slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Planes de Contingencia: Un enfoque práctico PowerPoint Presentation
Download Presentation
Planes de Contingencia: Un enfoque práctico

Loading in 2 Seconds...

play fullscreen
1 / 34

Planes de Contingencia: Un enfoque práctico - PowerPoint PPT Presentation


  • 129 Views
  • Uploaded on

Planes de Contingencia: Un enfoque práctico. Néstor Orlando Romero ABCP, Msc Junio 2002. Agenda. Introducción Historia DRI Definiciones Metodología. Introducción. Pretende minimizar las pérdidas de productividad dada la ocurrencia de un incidente que genere una interrupción

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Planes de Contingencia: Un enfoque práctico' - etana


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

Planes de Contingencia: Un enfoque práctico

Néstor Orlando Romero ABCP, Msc

Junio 2002

agenda
Agenda
  • Introducción
  • Historia
  • DRI
  • Definiciones
  • Metodología
introducci n
Introducción
  • Pretende minimizar las pérdidas de productividad dada la ocurrencia de un incidente que genere una interrupción
  • Continuidad vs. Recuperación del negocio
motivaci n
Motivación
  • Eventos no esperados (New York, 11 de Septiembre)
  • Alta dependencia de la información y de las infraestructuras informáticas
  • Alta motivación para atacantes
  • Planes de contingencia ya no son un lujo sino una necesidad
historia
Historia
  • 60’s
    • Primeros planes de recuperación
    • Solo Sistemas de Información
    • Solo en EU
  • 70’s
    • Recuperación de Desastres
    • Alguna actividad fuera de EU
    • Dependencia de Sistemas centralizados
historia cont
Historia (cont.)
  • 80’s
    • Recuperación, no continuidad
    • Planes probados por fuegos, terremotos, huracanes
    • Transición de planes de SI a planes corporativos
    • Aparece software especializado
  • 90’s
    • Planes corporativos
    • Centrado en el negocio
d isaster r ecovery i nstitute
Disaster Recovery Institute
  • Fundado en 1.988 (Washington University)
  • Propone los lineamientos para los profesionales en la planeación de recuperación de negocios mediante la definición de áreas de conocimiento
  • Ofrece capacitación y asesorías
  • Certifica profesionales
d isaster r ecovery i nstitute cont
Disaster Recovery Institute (cont.)
  • Actualmente, al menos 1500 empresas aplican los conceptos y metodología del DRI. Algunas de ellas son:
    • Texas Instruments
    • AT & T
    • Bell South
    • National Bank
    • World Bank
    • Merrill Lynch
    • Banco Central de Venezuela
reas de conocimiento base del dri
Áreas de conocimiento base del DRI

1. Administración e iniciación del proyecto

2. Evaluación de riesgos y controles

3. Análisis de Impacto del negocio

4. Estrategias de recuperación

5. Respuesta a la emergencia

6. Desarrollo e implementación del plan

7. Programas de concientización y entrenamiento

8. Pruebas y ejercicios del plan

9. Mantenimiento y actualización del plan

definiciones
Definiciones
  • Desastre: Es cualquier evento que crea inhabilidad para una parte de una organización para proveer sus funciones críticas del negocio por algún periodo de tiempo (inconveniencia o desastre).
definiciones cont
Definiciones (cont.)
  • Plan de recuperación de desastres: Un conjunto aprobado de actividades y procedimientos los cuales hacen posible a una organización responder a un desastre y reiniciar sus funciones críticas en una condición aceptable, en un marco de tiempo determinado.
definiciones cont1
Definiciones (cont.)
  • Plan de continuidad del negocio: Son todas las actividades y procedimientos aprobados que hacen posible a una organización responder a un evento en tal forma que las funciones críticas del negocio continúen sin interrupción o cambio significativo
donde encaja la administraci n de riesgos

Plan estratégico de Administración de Riesgos

Administración de Crisis

Relaciones legales y comerciales

Cambios Tecnológicos

Cambios Políticos

Eventos naturales

Cambios procedimentales

Software

Comportamiento humano

Presión de la competencia

Dispositivos o equipos

Fuentes de Riesgo

Consecuencias

Financiero

Económico

Objetivos

Disponibilidad

Confidencialidad

Integridad

Continuidad

Accidentalidad

Opciones de Tratamiento Mitigar, Reducir, Aceptar, Asumir, Evitar, Transferir

Plan de Manejo

del Riesgo

Respuesta al Riesgo

(Monitoreo, mantenimiento y Atención de incidentes)

Respuesta a Continuidad de Negocio

Donde encaja la administración de riesgos?
slide14

Proceso de planeación de contingencias

Tomado de IT Contingency Planning Guide (NIST)

metodolog a
Metodología

Fases:

Definición

Requerimientos Funcionales

Diseño y Desarrollo

Implementación

Pruebas y ejercicios

Mantenimiento

Ejecución

etapas durante un desastre

Normalidad

Declaración de la emergencia

Toma del control

Toma de decisiones

Reanudación de operaciones

Restauración

Etapas durante un desastre

DESASTRE

Normalidad

Recuperación de las capacidades

fase 1 definici n
Fase 1: Definición
  • Definir el problema (Recuperación de desastres vs. Continuidad del negocio)
  • Conciencia en la alta gerencia y políticas de continuidad del negocio
  • Definición de los objetivos y requerimientos de continuidad (Quien, que, cuando, donde y como)
  • Alcance y objetivos del proyecto
  • Comité de seguimiento al proyecto
fase 2 requerimientos funcionales
Fase 2: Requerimientos funcionales
  • Identificación de los bienes a ser protegidos
  • Efectuar el análisis de riesgos
  • Realizar el análisis de impacto del negocio (BIA)
  • Identificación de las estrategias
  • Costo-beneficio de las estrategias
  • Selección de la estrategia
  • Presupuesto de inversión
bienes a ser protegidos
Bienes a ser protegidos

TELECOMUNICACIONES

Equipos

Instalaciones

Circuitos

Seguridad, Potencia

Protección & Ambiente

Clientes y Usuarios

(Externos e Internos)

Hardware (Mainframe,

PC’s, LAN)

Inventario &

Materiales

Sistemas Operativos

Datos

Plantas de producción

& equipo

Aplicaciones

Personas

an lisis de riesgos
Análisis de Riesgos
  • El análisis de riesgos permite identificar las vulnerabilidades de la compañía, evaluar los controles existentes, así como prever si son necesarios nuevos controles.
  • Puede ser cualitativo o cuantitativo
an lisis de riesgos cont
Análisis de Riesgos (cont.)
  • Actividades:
    • Identificar las amenazas y vulnerabilidades sobre los elementos críticos
    • Establecer los riesgos utilizando A.L.E (Anual Loss Exposure, Riesgo=frec x exposic, Benef=R-r-c)
    • Identificar y analizar controles existentes
    • Analizar el valor de los controles adicionales
    • Recomendar la implantación de controles para mitigar los riesgos
an lisis de impacto del negocio
Análisis de impacto del negocio

Basados en los riesgos ya identificados:

  • Determinar los procesos, funciones, departamentos y áreas de trabajo del negocio sensibles en el tiempo
  • Determinar los sistemas, datos y telecomunicaciones sensibles en el tiempo
  • Determinar el tiempo de disponibilidad requerido (RTO)
an lisis de impacto del negocio cont
Análisis de impacto del negocio (cont.)
  • Es importante definir el criterio de criticidad de las funciones y procesos
  • Definir las consecuencias de las caídas del negocio
  • Establecer el RTO (tiempo objetivo de recuperación) de los procesos críticos
recovery time objective
Recovery Time Objective

Los sistemas críticos

son operativos y

con datos actuales

Punto de

interrrupción

Reinicio de las

operaciones

tiempo

Recovery Time Objective

Procesos del

negocio

funcionando

Es el tiempo entre el punto de interrupción, y el punto en el cuál los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con los datos actualizados

identificaci n de estrategias
Identificación de estrategias
  • Identificar los requerimientos de las estrategias de recuperación:
    • Tiempos
    • Personal requerido
    • Sitios (recuperación, coordinación, reinicio)
    • Tipos (CdeC, funciones del negocio, comunic.)
  • Identificar las posibles alternativas de recuperación :
    • No hacer nada
identificaci n de estrategias cont
Identificación de estrategias (cont.)
  • Diferir acciones
  • Procedimientos manuales
  • Acuerdos recíprocos
  • Sitios alternos
  • Servicios comerciales (recuperación interna, hot site, cold site, warm site, nada)
  • Consorcio con otras compañías
  • Procesamiento distribuido
  • Comunicaciones alternas
identificaci n de estrategias cont1
Identificación de estrategias (cont.)
  • Seleccionar el almacenamiento fuera del sitio
  • Seleccionar el sitio alterno
  • Realizar un análisis costo beneficio
fase 3 dise o y desarrollo
Fase 3: Diseño y desarrollo
  • Definir el alcance del plan
  • Estructurar una organización jerárquica paralela para administrar emergencias, con esquemas de notificación
  • Definición de escenarios
  • Programas de control de personal
  • Detallar la administración general del plan
fase 4 implementaci n
Fase 4: Implementación
  • Crear procedimientos de atención a al emergencia
  • Crear procedimientos para controlar la crisis
  • Designar la autoridad
  • Crear procedimientos para encadenar respuesta a la emergencia y recuperación
  • Detallar procedimientos de reinicio, recuperación y restauración
  • Contratos y recursos para recuperación
fase 5 pruebas y ejercicios
Fase 5: Pruebas y ejercicios
  • Diseñar programas de entrenamiento, conciencia corporativa y mecanismos de distribución del plan
  • Programar ejercicios con objetivos claros
  • Preparar los escenarios
  • Efectuar ejercicios
  • Evaluar resultados
fase 6 mantenimiento y actualizaci n
Fase 6: Mantenimiento y actualización
  • Programar y calcular la inversión en actividades de actualización y mantenimiento
  • Evaluar herramientas de software como apoyo
  • Establecer criterios de revisión
  • Procedimientos de mantenimiento del plan:
    • Procedimientos de actualización
    • Procedimientos de reporte de estado
fase 6 mantenimiento y actualizaci n cont
Fase 6: Mantenimiento y actualización (cont.)
    • Procedimientos de auditoría y control
  • Establecer mecanismos de distribución de la actualización del plan y procedimientos de control
fase 7 ejecuci n
Fase 7: Ejecución
  • Cada empleado sabe que hacer, donde ir, a quien reportarse durante la emergencia.
  • Se inicia el plan de respuesta a la emergencia
  • Se inicia el procedimiento de recuperación del negocio, si es necesario