Este documento presenta información sobre la gestión de la continuidad del negocio. Explica que la gestión de la continuidad del negocio es un proceso cíclico impulsado por la alta dirección para garantizar la continuidad de las funciones críticas ante cualquier eventualidad. También describe los componentes clave de un plan de continuidad del negocio, como el análisis de riesgos, el análisis de impacto, los equipos de recuperación, y los centros alternativos. Además, enfatiza la importancia del entrenamiento
3. ALGUNA INFORMACIÓN PERSONAL
José Manuel Ballester Fernández
▶ Doctor Ingeniero Industrial, MBA, CISA, CISM, CGEIT
» Socio AUREN
» Consejero Delegado TEMANOVA/ALINTEC
» Director Postgrado Buen Gobierno Universidad Deusto
» Director Cátedra Buen Gobierno Universidad Deusto
▶ Miembro de ISACA, AUTELSI, AETIC, AEDI, AENOR
▶ Former President de ASIA / ISACA Madrid Chapter
▶ CobiT® Foundation Certificate
▶ Certified Information Systems Auditor (CISA)
▶ Certified Information Security Manager (CISM)
▶ Certified Governance Enterprise IT (CGEIT)
▶ Accredited CobiT® Trainer
▶ Member CGEIT Committee Board ISACA
▶ Member ISO JTC1/WG6 IT Governance
▶ coEditor ISO38500
3
4. Índice
1. Evolución
2. Análisis de Riesgos / Análisis de Impacto
3. Componentes del PCN
4. Gestión de la Continuidad
5. Factores Críticos de Éxito
4
5. La Evolución
I ...
volu ción
E
Recuperación de Desastres
-Apagando fuegos
-Cuando ya han comenzado
-Enfocado a grandes desastres
(sobre todo naturales)
DESASTRE - 1. m. Desgracia grande, suceso infeliz y
DRAE lamentable.
5
6. La Evolución
ón I I ...
Evoluci
Planes de Contingencias
-Se planifica ...
-Incluso lo no previsible ...
-Se dota de medios, pero ...
-No está alineado con el Negocio
CONTINGENCIA: 1. f. Posibilidad de que algo suceda o no
DRAE suceda. 2. f. Cosa que puede suceder o no suceder.
6
7. La Evolución
ó n II I ...
Evoluci
Gestión de la Continuidad del Negocio
- Proceso cíclico
- Impulsado y apoyado (involucrado) por la Alta Dirección
- Para buscar la Continuidad del Negocio
- Ante cualquier eventualidad
7
8. La Evolución
Gestión de la Continuidad del Negocio
“Proceso de desarrollar acuerdos previos y procedimientos que permitan a una organización
responder a un evento de modo que las funciones críticas del negocio continúen con los
niveles de interrupción o cambios esenciales planificados.”
(Disaster Recovery International Insitute)
8
9. Análisis de Riesgos
Análisis de Riesgos. Objetivos:
1 Análisis y minimización de los riesgos
2 Identificación de amenazas y vulnerabilidades (ACTIVOS)
3 Identificación de impactos potenciales
4 Determinación de niveles aceptables de riesgo
5 Planteamiento de alternativas para mitigar riesgos
9
10. Análisis de Impacto (BIA)
Análisis de Impacto. Objetivos:
1 Definir tipos de impacto
2 Identificar funciones críticas (PROCESOS)
3 Identificar el impacto por cada una de las causas de desastre
4 Informar a la Dirección
5 Identificar recursos mínimos necesarios
10
11. Análisis de Impacto (BIA)
Análisis de Impacto. Aspectos Claves:
1 Criticidad de los recursos y los procesos (objetiva)
2 Periodo de tiempo de recuperación
3 Pérdidas en función de éstos periodos
4 Sistema de clasificación de impactos
11
12. Análisis de Impacto (BIA)
Causas de Interrupción
% Días R
Fallos del sistema 76 6 456
Fuego 8 92 736
Software 6 16 96
Inundación 4 30 520
Rayo 2 29 58
Sabotaje 2 91 182
Terrorismo 2 28 56
Fuente: Synstar Business Continuity
12
13. Estrategias y Alternativas
Estrategia y Alternativas:
1 Estudiar los componentes del Plan
2 Necesidades de infraestructura externa
3 Alternativas disponibles
4 Análisis de procedimientos alternativos
5 Informe a la dirección
13
14. Componentes del Plan
Componentes del Plan
a Pr
ter n oc
ed
a ex i m
r ie
u ctu Manual de nt
e str Centro os
ra Procedimientos
Inf Alternativo
Copias de
seguridad
14
15. Componentes del Plan
Centro Alternativo:
1 Opciones (Centro espejo, caliente, frío, móvil).
2 Medios propios, acuerdos mutuos, outsourcing.
3 Dimensionamiento adecuado. Servicios críticos.
4 Compatibilidad. Hardware y software.
5 SLA y coste claramente definidos.
15
16. Componentes del Plan
Componentes del Plan.
1 Preparar un boceto de contenidos.
2 Sistematizar el contenido de los procedimientos.
3 Métodos de redacción
4 Definición de equipos de recuperación
5 Planificar la vuelta a la normalidad
16
17. Componentes del Plan
Equipos de Recuperación. Áreas a cubrir.
1 Funciones administrativas.
2 Instalaciones físicas.
3 Logística.
4 Soporte a usuarios.
5 Sistemas alternativos.
6 Restauración y reconstrucción.
7 Otras áreas importantes.
17
18. Componentes del Plan
Equipos de Recuperación. O ...
GRAN ENTIDAD PEQUEÑA EMPRESA
1 Equipo de respuesta a incidentes 1 Coordinador del equipo
2 Equipo de atención de emergencias 2 Recursos humanos
3 Equipo de determinación de los daños 3 Sistemas informáticos
4 Equipo de administración de la emergencia 4 Instalaciones
5 Equipo de almacenamiento externo 5 Soporte
6 Equipo de software
7 Equipo de aplicaciones
8 Equipo de seguridad
9 Equipo de operaciones de emergencia
10 Equipo de recuperación de red
11 Equipo de Comunicaciones
12 Equipo de Transporte
13 Equipo de Hardware de Usuario
14 Equipo de preparación de datos y registros
15 Equipo de soporte administrativo
16 Equipo de suministros
17 Equipo de salvamento
18 Equipo de reubicación
18 Equipo de Coordinación
19 Equipo de Asuntos Legales
20 Equipo de prueba de recuperación
21 Equipo de Entrenamiento
18
19. Componentes del Plan
Equipos de Recuperación. Perfiles.
1 Disponibilidad 24h / Accesibilidad
2 Decisión y autoridad para gastar dinero
3 Posición senior y respetado
4 Capaz de tratar con otros departamentos
5 Buen conocimiento del negocio/función
6 Buen comunicador y sereno ante la presión
7 Capacidad probada de liderazgo.
Coordinados y liderados por la Gerencia, Presidencia, o
similar
19
20. Gestión de la Continuidad
Entrenamiento
Pruebas
Diseño del Plan Mantenimiento
Análisis de Riesgos
Análisis de Impactos
Componentes del Plan
Estrategias de recuperación
Manual de procedimientos
Más allá de la planificación de la continuidad
20
21. Gestión de la Continuidad
Gestión de la Continuidad. Entrenamiento.
1 Programa de difusión.
2 Formación de TODOS los empleados a distintos niveles.
Nunca sabemos quién descubrirá la incidencia.
3 Realización de ejercicios de simulación.
5 Revisión y actualización de la documentación del plan.
21
22. Gestión de la Continuidad
Gestión de la Continuidad. Pruebas.
1 Pruebas totales planificadas o por sorpresa parciales.
2 Coordinadas con todas las funciones afectadas.
3 Evaluación y documentación de los resultados.
4 Actualización del plan.
5 Informe a la Dirección.
22
23. Gestión de la Continuidad
Gestión de la Continuidad. Pruebas.
1 Verificar si el plan es completo y preciso.
2 Evaluar el desempeño del/los equipos de gestión.
3 Evaluar el conocimiento y entrenamiento del resto de personal.
5 Evaluar la coordinación entre los distintos equipos, internos o
externos.
6 Evaluar la validez de los datos del plan.
23
24. Gestión de la Continuidad
Gestión de la Continuidad. Mantenimiento.
Usando el entrenamiento y las pruebas será más fácil:
1 Actualizar la información contenida en el plan.
2 Revisar la idoneidad de los procedimientos.
3 Hacer cambios en los equipos de gestión.
5 Descubrir nuevos incidentes.
6 Reforzar relaciones con partners internos o externos.
24