Plan de Continuidad de Negocio

Plan de Continuidad de Negocio

Ramiro Cid | @ramirocid

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

ndice
1. Posibles tipos de desastres

Pg. 4

2. Plan de continuidad

Pg. 7

3. Diferentes enfoques de Business Continuity Plan

Pg. 14

4. BS 25999

Pg. 17

5. Business Impact Analysis (BIA)

Pg. 23

6. Estrategias para la creacin de BCP

Pg. 25

7. Estrategias posibles para los centros de respaldo

Pg. 26

8. Estructura de los BCP

Pg. 32

9. Relacin de procesos de los BCP

Pg. 42

2
[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

100% Seguridad?

El nico sistema que es realmente seguro es uno apagado y desconectado

de la red, encerrado en una caja fuerte forrada de titanio, enterrado en un
bunker, rodeado de gas nervioso y custodiado por guardas armados y muy
bien pagados. Incluso entonces, no dara mi vida por ello

Gene Spafford
Director de Computer Operations, Audit, and Security Technology (COAST), Universidad de Purdue

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Posibles tipos de desastres

Errores Software

Fallos en el Servicio

5%

1%

Otras
Errores Hardware

2%

8%
Cadas de Energa
Errores Humanos

27%

2%

Inundaciones
Fugas de agua

10%

1%

Cadas de Red
2%
Atentados
7%
Sabotaje
Tormentas y Rayos
12%

3%
Terremotos
5%

Fuego
6%

Huracanes
6%

Chispas y Subidas de Tensin

3%

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Posibles tipos de desastres

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Posibles tipos de desastres

Despacho de un Responsable de rea TIC despus de un incendio y la utilizacin
de extincin automtica por agua.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Plan de continuidad
Las organizaciones tratan de evitar las situaciones de riesgos a travs de la
instalacin de medidas de seguridad preventivas.
A pesar de la inversin que se pueda realizar, hay que asumir que nunca se
podr obtener una seguridad del 100%.
Para tratar de reducir estos riesgos se deben pensar planes de reaccin
antes las situaciones de riesgo que se consideren ms crticas.
Los planes de continuidad de negocio se definen para CUANDO falle el
sistema, no POR SI FALLA.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Plan de continuidad
Un Plan de Continuidad de Negocio es la respuesta prevista por una
organizacin ante aquellas situaciones de riesgo que afectan de forma
crtica a los servicios que ofrecen y que son los que le permiten la
realizacin de sus actividades diarias y que deben ser las que se quieren
protegen.

En esencia, un Plan de Continuidad de Negocio se centra en obtener el

mnimo tiempo de recuperacin ante una determinada situacin de riesgo
as como la minimizacin de las consecuencias que estas acciones
podran llegar a provocar.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Plan de continuidad
Los Planes de Continuidad de Negocio buscan:
1.
2.
3.
4.

Mantener el nivel de servicio en los lmites definidos por la organizacin.

Establecer un perodo de recuperacin mnimo para garantizar la
continuidad del negocio.
Recuperar la situacin inicial de los servicios y procesos hasta la situacin
anterior al incidente de seguridad que lo provoc.
Analizar el resultado de la aplicacin del Plan de Continuidad de Negocio y
los motivos del fallo para optimizar las acciones que la comprenden.

Deben estar en consonancia con el Anlisis de Riesgos de la organizacin ya

que permite identificar las medidas de seguridad que se deben implantar
en una organizacin as como ante que situaciones se deber pensar en
el Plan de Continuidad de Negocio.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Anlisis de Riesgos y Planes de Continuidad

De un proceso de Anlisis de Riesgos se obtienen:
1.
2.
3.
4.
5.
6.
7.

Situacin a controlar
Situacin objetivo
Controles implementados
Controles del plan de continuidad
Activos implicados
Amenazas
reas de la empresa implicadas

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estructura de los Planes de Continuidad

Activos crticos
Definicin situaciones crticas

Procesos de trabajo
Anlisis de riesgos

Asignacin de responsabilidades

Comit de emergencia
Responsables de planes

Disparo situacin de alarma

Indicadores de disparo

y acciones de respuesta

Secuencia de acciones
Registros

Planes de mantenimientos

Datos de pruebas y disparo

Propuestas de mejora o cambios

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Planes de Continuidad

Tienen que responder a las diferentes situaciones de riesgos que estn

definidas.

Recogen todas las acciones a llevar a cabo desde el momento que se

detecta la emergencia hasta que la empresa vuelve a sus condiciones de
funcionamiento.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Planes de Continuidad
Resulta fundamental para el xito de un Plan de Continuidad de Negocio
que se tengan en consideracin los siguientes aspectos de cara al xito
de este tipo de proyectos:

Detectar todos los recursos necesarios que se requieren tanto para la
proteccin como para la recuperacin de los procesos a salvaguardar.

Definir la disponibilidad, mantenimiento y operatividad de todos los recursos
implicados en el Plan de Continuidad de Negocio.

Establecer claramente el momento de disparo de los Planes de Continuidad.

Asignar un responsable al Plan de Contingencias especfico.

Asignar responsabilidades claramente para cada accin definida.

Establecer un proceso de revisin una vez recuperada la situacin.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Diferentes enfoques de Business Continuity Plan

Disaster Recovery Planning (DRP)

Recuperacin de los servicios TIC y los recursos, dado un evento que
ocasiona un interrupcin mayor en su funcionamiento.

Bussiness Resumption Planning (BRP)

Reanudacin de los procesos de negocio afectados por un fallo en las
aplicaciones de IT.

Continuity od Operations Planning (COOP)

Busca la recuperacin de las funciones estratgicas de una organizacin que
son desempeadas en sus instalaciones corporativas.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Diferentes enfoques de Business Continuity Plan

Contingencia Planning (CP)

Se enfoca en la recuperacin de los servicios y recursos de TI despus de un
desastre de dimensiones mayores a una interrupcin menor.

Emergency Response Planning

Es de salvaguardar, a los empleados, pblico, ambiente y a los activos de la
empresa.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Normativas para la creacin de los Planes de Continuidad de Negocio

Durante este ao 2007 se present la primera normativa de carcter
internacional en la que se indica que aspectos deben tenerse en
consideracin a la hora de la creacin e implantacin de un Plan de
Continuidad de Negocio en una organizacin. Esta normativa se
denomina BS 25999.

Es la primera norma con carcter internacional (durante el prximo ao
pasar a ser ISO) que aporta unas buenas prcticas para la gestin de la
continuidad del negocio.

Incluso est en elaboracin la segunda parte de esta norma con el objetivo de
poder certificar dichos PCN.

Determina como deben gestionarse de la forma correcta los planes de
continuidad de negocio con el objetivo de que se integren en las
organizaciones.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

BS 25999
Este estndar describe las diferentes fases que tienen que establecerse
para la creacin y gestin continua de un plan de continuidad de negocio.

Comprensin de la
Organizacin
Prueba,
mantenimiento y
revisin del PCN

Programa de Determinacin de
Gestin del la estrategia del
PCN
PCN

Desarrollo e
implementacin del
PCN

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

BS 25999: Primera Fase

Comprensin de la organizacin
Esta primera fase a la hora de la creacin de un Plan de Continuidad de Negocio
resulta la ms crtica y fundamental de cara al xito de este tipo de proyectos. El
objetivo fundamental consiste en la comprensin total de las actividades que se
realizan por parte de la organizacin as como todos los elementos que se requieren
para la realizacin de estos procesos.
Para la elaboracin de esta primera fase se divide en dos sub-fases:

 Gestin del riesgo

Tratar de minimizar los riesgos detectado en el Anlisis de Riesgo con el fin de
reducir los riesgos existentes, preferentemente aquellos que podran provocar
grandes daos para la organizacin.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

BS 25999: Primera Fase

 Business Impact Analysis (BIA)
Consiste en identificar los procesos relacionados con la misin de la organizacin y
analizar con mucho detalle los impactos en la gestin comercial del negocio si
esos procesos se vieran interrumpidos como resultado de un desastre.
Se identifican las reas crticas para el alcance de la organizacin, as como la
magnitud potencial del impacto operativo y financiero.
El BIA resulta el proceso ms complejo dentro de un Plan de Continuidad de
Negocio ya que es a partir del mismo que se consigue identificar los valores
fundamentales de todo PCN:
 Tiempo mximo de inactividad por proceso / actividad de negocio.
 Tiempo de recuperacin de la informacin que se requiere para ofrecer un proceso
/actividad de negocio.
 Minimo nivel de servicio que se requiere para ofrecer los procesos /actividades de
negocio

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

BS 25999: Segunda Fase

Determinacin de la estrategia del PCN
Consiste en la realizacin del estudio de las posibles soluciones que existen
para poder recuperar los procesos ms crticos en el menor tiempo posible
con una menor inversin.
El objetivo es garantizar que no se superar el tiempo mximo de inactividad
de negocio permitido desde el momento en el que sucede la contingencia
hasta que el servicio se vuelve a ofrecer.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

BS 25999: Tercera Fase

Desarrollo e implantacin del Plan de Continuidad de Negocio

Consiste en la creacin de:

Los equipos de continuidad de negocio.

Preparacin de las infraestructuras requeridas para la ejecucin de estos planes
de continuidad.

Determinacin de los momentos de ejecucin de los diferentes planes.

Elaboracin de las diferentes acciones que se debern ejecutar en el momento de
uso del Plan de Continuidad de Negocio.

Determinacin de las personas que deben ejecutar todas y cada una de las
acciones que se debern desarrollar.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

BS 25999: Tercera Fase

Prueba, mantenimiento y revisin del Plan de Continuidad de Negocio

Prueba de los PCN
Se deben efectuar de forma peridica pruebas para verificar que el plan de continuidad
de negocio consigue los objetivos marcados a la hora de la determinacin y creacin
de estos planes
Estas pruebas sirven para la realizacin de mejoras en el Plan de Continuidad de
Negocio.

Mantenimiento del PCN

Se trata de mantener el Plan de Continuidad de Negocio en un estado de preparacin
constante para dado un desastre poder ejecutarlo minimizando las posibilidades de
error.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Business Impact Analysis

Resulta una de las fases ms importantes a la hora de
la creacin de los planes de continuidad de negocio.
Se realiza a nivel de proceso y no a nivel de activo.
Incluye aspectos como:

Conviene una clara y precisa comprensin del negocio

La informacin se extrae de entrevistas con diferentes
personas de alta direccin del negocio as
Permite decidir que procesos debern recuperarse con
anterioridad en caso de desastre

[Link]

ramiro@[Link]

Twitter: @ramirocid

prdida de ingresos,
sanciones y multas,
prdida de imagen
incremento
costes.

de

Plan de Continuidad de Negocio

Business Impact Analysis

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estrategias para la creacin del PCN

Existen varios aspectos fundamentales a la hora de la decisin de una
solucin:

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estrategias posibles para los Centro de Respaldo

Cold Site

Solo tienen:

Cableado elctrico

Aire Acondicionado

Warm Site

Configuraciones parciales, solo

Conexiones de red

Equipos perifricos

Carecen generalmente de la CPU

La disponibilidad depende del acopio e instalacin de la CPU

Deben ser compatibles, (equipo, red y software)

Necesitan CPU, personal, programas, datos y documentacin

Destinado para operaciones de emergencia para periodos cortos

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estrategias posibles para los Centro de Respaldo

Hot Site

Configuraciones totales
Listas para ser usadas dentro de pocas horas
Deben ser compatibles: equipos, red y software
Necesitan personal, programas, datos y documentacin
Destinados a
 operaciones de emergencia para periodos cortos
 operaciones de emergencia para procesos de negocio muy crticos
 Caros  compartidos

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estrategias posibles para los Centro de Respaldo

Lugares dedicados

Son lugares dedicados (generalmente propios)

Para asegurar su viabilidad es necesario:
 No debe estar sujeto a los mismos desastres que el lugar primario
 Debe haber coordinacin de estrategias de actualizacin (hard/soft) entre ambos
centros
 Debe asegurar la disponibilidad de los recursos
 Debe haber acuerdos para agregar aplicaciones (carga de trabajo) para la
recuperacin
 Es necesario una prueba peridica

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estrategias posibles para los Centro de Respaldo

Sitios mviles

Remolque diseado para ser trasladado rpidamente

Suelen contener





Servidores
Estaciones de trabajo
Equipos de comunicaciones
Enlaces va satlite

tiles para

desastres que afectan a una amplia zona geogrfica

organizaciones de oficinas mltiples

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estrategias posibles para los Centro de Respaldo

Acuerdos recprocos

Los participantes acuerdan proveerse mutuamente instalaciones en caso de
emergencia

Ventajas

Bajo Costo

Es posible que sea la nica alternativa

Inconvenientes

Estos acuerdos NO suelen OBLIGAR a las partes

Pueden existir INCOMPATIBILIDADES de equipos y configuracin

Los cambios sobre carga de trabajo afectan a los participantes

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estrategias posibles para los Centro de Respaldo

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estructura de los BCP

Esquema de los BCP:
1.
2.
3.

4.
5.

Objetivo
Alcance
Descripcin de la situacin a controlar
1. Riesgos a controlar
2. Activos que intervienen
3. Nivel de servicio exigido
4. Tiempos para cada respuesta: tiempo total de reaccin
5. Recursos necesarios en cada uno de los planes. Disponibilidad y
operatividad
Listado de Procedimientos concretos y responsables
Disparo de Alarma

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estructura de los BCP

6.
7.
8.
9.
10.

Plan de respuesta
Plan de respaldo
Plan de recuperacin
Plan de anlisis y mejora
Planes de prueba

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estructura de los BCP

 Objetivo: recoge brevemente el objetivo del plan de contingencia concreto

 Alcance: recoge el mbito de aplicacin del PC. Se define el servicio,

localizacin en la empresa, personal responsable, etc.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estructura de los BCP

3. Descripcin de la situacin a controlar: Recoge los datos de la situacin
analizada y los parmetros que se quieren mantener.

Situaciones de riesgo: descripcin de amenazas y forma de actuacin

Activos involucrados: listado y consecuencias producidas
Niveles exigidos: situacin requerida de la empresa para la situacin
descrita en los PC en los momentos de interrupcin del servicio
Tiempos de respuesta: tiempo mx. para alcanzar cada una de las fases
Recursos necesarios para los planes de respuesta, respaldo y recuperacin

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estructura de los BCP

4. Planes desarrollados y responsables en cada uno de los planes: listado
de los planes o procedimientos concretos con los responsables de los
mismos. Se especifica versin, aprobacin y distribucin, as como la
persona responsable de su implantacin y mantenimiento.
5. Disparo de alarma: Recoge claramente las situaciones o indicadores que
hacen que las acciones indicadas arranquen. Se define quin puede
detectar estas situaciones de inicio y qu primera accin debe efectuar.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estructura de los BCP

6. Plan de respuesta: procedimiento que describe las acciones a realizar
tras el disparo de la alarma o emergencia:

Acciones para proteger a las personas

Acciones para cortar la situacin de riesgo: control de las amenazas
Acciones para proteger los activos
Acciones de notificaciones pblicas
Registro de las acciones que se van realizando

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estructura de los BCP

7. Plan de respaldo: procedimiento donde se describen las acciones a llevar
a cabo para mantener el servicio mientras se resuelve la situacin de
emergencia. Trata de mantener el servicio en los niveles requeridos por la
organizacin.

Recursos necesarios para mantener la operacin

Mantenimiento de los recursos
Activacin de las diferentes acciones
Registro de las acciones llevadas a cabo: inicio, desarrollo y resultados
Personal implicado

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estructura de los BCP

8. Plan de recuperacin: procedimiento donde se describen los pasos a
realizar para restaurar el servicio a los niveles que existan antes de las
emergencias.

Restitucin de activos, suministros, entorno

Arranque de los sistemas, servicios, etc.
Pruebas para comprobar los sistemas restaurados
Puesta en operacin
Retirada de los planes de respaldo
Registro de las acciones realizadas y resultados.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estructura de los BCP

9. Plan de anlisis y mejora: procedimiento donde se describe qu datos
analizar y cmo hacerlo una vez finalizada la emergencia y restaurados
los sistemas

Datos sobre situacin de emergencia, causas, duracin, dao producido

Datos sobre el desarrollo y adecuacin de los planes de respuesta,
respaldo y restauracin. Registros tomados durante el desarrollo de los
planes
Problemas detectados en el proceso del PC
Informe para comit de seguridad/emergencia
Propuesta de acciones correctoras y de mejora. Seguimiento.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Estructura de los BCP

10. Planes de prueba: descripcin de las pruebas a realizar del plan de
contingencias para verificar que funcione correctamente, estn los
recursos necesarios disponibles, estn los procedimientos disponibles y
son conocidos.

Planificacin de las pruebas

Responsables de realizar las pruebas
Pasos a realizar, simulacros
Anlisis de los resultados
Presentacin de mejoras al responsable del plan de contingencias y al
comit de seguridad/emergencia.

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Relacin de procesos de los BCP

no

Disparo

Resultados
Pruebas

de alarma

Plan de pruebas
si
Plan de respuesta

Plan de respaldo

Plan de recuperacin

Plan de Anlisis y
Mejora

[Link]

ramiro@[Link]

Registros

Twitter: @ramirocid

Propuestas de
cambios y
mejora

Plan de Continuidad de Negocio

Desarrollo de los PCN

N

FUNCIN

Responsable

Resultado

Considerando el Anlisis de Riesgos. Describir

Comit Seguridad

Estructura PC

el esquema de los PC

Responsable Seguridad

PC a desarrollar por los

responsables PC

Para cada PC describir los puntos y procesos

Responsable de los PC

de cada uno de ellos

3
4
5

PC
Registros definitivos

Revisar los PC para coordinar acciones y

Comit seguridad

Aprobacin formal de los planes

asegurar la coherencia

Responsable Seguridad

Establecer y aprobar la programacin de las

Comit seguridad

Aprobacin formal de los planes

pruebas y revisiones de los PC

Responsable seguridad

de pruebas

Asegurar la disponibilidad de los recursos

Responsables del PC

Recursos disponibles

Responsable de los PC

Conocimiento y preparacin del

necesarios para aplicar los planes

Distribucin de los planes y formacin del

personal

personal implicado

Desarrollo de pruebas y revisiones

Responsable de PC

Mejora y mantenimiento de los

PC

[Link]

ramiro@[Link]

Twitter: @ramirocid

Plan de Continuidad de Negocio

Dudas? preguntas?

Muchas Gracias !!
Ramiro Cid
CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL
ramiro@[Link]

[Link]

[Link]

[Link]

@ramirocid

[Link]

[Link]

ramiro@[Link]

Twitter: @ramirocid