Porque desarrollar un BCM para mi empresa y como desarrollarlo

Abril 2014 Jorge A. Portales
¿Por qué Crear un Plan de
Contingencias para mi Empresa?
Y Que pasos seguir para
Desarrollarlo, sin Morir en el Intento.

Primer punto, ¿Qué es un Plan de Contingencias?
Un Plan de Contingencias es un modo ordenado de
enfrentar situaciones de Desastre que pongan en riesgo
la operación del Negocio.
Es una forma de Continuar con la Operación de las
Funciones Críticas del Negocio.

Segundo punto, ¿Qué es un Desastre?
De acuerdo al Disaster Recovery Institute International:
“Un repentino, evento catastrófico no planeado que causa
pérdidas o daños inaceptables.
1) Un evento que compromete la habilidad de la
organización para proveer las funciones críticas,
procesos o servicios por un periodo de tiempo no
aceptable.
2) Un evento donde la Dirección de una organización
invoca su recuperación.”
Copyrighted, 2013, by the Disaster Recovery Journal, Page,9

Motivos para crear un Plan de Contingencias:
1. Responsabilidad con los Clientes.
2. Calidad del Servicio (SLA’s).
3. Pérdidas de Oportunidad.
4. Pérdidas Financieras.
5. Responsabilidad Legal.
6. Daño a la Imagen.

Algunas de la Funciones que Desempeñan las Empresas:
1. Venta de Servicios.
2. Venta de Productos.
3. Soporte Técnico.
4. Atención a Clientes.
5. Encuestas de Opinión.
6. Propaganda y/o Publicidad Política.
7. Gestión de Cobranza.
8. Telemarketing (Suscripciones y ventas varias).
9. Gestión de Seguros (Incidentes de Vehículos).

Incidentes que pueden convertirse en Desastres:
1. Falla de Energía Eléctrica.
2. Afectación a las Vías de Acceso.
3. Interrupción de las Comunicaciones. (Líneas).
4. Disturbios Civiles.
5. Falla del Conmutador (PBX o Centralita).
6. Incendio (En Instalaciones propias o de un Vecino).
7. Inundación.
8. Robo a las Instalaciones.
9. Terremoto.
10.Falla en los Equipos de Cómputo.
11.Falla en las Aplicaciones y/o Software.
12.Malware (Virus, Spyware, etc.).
13.Atentado (En Instalaciones propias o de un Vecino).

Algunas Excusas de la Gente para no Desarrollar un Plan:
1. Tengo ―High Availability‖ en mis Equipos.
2. Mis Equipos están en la ―Nube‖.
3. El Centro de Datos no está en mis Instalaciones.
4. Tenemos un Seguro de Cobertura Amplia.
5. “Aquí no Pasa Nada . . .“
* Los Seguros demoran al menos 30 días en pagar, sólo un
porcentaje y no reponen Información.

LOS RIESGOS SON REALES !!
Sin embargo. . .

Tercer punto Tipos de Desastres:
1. Naturales.
2. Humanos.
3. Tecnológicos.

Las Ventajas han Crecido, el Riesgo También.
Tecnología y Seguridad
Tiempo
Precio/Tamaño Capacidad
Conectividad Movilidad
Riesgo

Hasta los 80’s
• Sumadoras,
Calculadoras
y Terminales.
De los 90’s al
2010
• Terminales y
PC’s
• Interacción.
Hoy en día
• Equipos
Corporativos
y BYOD

BYOD, significa:
Bring Your Own Device
Damage
Disaster

70’s DRP
90’s BCP
2004
Resilencia
Evolución de los Planes de Contingencia.

Como Desarrollar e Implementar un Plan
1. Aplicando la Metodología de:
a. Disaster Recovery Institute International. (DRII)
b. The Business Continuity Institute. (BCI).
Ya que son los 2 Institutos a Nivel Mundial que han
sentado los estándares sobre la Metodología para el
Desarrollo y Mantenimiento de un Plan.
El DRII está ubicado en los Estados Unidos de América y
el BCI en el Reino Unido.

1. Administración de Proyectos
2. Evaluación y Control de Riesgos
3. Análisis de Impactos al Negocio
4. Desarrollo de Estrategias de Continuidad de Negocios
5. Respuesta y Operaciones de Emergencia
6. Desarrollo e Implementación de Planes de Continuidad de Negocios
7. Programas de Concientización y Capacitación
8. Prueba y Mantenimiento de Planes de Continuidad de Negocios
9. Comunicación de Crisis
10. Coordinación con Autoridades Públicas
DRII – Mejores Prácticas.

BCI – Mejores Prácticas.
1. Gestión del BCM.
2. Conociendo la Organización.
3. Definiendo Opciones del BCM.
4. Desarrollando e Implementando
el BCM.
5. Practicando, Manteniendo y
Revisando.
6. Inculcando el BCM en la
―Cultura‖ de la Organización.

Gestión
del
Programa
BCM
Conociendo la
Organización
Definiendo
Opciones del
BCM
Desarrollando
e
Implementado
el BCM
Practicando,
Manteniendo
y Revisando
Coincidencias entre el DRI y el BCI
1. Administración de Proyectos
2. Evaluación y Control de Riesgos
3. Análisis de Impactos al Negocio
4. Desarrollo de Estrategias de
Continuidad de Negocios
5. Respuesta y Operaciones de
Emergencia
6. Desarrollo e Implementación de
Planes de Continuidad de Negocios
7. Programas de Concientización y
Capacitación
8. Prueba y Mantenimiento de Planes de
Continuidad de Negocios
9. Comunicación de Crisis
10. Coordinación con Autoridades Públicas
2
9
8
7
6
10
5
4
1
3
7

Pasos a Seguir
• Conocer la Empresa:
– Análisis de Impacto al Negocio (BIA).
– Análisis de Riesgos (RA).

¿Qué es un BIA?
• Un proceso diseñado para priorizar
funciones del negocio al evaluar los
impactos potenciales cuantitativos
(financieros) y cualitativos (no financieros)
que pudieran resultar si una organización
experimenta un evento de continuidad de
negocios
Definición del DRII

• Identificar
– Funciones y procesos críticos del negocio
– Exposiciones e impactos financieros potenciales
– Exposiciones e impactos operacionales potenciales
– Cuándo empiezan las exposiciones y los impactos
– Marcos de tiempo de recuperación (RTOs)
– Prioridades y secuencia de recuperación de los procesos
– Recursos necesarios para la reanudación de operaciones
(personal, tecnología, equipo, suministros, registros vitales,
proveedores, etc.)
– Impactos de una interrupción en diferentes períodos de tiempo
– Interdependencias de procesos
– Requerimientos legales y regulatorios
– Procedimientos alternativos o manuales existentes
Objetivos de un BIA

Impacto de las Interrupciones en
la Empresa
 Financiero
 Con los clientes
 Relaciones públicas
 Legal
 Regulador
 Participación del
mercado
 Ambiental
 Operacional
 Personal
 Otros interesados
 Contractual

Resultados de un BIA
• Identificación de
– Procesos críticos de negocios
– Interdependencias internas y externas de procesos
– Tecnología necesaria por proceso, cuándo y cuánto
– Impactos financieros y operacionales potenciales
– Cuándo empiezan las exposiciones y los impactos y qué tan
rápido aumentan
– Gastos potenciales no presupuestados
– Recursos necesarios, cuándo y cuánto
– Acuerdos de niveles de servicio, reportes regulatorios

Aplicaciones Críticas
• Aplicaciones Criticas:
– Las que sostienen al Negocio.
– Las que generan los Ingresos.
– Las que pueden ocasionar
problemas Legales, Fiscales o
Judiciales.
– Las que puedan afectar
Negativamente la Imagen.

Funciones de Negocio Críticas
• Funciones de Negocio Criticas:
– Identificar las Unidades de Negocio que:.
– Generan los Ingresos.
– Que pueden ocasionar problemas
Legales, Fiscales o Judiciales.
– Que puedan afectar Negativamente la
Imagen de la Empresa.

Remote CPU & Mirroring DB
Shadow Data Base
Remote DASD Mirroring
Hot Site / Remote Tape / Channel Extension
Hot Site / Electronic Remote Journaling
Hot Site / Operating System Store / Edit
Hot Site / Electronic Vaulting
Hot Site
Cold Site
Repair Site
Minutos 6 a 8
Horas
24 Horas 48 Horas Semanas Meses
Tiempo para Recuperar
Zero Data Loss Requirement
Análisis de Costo/Beneficio

Balance Costo Recuperación
Costo de la Interrupción
Tiempo
Pérdida
Tolerable
Máxima
Duración de la Falla
Presupuesto
Recuperación
Tiempo p/recuperar
Costo para
Recuperar
Alta Disponibilidad
Backup/
Restore
Ventana
costo/tiempo
Análisis de Costo/Beneficio

Centros Alternos
• Puede ser:
– Localidad Propia.
– Instalaciones Rentadas.
– Proveedor de Servicio
Externo.
Localidad externa a la empresa que cuenta con las instalaciones y
equipo necesario, para la operación de las Aplicaciones Críticas y
Funciones de Negocio Prioritarias.

Centro de Proceso Alterno
• Puede ser:
– Localidad Propia.
– Instalaciones Rentadas.
– Proveedor de Servicio
Externo.
Localidad externa a la empresa que cuenta con las instalaciones y equipo
necesario para la operación de las Aplicaciones Críticas. Lo suficientemente
alejada de la Principal para evitar que un Incidente Mayor las afecte a
ambas.

Escenario 1
Evento A
El desastre ocurre en Centro de Datos o en el
Equipo de Cómputo.
Equipo Original Equipo de Respaldo

Escenario 1
Configuración al Día de Hoy.

Escenario 1
Esquema Probable de Solución.

Centro de Trabajo Alterno
Localidad externa a la empresa que cuenta con las
instalaciones y equipo necesario, para la operación de
las Unidades de Negocio Críticas.
El Centro de Trabajo alterno cuenta con
las instalaciones, equipo y accesorios
para ubicar personal critico.
Estas instalaciones pueden ser
otra localidad propia de la
empresa, rentada o anexo al
Centro de Proceso Alterno.

Escenario 2
El desastre ocurre en la Ubicación Principal de la Empresa por
la no disponibilidad de las instalaciones.
Centro de trabajo alterno
Evento B
Personal Crítico
Sistemas
Usuarios
Críticos
Centro de proceso alterno

Requerimientos Mínimos
• Servidores
– 26GB Memoria
Principal
– 800GB en
disco
p
Corporativo
Centro Alterno

Contenido de los Planes BCP y DRP
RTOs
Organización
Administración
Mantenimiento
y Pruebas
Localidades y
Recursos Alternos
1. _______
2. _______
3. _______
4. _______
Prioridades
Responsabilidades
Escalación
Inventarios de
Recuperación
Listas de
Llamadas
BCP/DRP
Contención
Evaluación
Escalación
Notificación
Acciones

Contenido de un Plan de Contingencia.
a) Evaluación del Evento.
b) Declaración de Desastre.
c) Notificación al Personal.
d) Procedimientos Alternos.
e) Procedimientos de Reacción.
f) Restauración de Actividades Críticas.
g) Evaluación de Daños.
h) Aplicación de Seguros.
i) Reconstrucción y/o Reparación de Daños.
j) Regreso a Instalaciones Propias.
k) Evaluación del Plan.
l) Documentos Finales y Opciones de
Distribución y Mantenimiento

Grupos de Recuperación
– Recuperar la operación de la empresa en
el menor tiempo posible.
– Enfrentar un desastre en forma
organizada y responsable.
Personal Crítico de la empresa
que desarrolla funciones y
actividades específicas e
interdependientes para lograr un
objetivo común.

Grupos de Recuperación
Grupo Directivo
Técnico
Usuarios
Coordinador
Comunicaciones

Directivo
• Integrantes:
- Director General.
- Director de Finanzas.
- Gerente de Sistemas.
- Gerente de Recursos Humanos.
- Gerente de Marketing.
Grupo Directivo
Funciones:
– Tomar decisiones referentes a la logística del Plan de
Recuperación.
– Asignar una partida de emergencia para casos de Desastre.
– Contactar a Usuarios Externos.
– Emitir Boletines de Prensa (Si fuese necesario).
– Contactar Clientes Importantes o Autoridades en caso necesario.

Coordinador
• Integrantes:
- Gerentes de ÁreaCoordinador
• Funciones:
–Coordinar los Grupos de Recuperación
–Mantener Informado al Grupo Directivo
–Coordinar el uso del equipo en el Centro de Trabajo Alterno
–Coordinar los servicios de apoyo al personal
–Coordinar la realización de las pruebas anuales
–Mantener actualizado el Plan de Recuperación

Técnico
Técnico
• Integrantes
- Jefe de Soporte.
- Analistas.
- Programadores.
- Operadores.
• Funciones
– Verificar la adecuada realización de los respaldos.
– Evaluar el estado del equipo y su disponibilidad.
– Establecer contacto con los proveedores críticos.
– Restaurar y/o reconstruir las Bases de Datos.
– Reanudar las operaciones esenciales dentro de los objetivos
de recuperación.
– Restablecer equipo a condición operativa.

Comunicaciones
• Integrantes:
- Gerente de Comunicaciones.
- Personal del Área.
Comunicaciones
• Funciones
– Evaluar el daño de la red de comunicaciones
– Determinar alternativas de comunicación
– Habilitar el canal alterno de comunicaciones
– Notificación a externos
– Restablecer el Ambiente Operativo de Sistemas a nivel
de Telecomunicaciones y Periféricos

Usuarios
• Integrantes:
- Líderes de Grupo
- Usuarios Críticos
Usuarios
• Funciones:
— Evaluar el daño
— Determinar Usuarios Críticos
— Mantener la continuidad en el procesamiento de
información a fin de evitar cualquier interrupción en la
operación.
— Establecer medios de comunicación entre el personal

• Plan de Recuperación en Caso de Desastres:
—Recuperar la operatividad dependiente de la
tecnología de la información en el menor tiempo
posible.
—Documentar los requerimientos, estrategias y
procedimientos necesarios para la Recuperación.
—Cumplir con los tiempos obtenidos en los Análisis.
Objetivo del DRP

• Plan de Continuidad del Negocio:
—Recuperar la Funcionalidad de las Unidades de
Negocio que se han Identificado como Críticas.
—Documentar los requerimientos, estrategias y
procedimientos necesarios para la Continuidad.
—Cumplir con los tiempos obtenidos en los Análisis.
Objetivo del BCP

• Administración de la Continuidad del Negocio:
—Mantener Actualizados los Planes.
—Conservar la Cultura de Seguridad en la Empresa.
—Estar en Contacto con los Institutos para mantenerse
Actualizado en Tendencias.
Objetivo del BCM

 Proteger su reputación y marca corporativa
 Preservar y mejorar el valor de su empresa
 Mantener estándares de Excelencia
 Optimizar recursos y procesos
 Minimizar la pérdida de Ingresos
 Aumentar la confianza y lealtad de sus clientes
 Reducir primas de seguros
 Ofrecer ―continuidad de sus productos‖ como ventaja competitiva
 Cumplir con ―gobierno corporativo‖
 Tener excelentes relaciones con sus empleados, clientes, socios,
proveedores, aseguradores, inversionistas y accionistas
 ENTONCES, SU ORGANIZACIÓN VA POR BUEN CAMINO !!
Si su Programa BCM actual logra…

jportales@datagard.com.mx

Porque desarrollar un BCM para mi empresa y como desarrollarlo

Recommandé

Recommandé

Contenu connexe

Similaire à Porque desarrollar un BCM para mi empresa y como desarrollarlo

Similaire à Porque desarrollar un BCM para mi empresa y como desarrollarlo (20)

Dernier

Dernier (20)

Porque desarrollar un BCM para mi empresa y como desarrollarlo