PLAN PARA LA CONTINUIDAD DEL NEGOCIO (BCP Y DRP) Inicialmen Inicialmente te las empresas consideraron consideraron la importanci importanciaa de poseer planes para garantizar garantizar la continuidad continuidad del negocio (BCP, DRP) solamente buscando cumplir con ciertas regulaciones en algunos países del mundo. Pero con el pasar del tiempo y considerando la rapidez con que se necesitan necesitan acer los negocios oy en día, !unto con la comple!idad comple!idad asociado asociado a los sistemas de in"ormaci#n in"ormaci#n,, an in"luido para que la gesti#n de la contingencia aya llegado a ser una $ariable muy importante con el "in de lograr que las empresas sobre$i$an en un ambiente cada $ez m%s din%mico y con alto riesgo. Por otra parte, todos sabemos que los desastres pueden ocurrir en cualquier momento, es por eso que se requiere un plan detallado que prote!a tanto las personas, como la in"raestructura, edi"icios, aplicaciones, ser$icios con el "in de poderlos retornar a su normal operaci#n tan pronto como sea posible.
Figura 1.Di"erentes "ases del Plan de Continuidad. Por medio de la implantaci implantaci#n #n de medidas medidas o controles controles que de alguna alguna "orman puedan mitigar el impacto produc producido ido por un e$ento e$ento determin determinado ado,, se puede puede lograr lograr con"ianza con"ianza de parte parte de la comuni comunidad dad y tambi& tambi&nn de los in$ersio in$ersionis nistas tas de la compa' compa'ía. ía. n este este punto punto es import important antee consid considera erarr que no s#lo s#lo debemo debemoss tener tener en cuenta cuenta aspectos aspectos econ#mic econ#micos, os, sino que temas como la reputa reputaci# ci#nn y la credibi credibilid lidad ad de una comp compa' a'ía ía pued pueden en pone ponerr en peli peligr gro, o, si ante ante un desa desast stre re o e$en e$ento to ad$e ad$ers rsoo no se resp respon onde de con con la adecuada estrategia y acciones soportadas por un plan pre$iamente concebido nte nte un desast desastre re uno de los princip principale aless proble problemas mas con que el que tendrem tendremos os que en"rent en"rentarn arnos os es el eco eco que nuestros nuestros clientes clientes no podr%n podr%n colocar colocar por e!emplo e!emplo ordene ordeness de pedido pedido,, y nuestr nuestraa entreg entregaa de estos estos pedido pedidoss tambi& tambi&nn podr% podr% de alguna alguna manera manera $erse $erse a"ecta a"ectada. da. ste tipo tipo de demora demorass o inclus inclusi$e i$e imposi imposibil bilidad idad de entreg entregas as o de la presta prestaci# ci#nn de un ser$ic ser$icio io pueden pueden ser ocasio ocasionad nadas as por e!emplo e!emplo por el "uego, "alla prolongada de ptencia, una inundaci#n o un terremoto entre otros e$entos.
ora bien, las organizaciones oy en día giran alrededor de sus procesos de negocio como nunca se abían $isto anteriormente. s claro que con el "in de poder prestar un ser$icio a una comunidad por e!emplo, una serie de acti$idades deben ser realizadas con el "in de cumplir con la prestaci#n del producto o la entrega del producto. sta orientaci#n acia los procesos de negocio nos permite proponer los siguientes componentes en una organizaci#n integrada seg*n ndre+ iles•
Procesos de negocio
•
Participantes
•
In"raestructura y recursos
Figura 2. rganizaci#n girando alrededor de los procesos de negocio. /o que lo anterior nos est% tratando de e0presar, es la uni#n e0istente entre las di"erentes unidades que sir$en de soporte a desarrollar un proceso de negocio. s decir, cada proceso de negocio depende de un n*mero de elementos críticos. Por e!emplo cierta acti$idad de negocio puede depender de personas cali"icadas para lograr su ob!eti$o. tras dependencias o recursos pueden ser computadores, redes, Internet, ser$icios de electricidad y otros.
CLASIFICACION DE LOS DESASTRES Podemos plantear la siguiente clasi"icaci#n de los desastres de la siguiente maneraDesastres naturales •
1erremotos
•
Inundaciones
•
2allas de potencia prologadas
ccidentales •
2alla en la base de datos
2alla de la estructura "ísica
•
Intencionales 0ternas
•
•
1errorismo
•
ac3ers Internas
•
•
uelga, sabota!e, borrado de datos
unque tendemos a pensar que los desastres s#lo pasan en otros países, las estadísticas nos muestras por e!emplo que por lo menos el 456 de las compa'ías an reportado una no disponibilidad de I1 por m%s de 78 oras.
Figura 3. 2recuencia de las amenazas FASES DE UN BCP o DRP /as "ases tradicionalmente consideradas de un BCP, DRP son4.
9esti#n e iniciaci#n del proyecto- stablece un equipo para el proyecto y una estrategia para desarrollar el plan.
7.
n%lisis de impacto sobre el negocio (I:) o BI- Identi"ica los aspectos críticos relacionadas con el m%0imo tiempo en que un proceso puede estar no disponible.
;.
strategia de recuperaci#n- Identi"ica y selecciona las apropiadas alternati$as de recuperaci#n para lograr los tiempos requeridos de"inidos en el I:.
8.
Dise'o del plan y desarrollo-
=.
Prueba, >antenimiento, y entrenamiento- /a idea es esta "ase es probar las estrategias de recuperaci#n anteriormente de"inidas, manteniendo actualizado el plan y d%ndolo a conocer a todos los empleados.
ANALISIS DEL IMPACTO SOBRE EL NEGOCIO DE UN BCP, DRP l an%lisis del impacto sobre el negocio (BI) es uno de los aspectos m%s importantes a considerar en el desarrollo de un plan de continuidad del negocio. 1D), para cada uno de los recursos críticos del negocio.
btener in"ormaci#n por medio de entre$istas o encuestas
7.
btener in"ormaci#n "inanciera del impacto en caso de a"ectarse un proceso de negocio
;.
studio detallado de la in"ormaci#n obtenida
8.
Determinar tiempos críticos de aplicaciones, procesos de negocio y recursos o ser$icios
=.
Calcular los >1D
?.
Priorizar las operaciones de recuperaci#n con base en la anterior in"ormaci#n recolectada
@.
/a anterior in"ormaci#n recolectada debe ser documentada adecuadamente con el "in de ser parte de nuestro plan.
Figura . :i$eles de disponibilidad e0presados porcentualmente. ESTRATEGIAS DE RECUPERACION DEL BCP, DRP /as estrategias de recuperaci#n est%n basadas ob$iamente en los resultados obtenidos luego de la realizaci#n del I:, en donde tambi&n se consideraron los $alor de los tiempos m%0imos permitidos de no disponibilidad (>1D). Realizando un an%lisis de la toda la in"ormaci#n obtenida de las entre$istas, entendimiento de los procesos de negocio, I:, >1D, procedemos a realizar una tabla ordenada de prioridades de recuperaci#n de las di"erentes unidades de negocio. /os elementos a considerar sonRedes
7. ;.
8.
ot sites- :ormalmente esta con"igurado con todo el ard+are y el so"t+are requerido para iniciar la recuperaci#n a la mayor bre$edad. Aarm sites- n esta opci#n no se incluyen ser$idores especi"icos de alta capacidad. Cold sites- n esta opci#n s#lo se tiene aire acondicionado, potencia, enlaces de telecomunicaciones, y otros.
=.
cuerdos recíprocos con otras organizaciones
?.
>irror site-
@.
>*ltiples centros de procesamiento internos con el "in de distribuir el procesamiento y de esta "orma de logra un me!or ni$el de disponibilidad.
ESTRATEGIAS DE RECUPERACION DE LA INFORMACION DEL BCP, DRP
PRUEBAS DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP, DRP) Continuaci#n una descripci#n de los tipos de pruebas a realizar al plan de continuidad del negocio4.
Re$isi#n estructurada del plan
7.
Prueba de la lista de $eri"icaci#n
;.
8.
Prueba en paralelo
=.
Prueba de interrupci#n completa
ENTRENAMIENTO Y CAPACITACION DEL BCP, DRP Por *ltimo es importante que todos los empleados de la organizaci#n conozcan de manera detallada sobre los alcances y ob!eti$os del plan de continuidad del negocio. sto principalmente con el "in que en el caso de acti$arse el plan, cada uno de los empleados conozca las acti$idades que el debe e!ecutar y el plan sea e!ecutado de una "orma e"ecti$a y e"iciente.
ME!ORES PR"CTICAS EN CONTINUIDAD DEL NEGOCIO (BCP, DRP) lgunas de las entidades o institutos que nos pueden ayudar con me!ores pr%cticas en el desarrollo de planes de continuidad de negocio son-
BCI DRII :I<1 2> IPP CBI1 I< 7@4 I1I/ ;
DEFINICIONES Plan de continuidad del negocio (BCPBusiness Continuity Plan)- En plan documentado y probado con el "in de responder ante una emergencia de manera adecuada, logrando así el mínimo impacto a la operaci#n del negocio. Plan de Contingencia- Contempla como reaccionar ante una contingencia que pueda a"ectar la disponibilidad o los ser$icios o"recidos por los sistemas in"orm%ticos. Ena contingencia puede ser un problema de corrupci#n de datos, suministro el&ctrico, un problema de so"t+are o ard+are, errores umanos, intrusi#n etc. Plan de recuperaci#n "rente a desastres- s aquella parte del plan de contingencia y del plan de continuidad de negocio, que aborda aquellas contingencias que, por su gra$edad, no permiten continuar prestando el ser$icio desde el centro local y debe continuarse el ser$icio desde un nue$o centro. ste plan debe contemplar la $uelta atr%s cuando, tras arreglar las consecuencias del desastre, el ser$icio pueda ser reanudado en el centro local. Business Impact nalysis (BI)- l prop#sito del BI es crear un documento que ayude a entender el impacto que un desastre pueda tener sobre un negocio en particular. Contempla los siguientes ob!eti$os "undamentalesPriorizar procesos críticos del negocio. Calcular el F>a0imun 1olerable Do+ntimeG, (>1D) el cual es el tiempo m%0imo sin ser$icio que una organizaci#n puede soportar y seguir siendo una compa'ía que cumple con sus ob!eti$os de negocio. :ormalmente es encontrado que este tiempo es muco menor de lo esperado. Descargar- D ocumento politica BCPHDRP Descargar- >etodologia para desarrol lar un BI Descargar- st%ndares del BCP DRP B< 7=555 Descargar- 9estion del Plan de Continuidad BCP DRP Descargar- uditoría Plan de Continuidad BCP DRP Descargar- >e!ores pr%cticas para el BCP I< 7@4, CBI1, e I1I/ ; Curso- Dise'o Plan de recuperaci#n ante desastres >etodologia para desarrollo de un Plan de Recuperaci#n ante desastres DRP
Figura 3. 2recuencia de las amenazas FASES DE UN BCP o DRP /as "ases tradicionalmente consideradas de un BCP, DRP son4.
9esti#n e iniciaci#n del proyecto- stablece un equipo para el proyecto y una estrategia para desarrollar el plan.
7.
n%lisis de impacto sobre el negocio (I:) o BI- Identi"ica los aspectos críticos relacionadas con el m%0imo tiempo en que un proceso puede estar no disponible.
;.
strategia de recuperaci#n- Identi"ica y selecciona las apropiadas alternati$as de recuperaci#n para lograr los tiempos requeridos de"inidos en el I:.
8.
Dise'o del plan y desarrollo-
=.
Prueba, >antenimiento, y entrenamiento- /a idea es esta "ase es probar las estrategias de recuperaci#n anteriormente de"inidas, manteniendo actualizado el plan y d%ndolo a conocer a todos los empleados.
ANALISIS DEL IMPACTO SOBRE EL NEGOCIO DE UN BCP, DRP l an%lisis del impacto sobre el negocio (BI) es uno de los aspectos m%s importantes a considerar en el desarrollo de un plan de continuidad del negocio.
tro de los ob!eti$os de BI, es determinar en com*n acuerdo cuales son los m%0imos tiempos tolerables de caída (>1D), para cada uno de los recursos críticos del negocio.
btener in"ormaci#n por medio de entre$istas o encuestas
7.
btener in"ormaci#n "inanciera del impacto en caso de a"ectarse un proceso de negocio
;.
studio detallado de la in"ormaci#n obtenida
8.
Determinar tiempos críticos de aplicaciones, procesos de negocio y recursos o ser$icios
=.
Calcular los >1D
?.
Priorizar las operaciones de recuperaci#n con base en la anterior in"ormaci#n recolectada
@.
/a anterior in"ormaci#n recolectada debe ser documentada adecuadamente con el "in de ser parte de nuestro plan.
Figura . :i$eles de disponibilidad e0presados porcentualmente. ESTRATEGIAS DE RECUPERACION DEL BCP, DRP /as estrategias de recuperaci#n est%n basadas ob$iamente en los resultados obtenidos luego de la realizaci#n del I:, en donde tambi&n se consideraron los $alor de los tiempos m%0imos permitidos de no disponibilidad (>1D). Realizando un an%lisis de la toda la in"ormaci#n obtenida de las
entre$istas, entendimiento de los procesos de negocio, I:, >1D, procedemos a realizar una tabla ordenada de prioridades de recuperaci#n de las di"erentes unidades de negocio. /os elementos a considerar sonRedes
ot sites- :ormalmente esta con"igurado con todo el ard+are y el so"t+are requerido para iniciar la recuperaci#n a la mayor bre$edad.
7.
Aarm sites- n esta opci#n no se incluyen ser$idores especi"icos de alta capacidad.
;.
Cold sites- n esta opci#n s#lo se tiene aire acondicionado, potencia, enlaces de telecomunicaciones, y otros.
8.
=.
cuerdos recíprocos con otras organizaciones
?.
>irror site-
@.
>*ltiples centros de procesamiento internos con el "in de distribuir el procesamiento y de esta "orma de logra un me!or ni$el de disponibilidad.
ESTRATEGIAS DE RECUPERACION DE LA INFORMACION DEL BCP, DRP
PRUEBAS DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP, DRP)
Continuaci#n una descripci#n de los tipos de pruebas a realizar al plan de continuidad del negocio4.
Re$isi#n estructurada del plan
7.
Prueba de la lista de $eri"icaci#n
;.
8.
Prueba en paralelo
=.
Prueba de interrupci#n completa
ENTRENAMIENTO Y CAPACITACION DEL BCP, DRP Por *ltimo es importante que todos los empleados de la organizaci#n conozcan de manera detallada sobre los alcances y ob!eti$os del plan de continuidad del negocio. sto principalmente con el "in que en el caso de acti$arse el plan, cada uno de los empleados conozca las acti$idades que el debe e!ecutar y el plan sea e!ecutado de una "orma e"ecti$a y e"iciente.
ME!ORES PR"CTICAS EN CONTINUIDAD DEL NEGOCIO (BCP, DRP) lgunas de las entidades o institutos que nos pueden ayudar con me!ores pr%cticas en el desarrollo de planes de continuidad de negocio sonBCI DRII :I<1 2> IPP CBI1 I< 7@4 I1I/ ;
DEFINICIONES Plan de continuidad del negocio (BCPBusiness Continuity Plan)- En plan documentado y probado con el "in de responder ante una emergencia de manera adecuada, logrando así el mínimo impacto a la operaci#n del negocio. Plan de Contingencia- Contempla como reaccionar ante una contingencia que pueda a"ectar la disponibilidad o los ser$icios o"recidos por los sistemas in"orm%ticos. Ena contingencia puede ser un problema de corrupci#n de datos, suministro el&ctrico, un problema de so"t+are o ard+are, errores umanos, intrusi#n etc. Plan de recuperaci#n "rente a desastres- s aquella parte del plan de contingencia y del plan de continuidad de negocio, que aborda aquellas contingencias que, por su gra$edad, no permiten continuar prestando el ser$icio desde el centro local y debe continuarse el ser$icio desde un nue$o
centro. ste plan debe contemplar la $uelta atr%s cuando, tras arreglar las consecuencias del desastre, el ser$icio pueda ser reanudado en el centro local. Business Impact nalysis (BI)- l prop#sito del BI es crear un documento que ayude a entender el impacto que un desastre pueda tener sobre un negocio en particular. Contempla los siguientes ob!eti$os "undamentalesPriorizar procesos críticos del negocio. Calcular el F>a0imun 1olerable Do+ntimeG, (>1D) el cual es el tiempo m%0imo sin ser$icio que una organizaci#n puede soportar y seguir siendo una compa'ía que cumple con sus ob!eti$os de negocio. :ormalmente es encontrado que este tiempo es muco menor de lo esperado. Descargar- D ocumento politica BCPHDRP Descargar- >etodologia para desarrol lar un BI Descargar- st%ndares del BCP DRP B< 7=555 Descargar- 9estion del Plan de Continuidad BCP DRP Descargar- uditoría Plan de Continuidad BCP DRP Descargar- >e!ores pr%cticas para el BCP I< 7@4, CBI1, e I1I/ ; Curso- Dise'o Plan de recuperaci#n ante desastres >etodologia para desarrollo de un Plan de Recuperaci#n ante desastres DRP
Figura 2. rganizaci#n girando alrededor de los procesos de negocio. /o que lo anterior nos est% tratando de e0presar, es la uni#n e0istente entre las di"erentes unidades que sir$en de soporte a desarrollar un proceso de negocio. s decir, cada proceso de negocio depende de un n*mero de elementos críticos. Por e!emplo cierta acti$idad de negocio puede depender de personas cali"icadas para lograr su ob!eti$o. tras dependencias o recursos pueden ser computadores, redes, Internet, ser$icios de electricidad y otros.
CLASIFICACION DE LOS DESASTRES Podemos plantear la siguiente clasi"icaci#n de los desastres de la siguiente maneraDesastres naturales •
1erremotos
•
Inundaciones
•
2allas de potencia prologadas
ccidentales •
2alla en la base de datos
•
2alla de la estructura "ísica
Intencionales 0ternas •
1errorismo
•
ac3ers
Internas
•
uelga, sabota!e, borrado de datos
unque tendemos a pensar que los desastres s#lo pasan en otros países, las estadísticas nos muestras por e!emplo que por lo menos el 456 de las compa'ías an reportado una no disponibilidad de I1 por m%s de 78 oras.
Figura 3. 2recuencia de las amenazas FASES DE UN BCP o DRP /as "ases tradicionalmente consideradas de un BCP, DRP son4.
9esti#n e iniciaci#n del proyecto- stablece un equipo para el proyecto y una estrategia para desarrollar el plan.
7.
n%lisis de impacto sobre el negocio (I:) o BI- Identi"ica los aspectos críticos relacionadas con el m%0imo tiempo en que un proceso puede estar no disponible.
;.
strategia de recuperaci#n- Identi"ica y selecciona las apropiadas alternati$as de recuperaci#n para lograr los tiempos requeridos de"inidos en el I:.
8.
Dise'o del plan y desarrollo-
=.
Prueba, >antenimiento, y entrenamiento- /a idea es esta "ase es probar las estrategias de recuperaci#n anteriormente de"inidas, manteniendo actualizado el plan y d%ndolo a conocer a todos los empleados.
ANALISIS DEL IMPACTO SOBRE EL NEGOCIO DE UN BCP, DRP
l an%lisis del impacto sobre el negocio (BI) es uno de los aspectos m%s importantes a considerar en el desarrollo de un plan de continuidad del negocio. 1D), para cada uno de los recursos críticos del negocio.
btener in"ormaci#n por medio de entre$istas o encuestas
7.
btener in"ormaci#n "inanciera del impacto en caso de a"ectarse un proceso de negocio
;.
studio detallado de la in"ormaci#n obtenida
8.
Determinar tiempos críticos de aplicaciones, procesos de negocio y recursos o ser$icios
=.
Calcular los >1D
?.
Priorizar las operaciones de recuperaci#n con base en la anterior in"ormaci#n recolectada
@.
/a anterior in"ormaci#n recolectada debe ser documentada adecuadamente con el "in de ser parte de nuestro plan.
Figura . :i$eles de disponibilidad e0presados porcentualmente. ESTRATEGIAS DE RECUPERACION DEL BCP, DRP /as estrategias de recuperaci#n est%n basadas ob$iamente en los resultados obtenidos luego de la realizaci#n del I:, en donde tambi&n se consideraron los $alor de los tiempos m%0imos permitidos de no disponibilidad (>1D). Realizando un an%lisis de la toda la in"ormaci#n obtenida de las entre$istas, entendimiento de los procesos de negocio, I:, >1D, procedemos a realizar una tabla ordenada de prioridades de recuperaci#n de las di"erentes unidades de negocio. /os elementos a considerar sonRedes
ot sites- :ormalmente esta con"igurado con todo el ard+are y el so"t+are requerido para iniciar la recuperaci#n a la mayor bre$edad.
7.
Aarm sites- n esta opci#n no se incluyen ser$idores especi"icos de alta capacidad.
;.
Cold sites- n esta opci#n s#lo se tiene aire acondicionado, potencia, enlaces de telecomunicaciones, y otros.
8.
=.
cuerdos recíprocos con otras organizaciones
?.
>irror site-
@.
>*ltiples centros de procesamiento internos con el "in de distribuir el procesamiento y de esta "orma de logra un me!or ni$el de disponibilidad.
ESTRATEGIAS DE RECUPERACION DE LA INFORMACION DEL BCP, DRP
/os medios magn&ticos que contienen los respaldos de in"ormaci#n ser%n debidamente protegidos contra amenazas de tipo "ísico, accidental o intencional.
PRUEBAS DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP, DRP) Continuaci#n una descripci#n de los tipos de pruebas a realizar al plan de continuidad del negocio4.
Re$isi#n estructurada del plan
7.
Prueba de la lista de $eri"icaci#n
;.
8.
Prueba en paralelo
=.
Prueba de interrupci#n completa
ENTRENAMIENTO Y CAPACITACION DEL BCP, DRP Por *ltimo es importante que todos los empleados de la organizaci#n conozcan de manera detallada sobre los alcances y ob!eti$os del plan de continuidad del negocio. sto principalmente con el "in que en el caso de acti$arse el plan, cada uno de los empleados conozca las acti$idades que el debe e!ecutar y el plan sea e!ecutado de una "orma e"ecti$a y e"iciente.
ME!ORES PR"CTICAS EN CONTINUIDAD DEL NEGOCIO (BCP, DRP) lgunas de las entidades o institutos que nos pueden ayudar con me!ores pr%cticas en el desarrollo de planes de continuidad de negocio sonBCI DRII :I<1 2> IPP CBI1 I< 7@4 I1I/ ;
DEFINICIONES Plan de continuidad del negocio (BCPBusiness Continuity Plan)- En plan documentado y probado con el "in de responder ante una emergencia de manera adecuada, logrando así el mínimo impacto a la operaci#n del negocio.
Plan de Contingencia- Contempla como reaccionar ante una contingencia que pueda a"ectar la disponibilidad o los ser$icios o"recidos por los sistemas in"orm%ticos. Ena contingencia puede ser un problema de corrupci#n de datos, suministro el&ctrico, un problema de so"t+are o ard+are, errores umanos, intrusi#n etc. Plan de recuperaci#n "rente a desastres- s aquella parte del plan de contingencia y del plan de continuidad de negocio, que aborda aquellas contingencias que, por su gra$edad, no permiten continuar prestando el ser$icio desde el centro local y debe continuarse el ser$icio desde un nue$o centro. ste plan debe contemplar la $uelta atr%s cuando, tras arreglar las consecuencias del desastre, el ser$icio pueda ser reanudado en el centro local. Business Impact nalysis (BI)- l prop#sito del BI es crear un documento que ayude a entender el impacto que un desastre pueda tener sobre un negocio en particular. Contempla los siguientes ob!eti$os "undamentalesPriorizar procesos críticos del negocio. Calcular el F>a0imun 1olerable Do+ntimeG, (>1D) el cual es el tiempo m%0imo sin ser$icio que una organizaci#n puede soportar y seguir siendo una compa'ía que cumple con sus ob!eti$os de negocio. :ormalmente es encontrado que este tiempo es muco menor de lo esperado. Descargar- D ocumento politica BCPHDRP Descargar- >etodologia para desarrol lar un BI Descargar- st%ndares del BCP DRP B< 7=555 Descargar- 9estion del Plan de Continuidad BCP DRP Descargar- uditoría Plan de Continuidad BCP DRP Descargar- >e!ores pr%cticas para el BCP I< 7@4, CBI1, e I1I/ ; Curso- Dise'o Plan de recuperaci#n ante desastres >etodologia para desarrollo de un Plan de Recuperaci#n ante desastres DRP