El documento presenta una propuesta de consultoría para la gestión de la continuidad de negocio. La propuesta incluye establecer un plan de continuidad de negocio (BCP) y un plan de recuperación ante desastres (DRP), integrar diferentes sedes al plan corporativo, alinear funciones críticas con activos de TI, y revisar el DRP definiendo tiempos de recuperación por aplicación crítica.
"A medida que los niveles de liquidez aumenten, en el medio plazo, podremos v...
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONAL
1. 05/11/2015
Servicios para el Gobierno Corporativo, Gestión
de Riesgos y Cumplimiento Normativo
Consultoría para la Gestión de la
Continuidad de Negocio (SGCN)
Conseguir
alineamiento
estratégico
para la
Continuidad de
Negocio
Establecer un
BCM
(DRP, BCP,
retención
documental, sitio
alternativo)
Integrar
diferentes
sedes al BCP
Corporativo
Alinear
funciones
críticas del
Negocio con
activos de IT
Revisión y
actualización
del DRP
definiendo RTO
por Aplicación
Crítica
Incluir
elementos de
Gestión de
Crisis en DRP
Necesidad del Negocio
2
2. 05/11/2015
Frameworks que
aportan valor
agregado al negocio
Habeas
Data
Requerimientos
legales y
reglamentarios del
negocio
Determinar temas
internos y externos
relevantes para los
objetivos de la
organización y que
afectan su habilidad de
recuperación
Necesidad del Negocio
3
Enfoque metodológico
4
3. 05/11/2015
Enfoque metodológico
• Estrategia de Continuidad del Negocio
• Estrategia de Continuidad de Personas
• Estrategia de Continuidad de Infraestructura
• Estrategia de Continuidad de Procesos
• Estrategia de Continuidad Tecnológica
• Estrategia para el manejo de Situaciones de Crisis
Definir estrategias vinculadas e integradas a través del Plan de
Continuidad de IT (DRP) y de Continuidad de las Funciones
Críticas de Áreas Administrativas (BCP) alineados a los Objetivos
de Negocio de la Organización
5
Enfoque metodológico
Plan estratégico de
Negocio y BIA
Recuperación de los
servicios de IT
Recuperación de las
funciones críticas
del Negocio
Análisis de Riesgos y
Gestión de Crisis
Gestión de la Continuidad
de Negocio
6
4. 05/11/2015
Principales ventajas
• Simplificar y agilizar el procesamiento de recuperación por el
uso de estándares
• Asegurar la recuperación del entorno seguro del Negocio (CIA)
• Facilitar la pronta interoperabilidad entre los sistemas
• Asegurar a los procesos de negocio la interacción entre
sectores
• Fortalecen la seguridad e integridad de los datos asegurando la
calidad de resultados en la recuperación
Enfoque metodológico
7
Arquitectura Global Implementación BCP/DRP
Gestión de Crisis
Gestión de
Continuidad del
Negocio
Gestión de IT en la
Continuidad del
Negocio
Gestión de la
Documentación
Estándar
asociado
PAS200 ISO 22.301
ISO 20.000 / ITIL
ISO 27.031
ISO 15.489
Principales
Actividades
• Relación entre
incidentes y crisis
• Desarrollo de
capacidades para la
gestión de crisis
• Planificación y
preparación de
respuesta ante una
crisis y como debe ser la
recuperación
• Estrategia de
comunicación ,
estructuras formales e
informales de
• Planificación de la
comunicación
• Diseño de procesos
completos de
continuidad de negocio
y escritura de
procedimientos
• Implementación de
procesos de continuidad
de negocio
• Desarrollo del programa
de formación y
sensibilización, y
comunicación a la
Organización
• Desarrollo de la
documentación para las
operaciones de gestión
del BCMS
• Estrategia de la Gestión
de la Continuidad del
Servicio (ITSCM)
• Reorganizar al personal
involucrado.
• Instalaciones y
hardware alternativos.
• Garantizar la
recuperación de datos,
su integridad y reiniciar
el servicio TI
• Contratos de
colaboración con otras
organizaciones.
• Protocolos de
comunicación con los
clientes
• Gestión de proveedores
• Integrar la gestión de
documentos en los
procesos de negocio y
sistemas asociados
• Establecer criterios
sistemáticos de
documentación en
todos los procesos de
negocio
• SGD como base de
información para la
toma de decisiones y
rendición de cuentas.
• Proporcionar evidencia
de las acciones al
Negocio
• Identificación de
documentos y sus
plazos de retención
• Clasificación,
distribución, guarda,
recuperación y acceso.
8
5. 05/11/2015
9
Arquitectura Global Implementación BCP/DRP
Fase I
•Planificación del Proyecto
•Conformación de equipos de trabajo
•Revisión de documentación y actualización de matrices de control
•Revisión de la gestión de riesgos y actualización de matriz de impacto
•Revisión de mapa de aplicaciones y activos de TI
Fase II
•Análisis de Impacto en el Negocio (BIA)
•Desarrollo de procedimientos orientados al BCP
•Gestión de Crisis
•Diseñar e implantar el SGCN asegurando conformidad con la política establecida por la
Organización para la continuidad de negocio, alineando a las áreas administrativas y tecnológicas,
respaldo de información y Seguridad Física
Fase III
•Asignación de recursos
•Soporte de Implementación y documentación asociada al BCP y al DRP
•Implementación de mejoras
Fase IV
•Revisión de la documentación
•Mantenimiento del SGCN
•Pruebas del plan /Simulaciones / Restauración
Awareness
Dirección
Personal Técnico
Usuario Final
Revisión del DRP
• Registros vitales
• Ubicaciones de recuperación
• Cómo llegar a ubicaciones de recuperación
• Equipo necesario
• Re-ruteo de las Telecomunicaciones
• Contactos internos
• Teams de acción
• Proveedores críticos o contratistas
• Contactos externos
• Proveedores de HDW/SW,
• Seguros, guarda externa
• Informe de Riesgo de Comunicaciones
• Informe de Riesgo de Áreas de IT
• Informe de Riesgo de Aplicaciones críticas
10
6. 05/11/2015
• Alinear el DRP al
Negocio integrando
Teams de Acción
interdisciplanarios
• Crear un Plan de
acción en el que
participe toda la
Organización
Revisión del DRP
11
• Revisar los detalles de los
Planes de Continuidad y las
estrategias de recuperación
• Familiarizarse con las
responsabilidades y tareas en
caso de activación de los
Planes
• Revisar los procedimientos
locales de respuesta a
emergencias
Revisión del DRP
12
7. 05/11/2015
Contenido
Antesdel
incidente
Administración del Plan
Funciones Críticas del Negocio, Cierre de operaciones en emergencias, breve descripción de
Estrategia de Recuperación, Aprobación del Plan y registro de testeos, Plan de
Mantenimiento
Descripción del Plan
Objetivos del Plan, Alcances del Plan, supuestos de contingencia, estrategias de recuperación
y BIA
Reportes de riesgo
Reportes de análisis de riesgo de: aplicaciones críticas, CPDs, áreas críticas de Negocios
Duranteelincidente
Notificaciones y comunicaciones
Procedimiento de Detección, Procedimiento de Activación,
Acciones de recuperación
Plan de Acción (Preparación, Ocurrencia, Activación, En Régimen, Reconstrucción, Retorno),
Procedimiento de recuperación de las comunicaciones, Croquis para recuperación
Requerimiento de recursos
Inventario de hardware y software, Áreas de Negocios (Activación de servicios, Recursos y
Requerimientos para la Recuperación, Infraestructura de servicios), Sitio Sustituto (Uso,
Equipamiento, Recuperación de SO, DBs, WSs, eliminación de información confidencial en
equipos sustitutos), Procedimiento de backup, Administración del Off-site
Contactos internos y externos
Diagrama de activación de los Teams, Objetivo, Composición Funcional y Actividades, Lista
de llamadas
Información de referencia
Servicios de Emergencia, Nomina de proveedores, Seguros, Pólizas y Convenios, Plan de
Evacuación del Edificio, Informes del Plan de Recuperación, Informes de Seguridad Física
Registro de actividades por equipo
Seguimiento de cumplimiento de las instrucciones y de las medidas de seguridad
13
Contenido
14
8. 05/11/2015
Contenido
Evacuación
Instrucciones de Seguridad Física, procedimientos contra incendios, bombas u otros incidentes,
procedimiento de llamada a policía y los bomberos, adecuados por locación
Oficinas alternativas y Sitios Sustitutos de Procesamiento
Procedimientos de acceso y uso de sitios alternativos de procesamiento y oficinas
comerciales/administrativas
Información de evacuación
Procedimientos de evacuación ante desastres, evaluación de incidentes y asistencia ordenada.
Información de traslados
Procedimientos de traslado, informaciónde Agencias de Viaje o proveedores de traslado, mapas de
acceso, información de alojamiento, cobertura de víaticos y permanencia en sitios alternos
Acciones de notificación
Gestión de seguros durante la emergencia
Gestión de daños y víctimas, Notificación a empleados
Notificación a Servicios de Salud e instituciones de seguridad (Policia, Bomberos, Defensa Civil)
Notificación a Instituciones Públicas y de Gobierno Local
Procedimientos de respuesta de emergencia
15
Contenido
Evaluación de la situación (en curso)
Procedimientos de verificación de fuentes de información local, nacional e internacional para
identificar las amenazas potenciales a las personas y lugares.
Activar Procedimientos de Respuesta a Emergencias
Procedimientos de respuesta de emergencia que involucren al Comité de Crísis, Intendente de
Edificio, equipos de seguridad contra incendios, emergencias médicas y autoridades locales.
Decisión: Sitio Activar Crisis Management Team?
Los incidentes que suponen una amenaza significativa (de acuerdo al impacto, la duración) puede dar
lugar a la activación del Equipo de Manejo de Crisis
Decisión: activar los planes de continuidad del negocio?
El Líder de BCM de la locación evaluará el impacto potencial de las funciones críticas del negocio y si
un incidente es probable que cause interrupción superior a la RTO estipulado en el BCP. Los equipos
afectados serán notificados.
Notificar
Procedimiento de notificación a los equipos de continuidad de negocio (mensajes de voz y texto
utilizando un sistema de notificación automática). Los equipos de apoyo (TI, operaciones de la
locación) también pueden ser activados según sea necesario.
Coordinar con las Autoridades Públicas
El Comité de Crisis coordinará con la gestión de emergencias, personal de Policía y Bomberos y otras
autoridades públicas para representar los intereses de la Organización y facilitar las operaciones de
crisis y continuidad de negocio.
Gestión de Crisis
16
9. 05/11/2015
Contenido
Respuesta a medios de comunicación
Procedimientos de comportamiento integrados a la Gestión de Crisis. Niveles de autorización
Estrategias por tipo de impacto
Reuniones del Equipo / Teleconferencias
Estándares para la coordinación de reuniones de equipo / llamadas de conferencia / informes sobre la
situación y priorización de los esfuerzos de trabajo.
Priorización / Identificar actividades críticas
Instructivos para identificar, priorizar y asignar las funciones empresariales que se deben realizar,
coordinación con la Gestión de la Continuidad del Negocio. Gestionar y coordinar la recuperación por
área de negocios dependiendo del RTO del plan.
Ejecutar estrategias de recuperación
Procedimientos de activación del Plan; estrategia de recuperación, (p.e. trabajo desde el hogar, o un
sitio alternativo propio o contratado. Formas de conexión remota.
Equipamiento en contingencia
Procedimientos e instructivos de uso de equipamiento y software para acceder a los sistemas y
aplicaciones críticas
Comunicaciones y acceso remoto:
Estrategia de recuperación de las comunicaciones entre locaciones propias y terceras partes,
procedimiento de acceso remoto a los sistemas en contingencia
Seguimiento de estado de la contingencia
Instructivos por área de negocio para actualización de la situación y corrección de desviaciones.
Procedimientos Generales de Continuidad de Negocio
17
Nuestro programa de BCM
• Educar a los líderes
de BCM, sitio /
gestión de la línea y
las partes
interesadas en el
programa de BCM
• Comprender el
estado actual de
preparación BCM
• Evaluar los impactos
financieros y
operacionales de una
interrupción del negocio
• Identificar los procesos
críticos de negocio,
objetivos de tiempo de
recuperación (RTO) y las
dependencias
• Evaluar las amenazas
potenciales a los
procesos de negocio y
sitios
• Obtener las decisiones
de gestión de riesgos
• Determinar
estrategias viables
de recuperación
• Presentar
recomendaciones y
obtener la
aprobación de la
gestión
• Desarrollar un plan de
continuidad de negocio
documentar los
procedimientos de
recuperación
• Identifique a los
miembros del equipo
encargado de la
ejecución y el
mantenimiento del plan
• Desarrollar planes de
apoyo adicionales en
sitio y puesta en
práctica, según sea
necesario
• Capacitar a los
miembros del equipo
acerca de sus
responsabilidades tal
como se describe en
el plan de continuidad
del negocio
• Ejercer el plan para
validar los
procedimientos de
recuperación y el
proceso de
notificación
• Aprobar el plan
• Distribuir el plan a
todos los miembros
del equipo
• Mantener, actualizar y
volver a distribuir
regularmente los
planes y en el cambio
de negocios
importante
• Realizar ejercicios de
complejidad creciente
• Periódicamente
evaluar y mejorar las
capacidades de
recuperación
• Evaluación del
estado actual
• Proyecto del plan
• Business Impact
Analysis (BIA)
• RTO Evaluación
• Interdependencia
Mapping
• Procesos de Negocio
Evaluación de
Riesgos
• Sitio Evaluación de
Riesgos
• Las decisiones de
gestión de riesgos
• Planes de Mitigación de
Riesgo
• Estrategia de
opciones de
recuperación
• Alineación de TI
con los planes de
recuperación de
desastres y
continuidad de
negocio
• Estrategia de
decisiones de
recuperación
• Borrador Business
Continuity Plan
• Alineación con la
respuesta de
emergencia y los
planes de gestión de
crisis
• Business Continuity
Plan final
• Implementación del
Plan
• Pruebas DRP + BCP
de verificación
documentada
• Negocio aprobado y
distribuido Plan de
Continuidad
• Actualizaciones al
Programa de
Mantenimiento de
BCM
• Redistribución de
BCPs
• Programa de
Ejercicios del BCM
DocumentaciónObjetivos
18
10. 05/11/2015
UN PLAN
Procedimiento escrito, como
elemento para manejar la
compleja tarea de recuperar la
operatoria de un Data Center y la
Continuidad del Negocio
EL PERSONAL
Personal especializado propio
y de terceros, en los distintos
y variados aspectos del
fenómeno de recuperación.
UN LUGAR
Centro de Recupero, Oficinas
Alternativas y Offsite
Nuestro programa de BCM
19
Desarrollar y fomentar una cultura de la organización
orientada a la Continuidad de Negocio
VISION
Nuestro programa de BCM
20
12. 05/11/2015
MUCHAS GRACIAS
Fabián Descalzo
Gerente de Gobierno, Riesgo y Cumplimiento (GRC)
23
Gestión de Aseguramiento Corporativo
Servicios para el Gobierno Corporativo, Gestión de Riesgos y Cumplimiento Normativo