Gestión de continuidad del negocio

IX Ciclo
Ingeniería de Sistemas e Informática

Semana 01: Introducción a Continuidad

del negocio-DRI
• Docente: Dr. Ing. Luis Alberto Dávila Hurtado
• E-Mail: C16354@grupoutp.edu.pe
Conceptos de Seguridad Informática
 Disponibilidad
 Integridad
 Confidencialidad
 Autenticación
 No repudiación
 Control de acceso
 Auditabilidad

M. Sc. Ing. Luis Alberto Dávila Hurtado 2

Agenda
 ¿Por qué se requiere planear la continuidad?
 Introducción a Planes de contingencia
 Historia
 DRI
 Definiciones
 Metodología
¿Cuáles son algunos posibles desastres?

M. Sc. Ing. Luis Alberto Dávila Hurtado 4

¿Por qué se requiere planear la continuidad?

 Casos de desastres contra la continuidad

• Sitios WEB atacados mediante Denial of Service
• Situación terremoto de Armenia
• Atentados terroristas
• Desordenes públicos que impiden el acceso a las instalaciones
• Centros de cómputo fuera de servicio

M. Sc. Ing. Luis Alberto Dávila Hurtado 5

 Amenazas

 Naturales
 Humanas
 Tecnológicas

No se pueden evitar pero

se puede mitigar su impacto
Naturales
• Atentan contra las instalaciones físicas
 Inundaciones
 Temblores o terremotos (Armenia)
 Incendios
• Menor dimensión
 Tormentas eléctricas
 Humanas

 Atentados contra las instalaciones físicas

• Terrorismo
• Sabotaje
• Bombas
 Menores dimensiones
• Contra las personas
• Contra los equipos o la información
 Tecnológicas

 Pérdida de potencia
 Fallas en equipos UPS, plantas, etc.
 Daños fortuitos
 Fallas en condiciones ambientales
 Denial of Service
• Casos Yahoo, Amazon, HotMail, etc.
 Virus
Idea: Disponer de un plan que ayude a mitigar
el impacto de:

M. Sc. Ing. Luis Alberto Dávila Hurtado 10

¿Qué es un Plan de Continuidad del Negocio(BCP)?

M. Sc. Ing. Luis Alberto Dávila Hurtado 11

Introducción

 Pretende minimizar las pérdidas

de productividad dada la
ocurrencia de un incidente que
genere una interrupción
 Continuidad vs. Recuperación del
negocio
Motivación

 Eventos no esperados (New York, 11 de

Septiembre)
 Alta dependencia de la información y de
las infraestructuras informáticas
 Alta motivación para atacantes
 Planes de contingencia ya no son un lujo
sino una necesidad
Historia

 60’s
• Primeros planes de recuperación
• Solo Sistemas de Información
• Solo en EU
 70’s
• Recuperación de Desastres
• Alguna actividad fuera de EU
• Dependencia de Sistemas
centralizados
Historia (cont.)

 80’s
• Recuperación, no continuidad
• Planes probados por fuegos,
terremotos, huracanes
• Transición de planes de SI a planes
corporativos
• Aparece software especializado
 90’s
• Planes corporativos
• Centrado en el negocio
Disaster Recovery Institute

 Fundado en 1.988 (Washington

University)
 Propone los lineamientos para los
profesionales en la planeación de
recuperación de negocios mediante la
definición de áreas de conocimiento
 Ofrece capacitación y asesorías
 Certifica profesionales
 Disaster Recovery Institute (cont.)

 Actualmente, al menos 1500 empresas aplican los

conceptos y metodología del DRI. Algunas de ellas
son:
• Texas Instruments
• AT & T
• Bell South
• National Bank
• World Bank
• Merrill Lynch
• Banco Central de Venezuela
Áreas de conocimiento base del DRI
1. Administración e iniciación del proyecto
2. Evaluación de riesgos y controles
3. Análisis de Impacto del negocio
4. Estrategias de recuperación
5. Respuesta a la emergencia
6. Desarrollo e implementación del plan
7. Programas de concientización y entrenamiento
8. Pruebas y ejercicios del plan
9. Mantenimiento y actualización del plan
Definiciones

 Desastre: Es cualquier evento que crea

inhabilidad para una parte de una organización
para proveer sus funciones críticas del negocio
por algún periodo de tiempo (inconveniencia o
desastre).
Definiciones (cont.)

 Plan de recuperación de desastres: Un

conjunto aprobado de actividades y
procedimientos los cuales hacen posible a
una organización responder a un desastre y
reiniciar sus funciones críticas en una
condición aceptable, en un marco de
tiempo determinado.
 Definiciones (cont.)

 Plan de continuidad del negocio: Son todas

las actividades y procedimientos aprobados
que hacen posible a una organización
responder a un evento en tal forma que las
funciones críticas del negocio continúen sin
interrupción o cambio significativo
¿Dónde encaja la administración de riesgos?

Plan estratégico de Administración de Riesgos

Administración de Crisis

procedimentales
Tecnológicos

Dispositivos o
Comportamie
Presión de la
comerciales

competencia

nto humano
Relaciones
Riesgo
Fuentes de Consecuencias

legales y

naturales
Cambios

Cambios
Cambios

Software
Políticos

Eventos

equipos
Financiero Económico Objetivos
Disponibilidad Confidencialidad Integridad
Continuidad Accidentalidad
Opciones de Tratamiento Mitigar, Reducir, Aceptar,
Asumir, Evitar, Transferir
del Riesgo
Plan de Manejo

Respuesta al Riesgo
(Monitoreo, mantenimiento y Atención de incidentes)

Respuesta a Continuidad de Negocio

Proceso de planeación de contingencias

Tomado de IT Contingency Planning Guide (NIST)

Metodología

Fases: Definición

Requerimientos Funcionales

Diseño y Desarrollo

Implementación

Pruebas y ejercicios

Mantenimiento

Ejecución
Etapas durante un desastre

Normalidad
Normalidad
DESASTRE

Declaración de la emergencia

Toma del control

Toma de decisiones

Reanudación de operaciones
Restauración
Recuperación de las capacidades
Fase 1: Definición

 Definir el problema (Recuperación de desastres vs.

Continuidad del negocio)
 Conciencia en la alta gerencia y políticas de continuidad
del negocio
 Definición de los objetivos y requerimientos de
continuidad (Quien, que, cuando, donde y como)
 Alcance y objetivos del proyecto
 Comité de seguimiento al proyecto
Fase 2: Requerimientos funcionales

 Identificación de los bienes a ser protegidos

 Efectuar el análisis de riesgos
 Realizar el análisis de impacto del negocio (BIA)
 Identificación de las estrategias
 Costo-beneficio de las estrategias
 Selección de la estrategia
 Presupuesto de inversión
Bienes a ser protegidos

TELECOMUNICACIONES

Hardware (Mainframe,
PC’s, LAN)
Análisis de Riesgos
 El análisis de riesgos permite identificar las vulnerabilidades de
la compañía, evaluar los controles existentes, así como prever si
son necesarios nuevos controles.
 Puede ser cualitativo o cuantitativo
Análisis de Riesgos (cont.)

 Actividades:
• Identificar las amenazas y vulnerabilidades sobre los
elementos críticos
• Establecer los riesgos utilizando A.L.E (Anual Loss Exposure)
• Identificar y analizar controles existentes
• Analizar el valor de los controles adicionales
• Recomendar la implantación de controles para mitigar los
riesgos
Análisis de impacto del negocio
Basados en los riesgos ya identificados:
 Determinar los procesos, funciones, departamentos y áreas de
trabajo del negocio sensibles en el tiempo
 Determinar los sistemas, datos y telecomunicaciones sensibles
en el tiempo
 Determinar el tiempo de disponibilidad requerido (RTO)
Análisis de impacto del negocio (cont.)
 Es importante definir el criterio de criticidad de las funciones y
procesos
 Definir las consecuencias de las caídas del negocio
 Establecer el RTO (tiempo objetivo de recuperación) de los
procesos críticos
Recovery Time Objective

Los sistemas críticos

Punto de Reinicio de las son operativos y
interrrupción operaciones con datos actuales

tiempo
Recovery Time Objective
Procesos del
Es el tiempo entre el punto de interrupción, y el punto en el cuál negocio
los sistemas sensibles en el tiempo deben estar funcionando funcionando
nuevamente, con los datos actualizados
Identificación de estrategias

 Identificar los requerimientos de las estrategias de

recuperación:
• Tiempos
• Personal requerido
• Sitios (recuperación, coordinación, reinicio)
• Tipos (CdeC, funciones del negocio, comunic.)
 Identificar las posibles alternativas de recuperación :
• No hacer nada
Identificación de estrategias (cont.)

• Diferir acciones
• Procedimientos manuales
• Acuerdos recíprocos
• Sitios alternos
• Servicios comerciales (recuperación interna, hot site, cold
site, warm site, nada)
• Consorcio con otras compañías
• Procesamiento distribuido
• Comunicaciones alternas
Identificación de estrategias (cont.)
 Seleccionar el almacenamiento fuera del sitio
 Seleccionar el sitio alterno
 Realizar un análisis costo beneficio
Fase 3: Diseño y desarrollo
 Definir el alcance del plan
 Estructurar una organización jerárquica paralela para
administrar emergencias, con esquemas de notificación
 Definición de escenarios
 Programas de control de personal
 Detallar la administración general del plan
Fase 4: Implementación

 Crear procedimientos de atención a al emergencia

 Crear procedimientos para controlar la crisis
 Designar la autoridad
 Crear procedimientos para encadenar respuesta a la
emergencia y recuperación
 Detallar procedimientos de reinicio, recuperación y
restauración
 Contratos y recursos para recuperación
Fase 5: Pruebas y ejercicios
 Diseñar programas de entrenamiento, conciencia corporativa y
mecanismos de distribución del plan
 Programar ejercicios con objetivos claros
 Preparar los escenarios
 Efectuar ejercicios
 Evaluar resultados
Fase 6: Mantenimiento y actualización

 Programar y calcular la inversión en actividades de

actualización y mantenimiento
 Evaluar herramientas de software como apoyo
 Establecer criterios de revisión
 Procedimientos de mantenimiento del plan:
• Procedimientos de actualización
• Procedimientos de reporte de estado
Fase 6: Mantenimiento y actualización (cont.)

• Procedimientos de auditoría y control

 Establecer mecanismos de distribución de la actualización del
plan y procedimientos de control
Fase 7: Ejecución
 Cada empleado sabe que hacer, donde ir, a quien reportarse
durante la emergencia.
 Se inicia el plan de respuesta a la emergencia
 Se inicia el procedimiento de recuperación del negocio, si es
necesario
 ACIS-Asociación Colombiana de Ingenieros de Sistemas - Ing. Sandra Camacho.
http://52.1.175.72/portal/

 ACIS-Asociación Colombiana de Ingenieros de Sistemas - Ing. Néstor Romero. http://52.1.175.72/portal/

M. Sc. Ing. Luis Alberto Dávila Hurtado 43