Introducción a la Continuidad de Negocio
En primer lugar se presentan conceptos de la Gestión de Continuidad de Negocio. A continuación se muestran las ventajas de adopción de un esquema de continuidad de negocio. Asimismo se muestra una relación con iniciativas actuales en la industria
financiera y por último se propone una serie de recomendaciones.
DISEÑO DE ESTRATEGIAS EN MOMENTOS DE INCERTIDUMBRE
Gestión de Continuidad de Negocio
1. Gestión de Continuidad de Negocio
Introducción, beneficios y recomendaciones
David Solís
dsolis@apache.org
2. 2
Resumen
En primer lugar se presentan conceptos de la Gestión
de Continuidad de Negocio. A continuación se
muestran las ventajas de adopción de un esquema
de continuidad de negocio. Asimismo se muestra una
relación con iniciativas actuales en la industria
financiera y por último se propone una serie de
recomendaciones.
4. Debido a una cuestión técnica (un problema de software o hardware)
se suspendió la negociación de las 11:32 AM a las 3:10 PM
NYSE - 8 de Julio de 2015
4
5. Un problema con un ruteador degradó la conectividad de la red
causando una interrupción operativa de las 7:50 a las 10:00 AM
United Airlines - 8 de Julio de 2015
5
7. Definiciones
7
Gestión de Continuidad de
Negocio (BCM)
Es el desarrollo, implementación y el
mantenimiento de políticas,
estrategias y programas para ayudar
a una entidad a manejar un evento
de interrupción de las funciones y
procesos de misión crítica, así como
para aumentar su resiliencia.
Es la capacidad que ayuda en la
prevención, preparación, respuesta,
gestión y recuperación de los
i m p a c t o s d e u n e v e n t o d e
interrupción del negocio.
Continuidad de TI
Capacidad de la organización para
planear y responder a incidentes e
interrupciones con el fin de
continuar con los servicios de TI a
un nivel predefinido aceptable
8. Definiciones
8
Plan de Continuidad de Negocio
(BCP)
C o l e c c i ó n d o c u m e n t a d a d e
procedimientos e información que se
desarrolla, recopila y mantiene para
ser usados cuando ocurra un
i n c i d e n t e y p e r m i t a a u n a
organización seguir ofreciendo sus
actividades críticas a un nivel
predefinido aceptable
Plan Recuperación de Desastres
de TI (DRP)
Actividades y programas que son
realizadas en respuesta a una
interrupción y están destinadas a
restablecer los servicios de TI de
una organización
9. Definiciones
9
Función Crítica del Negocio
Una función vital sin la que no sea posible
operar o llevar a cabo funciones clave. Si
se interrumpe, puede haber pérdidas
financieras, resultado de la reputación o
imagen negativa, incumplimiento de un
requerimiento legal o regulatorio
Análisis de Impacto al Negocio
(BIA)
El proceso utilizado para identificar las
funciones críticas del negocio y para
determinar el período máximo aceptable
de interrupción (MAO) para cada función
identificada.
Evento Disruptivo
Cualquier evento que causa una
interrupción significativa (instalaciones /
infraestructura, TI, falta inusual de
disponibilidad del personal o cualquier
combinación de los anteriores) en la
prestación de los servicios
Interrupción Máxima Aceptable
(Interrupción / MAO)
Plazo máximo de tiempo que una función
crítica para el negocio puede ser
interrumpida antes de que el impacto sea
inaceptable
18. Beneficios del BCP
100%
Antes
Recuperación
Curva actual de recuperación prevista
Tiempo
GradodeOperación
Evento disruptivo
Después (Tiempo inicial de respuesta y
tiempo de respuesta de continuidad de negocio)
19. Beneficios del BCP
Objetivo
100%
Antes
Objetivo Máximo tiempo permitido
Nivel mínimo permitido
Recuperación
Curva actual de recuperación prevista
Tiempo
GradodeOperación
Evento disruptivo
Después (Tiempo inicial de respuesta y
tiempo de respuesta de continuidad de negocio)
20. Beneficios del BCP
Objetivo
100%
Antes
Después (Tiempo inicial de respuesta y
tiempo de respuesta de continuidad de negocio)
Objetivo Máximo tiempo permitido
Nivel mínimo permitido
Recuperación
Curva actual de recuperación prevista
Curva recuperación prevista después de implementar BCP
Tiempo
GradodeOperación
Continuar la
operación
sobre el nivel
más bajo
permitido
Recuperar el
grado de
operación
dentro del
tiempo
permitido
Evento disruptivo
21. Relación con Otras Iniciativas
18
ITSM & Seguridad
ITIL - Diseño de Servicios - Gestión de la
Continuidad de Servicios de TI
ISO 20000 - Contingencia de Servicios y
Gestion de Disponibilidad
ISO 27001 - Gestión de la Continuidad de
Negocio
Lineamientos de Banco Central
de Continuidad de Negocio
Operación en Sitio Alterno
Operación en Servidor Alterno
Operación en Red Protegida
Operación con Método Alterno
PFMI (CPMI & IOSCO) - Principio 17 - Riesgo Operativo
Contar con un marco robusto de gestión de riesgo operacional: funciones y responsabilidades, políticas,
procedimientos y controles para identificar, controlar y gestionar riesgos.
Los sistemas, políticas, procedimientos y controles deben ser revisados, auditados, y probados
periódicamente y después de cambios significativos.
Asegurar de tener la capacidad escalable adecuada para manejar volúmenes crecientes y para lograr los
objetivos de nivel de servicio.
Contar con un plan de continuidad de negocio que considere los eventos que presentan un riesgo
significativo de interrumpir las operaciones, incluidos los eventos que podrían causar una interrupción
importante.
Contar con políticas integrales de seguridad física y de información que contemplen todas las
vulnerabilidades y amenazas potenciales.
Identificar, controlar y gestionar los riesgos de que los participantes clave, otras infraestructuras y
proveedores de servicios y de servicios públicos podrían representar para sus operaciones.
22. 19
Recomendaciones
‣ Definir e implementar un BIA
• Roles y responsabilidades
• Orientación a riesgos
• Prioridades de recuperación
‣ Definir e implementar un BCP
• Incluir todos los escenarios posibles
• Análisis punta a punta de escenarios
‣ Implementar Gestión de Crisis
‣ Definir e implementar un DRP
‣ Revisión de mecanismos de alta disponibilidad (hardware y
software)
23. 20
Recomendaciones
‣ Revisar la Gestión de Servicios de TI
‣ Implementar una Gestión integral de Riesgo Operativo
• Cumplimiento del P17 de CPSS - IOSCO
‣ Adopción de un modelo de Gobierno de TI
‣ Adopción de estándares
• ISO 22301
• ISO 31000
‣ Adopción de un modelo de madurez
• CMMI
• ISO 15504