x reunión de responsables de sistemas de información. iimv · la importancia de disponer de un...
TRANSCRIPT
Políticas de continuidad del servicio: Planes de Contingencia
Francisco Javier Nozal Millán
DIRECTOR DE SISTEMAS DE INFORMACIÓN
X Reunión de Responsables de Sistemas de Información. IIMV
La Antigua, Guatemala, septiembre de 2008
IntroducciónPlanes de Contingencias
- Gestión del Riesgo y Análisis del impacto de la actividad- Gestión de situaciones de crisis y Marco de Gobierno de la Continuidad- Planes de recuperación- Documentación, Implantación, Pruebas y Mantenimiento
Plan de Contingencias de la CNMV- Situación y Presupuestos- Organización- Planes de Recuperación- Centros alternativos de Usuarios y de IT- Dotación y situación de los Centros alternativos
Políticas de continuidad del servicio: Planes de Contingencia
La importancia de la continuidad del servicio:
- La supervisión del sector financiero requiere la actuación en todo momento y circunstancia
- Se enmarca dentro de la estabilidad financiera general del país
- Es obligada por las organizaciones internacionales en el marco de la estabilidad financiera global
- Al soportarse el servicio en administración electrónica se requier continuidad 24 X 7
- Solo se garantiza con políticas previas de continuidad
Introducción
Políticas de continuidad del servicio: Planes de Contingencia
La importancia de disponer de un Plan de Contingencias
- Hay que desarrollarlo en un largo periodo de meses
- Con medios propios o con consultoría externa
- Involucra a medios humanos, físicos y procedimentales
- Hay que documentarlo, implantarlo y probarlo
- Concienciar y formar a la organización y mantener el Plan
Introducción
Políticas de continuidad del servicio: Planes de Contingencia
Plan de Contingencias:
Gestión del Riesgo
- Objetivos, compromisos, responsabilidades y entorno
- Procesos, actividades, activos y recursos
- Análisis de Riegos ante amenazas
Análisis del impacto de la actividad
- Procesos críticos de la actividad
- Determinar prioridades ante la contingencia
Políticas de continuidad del servicio: Planes de Contingencia
Plan de Contingencias:
Gestión de situaciones de crisis
- Procedimiento de Alerta
- Evaluación de la Incidencia
- Declaración de desastre Planes de Recuperación
Marco de Gobierno de la continuidad
- Comité de Continuidad
- Comité de Apoyo
Políticas de continuidad del servicio: Planes de Contingencia
Políticas de continuidad del servicio: Planes de Contingencia
Procedimiento de Gestión de Crisis
Políticas de continuidad del servicio: Planes de Contingencia
Procedimiento de Alerta
Responsable
Empleado
Seguridad
Acción / Procedimiento
Procedimientode Alerta Utilización de
ProcedimientosHabituales
Aviso al Comité de Continuidad (Presidente)
Resultado
¿Incidente afecta sólo a los Sistemas de Información?
No
Dirección de Sistemas de Información
Sí A. Comunicación de la incidencia
B. Valoración de la incidencia
C. Comunicación de la situación
Políticas de continuidad del servicio: Planes de Contingencia
Procedimiento de Evaluación
Responsable
Procedimientode Evaluación
Aviso al Coordinador del Comité deContinuidad
Aviso a los Órganos de Gobierno
Presidente del Comité de Continuidad
Aviso al Comité de Continuidad (Presidente)
Procedimiento de Alerta
Procedimiento de Evaluación
Acción / Procedimiento Resultado
A. Evaluación de la situación
B. Comunicación de la decisión
Plan de Contingencias:
Planes de Recuperación
- Recuperación de procesos críticos ante las situaciones de contingencia consideradas
- Detallar y documentar perfectamentelos procedimientos de recuperación
- Siempre hay una parte importante de “Sistemas de Información”
- Implantar los requerimientos físicos
Políticas de continuidad del servicio: Planes de Contingencia
Plan de Contingencias:
Planes de Recuperación: Prueba y Mantenimiento
- Probar los Planes de recuperación- medir viabilidad y eficacia de los planes- valorar rendimiento de los procedimientos- formar al personal en las gestión de las crisis
- Mantener y actualizar los Planes, para que sean efectivos y duraderos
- Contemplar la Formación y Divulgación entre el personal. Cultura de seguridad
Políticas de continuidad del servicio: Planes de Contingencia
Plan de Contingencias de la CNMVSituación
- Plan parcial de Sistemas de Información. 2000- Plan general abordado en 2007- Elaboración con apoyo externo- Adquisiciones e implantación en 2008 - Primeras pruebas reales en 2009
Presupuesto- Inversiones: Dotaciones informáticas para centro IT principal, de
respaldo y centro alternativo de usuarios ............ 1.400.000 euros- Gastos corrientes: .................................. 550.000 euros/año
- arrendamiento centro IT de respaldo, centro alternativo de usuarios y asistencia técnica ............................. 240.000 euros/año
- comunicaciones de unión ...215.000 euros/año- auditorías de redes .................100.000 euros/año
Políticas de continuidad del servicio: Planes de Contingencia
32 Procesos críticos / distinta Criticidad
- 15, recuperación entre 0 y 3 horas
- 9, recuperación entre 3 y 12 horas
- 5, recuperación entre 12 y 24 horas
- 3, recuperación entre 24 y 48 horas
- 6, recuperación > 48 horas
Plan de Contingencias de la CNMV
Políticas de continuidad del servicio: Planes de Contingencia
- 32 Procesos críticos
- 85 puestos de trabajo necesarios ante contingencia
- 4 escenarios de contingencia
- 2 Planes específicos de recuperación
Plan de Contingencias de la CNMV
Políticas de continuidad del servicio: Planes de Contingencia
Políticas de continuidad del servicio: Planes de Contingencia
Los posibles escenarios de contingencia que se han contemplado son los siguientes:
•PÉRDIDA DE LOS SISTEMAS DE INFORMACIÓN DE LA CNMV.•IMPOSIBILIDAD DE ACCESO AL EDIFICIO PRINCIPAL DE LA CNMV.•IMPOSIBILIDAD DE ACCESO AL EDIFICIO SECUNDARIO DE LA CNMV.•IMPOSIBILIDAD DE ACCESO A AMBOS EDIFICIOS DE LA CNMV.
Los Planes de Recuperación específicos desarrollados para cada uno de los escenarios anteriores son dos:
•PLAN DE RECUPERACIÓN POR PÉRDIDA DE SISTEMAS DE INFORMACIÓN.•PLAN DE RECUPERACIÓN POR INACCESIBILIDAD A LOS EDIFICIOS DE LA CNMV (incluye los tres últimos escenarios anteriores).
Políticas de continuidad del servicio: Planes de Contingencia
PRESIDENTE2 •
COORDINADOR
RESPONSABLE DE SISTEMAS
RESPONSABLE DE SEGURIDAD FÍSICA Y SERVICIOS GENERALES
RESPONSABLE DE CONTROL INTERNO
RESPONSABLE DE GABINETE DE PRESIDENCIA
SECRETARIO
Comité Permanente de Continuidad
Políticas de continuidad del servicio: Planes de Contingencia
Planes de Recuperación
- Totalmente documentados, con todos los procedimientos a seguir
- Gestionados por el Comité de Contingencias y por el Grupo de Apoyo a la Contingencia
- Se basan en la implantación previa de dos importantes infraestructuras:
- Centro de Tecnologías de la Información (IT) de Respaldo
- Centro alternativo de Usuarios
Políticas de continuidad del servicio: Planes de Contingencia
Centro alternativo de Usuarios
- 350 m2 con 85 puestos de trabajo, en tres áreas
- Sala de Consejo de la CNMV
- Sala de Comité de Continuidad
- Sala de secretarias
- Sala de equipamiento, comunicaciones y auxiliar informática
- Cocina y otros
Políticas de continuidad del servicio: Planes de Contingencia
Centro alternativo de Tecnologías de la Información (IT)
- 20 m2 en “Jaula” diferenciada, en sala de edificio de alta seguridad y con continuidad asegurada.
- Equipamiento informático totalmente redundadocon centro IT Principal (en sede CNMV)
- Servidores de base de datos y 15 servidores independientes en cada centro- Almacenamiento en SAN de 12 Teras en cada centro. Copia remota Síncrona- Chasis “blade” para virtualización de 19 servidores en cada centro
- Redundancia: 70 % “on line”, 30 % “off line”
Políticas de continuidad del servicio: Planes de Contingencia
Dotación y situación de los Centros alternativos
- Diseño realizado por la CNMV con OK de empresa consultora
- Arrendamiento de locales frente a centros propios
- Concurrencia limitada con expediente secreto, para:- “Jaula” de 20 m2 en edificio de alta seguridad, como centro IT- Oficina de 350 m2 para centro Usuarios en mismo edificio(6-25 Km)
- Asistencia técnica para monitorización de centro IT- Dotaciones informáticas para centro IT, Principal y de Usuarios- Comunicaciones redundantes entre Centros IT y Principal
-Centro de Usuarios finalizado, centro IT en instalación
ESTRUCTURA GENERAL DE RED DE COMUNICACIONES
JULIO - 2008 ESQUEMA 1
Políticas de continuidad del servicio: Planes de Contingencia