coste + Coste
El Recovery Point Objective es la mxima
cantidad de informacin que un
proceso/ aplicacin puede perder
9
Resultados de todo el proceso
Resultados ms relevantes:
Resultados del BIA
Resultados del Plan de Continuidad
Pruebas
Herramienta para el seguimiento del proyecto/Sistema de Gestin
(PPM)
Herramienta para el almacenamiento i gestin de toda la
documentacin (Portal de Seguridad)
Desarrollo del Sistema de Gestin de la Continuidad de Negocio
para optar a la certificacin en la norma BS-25999
10
Resultados del BIA
Procesos
1
Recepcin de documentos
2
Tarificar y tramitar documentos <<Anuncios>>
3
Tratamiento de Textos: Gestin de documentos (I) <<Entrada de anuncios al
circuito>>
4
Tratamiento de Textos: Correccin lingustica
5
Produccin del documento (I) <<Aplicacin de estilos>>
6
Tratamiento de Textos: Gestin de documentos (II) <<Seleccin de textos y
sumario>>
7
Produccin del documento (II) <<Compaginar y Maquetar>>
8
Tratamiento de Textos: Gestin de documentos (III) <<Sumario definitivo>>
9
Unidad de Bases de Datos <<Pre - Publicacin>>
Procesos de negocio crticos
A
N
N
E
X
3
Resultados del BIA
Requisitos del Negocio
RTO: XX
RPO: YY
R T O
0
R

P

O
a b c
X
Y
Z
Procesos crticos DOGC
p
Resultados del BIA/ Estrategias
rea de Trabajo
alternativa
Personal
Crtico afectado
Personal
No Crtico
(en las primeras horas)
Edificio Principal
Resultados Plan de Continuidad Documentacin
ndice
Plan de Continuidad
Gestin de Incidentes
Gestin de la Crisi
Activacin del Plan y de los procedimientos de recuperacin
Plan de Retorno
Plan de Pruebas
Plan de Mantenimiento
Anexos
Anexo 1 Telfonos de localitzacin
Anexo 2 Roles y Responsabilidades
Anexo 3 Conclusiones BIA
Anexo 4 Traslado del Area de Trabajo de respaldo
Anexo 5 Procediments tecnolgics de recuperaci
Anexo 6 - Procediments de Retorn
Anexo 7 Procediments de gesti dincidents a SSCC
Anexo 8.1 Registre desdeveniments/ Decisions
Anexo 8.2 Acta de reuni del Comit de Crisi
Resultados Plan de Continuidad - Roles y Responsabilidades
Comit de Gestin de la Continuidad
Equipo de gestin de
Incidentes
Gestor de Incidentes
Servicios Generales
reaTIC
Gestor de la continutat de negoci:
Equipos de Soporte
AsesoriaJurdica
Compras
Administracin
Gestor de Incidentes
Resp. Comunicacin
reaTIC
Direccin
I
n
c
i
d
e
n
t
e
/

C
o
n
t
i
n
g
e
n
c
i
a
Comuni c ac i n
r eas de Negoc i o
RRHH
RRHH
reade Produccin reaTratamiento de Textos Subd.CoordinacinEditorial reaGestin Administrativa Anuncios UnidadBase Datos
Resultados Plab de Continuidad rbol Llamadas
Gestor
Continuidad:
Sr. XXXXX
Gestor
Continuidad 2:
Sr. JJJJJ
Resp. rea
RRHH:
Sr. XYXYXY
Equipo
RRHH:
Equipo rea
Financiera
Equipo
rea TIC
Resp. rea
Financiera:
Sr. BVBVBV
Resp. rea TIC :
Sr. AAAAA
Cuerpos de
Seguridad
Proveedores
Personal de la
organizacin
Direccin de la
Organizacin
Resp. rea
Trabajo
Alternativa:
Sr. TTTTTT
Resultados Plan de pruebas
1. Prueba A de Revisin: revisin en despachode todos los
procedimientos del plan con el personal involucrado.
2. Prueba B Simulacro corte de comunicaciones con la red
corporativa de la Generalitat
3. Prueba C Recuperacin unitaria de mquinas virtuales.
4. Prueba D Recuperacin de rea de Trabajo Alternativa.
5. Prueba E Simulacin de un Desastre Total que requiere
recuperacin de CPD + Recuperacin en rea Alternativa de los
puestos de trabajo.
Resultados - Plan de pruebas
Herramienta para seguimiento del proyecto
Todo el proyecto se gestiona des de la herramienta PPM
19
Herramienta Gestin Documental del SGCN
El Portal de Seguridad almacena, de forma protegida, toda la
documentacin del SGCN y del Plan de Continuidad:
20
Resultados Sistema de Gestin de la Continuidad de Negocio
Implantar mejoras
Adoptar acciones
preventivas y
correctivas
Comunicar
acciones y
resultados
Verificar que las
mejoras cumplen
su objetivo
Definir e implantar
el Plan de
Continuidad
Definir e implantar
los planes de
recuperacin
Implantar la
medidas asociadas
Desarrollar procedimientos de monitorizacin
Revisar los niveles de riesgo
Revisar y probar regularmente el Plan
Analizar los procesos
Definir las necesidades
Establecer los requerimientos del Plan de
Continuidad
Hacer (DO)
Lecciones aprendidas (Key Success Factors)
22
Un soporte y impulso permanente de la Direccin del EADOP
La elevada involucracin de las reas de negocio y TIC
Participacin activa en los simulacros/ pruebas
Participacin en las sesiones formativas
Soporte en la elaboracin de material de concienciacin
Identificacin clara de roles y responsabilidades del Sistema de Gestin y del
Plan de gestin de incidentes/ continuidad
Definicin de mtricas mediblesque permitan evaluar de forma peridica el
Sistema de Gestin y el Plan.
Hacer pruebas peridicamente
Disponer de una infraestructura tecnolgica muy avanzaday enfocada a
garantizar el servicio
Utilizar una metodologafiable para el desarrollo de todo el SGCN i del Plan.
23 23
26/05/2011
Gracias por su atencin!!!
Informacin de contacto:
David Forner Gri
Responsable de Continutat CTTI
CISSP, CISA, BS25999 Lead Auditor
rea de Seguretat, Qualitat i Relaci amb provedors
david.forner@gencat.cat