3. ¿A qué nos Exponemos?
Sabotaje
Accidentes
Desastres
Naturales
Fallas de
servicios
públicos
Ataques
cibernéticos
Desastres
del entorno
Energía
Carlos Francavilla
4. Los efectos del 9-11
Los planes deben actualizarse y probarse frecuentemente
• Se deben considerar todos los tipos de amenazas
• Analizar cuidadosamente las dependencias e interdependencias
• Las telecomunicaciones son esenciales
• El apoyo de los empleados es importante
• Las copias del plan deben almacenarse en ubicaciones seguras
• La seguridad puede impedir el retorno de los empleados al edificio
El personal clave puede no estar disponible
Carlos Francavilla
5. ¿Qué tan Preparados estamos?
¡Menos mal que salimos a tiempo!
Carlos Francavilla
6. ¿Porqué una Norma Internacional?
Tendemos a Minimizar o Ignorar Riesgos
Carlos Francavilla
7. Impacto de Incidentes
De 5 empresas que experimentaron
un desastre o falla extendida
• Dos nunca continuaron su operación
• Una cerro en los siguientes dos años
60 % de las empresas que
experimentaron un desastre
cerraron sus puertas a los dos años
Fuente Gartner Business are fragile entities
Carlos Francavilla
8. Ciclo de Vida de la Continuidad
Comprender la
Organización
Estrategia de
Continuidad
Desarrollo e
Implantación del
Plan
Prueba y Revisión
Continua del Plan
Carlos Francavilla
9. Evolución de la Terminología
DRP/DRM
•Disater Recovery Plan
•Plan de Recuperación de
Tecnología
•Década del 80
BCP/BCM
•Business Continuity
Plan/Management
•Plan de recuperación de
operaciones de negocio ante
eventos
•Década del 90
•Estándar dominante BS
25999
IPOCM
•Incident Preparedness and
Operational Continuity
Management
•Gestión de incidentes y
Continuidad de Operaciones
•2007 en adelante
•Estándar dominante ISO/PAS
22399
Plan Propósito Alcance
Continuidad de Negocio (BCP) Provee procedimientos para sostener el negocio
mientras se recupera de un incidente
Procesos de Negocio y soporte de tecnología
necesaria
Recuperación ante Desastres (DRP) Provee procedimientos detallados para recuperar
en un sitio alternativo
Enfocado en TI y limitado a grandes interrupciones
con efectos de largo alcance
Carlos Francavilla
11. Pero DRP o BCP
Disaster Recovery Planning
Prevención y recuperación en escenarios de
mayor probabilidad y ocurrencia
Ámbito de aplicación: Sistemas de
Información
Crítico: Tiempos de pérdida y recuperación
de información
Business Continuity Planning
Mantenimiento de la actividad de la empresa
Mediante la recuperación de los procesos o la
aplicación de procesos de emergencia
Crítico: Análisis de Impacto económico de
Negocio de una detención de la actividad
Carlos Francavilla
12. Normas: Evolución en el tiempo
2006 BS 25999-1
2007 BS 25999-2 & ISO 22399
2008 BS 25777
2011 ISO 27031
2012 ISO 22301
Carlos Francavilla
13. Normas Relacionadas
BS (British Standards)
Continuidad
de Negocio
BS 25999-1
Código de Práctica
BS 25999-2
Sistema de Gestión de
Continuidad de
Negocio
BS 25777
Código de Práctica TIC
Carlos Francavilla
15. ISO/PAS 22399:2007
Guía para la Preparación de
Incidentes y Gestión de la
Continuidad Operacional
PAS Publicly Available Specification
Normas Relacionadas
ISO
Carlos Francavilla
16. Antecedentes ISO/PAS 22399:2007
ISO/PAS 22399:2007
NFPA 1600:2004
•National Fire Protection Association USA
•Gestión de Desastres/Emergencias y
Programas de Continuidad de Negocio
HB 221:2004
•Estándar Australiano
•Gestión de Continuidad de
Negocio (BCM)
BS 25999-1
•Estándar Reino Unido
•Gestión de Continuidad de Negocio
Carlos Francavilla
17. ¿Qué Es?
ISO/PAS 22399
Guía General para que las empresas desarrollen su propio criterio
especifico de desempeño para;
Preparación de Incidentes
(Incident Preparedness )
Continuidad Operacional
(Operational Continuity)
Medir la Capacidad de Recuperación
Carlos Francavilla
18. ¿Para qué se aplica?
Comprender el
contexto total de
operaciones
Comprender Barreras,
Riesgos y Disrupciones
que pueden impedir
los objetivos críticos
Evaluar el riesgo
residual y la tolerancia
al riesgo
Planear la continuidad
en caso de que ocurra
un evento disruptivo
Desarrollar respuestas
a incidentes y
emergencias
Definir Roles,
Responsabilidades y
Recursos
Cumplir con
requerimientos
Regulatorios y leyes
Carlos Francavilla
19. Fases que Cubre
Mantenimiento del Plan
Prueba del Plan
Entrega del Plan
Enfoque de Diseño del Plan
Análisis de Impacto de Negocio
Definir el Marco de Trabajo
Carlos Francavilla
20. Fases
Definir el Marco de Trabajo del Plan
Iniciar el Programa
• Equipo de trabajo
• Estrategia y política del
programa
• Identificación de
Tiempos y
Responsabilidades
Identificar la Organización
• Identificar actividades y
objetivos críticos de
operación de acuerdo a;
• Estrategia
• Planes de negocio
• Análisis de Riesgos
• Análisis FODA
Asignar Responsabilidades
• Desde lo alto de la
pirámide
• Recursos, roles,
responsabilidades,
autoridad
Definir Política del
Programa
• Documentar el alcance
del programa IPOCM
• Definir la relación con
interesados y otras
organizaciones
• Revisar las regulaciones y
leyes aplicables
IPOCM : Incident Preparedness and Operational Continuity Management
21. Fases
Análisis de Impacto
Identificar Riesgos e Impactos
• Identificar riesgos y amenazas
• Considerar
• Tecnología y Recursos Humanos
• Bienestar y seguridad de los
interesados
• Daños a la propiedad
• Infraestructura
• Entrega de servicios
Análisis de Resultados
• Programa de prevención y
mitigación
• Análisis de costo y beneficio del
tratamiento de riesgos
Prioridades
• Definir recursos críticos
• Detallar los requerimientos
mínimos de recursos del plan
Carlos Francavilla
22. Fases
Enfoque del Plan
Determinar las Opciones de Recuperación
•Sitio Alternativo
•Ayuda Mutua
•Salteo temporario de trabajo
•Suspender, terminar actividades
•Cambiar procesos
Carlos Francavilla
23. Fases
Entrega del Plan
Plan de Reanudación de Negocios
Acciones necesarias para retornar al estado pre-incidente
Plan de Comunicación y Medios
Información a difundir Antes, durante y después Pública, privada Cualquier afectado
Plan de Soporte de Recuperación
Documentos separados para cada función u operación crítica
Plan de Recupero de Negocio
Basado en el plan de Gestión de Incidentes Documentos separados para cada función u operación crítica
Plan de Gestión de Incidentes
Propósito y contenido Acciones Puntos de disparo Responsabilidades Requerimientos de TI
Plan de Respuesta a Incidentes
Propósito y contenido del plan Importancia de conservar la vida y las propiedades
Carlos Francavilla
24. Fases
Prueba del Plan
Determinar el Tipo de
Prueba
•Plan de Comunicaciones
•Recuperación de Tecnología
•Plan de Recursos Humanos
•Otros Planes
•Prueba Parcial y/o Total
Documentar el Plan de
Pruebas
•Determinar los escenarios
realistas
•Acordados y planificados
con los interesados
Desarrollar las
Pruebas
•Ejecutar los escenarios
Informe de la Prueba
•Documentar los resultados
•Recomendaciones para
mejorar el plan
Carlos Francavilla
25. Fases
Mantener el Plan
Entrenar a los empleados
•Desarrollar conciencia
•Implementar, Mantener y Mejorar el
plan
Mantener y Revisar el Plan
•Evaluar periódicamente
•Reflejar los cambios de procedimientos
•Establecer y documentar el programa
de mantenimiento
•Supervisión proactiva del programa
para verificar la efectividad
•Desarrollar auditorias internas
•Revisión periódica por el nivel ejecutivo
Desarrollar Conciencia
•Cada empleado debe ser el dueño del
programa
•Todos deben comprender porqué se
realiza el plan
•El plan IPOCM debe incorporarse a la
cultura organizacional
Carlos Francavilla
26. Desarrollo de Respuestas
Volver a la Normalidad lo Antes Posible
Incidente
Respuesta al Incidente
•Minutos a horas
•Contención del daño
•Evaluación del daño
•Invocación del Plan
Continuidad de Negocio
Minutos a Días
•Recuperación de funciones
críticas
•Contacto con clientes y
proveedores
Recuperación de la
normalidad
Semanas a Meses
•Reparación de daños
•Cobro de seguros
•Reubicación
Evento
T=0
Carlos Francavilla
27. RPO (Recovery Point Objective)
RTO (Recovery Time Objective)
Segundos
Minutos
Horas
Días
Días
Horas
Minutos
Segundos
Evento
RTO
Representa el tiempo en el que deben
recuperarse los servicios y procesos de
negocio
RPO
Representa el punto en el tiempo en el
que deben recuperarse los datos
Acordar la perdida de datos soportada Evitar consecuencias no deseadas
Carlos Francavilla
28. Análisis de Impacto y Riesgos
Análisis
de
Impacto
Identificar procesos que
soportan a productos y
servicios claves
Determinar las
interdependencias de los
procesos
Identificar los recursos
necesarios
Comprender y justificar el
tiempo máximo de
interrupción de un proceso
Determinar las inversiones de
acuerdo al RTO y RPO definidos
29. Análisis de Impacto y Riesgos
Proceso Vulnerabilidad o
Amenaza
Probabilidad
de Ocurrencia
Impacto Efecto
Financiero
Tratamiento Control
Implantado
Análisis
probabilidad de
interrupción por
evento
Severidad del
impacto
Impacto
Financiero
Controles
actuales
Controles
propuestos
Carlos Francavilla
30. Factores Claves del Plan
Plan de
Continuidad
Ser comprensible,
fácil de usar y
mantener
Mantener la
confidencialidad e
integridad de los
datos
Proveer a los
ejecutivos una clara
comprensión de los
efectos adversos de
los incidentes
Obtener
compromiso de la
junta directiva
Identificar las
condiciones que
disparan el plan
Identificar los posibilitadores
del plan, personas y
tecnología
Responsabilidades y
roles para cambiar el
plan en proceso
Carlos Francavilla
31. ¿Qué no puede faltar en el plan?
Porqué se debe hacer
Quién lo
debe hacer
Cómo y Qué
se debe
hacer
Cuándo y Dónde se debe hacer
Qué políticas, reglas y estándares se seguirán
Quién puede cambiar el plan y
en que circunstancias
Bajo que circunstancias se
declarara superado el incidente
Carlos Francavilla