Marzo 2015 De la teoría a lo real Un enfoque práctico del BCP y el DRP Lic. Cristián P. Fourcade Cristián Fourcade & Asociados Presentada por:
Marzo 2015
De la teoría a lo real Un enfoque práctico del
BCP y el DRP
Lic. Cristián P. FourcadeCristián Fourcade & Asociados
Presentada por:
Marzo 2015
Aclaración:
© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
Marzo 2015
Agenda
Marco conceptual• BCM • BCP• DRP
Ciclo de vida de una Contingencia con BCM / BCP
Enfoque Metodológico• Análisis de impacto en negocio (BIA) • Selección de Estrategia• Desarrollo del Plan• Prueba y mantenimiento del plan
Síntesis y Beneficios esperados
Marzo 2015
Definiciones – Marco Conceptual
Business Continuity Management (BCM):
• Dota a la organización de capacidades de gestión y acción para:
o Identificar y valorar amenazas potenciales,
o Definir estrategias acordes a los impactos y necesidades concretas y reales del negocio,
o Planificar y construir la respuesta de la organización a las amenazas, resguardando los intereses de toda la organización. (Reputación, marca, empleados, actividades de valor agregado, y rentabilidad),
o Estructurar un esquema de mantenimiento y mejora continua que garantice la efectividad y validez en el tiempo.
(1) Normas y Prácticas: NFPA 1600; DRII; ASIS/BCI; PAS56; BS-25999-1/2; ISO 22301/2012
• Es un activo de la organización. No es un gasto.
Marzo 2015
Definiciones – Marco Conceptual
Plan de Continuidad de Negocios (BCP) :
• “Es la capacidad que tiene la organización para continuar la entrega de productos o servicios a niveles predefinidos aceptables después de que haya sucedido un incidente perjudicial” (ISO 22301),
• Procesos y acciones desarrollados para prevenir interrupciones de actividades del Negocio, que minimizan el impacto de un evento o incidente en el negocio,
• Tiene un alcance Operativo y Tecnológico.
Plan de Recuperación ante Desastres (DRP) :
• Subconjunto del BCP,
• Está focalizado en los aspectos Tecnológicos. Es un conjunto de acciones y procedimientos, medios, y responsables,
• Recupera la funcionalidad y operación de la infraestructura y las aplicaciones.
Marzo 2015
Ciclo de vida de la Contingencia con BCM - BCP
Plan de Recuperación de Desastres (DRP)
t
t1t4
RPO
Sitio Alternativo
RPO: Punto de
Recuperación
Objetivo
t5
Período en Contingencia
Operaciónen
Contingencia
Mantener Contingencia y Soporte a la Operación
Actividadespara la vuelta atrás
t6
Tiempo para
retornar a la
Normalidad
Vuelta a la normalidad
Ejecutar Vuelta a la Normalidad
t2
Detección y
Ejecución
Arbol de
Llamados
Comité Continuidad de
Negocio
Comité Administración
de Crisis
RTO
t3
RTO: Tiempo de
Recuperación
Objetivo
Contención
Mitigación
Actividades para activar Sitio y/o
Sistemas Alternosy Puesta en marcha
Unidades de
Negocio
UnidadesOperativas
Sistemas yTecnología
Administración, RRHH,Otros
Plan de Contingencia y Procedimientos (PCP)
Marzo 2015
Evaluación general de riesgos
Evaluación de procesos y aplicaciones de negocio, con el objetivo de determinar:
o Criticidad,
o Tiempos de recuperación,
o Interdependencias entre procesos y tecnología (internos /terceros),
o Requerimientos mínimos para su recuperación.
Enfoque Metodológico de la Gestión de continuidad de Negocio
Desarrollar Plan de recuperación detallado:
o Roles & responsabilidades,
o Criterios de decisión,
o Procedimientos detallados,
o Logística.
Diseño de las pruebas del plan y su periodicidad,
Políticas y procedimientos para mantener actualizado y vigente el plan desarrollado,
Entrenamientos,
Ejecución de pruebas.
Determinación de las estrategias viables de continuidad y recuperación, evaluando:
o Requerimientos mínimos,
o Estrategias de Backup & Recovery,
o Posibles sitios alternos de procesamiento.
Marzo 2015
Análisis de impacto en negocio (BIA) Procesos / Impacto de Negocio / RTO / Dependencias
Procesos / Impacto de Negocio / Tiempos máximos de interrupción
- Sin dependencia No aplica
1 Baja dependencia No impacta en el proceso
2 Dependencia media Puede trabajar con medios alternativos
3 Dependencia absoluta Imposibilita trabajar o producir
Nivel de dependencia
Marzo 2015
Selección de Estrategia
Para evaluar las estrategias a utilizar se debe tener en cuenta:
• Resultado del BIA – VAR
• Análisis Costo / Beneficio (ROI) de las alternativas propuestas
o Los costos para cada alternativa. (Capex – Opex)
o Beneficios: Comerciales – Seguro – Tasas bancarias, VAR, otros
• Factibilidades técnicas y operativas
• Desarrollar acuerdos recíprocos y/o con proveedores de servicios y validarlos.
Evaluar el alcance y alternativas de Mitigación / Recuperación y sus niveles de activación:
• Sitios internos o externos,
• Hot , Warm o Cold Sites.
• Generación de capacidad ociosa para reprogramación de producción,
• Gestión de Stocks,
• Distribución en locaciones.
(1) VAR (Value at risk)
Marzo 2015
Desarrollo del Plan El plan debe ser una guía de decisión y respuesta que
Identifica como mínimo:
El daño potencial y recursos mínimos para recuperar los servicios en función a la estrategia,
Secuencia de Fases y estados de alerta , R & R,
Funciones críticas y priorización de la ejecución de procedimientos alternos y de restauración,
Area Afectada
Incendio
Falla
electrica
(apagon) o
Propio
Vandalismo,
Terrorismo,
Piquete
Placa de
Red Discos Sistema operativo Core Switch
Switch de
Borde Storage Un Vinculo Todos los vinculos
Nivel de Emergencia 4 Plan A
Nivel de emergencia 3 Plan B
Nivel de emergencia 2 Plan C
NO Nivel de emergencia 1 Plan D
Nivel de Emergencia 4
Plan A1
Nivel de emergencia 3
Plan B1
Nivel de emergencia 2
Plan C1
NO Nivel de emergencia 1 Plan D1
Data Center
Servidor SAP
Acción
SI No existe alternativa de DRP
SI No existe alternativa de DRP
Fallas Tecnicas componentes
Net workingFallas Proveedor de Comunicaciones (unico)
Interrumpe el Servicio
Amenaza Amenaza
Fallas Tecnicas componentes Servidores o
sabotaje
Rie
sg
o
Nombre
Rol en el
plan
BCP
Responsab.
en el Plan
BCP
Participa en Planes
A1
.1
A1
.2
A
2
A
3A4
B1
.2
B1
.2
B
2
B
3
B
4
C
1
C
2
C
3
C
4
Persona 1 Steering
Commitee
Argentina CFO
Persona 2 Steering
Commitee
CFO Latam
Persona 3 Steering
Commitee
Latam IS IA
Persona 5 SAP Platform
Manager
Idem DRP Director ? ? ? ? ? ? ? ? ? ? ? ? ? ?
Persona 6 DRP Manager Coordina
actividades DRP
Según plan en
ejecución.
Procedimientos detallados (alternativos y recuperación),
Criterios de aceptación,
Equipos de trabajo, insumos y logística requerida.
Marzo 2015
Plan de Pruebas
• Su objetivo es medir efectividad y capacidad del plan
Contiene:
o Todos los aspectos a probar (Secuencia o fases, prioridad, logística, aspectos técnicos, RR.HH),
o Criterios de aceptación, resultados esperados,
o Revisión preliminar, Simulación (Dry run), Prueba real.
• Todo el personal involucrado debe ser entrenado.
Prueba y Mantenimiento
Mantenimiento y mejora continua del plan
• Un único responsable con autoridad necesaria para:
o Requerir y obtener de todas las áreas los ajustes que aseguren la vigencia del plan,
o Realizar las revisiones periódicas de cada uno de los planes de continuidad del negocio, y el entrenamiento requerido.
• La periodicidad con la que realizará la revisión, pruebas subsiguientes y auditorias.
Marzo 2015
Factores críticos de éxitoDesarrollo del BCP
• Involucramiento y compromiso del Senior Management,
• Liderazgo preferiblemente en el negocio,
• Los resultados del BIA y la definición de estrategia debe ser aprobada por el Sr. Management,
• Es un proyecto de toda la Empresa – No es un proyecto de IT,
• IT es clave, pero es sólo una parte,
• Presentación niveladora en conceptos de BCP, y entrenamiento continuo,
• Se deben utilizar técnicas de Gestión de proyectos (PMI – Prince2 - PMO),
• Todos los procedimientos o especificaciones técnicas requeridas por el proyecto deberían ser confeccionas por personal de la empresa,
• Los consultores externos participan fuertemente en las primeras etapas, acompañan durante el desarrollo y auditan pruebas,
• El proyecto y el plan deben contar con criterios de aprobación formales,
• La responsabilidades deben especificarse claramente.
Marzo 2015
Síntesis
Beneficios esperados
• Contar con una solución de continuidad para la producción y entrega de productos o servicios de la compañía después de la ocurrencia de un incidente,
• Potenciar la obtención de nuevos negocios por contar con un BCP,
• Disminución de la prima de seguros por pérdidas de beneficios,
• Previene sobre-inversión o inversión inefectiva,
• Disminución de la exposición a riesgos y pérdidas en el Negocio,
• Toma de decisiones rápidas, controladas y probadas ante las contingencias,
• Contar con una solución que permita evitar la interrupción y que facilite la rápida recuperación de la infraestructura tecnológica en caso de ocurrir un incidente o un desastre.
Para ello hemos considerado
Marzo 2015
Para mayor información:
Lic. Cristián P. Fourcade
Para descargar esta presentación visite www.segurinfo.org
Los invitamos a sumarse al grupo “Segurinfo” en