gestión de continuidad del negocio
DESCRIPTION
Gestión de Continuidad del Negocio - GCN, necesidad, hechos, marco metodológico de referencia, justificación económica, pasos para implementar la GCNTRANSCRIPT
Fernando De los Ríos
Director Gerente [email protected]
Gestión de Continuidad del Negocio:
Compartiendo Experiencias
Lima, 28 de Mayo de 2014
PERÚ
CIO Perú – GCN, 28/05/14 Pág. 2 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ
Fernando De los Ríos, Asesor Cognotek Procesos de Negocio, Gobierno y Gestión de TI
Cencosud / E.Wong Sistemas de Información
Telefónica – Perú Infraestructura Tecnológica Desarrollo de Sistemas PA2K
Banco Latino Proyectos de Sistemas Pruebas de Software Oficial de Seguridad de Información Servicios Generales
Hobbies La lectura, pasión por la tecnología, su evolución y aplicación práctica a la vida diaria, y la práctica del squash. www.cognotek.net
CIO Perú – GCN, 28/05/14 Pág. 4 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ ¿Estamos preparados para …??
CIO Perú – GCN, 28/05/14 Pág. 5 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ ¿O para…?
CIO Perú – GCN, 28/05/14 Pág. 6 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ ¿Estamos atentos a nuestro entorno?
CIO Perú – GCN, 28/05/14 Pág. 7 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ ¿Cuáles son los desafíos actuales?
CIO Perú – GCN, 28/05/14 Pág. 8 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Recordemos…
Jeolla – Corea del Sur, 27 de mayo 2014.- Un incendio en hospital rural cobró la vida de al
menos 21 personas e hirió a muchas otras, algunas de gravedad.
Soma, Manisa – Turquía, 13 de mayo 2014.- Un incendio provocado por la explosión de un
transformador en una mina de carbón ocasionó > 274 muertes.
Gwaechon – Corea del Sur, 20 de abril 2014.- Un incendio en un data center de Samsung
provoca errores en terminales de todo el mundo.
Lima, 14 de diciembre 2013.- Usuarios de Claro reportan caída masiva de su sistema de
telefonía móvil.
Caracas, 22 de noviembre 2013 – Noticias24.- Usuarios de Twitter reportaron que en la
Torre IBM, ubicada en la Av. Ernesto Blohn de Chuao, hay un incendio desde la 1:00pm.
Cercado de Lima, 28 de julio 2000.- Vándalos rompían lunas, prendían fuego y arrojaban
bombas incendiarias al interior del Banco de la Nación.
Cercado de Lima, 20 de marzo 1999.- Se produjo un incendio en el edificio del Data Center
(Nicolás de Piérola) de Telefónica.
Lima, xx de xxxxx de xxxx.- (Nuestra empresa) sufrió una corte de servicio debido a....
CIO Perú – GCN, 28/05/14 Pág. 9 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Encuesta de Symantec – 2012
Muestra 2,053 Organizaciones 30 países
NAM 2 (500) LATAM 14 (250) EMEA 5 (503) APJ 9 (800)
Copyright © 2012 Symantec Corporation. All rights reserved.
CIO Perú – GCN, 28/05/14 Pág. 10 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Cómo se deben preparar las empresas
Requieren gestionar
la Continuidad del
Negocio
CIO Perú – GCN, 28/05/14 Pág. 11 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Definición
Qué es Gestión de la Continuidad del Negocio
Es un proceso de gestión integral para
establecer y mantener un plan que
permita al Negocio y a TI responder a
incidentes e interrupciones de
servicio para la operación continua de
los procesos críticos para el negocio y
los servicios de TI requeridos, y
mantener la disponibilidad de la
información a un nivel aceptable para la
empresa.
CIO Perú – GCN, 28/05/14 Pág. 12 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Definición
Qué NO es Gestión de la
Continuidad del Negocio
Un trabajo solo para el equipo de TI
Solo un Plan de continuidad del negocio
Un trabajo / esfuerzo de una sola vez
CIO Perú – GCN, 28/05/14 Pág. 13 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Dependencias de una Organización
Disponibilidad de los Sistemas (aplicaciones, datos,
redes de comunicaciones, etc.)
Organización
Proveedores
Subcontratistas
Suministradores
Clientes /
Usuarios
Distribuidores
Dependencia de Infraestructura (energía,
telecomunicaciones, etc.)
CIO Perú – GCN, 28/05/14 Pág. 14 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Dependencias de una Organización
CIO Perú – GCN, 28/05/14 Pág. 15 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Marco Metodológico
CIO Perú – GCN, 28/05/14 Pág. 16 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Procesos COBIT5
Procesos de Gobierno de TI Empresarial
Evaluar, Dirigir y Monitorear
Procesos de Gestión de TI Empresarial
Alinear, Planear y Organizar
APO01
Gestionar el
Marco de
Gestión de TI
APO02
Gestionar la
Estrategia
APO03
Administrar la
Arquitectura
Empresarial
APO06
Gestionar los
Costos y el
Presupuesto
APO04
Gestionar la
Innovación
APO05
Gestionar la
Cartera
APO07
Gestionar los
Recursos
Humanos
APO08
Gestionar
las
Relaciones
APO09
Gestionar los
Acuerdos de
Servicios
APO10
Gestionar a los
Proveedores
APO11
Gestionar la
Calidad
APO12
Gestionar
el Riesgo
APO13
Gestionar la
Seguridad
Construir, Adquirir e Implementar
BAI01
Gestionar
Programas y
Proyectos
BAI02 Gestionar la
Definición de
Requerimientos
BAI03 Gestionar la
Identificación y
Construcción de
Soluciones
BAI06
Gestionar los
Cambios
BAI04 Gestionar la
Disponibilidad y
Capacidad
BAI05 Gestionar la
Habilitación del
Cambio
Organizacional
BAI07 Gestionar la
Aceptación y
Transición de los
Cambios
BAI08
Gestionar el
Conocimiento
BAI09
Gestionar los
Activos
BAI10
Gestionar la
Configuración
Operación, Servicio y Soporte
DSS01
Gestionar las
Operaciones
DSS02 Gestionar los
Requerimientos de
Servicio e Incidentes
DSS03
Gestionar los
Problemas
DSS06 Gestionar los
Controles de los
Procesos de Negocio
DSS04
Gestionar la
Continuidad
DSS05 Gestionar los
Servicios de Seguridad
Monitorear, Medir y
Evaluar
MEA01 Monitorear, Medir
y Evaluar el Rendimiento
y la Conformidad
MEA02 Monitorear,
Medir y Evaluar el
Sistema de Control
Interno
MEA03 Monitorear, Medir y
Evaluar el Cumplimiento de
los Requerimientos
Externos
EDM01 Asegurar el
Establecimiento y
Mantenimiento del
Marco de Gobierno
EDM02 Asegurar
la Optimización
del Valor
EDM03 Asegurar
la Optimización
del Riesgo
EDM04 Asegurar
la Optimización
de los Recursos
EDM05 Asegurar
la Transparencia
a los
Stakeholders
CIO Perú – GCN, 28/05/14 Pág. 17 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Gestionar la Continuidad (DSS04)
OBJETIVOS MÉTRICAS
► Información crítica disponible
según los niveles de servicio
mínimos requeridos
► Servicios críticos robustos
► Pruebas de efectividad del plan
► Plan de continuidad actualizado
► Stakeholders capacitados en el
plan
► % servicios TI que cumplen con la
disponibilidad requerida
► % restauraciones ok
► % back-ups transferidos y
almacenados de manera segura
► # sistemas críticos no cubiertos
en el plan
► # ejercicios y pruebas exitosas
► Frecuencia de pruebas
► % mejoras incorporadas al plan
► % stakeholders capacitados
► % de mejoras incorporadas en la
capacitación
CIO Perú – GCN, 28/05/14 Pág. 18 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Gestionar la Continuidad (DSS04)
PRÁCTICAS DE GESTIÓN SALIDAS / ENTREGABLES
► Definir la política de continuidad del
negocio, objetivos y alcance
► Mantener una estrategia de continuidad
► Desarrollar e implementar una respuesta a
la continuidad del negocio
► Ejecutar, probar y revisar el PCN
► Revisar, mantener y mejorar el PCN
► Proporcionar capacitación en el PCN
► Gestionar acuerdos de respaldo
► Ejecutar revisiones post-reanudación
► Políticas y objetivos de continuidad del negocio
► Escenarios de incidentes que causan una interrupción
► Valoraciones de las capacidades actuales y vacíos de
continuidad
► Análisis de impacto en el negocio
► Requerimientos de continuidad
► Opciones estratégicas aprobadas
► Acciones y recomendaciones de respuesta a incidentes
► Plan de Continuidad del negocio (PCN)
► Pruebas de objetivos
► Pruebas de ejercicios
► Pruebas de resultados y recomendaciones
► Resultados de las revisiones de los planes
► Cambios recomendados a los planes
► Requerimientos de capacitación
► Resultados de la supervisión de habilidades y competencias
► Probar los resultados de las copias de seguridad de los datos
► Informe de revisión post-reanudación
► Cambios aprobados a los planes
CIO Perú – GCN, 28/05/14 Pág. 19 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Secuencia de Eventos de un Incidente
Línea de Tiempo
Recuperación / Reanudación a Operación Normal
Respuesta al Incidente
Continuidad del Negocio
Incidente Objetivo General de Recuperación:
Retornar a la normalidad lo antes posible
De minutos a horas:
- Identificar al personal y
terceros afectados
- Atender víctimas
- Contener / limitar
daños
- Evaluar daños
- Invocar al PCN
De minutos a días:
- Contactar al personal,
clientes, proveedores,
etc.
- Restablecer procesos
críticos de negocio
- Reconstruir el trabajo
perdido
De semanas a meses:
- Reparación de daños
- Reubicación al lugar de trabajo permanente
- Recuperación de gastos de las aseguradoras
CIO Perú – GCN, 28/05/14 Pág. 20 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Gestión de Continuidad del Negocio GCN
CICLO DE VIDA
Entender la
Organización
Definir la
estrategia
de GCN
Desarrollar e
implementar
el PCN
Entrenar,
mantener y
revisar
Administración
del Programa
de GCN
CIO Perú – GCN, 28/05/14 Pág. 21 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Gestión de Continuidad del Negocio GCN
Administración del
Programa GCN
► Alcance de la GCN
► Acuerdo y firma de políticas
► Identificación y compromiso de
las partes interesadas
(stakeholders)
► Acuerdo sobre el enfoque
► Roles y responsabilidades
► Considerar el uso de una
herramienta de SW
Entender a la
Organización
► Identificar los productos y servicios clave y las
actividades críticas que los soportan
► Identificar los objetivos, obligaciones y
deberes de la organización
► Identificar las actividades, activos y recursos
de soporte
► Evaluar el impacto de fallos en las
actividades, activos y recursos (BIA)
► Identificar y evaluar las amenazas
► Identificar todas las interdependencias de las
actividades
► Entender la fortaleza de los terceros
CIO Perú – GCN, 28/05/14 Pág. 22 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Gestión de Continuidad del Negocio GCN
Entender a la
Organización
Línea de Tiempo
Nivel de
Servicio Nivel de Servicio Normal
Mínimo Nivel de Servicio
TOR
TMCS
Plan de Gestión de Incidente
Plan de Continuidad del Negocio TMCS: Tolerancia Máxima de Corte de Servicio
TOR: Tiempo Objetivo de Restablecimiento
OK!
CIO Perú – GCN, 28/05/14 Pág. 23 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Gestión de Continuidad del Negocio GCN
Entender a la
Organización
Línea de Tiempo
Nivel de
Servicio Nivel de Servicio Normal
Mínimo Nivel de Servicio
TOR
TMCS
Plan de Gestión de Incidente
Plan de Continuidad del Negocio TMCS: Tolerancia Máxima de Corte de Servicio
TOR: Tiempo Objetivo de Restablecimiento
Desastre!!
CIO Perú – GCN, 28/05/14 Pág. 24 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Gestión de Continuidad del Negocio GCN
Definir la
Estrategia de GCN
► Definir una estructura de respuesta a
incidentes habilitando una respuesta y
recuperación efectiva
► Identificar los plazos y niveles de
servicio después de una disrupción del
servicio
► Acordar los plazos para restablecer los
niveles de servicio normales
► Gestionar a las partes interesadas
► La estrategia puede variar, producto de
una revisión de eventos externos o
internos
Desarrollar e
Implementar el PCN
► Alineado a los objetivos de la estrategia
de la GCN de la organización
► Desarrollo de planes para gestionar de
manera efectiva un corte del servicio
hasta contenerlo
► Crear planes de continuidad del
negocio diseñados para facilitar el
restablecimiento de las actividades
críticas
► Planes detallados incluyendo personas,
comunicaciones, roles y
responsabilidades, locaciones,
recursos, etc.
CIO Perú – GCN, 28/05/14 Pág. 25 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Gestión de Continuidad del Negocio GCN
Entrenar,
mantener y revisar
► Valida la efectividad de los
planes
► Asegura el entendimiento de
los planes, roles y
responsabilidades
► Identifica oportunidades de
mejora
► Mantiene la relevancia de
los planes como resultado
de cambios en el negocio
► Diferentes tipos de ejercicios:
► Comprobación de puestos de trabajo
► Revisión de instalaciones
► Simulaciones
► Componentes / actividades
► Prueba completa
► Apoyos al ejercicio
► Programas de sensibilización
► Desarrollo de competencias
CIO Perú – GCN, 28/05/14 Pág. 26 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Planificar – Hacer – Verificar – Actuar
Planificar :
Establecer
Hacer :
Implementar
y Operar
Verificar :
Monitorear y
Revisar
Actuar :
Mantener y
Mejorar
Partes
Interesadas
Requisitos
para la
Continuidad
del Negocio
Partes
Interesadas
Continuidad
del Negocio
Gestionada
Mejora Continua del Sistema de Gestión
de Continuidad del Negocio (SGCN)
CIO Perú – GCN, 28/05/14 Pág. 27 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Consideraciones a Tener en Cuenta
► Compromiso de la Alta Dirección
► Compromiso e involucramiento de las
áreas de negocio
► NO es un proyecto de TI
► Arquitectura empresarial
► Arquitectura tecnológica
► Utilizar una herramienta de SW para
la GCN
► Hablar el idioma de los clientes /
usuarios: $$$
► Justificación viene por la parte
económica – Análisis de Impacto
► Foco en los procesos críticos de
negocio
► Procesos y procedimientos de
contingencia: manuales o automáticos
► Capacitación constante
► Actualización de planes, incorporar
mejoras y difundirlas
► Comunicación, comunicación,
comunicación
► Monitoreo de métricas sugeridas
► Asegurar que respaldos funcionan
► Almacenar respaldos en otro site
► Probar, probar, probar
► Automatizar pruebas de
transferencia automática de fuente
de energía (comercial / grupo elect)
► Contratar servicios de diferentes
proveedores (datos, energía)
► El PCN es un documento vivo y se
debe mantener como tal
CIO Perú – GCN, 28/05/14 Pág. 28 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Justificación Económica
► En función a los ingresos de la empresa
► En función a los costos de operación
Ejemplo
► Empresa “A” tiene ingresos por S/.250M / año
Ingresos por hora de empresa “A”
250M / 52 sem / 5 días / 12h = S/.80,128 / h
► Empresa “A” tiene 1,250 empleados
Remuneración mensual promedio de un
empleado S/.3,500
Costo por hora de 1 empleado
3,500 x 1.5 / 22 / 8 = S/.30 / h
Costo por hora de 1,250 empleados
1,250 x 30 = S/.37,500 / h
Un corte de servicio de 2 horas le
cuesta a la empresa:
2 x (80,128+37,500) = S/.235,256
1 día sin servicio le cuesta:
(12 x 80,128) + (8 x 37,500)
= S/.1,261,536
CIO Perú – GCN, 28/05/14 Pág. 29 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Beneficios de un SGCN
► Preserva los intereses de los stakeholders
► Mejora el resultado operacional de la
empresa:
► Reduce riesgos, se traduce en reducción de costos.
► Reduce tiempos de inactividad.
► Mejora la competitividad.
► Mayor eficacia operativa: reingeniería de
negocios
► Proteje los bienes materiales y el
conocimiento (know-how) del negocio
► Mejora en el cumplimiento de las
legislaciones de Seguridad y Salud
► Mejora la seguridad global
CIO Perú – GCN, 28/05/14 Pág. 30 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Conclusiones
► Los desafíos actuales demandan que las
empresas tengan una GCN
► La GCN es responsabilidad de la Alta
Dirección
► El aporte de TI a la GCN es fundamental
► Visión holística:
► Partes interesadas
► Procesos críticos de negocio
► Facilidades / optimizar uso de recursos
► Contratos
► Obligaciones
► Proveedores de servicios públicos
► Marco metodológico
► COBIT 5
► ISO 22301 / BS 25999
► ITIL v3
► ISO 27002
► Velocidad de respuesta para restablecer
los procesos críticos
► Respuesta al incidente – TMCS
► Continuidad del negocio
► Recuperación / restablecimiento a las condiciones
normales de operación (BAU)
► Ciclo de vida de la GCN
► Entender la organización
► Definir la estrategia
► Desarrollar e implementar el PCN
► Entrenar, mantener y revisar
► Evaluar el uso de un software (nube)
► Hablar el idioma del usuario $$$
► Nuevos sistemas: incorporarlos desde la
planificación en la GCN
► Capacitar, capacitar, capacitar
► Probar, probar, probar
► Entrenar, entrenar, entrenar
CIO Perú – GCN, 28/05/14 Pág. 31 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Estar atentos a los riesgos
CIO Perú – GCN, 28/05/14 Pág. 32 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ En resumen…. Estar Preparados!!
Cuanto más se suda en la paz,
menos se sangra en la
guerra
CIO Perú – GCN, 28/05/14 Pág. 33 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Estándares existentes
ISACA: COBIT5
ISO 22301
ANSI/ASIS/BSI BCM.01:2010 Business Continuity Management Systems
British Standards Institute: BS 25999, Parts 1 and 2: Business Continuity
National Fire Protection Association: NFPA 1600:2010 Standard on Disaster / Emergency Management and Business
Continuity Programs
ASIS International: ASIS SPC.1-2009: Organizational Resilience: Security, Preparedness, and Continuity Management
Systems – Requirements with Guidance for Use
Australia / New Zealand Standard AS/NZS 5050: Business Continuity – Managing disruption-related risk
Singapore Standard SS540: Business Continuity Management
Canadian Standard: CSA Z1600: Emergency Management and Business Continuity Programs
Government of Japan BCP Guideline
Japanese Corporate Code – BCP
ISO 24762: Information Technology – Security Techniques – Guidelines for information and communications
technology disaster recovery services
National Association of Stock Dealers: NASD 3510/3520: Business Continuity Plans and Emergency Contact
Information
National Institute of Standards and Technology: NIST SP 800-34: Contingency Planning Guide for Federal Information
Systems
New York Stock Exchange: NYSE Rule 446: Corporate-Wide BCP
CIO Perú – GCN, 28/05/14 Pág. 34 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ Enlaces de Interés
www.isaca.org/cobit
www.iso.org
www.25999.info
http://www.cirmagazine.com/cir/reports/BCSoftwareReport2013-14.pdf
https://drii.org/
http://www.fema.gov/es
http://www.pas56.com/
www.london.gov.uk/sites/default/files/guide-for-small-businesses.pdf
www.gov.uk/government/uploads/system/uploads/attachment_data/file/1
37994/Business_Continuity_Managment_Toolkit.pdf
http://www.slideshare.net/symantec/2012-smb-disaster-preparedness-
survey-global-results-may-2012
CIO Perú – GCN, 28/05/14 Pág. 35 ©Cognotek, 2014 www.cognotek.net [email protected]
PERÚ
Fernando De los Ríos [email protected]
www.cognotek.net
www.linkedin.com/fernandelos
@fernandelos
www.slideshare.net/fernandelos