Cómo plantear un PCN - SPRI TALDEA
Transcript of Cómo plantear un PCN - SPRI TALDEA
PresentaciónPresentaciónPresentaciónPresentación
Cómoplantear un
PCN
3 noviembre 2010Aspectos generales
Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz
Aspectos generales
Índice
� Presentación
� Definiciones
� Plan de Contingencias
� Plan de Continuidad
�
� Soluciones de continuidad
� Soluciones tecnológicas
� Soluciones organizativas
� Como implantar un plan de
2
� Identificación de la estructura TI
� Valoraciones en la organización
� Componentes del Plan de
Continuidad de Negocio
� Realización del Plan
continuidad
� Buenas Prácticas
� Ejemplos y visión práctica
� Ejemplo 1
� Ejemplo 2
Objetivos de la sesión
� Se trata de entender que:
� La continuidad del negocio no tiene una única solución
� No se dispone de la solución perfecta, se conoce cual era una vez solucionada
3
solucionada
� Las TIC como servicio para lograr los objetivos del negocio
DefinicionesDefinicionesDefinicionesDefiniciones
Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz
� Normas de referencia a consultar� BS 25999:
• BS 25999-1:2006 Code of practice for business continuity management
• BS 25999-2:2007 Specification for business continuity management.
Definiciones
5
� Nist 800-34 : Contingency Planning Guide for Federal Information Systems (revisada el 10 de mayo)
� Buenas prácticas de ayuda relacionadas� ISO/IEC 27001:2005: Sistema de Gestión de la Seguridad de la
Información
� MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
Definiciones
6
� CobiT v4.1 : Control Objectives for Information and related Technology
� Serie NIST : National Institute of Standards and Technology
Definiciones
� Minimizar la magnitud de la interrupción sobre los procesos críticos ante eventos inesperados.
� Contar con los elementos regulatorios y jurídicos para enfrentar juicios o demandas de terceros o gubernamentales.
� Contar con personal entrenado para el manejo de crisis y
Objetivos del BCP
7
� Contar con personal entrenado para el manejo de crisis y recuperación de las operaciones.
� Asegurar que los registros vitales estén disponibles ante el evento de contingencia.
� Contar con la mayoría de los procedimientos probados .
� Minimizar la dependencia de los servicios informáticos ante el evento de la contingencia.
Definiciones
BCM (Business Continuity Management)
BCP
Considera la administración de la continuidad del negocio como parte de un proceso
8
BCP(Business Continuity Plan)
Plan específico atecnología de la Información
Plan dirigido alos Procesosdel Negocio
DRP (Disaster Recovery Plan)
� DRP Disaster Recovery Plan� Plan de Recuperación en Caso de Desastre
� Orientado a recuperar en el menor tiempo posible la operación de las APLICACIONES CRITICAS,
� Equipo alternativo, minimizando el impacto y el costo de un desastre.
Definiciones
9
DRP
� BRS Business Recovery Services� Servicio informático o realizado por personal especializado dentro
de la infraestructura de TI
� Da soporte en casos de contingencia.
Definiciones
10
DRPBRS
� BRP Business Recovery Plan� Documento formalizado para la recuperación de los procesos de
negocio existentes en la entidad.
Definiciones
11
DRPBRS
BRP
� PCN Plan de Continuidad de Negocio (BCP Bussiness Continuity Plan)
� Conjunto de acciones que se deben realizar en caso de desastre .
� Deben asegurar la recuperación a la mayor brevedad posible de las operaciones críticas para el negocio .
Definiciones
12
DRPBRS
BRPBCP
� GCN Gestión de la Continuidad de Negocio (BCM BussinessContinuity Management)
� Recoge las personas, procesos y tecnología necesarios para garantizar que los Planes de Recuperación de Negocio y de Desastres se mantienen actualizados de forma permanente
Definiciones
13
DRPBRS
BRP
Gestión de Continuidad de
Negocio
BCP
Definiciones
Objetivo
Alcance
Plan de Recuperación (DRP)
Plan de Continuidad de Negocio (BCP)
Ofrecer una solución de respaldo a los SI en caso de contingencia
Asegurar la continuidad de la Entidad en caso de contingencia
Sistemas de Información Procesos Críticos de Gestión
14
Principales Características
Sistemas de Información Procesos Críticos de Gestión
Alcance limitado a los Recursos TI:
•Emplazamientos de los SI•Procedimientos técnicos de recuperación•Equipo de emergencia especializado en la recuperación de sistemas
Enfocado a la operatividad de la Entidad:
•Procedimiento de actuaciónlogísticos alternativos (para TI y para el negocio)•Equipo de emergencia focalizado en la recuperación del negocio.•Priorización en base a la importancia de cada proceso.
Conceptos Continuidad de Negocio
� Definiciones empleados en la Continuidad de los servicios
� Incidencia : [ITILv3] “… interruption toan IT Service or reduction ...”
15
Conceptos Continuidad de Negocio
� Definiciones empleados en la Continuidad de los servicios
� Work around : Es un “by-pass” de un problema.
16
Conceptos Continuidad de Negocio
� Definiciones empleados en la Continuidad de los servicios
� Análisis de riesgos : Evaluación de amenazas de todos los activos que dan soporte a los procesos de negocio.
� Gestión de Prioridades : Dentro de los Planes de Continuidad de
17
� Gestión de Prioridades : Dentro de los Planes de Continuidad de Negocio se requiere de una definición de prioridades basándose en las necesidades definidas por el negocio.
Conceptos Continuidad de Negocio
� Definiciones empleados en la Continuidad de los servicios
� Contingencia : Situación de inoperatividad provocada por alguna amenaza. Desastres, incidencias masivas, etc. La definición de contingencia se suele definir en el propio plan.
�
18
� Escenario de contingencia : Situación hipotética empleada en los Planes de Continuidad de Negocio.
Identificación Identificación Identificación Identificación estructura TIestructura TIestructura TIestructura TI
Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz
� Donde está el valor de nuestra empresa???� Hacemos pasteles o damos soporte TI?
Identificación de la estructura TI
Problema 1
20
� Hablamos con orientación a negocio?� Decir lo mismo con diferentes palabras
Identificación de la estructura TI
Problema 2
21
Recurso compartidoSistema de ficherosCarpeta compartidaCarpeta del servidor
Identificación de la Estructura TI
Sistema Plataforma/SO/Versión DescripciónServicio de correo Exchange/Sistema Virtual-
Windows/v2008 SP2Servidor de correo electrónico
22
Análisis BIAAnálisis BIAAnálisis BIAAnálisis BIA
Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz
Análisis BIA
ACTIVO
Análisis de Riesgos
24
AMENAZA evento
VULNERABILIDAD estado
� BIA (Bussiness Impact Analisys) Análisis de Impacto en el Negocio� Coste Vs Valor
Análisis BIA
1 seg
Leve
30 min
Leve
1 hora
Medio
1 día
Medio
3 días
Medio
5 días
GraveProceso1
25
300 € 600 € 1000 € 1500 €
Medio
2000 €
Grave
5000 €
Proceso1
1 seg
Leve
300 €
30 min
Leve
600 €
1 hora
Leve
600 €
1 día
Medio
1500 €
3 días
Grave
2000 €
5 días
Grave
50000 €
Proceso2
� Recovery Objectives� RTO: Recovery Time Objetive
• ¿Cuánto tiempo podemos estar sin servicio?
• Objetivo de tiempo de recuperación, cual es el tiempo máximo medido en horas/días para la recuperación de la disponibilidad del servicio.
Componentes del Plan de Continuidad de Negocio
26
servicio.
� RPO: Recovery Point Objetive• ¿Cuánto tiempo de trabajo podemos perder?
• Objetivo del punto de recuperación, a qué momento del tiempo debe recuperarse el servicio (último día, última hora, zero data loss, etc.).
Componentes Componentes Componentes Componentes del BCPdel BCPdel BCPdel BCP
Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz
Componentes del Plan de Continuidad de Negocio
Contingencia
28
1 semana
Vuelta a la normalidad
RTO=5 min
Correo electrónico
Sistema de ficheros compartidos
…
RTO=1 hora
App Contabilidad
Servicios varios
…
ncia
RPO
Realización Realización Realización Realización del Plandel Plandel Plandel Plan
Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz
� Un documento formalizado perteneciente a la entidad� Aprobado y estudiado por la Dirección
� Recoge todas las conclusiones identificadas� Actividades que se contemplan
Realización del Plan
Documentación
30
� Actividades que se contemplan
� Actividades que NO se contemplan
� Existe personal con responsabilidad del mantenimiento del documento
1.Análisis de Impacto en el Negocio
2.Estrategia de Recuperación
3.
Realización del Plan
Estructura
31
3.Medidas preventivas
4.Procedimientos de invocación y recuperación
5.Mantenimiento del Plan
6.Prueba
Soluciones Soluciones Soluciones Soluciones de de de de
ContinuidadContinuidadContinuidadContinuidad
Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz
ContinuidadContinuidadContinuidadContinuidad
� Tipos de Centros de Recuperación:� Cold sites
• Centros con sitio e infraestructuras adecuadas para soportar el proceso de recuperación
� Warm sites
Soluciones de Continuidad
Soluciones Tecnológicas
33
� Warm sites
• Centros que se encuentran parcialmente equipados con los sistemas de información
� Hot sites
• Centros que disponen del equipamiento adecuado para la recuperación de la actividad
Soluciones de Continuidad
Site Coste HardwareTelecomunic
acionesSetup Time Location
Soluciones Tecnológicas
34
Site Coste Hardware acionesSetup Time Location
Cold Site Bajo Nulo Nulo Largo Acordada
Warm Site Medio Parcial Partial/Full Medio Acordada
Hot Site Medio/alto Total Total Corto Acordada
� La virtualización
� Las copias de seguridad
�
Soluciones de Continuidad
Soluciones Tecnológicas
35
� Fuentes redundantes
� SAI/UPS
� Identificación del punto único de fallo (single point of failure)
� Responsable de Continuidad
Soluciones de Continuidad
Soluciones Organizativas
36
� Comité de Contingencia
Componentes del Plan
Comité de
Contingencia Desastres /
contingencias
Procedimientos
de respuesta
Personas
BCP
37
Análisis
Riesgos
Análisis
de
Riesgos
Análisis de
ImpactoCentro de
Respaldo
Medidas
Preventivas
de respuestaBCP
Cómo Cómo Cómo Cómo implantar un implantar un implantar un implantar un
BCPBCPBCPBCP
Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz
BCPBCPBCPBCP
1.Conocer con qué se genera valor
2.Realizar el BIA
3.Análisis de Riesgos
4.
Cómo implantar un BCP
Estrategia
39
4.Medidas preventivas
� Invocación � Magnitud de los daños de los servicios
� Criticidad de los sistemas afectados
� Duración estimada de la contingencia que supera el RTO
Cómo implantar un Plan de Continuidad
Realización
40
1 seg
Leve
300 €
30 min
Leve
600 €
1 hora
Medio
1000 €
1 día
Medio
1500 €
3 días
Medio
2000 €
5 días
Grave
5000 €
Proceso1
� Notificación� Personal interno
• Grupos de contacto
• Llamadas telefónicas
• Envío de mensajes a los correos personales
Cómo implantar un Plan de Continuidad
Realización
41
• Envío de mensajes a los correos personales
� Grupos de interés
• Clientes
• Proveedores
� Notificación� Contenido informativo
• Naturaleza de la interrupción
• Duración estimada de la interrupción
• Detalles de la situación de la recuperación
Cómo implantar un Plan de Continuidad
Realización
42
• Detalles de la situación de la recuperación
• Cuando se adelantará más información
• Instrucciones para preparar la nueva ubicación de trabajo
• Instrucciones para completar la notificación, mediante el árbol de contactos
� Recuperación� DRP
• Identificando qué se necesita y dónde se encuentra
• Establecer el nivel de detalle necesario– Capacidad de la persona responsable de la recuperación
Cómo implantar un Plan de Continuidad
Realización
43
– Capacidad de la persona responsable de la recuperación
– Posibilidad de que esa persona no pueda acceder
� Valoración� Causa de la contingencia
� Posibilidad de interrupciones o daños adicionales
� Estado de la infraestructura
� Inventario y estado de los sistemas informáticos
Cómo implantar un Plan de Continuidad
Realización
44
� Inventario y estado de los sistemas informáticos
� Tipo de daños en los sistemas y especialmente en los datos
� Soportes a ser remplazados
� Tiempo estimado de vuelta a la normalidad
� Plan actualizado� Cambios en la estructura de la empresa
� Cambios en la infraestructura
� Pruebas
Cómo implantar un Plan de Continuidad
Mantenimiento
45
� Pruebas� Verificar números de teléfono
• El proveedor es el mismo?
� Verificar versionados
• La estructura de la base de datos es la misma?
“Sentido común, el menos común de los sentidos”
� Hay que mantener el Plan en papel, fuera de las instalaciones
� La frecuencia de las copias es coherente con las necesidades de continuidad
Buenas prácticas
46
de continuidad
� Puedo asegurar la confidencialidad de la información que se maneja en la recuperación?
EjemplosEjemplosEjemplosEjemplos
Consultec, S.L.Bilbao – Donostia San Sebastián – Madrid – Pamplona – S antander – Vitoria Gasteiz
Pequeño comercio
� Ejemplo 1
Ejemplos y visión práctica
CPD
Contiene:-Servidor de correo-Aplicación contable-financiera
Externalizado:-Página Web-Copias de Seguridad
48
� Ejemplo 2
Ejemplos y visión práctica
CPD 1
Contiene:-Servidor de correo-Aplicación contable-financiera CPD 2
Contiene:-Servidor BackupCPD1-Aplicación de negocio2
49
CPD 1 financiera-Aplicación de negocio1
CPD 2 negocio2
50
¿Preguntas?
Contacto
Muchas gracias por su atención
Andoni Martin
51
902 23 66 66