Cómo implementar un Plan de Recuperación para Casos de Desastre y no morir en el intento
Junio 2013
Índice - A que se enfrentan las l as áreas de T.I. - Metodología - Valores agregados - Servicios - Comentarios
Plan de Recuperación para Casos de Desastre (Disaster Recovery Plan) Orientado a recuperar en el menor tiempo posible las Ap licac ion es / Sistem as crítico s que soportan la operación de las Func ion es / Proc esos crític os del Negocio, utilizando para ello estrategias costo / efectivas de recuperación, que permitan minimizar el impacto y el costo de un desastre. Responsable: Área de Tecnología de Información
A que se enfrentan las áreas de T.I. de las organizaciones •
Requerimientos de operación (los absorben)
•
Requerimientos de: – Auditoría: • interna • externas • Corporativas – la Dirección General – los Directores de Área – Usuario que grita mas!!! – Entre otros
•
Falta de personal
•
Presupuesto
•
Tiempos
¿Qué debe contener un Plan de Recuperación para Casos de Desastre?
Recursos y localidades alternas
RTO s y RPO s ´
´
Escalamiento Lista de contactos Acciones Políticas Evaluación Escalación Notificación
Procedimientos de Recuperación
Organización
1. _______ 2. _______ 3. _______ 4. _______
Administración, Mmantenimiento y pruebas
Prioridades
Responsabilidades
Metodología para el Desarrollo de un Plan de Recuperación para Casos de Desastre
ORGANIZACIÓN
DEL PROYECTO
ANÁLISIS DE IMPACTO APLICATIVO
PLANEACIÓN
ESTRATEGIA DE RECUPERACIÓN
GRUPOS DE RECUPERACIÓN
IMPLEMENTACIÓN
DESARROLLO DEL PLAN
PRUEBAS DEL PLAN
M A N T E N I M I E N T O A L P L A N
Metodología para el Desarrollo de un Plan de Recuperación para Casos de Desastre Organización del Proyecto 1. Definición grupo de trabajo 2. Creación plan de trabajo 3. Asignación responsabilidades de ambos grupos 4. Políticas del proyecto 5. Control de cambios al proyecto Análisis de Impacto Aplicativo 1. Definición de: • Aplicaciones Críticas • RTOs • RPOs 2. Identificación personal crítico 3. Requerimientos mínimos 4. Registros vitales Estrategia 1. Definición de: • Localidades de recuperación • Infraestructura de cómputo • Servicios adicionales Grupos de Recuperación 1. Creación de los grupos 2. Objetivo de los grupos 3. Misión de los grupos 4. Definición titulares y suplentes 5. Responsabilidades
Desarrollo del Plan 1. Desarrollo Plan de Acción 2. Creación matriz de escalamiento para evaluar la contingencia 3. Procedimientos técnicos por ambiente de: • Respaldo • Recuperación • Restauración 4. Procedimientos de sincronía de datos entre usuarios y sistemas 5. Directorios críticos: • Personal Proveedores • • Clientes 6. Evaluación de la funcionalidad del plan Pruebas 1. Metodología y formatos para ejecutar la prueba 2. Capacitación a usuarios para ejecutar la prueba 3. Ejecución de la prueba Mantenimiento 1. Metodología para el mantenimiento al plan
Servicios •
Debido a las necesidades del mercado y a que algunas empresas han desarrollado parte de la metodología para su Plan de Recuperación para Casos de Desastre, Protiviti ha creado tres tipos de servicios que permitan a estas empresas completar su Plan de Recuperación y así cumplir con los objetivos trazados por la Dirección de las Empresas.
•
Además, les permitirá cumplir con disposiciones del corporativo, de auditoría, requerimientos legales o para tener “la conciencia tranquila”.
•
Uno de estos servicios también permiten desarrollar el Plan por fases en caso de que una empresa no cuente con un presupuesto total o asignado específicamente a este tipo de proyectos.
Desarrollo del Plan de Recuperación para Casos de Desastre (DRP)
Requerimientos para el Inicio y Desarrollo de un DRP
Instalaciones
Las que el cliente determine
Asistencia del personal del cliente
100%
Participación del personal de T.I. del cliente
100%
Suministrar Información
100%
Aprobación de: • Estrategia • Plan de Acción • Procedimientos Técnicos
100%
Índice de la Carpeta Contenido
Capítulo I
Introducción
II
Análisis de Impacto Aplicativo
III
Estrategia de Recuperación
IV
Estudio de Riesgos
V
Grupos de Recuperación
VI
Directorios de Personal
VII
Plan de Acción
VIII
Requerimientos Mínimos y Registros Vitales
IX
Procedimientos Técnicos de Recuperación
X
Directorio de Proveedores
XI
Directorio de Clientes
XII
Anexos
Tipos de Servicios
Desarrollo parcial de las fases del Plan de Recuperación para Casos de Desastre
Cursos sobre la Metodología de DRP de Protiviti para el desarrollo interno
Por medio de un diagnóstico se identifica que fases faltan y se propone el desarrollo de la misma.
Se genera el conocimiento hacia el personal del cliente y lo que implica el desarrollo del Plan
Se desarrolla el Plan de forma eficiente y efectiva con la participación de los recursos humanos del cliente
Participación Protiviti: 50% Participación cliente: 50%
Participación Protiviti: 80% Participación cliente: 20%
Participación Protiviti: 30% Participación cliente: 70%
Workshops por empresa para la implementación del DRP
Servicios Servicio
Fases
1.
Análisis de Impacto Aplicativo y Estrategia de Recuperación.
2.
Estudio de Riesgos.
3.
Estrategia de Recuperación.
4.
Grupos de Recuperación y Plan de Acción.
5.
Procedimientos Técnicos.
6.
Pruebas y Mantenimiento.
Servicio Fase
Metodología 1. Identificación de RTO. 2. Identificación RPO.
Análisis de Impacto Aplicativo
3. Identificación de los Requerimientos Mínimos del área de Sistemas. 4. Identificación de los Registros Vitales de Sistemas.
Entregables
Pre-Requisitos
1. Documento que contiene los RTO y RPO.
1. Definición de los Grupos de trabajo.
2. Documento con los impactos operacionales que se ven afectados por la contingencia.
2. Plan de trabajo desarrollado.
3. Documento con los Registros Vitales y Requerimientos Mínimos que son necesarios para el área de Sistemas. 4. Presentación de resultados.
1. Identificación de las Localidades de Recuperación.
Estrategia de Recuperación
2. Identificación de la Infraestructura de Cómputo. 3. Identificación de los Servicios adicionales para contingencia.
1. Documento que contiene la estrategia de recuperación con las localidades, infraestructura y servicios adicionales para actuar en caso de contingencia.
2. Presentación de la estrategia.
3. Asignación de Responsabilidades de ambos Grupos. 4. Difusión de las Políticas del proyecto. 5. Control de Cambios del proyecto.
6. Ambiente productivo estable.
Servicio Fase
Estudio de Riesgos
Metodología
Entregables
Pre-Requisitos
1. Evaluar los riesgos del site / localidad. 2. Identificar riesgos en cuanto a la información (seguridad en el hardware, software, datos y redes, entre otros)
1. Hallazgos y recomendaciones generales 2. Matriz de Riesgos de los elementos críticos.
1. Definición de los Grupos de trabajo. 2. Plan de trabajo desarrollado.
3. Presentación de resultados.
3. Asignación de Responsabilidades de ambos Grupos.
3. Identificar los riesgos potenciales que pueden afectar las aplicaciones críticas de sistemas. 4. Servicios (electricidad, aire acondicionado, agua, comunicaciones, mantenimiento)
4. Difusión de las Políticas del proyecto. 5. Control de Cambios del proyecto. 6. Ambiente productivo estable.
Servicio Fase
Metodología 1. Identificación de las Localidades de Recuperación. 2. Identificación de la Infraestructura de Cómputo.
Estrategia de Recuperación
3. Identificación de los Servicios adicionales para contingencia.
Entregables 1. Documento que contiene la estrategia de recuperación con las localidades, infraestructura y servicios adicionales para actuar en caso de contingencia. 2. Presentación de la estrategia.
Pre-Requisitos 1. Recovery Points y Recovery Times definidos.
2. Impactos operacionales definidos que afectan la operación crítica. 3. Registros Vitales y Requerimientos Mínimos para Sistemas definidos.
Servicio Fase
Metodología
Entregables
1. Definición de Objetivo.
1. Asignación del objetivo a los Grupos de Recuperación definidos.
2. Definición de la misión.
Grupos de Recuperación
3. Identificación de los Titulares y Suplentes.
2. Asignación de la misión de los Grupos de Recuperación definidos. 3. Asignación del personal y suplente a cada uno de los grupos de recuperación definidos.
Plan de Acción
1. Definición de la matriz de escalamiento para la contingencia.
1. Documento con el Plan de Acción definido por fases (general y grupos)
2. Definición de la logística de contingencia.
2. Documento con la matriz de escalamiento para actuar en caso de contingencia.
3. Definición de los procedimientos técnicos de recuperación y reanudación.
3. Matriz de escalamiento
Pre-Requisitos 1. RTO y RPO definidos. 2. Impactos operacionales definidos que afectan la operación crítica. 3. Registros Vitales y Requerimientos Mínimos para Sistemas definidos. 4. Estrategia definida y autorizada por el cliente.
Servicio Fase
Metodología 1. Definición de los procedimientos técnicos: a. Respaldo b. Recuperación c. Restauración d. Reanudación
Procedimientos Técnicos
2. Preparación del material para los Workshop’s. 3. Desarrollo de los procedimientos técnicos
Entregables 1. Documento con los procedimientos técnicos para contingencia:
Pre-Requisitos 1. Asignación del objetivo y de la misión a los Grupos de Recuperación. 2. Asignación del personal y de los suplentes para cada Grupo de Recuperación.
a. Recuperación
3. Documento del Plan de Acción.
b. Restauración c. Reanudación
4. Matriz de Escalamiento.
Servicio Fase
Pruebas del Plan
Metodología
Entregables
Pre-Requisitos
1. Definición de la capacitación.
1. Documento con la capacitación.
1. Definición de los Grupos de trabajo.
2. Definición del tipo de prueba y metodología.
2. Documento con la metodología de prueba del plan.
2. Plan de trabajo desarrollado.
3. Preparación del material para capacitación y prueba. 4. Ejecución de la prueba.
3. Documento con los resultados de la prueba.
3. Asignación de Responsabilidades de ambos Grupos. 4. Plan de Recuperación para Casos de Desastre ya establecido. 5. Procedimientos técnicos
Mantenimiento del Plan
1. Definición de la metodología de mantenimiento al Plan.
1. Documento con la metodología del mantenimiento al Plan de Recuperación.
Servicios DRP SERVICIOS Recursos (Protiviti)
Duración (días)
Análisis de Impacto Aplicativo y Estrategia de Recuperación
2
20
Estudio de Riesgo
2
15
Estrategia de Recuperación
2
10
Grupos de Recuperación y Plan de Acción
2
15
Procedimientos Técnicos
3
15
Pruebas y Mantenimiento
3
8
Servicios
Cursos y Workshops Ofertas que tenemos para ayudar a sus empresas son cursos sobre la Metodología de DRP, o Workshops orientados al cumplimiento del DRP
CURSOS Y WORKSHOPS PARA EMPRESAS
Servicios
Participantes
Duración (horas)
Curso de Metodología de DRP
4
18
Curso de Metodología de BCP
8
24
Workshop para desarrollo de DRP
65-75
Factores Críticos de Éxito Se requiere un compromiso y apoyo total por parte del Grupo Directivo de la Organización • Garantizar la participación activa de los ejecutivos involucrados así como del personal usuario para el desarrollo del proyecto • La información proporcionada deberá estar lo mas actualizada posible a la situación organizacional y operacional de la empresa •
La organización realizará las siguientes tareas y proporcionará a Protiviti la siguiente información: •
•
•
•
•
Acceso oportuno al personal adecuado para efectos de entrevistas. Mantener la responsabilidad general de las decisiones administrativas de la gerencia respecto al proyecto. Proporcionar la totalidad de la información documental requerida por Protiviti para la ejecución del proyecto. Entregar la información solicitada en tiempo, forma y de manera oportuna. Revisión oportuna de los productos, servicios y documentos que debe entregar Protiviti.
Valores Agregados De PROTIVITI •
Consultores con más de 25 años promedio de experiencia, en el desarrollo de proyectos de Recuperación para Casos de Desastre y Continuidad del Negocio
•
Personal técnico especialista en el ofrecimiento y diseño de alternativas y soluciones de infraestructura tecnológica, de telecomunicaciones y del negocio.
•
Conocimiento de las industrias actuales en México.
•
Conocimientos de las mejores prácticas y estándares nacionales e internacionales sobre temas de Recuperación y Continuidad del Negocio
•
Implementación de mas de 60 DRP s / BCP s en México
•
Soporte y coordinación con oficinas de Protiviti en el mundo
´
´
Alejandro Cerezo Experiencia Profesional Alejandro es responsable del desarrollo de negocios para el área de Tecnología de Información. Su experiencia en tema de Continuidad del Negocio y Recuperación es vasta, cuenta con 25 años de experiencia en este tema. En Seguridad de la Información, cuenta con experiencia de 15 años. Ha trabajado en empresas de la iniciativa privada y en empresas de Consultoría. Información de Contacto Directo: +55.5342.9100 email:
[email protected] Áreas de Experiencia • Implementación de DRP/BCP • Seguridad de la Información • ISO22301:2012 • ISO27002:2005 Experiencia en Industria • Banca, Seguros, Telecomunicaciones, Producción, Servicios y Retail Educación Lic. Administración de Empresas
•
Ha implementado proyectos de DPR y BCP en al menos 60 empresas, incluyendo temas de año 2000, pandemia, migraciones, y cambio de localidades. En seguridad ha ayudado a la implementación de Arquitecturas de Seguridad así como en la implementación de la ISO27002:2005. Ha participado en conferencia de Continuidad y Seguridad y ha publicado diversos artículos sobre estos temas. Alejandro tiene experiencia en diferentes Industrias: Banca, Seguros, Producción Telecomunicaciones, Servicios y Retail. Proyectos Principales • Alejandro fue responsable de administrar la implementación de Continuidad del Negocio en el SAT (Sistema de Administración Tributaria). • Responsable del área de Continuidad del Negocio en Bancomer. • Responsable de Seguridad Informática en Elektra. • Responsable de la práctica de Continuidad del Negocio en Deloitte. • Generación de alianzas estratégicas con partners fabricantes de tecnologías de seguridad para su implementación. • Implementación del BCP para la empresa HP en su área de soporte a clientes y outsourcing. Áreas de Competencia • Desarrollo de BIAs • Implementación de Metodologías de Continuidad del Negocio • Seguridad de la Información.
Preguntas / Comentarios
