Continuidad de Negocios y Recuperación ante Desastres

Plan de Continuidad de Negocios vs Plan de Recuperación ante desastres
Definiciones

• Plan de Continuidad de Negocios:  
• Es el proceso desarrollado para prevenir interrupciones que afecten el desempeño de las actividades normales del Negocio.
• En caso que un evento de Riesgo no pueda ser evitado, este plan debe tender minimizar su impacto (duración y económico).
• Tiene un alcance Operativo y Tecnológico.
• Plan de Recuperación ante Desastres:
• Es el proceso de retomar el desarrollo normal del Negocio, luego de declarado un evento que afecta la continuidad del mismo.
• Generalmente está focalizado en los aspectos Tecnológicos.

Linea de Tiempo de una Contingencia

Administración de la Continuidad de Negocios

Aspectos de la administración de la continuidad de los negocios:

1.- Definir Estrategia de Continuidad

• Comprensión de los riesgos que enfrenta la organización en términos de probabilidad de ocurrencia de impacto; 
• Comprensión del impacto que una interrupción puede tener en los negocios y definición de los objetivos comerciales de las herramientas de procesamiento de información; 
• Considerar la contratación e seguros que podrían formar del proceso de continuidad de negocio;
• Elaboración y documentación de una estrategia de continuidad de los negocios consecuente con los objetivos y prioridades de los negocios acordados; 
• Elaboración y documentación de planes de continuidad del negocio de conformidad con la estrategia de continuidad acordada; 
• Pruebas y actualización periódicas de los planes y procesos implementados; 
• Garantizar que la administración de la continuidad de los negocios esté incorpora a los procesos y estructura de la organización.

Definición de Escenarios de Contingencia

Ejemplos de Escenarios:

• Incidentes que puedan causar daño físico en alguno de los pisos donde laboran las áreas, impidiendo el acceso o uso de las instalaciones. 
• Incidentes que puedan afectar directamente el acceso a las instalaciones tal como: Atentado de bomba, un atentado externo tal como un fuego cerca de la instalación ó desordenes públicos. 
• Impedimentos o desastres regionales no esperados tales como Terremotos, que afecten el sector del Centro de la Ciudad. 
• Incidentes externos o internos, que potencialmente podría causar una interrupción en el negocio, tal como pérdida de potencia o del servicio de telecomunicaciones. 
• Incidentes que podrían afectar el cumplimiento de los labores de los funcionarios, tales como huelgas, cortes de servicio de transporte, desastres naturales, etc.

 2.- Análisis de Impacto (BIA)

La continuidad de los negocios debe comenzar por la identificación de eventos que puedan ocasionar interrupciones en los procesos de los negocios.

• El objetivo es determinar que impacto (ojalá económico) podría legar a tener un desastre sobre las funciones críticas del negocio.

Consideraciones del Análisis de Impacto

Obtener información sobre los procesos internos de la compañía.  Montos y Cantidad de sus Transacciones  Existencia a SLA’s  Consecuencias directas o indirectas de no disponer del proceso.  ¿Es regulatorio?; ¿Reputacional? Determinar período crítico de cada procesos y función.  Determinar máximo tiempo de falla tolerable por cada proceso crítico.  Priorizar procesos y funciones en función de su máximo tiempo de falla tolerable (MTF).  Documentar las conclusiones y recomendaciones para cada proceso o función.

3.- Estrategia de Recuperación

Corresponden a las acciones predefinidas a tomar con el objetivo de restablecer las operaciones del negocios, en el plazo determinado, una vez que ocurra alguna interrupción o falla en los procesos o funciones críticas.

Estrategia de Recuperación

Las Operaciones pueden ser interrumpidas por diferentes maneras:

Perdidas de Datos: El foco en este caso es recuperar la información.   Terrorismo  Sabotaje  Robo  Virus  Programas Malignos
	Medidas de prevención Tomar Respaldos (Backup)   Reguardo Externos  Copiado remoto de datos  Clonar Discos (Snapshot)  Antivirus

Estrategia de Recuperación

• Interrupciones Operacionales: La interrupción es causada por la pérdida de algún tipo de equipamiento. 
• Fallas de hardware 
• Fallas eléctricas 
• Fallas de discos o memorias 
• Robos de hardware
• Medidas de prevención  
• Datacenter de contingencia 
• Equipamiento redundante 
• Manejo de redundancia en almacenamiento. 
• Fuentes de energía de respaldo (grupos electrógenos)
• Interrupciones de instalaciones o suministros: 
• Incendios 
• Inundaciones 
• Tornados o vientos fuertes 
• Problemas de ventilación del calor y aire acondicionado 
• Problemas de Telecomunicaciones
• Medidas de prevención 
• Datacenter de contingencia 
• Emplazamientos adecuados. 
• Protección fachadas, ventanas, puertas. 
• Detectores de incendios 
• Uso de materiales ignífugos 
• Revisión de conductos de agua y drenajes 
• Verificar manejo del material de desecho
• Interrupciones al Negocio: 
• Perdidas de personal 
• Huelgas 
• Perdidas o inhabilitación de espacios físicos 
• Fallas en los proveedores
• Medidas de prevención 
• Entrenamiento en labores críticas 
• Duplicidad de cargos y funciones 
• Capacitación 
• Definición de usos de espacios alternativos 
• Uso de proveedores alternativos

Para evaluar las estrategias a utilizar se debe:

1. Documentar todos los costos para cada alternativa. 
2. Obtener estimación de cualquier servicio externalizado que podría ser necesario. 
3. Desarrollar acuerdos con proveedores de servicios. 
4. Evaluar que alternativa de recuperación son posibles en caso de perdida completa de las instalaciones (peor caso). 
5. Registrar y analizar las estrategias seleccionadas con la gerencia.

Período máximo de paro de una empresa sin poner en peligro su supervivencia:

Sector Seguros: 5,6 días Sector Fabricación: 4,9 días  Sector Industrial: 4,8 días  Sector Distribución: 3,3 días  Sector Financiero: 2,0 días

Ref. Estudio de la Universidad de Minnesota (1996)

4.- Diseño y Desarrollo del Plan

• Preparar y documentar un plan detallado para la recuperación de los sistemas y procesos críticos del negocio.  
• Este plan debe ser una guía de implementación (responder el “que hacer”, no el “como hacerlo”). 
• Debe incluir: 
• Identificación de funciones críticas y priorización de la restauración. 
• Identificación de sistemas que son necesarios por las funciones críticas. 
• Estimación del daño potencial y calculo de los recursos mínimo para recuperar los servicios. 
• Selección de estrategia de recuperación y determinación de personal crítico para la recuperación.  
• Determinar quien administrará la restauración y prueba de los procesos. 
• Calcular los fondos necesarios y administración necesaria para cumplir el este objetivo.

5.- Pruebas y Mantenimiento

• Las pruebas del plan son extremadamente críticas, dado que sin ellas no podemos evaluar si el plan funcionará o no. 
• Existen 5 posibilidades de pruebas: 
• Checklist: Consiste en distribuir copias del plan a todos los involucrados, los cuales deben revisar el plan y aceptarlo. No es una prueba formal, pero siempre es un buen comienzo. 
• Discusión en mesa redonda (tabletop): Consiste en reunir a todos los involucrados y seguir el plan línea por línea. Este mecanismo permite descubrir dependencia o relaciones entre los distintos departamentos. 
• Ensayo (walkthrough): Esta es una simulación en terreno de la contingencia, siguiendo paso a paso el plan. Permite comprobar que todos los involucrados pueden cumplir con su deber. 
• Funcional: Permite aplicar el plan de contingencia, moviendo los servicios a un sitio alternativo (el cual queda corriendo en paralelo). 
• Interrupción Total: Consiste en interrumpir intencionalmente el servicio productivo y aplicar el plan de contingencia. Esta es claramente la alternativa de mayor costo y consumidora de tiempo.

Necesidad de Entrenamiento
Además de las pruebas, es necesario un programa de entrenamiento que entregue la información y la capacitación del personal adscrito al plan. Deben realizarse cursos que deben de contemplar en detalle los siguientes aspectos:

• Descripción general del plan.  
• Funciones y obligaciones del personal adscrito a cada uno de los equipos de emergencias.
• Descripción de las posibles emergencias que pueden afectar a organización.

Mantenimiento y Reevaluación del Plan

Para lograr que el plan se mantenga actualizado y permita la recuperación ante un desastre, es necesario documentar las responsabilidades de su mantenimiento, elaborando una matriz que indique para cada una de las secciones del plan:

• El responsable de las revisiones periódicas de cada uno de los planes de continuidad del negocio. 
• La periodicidad con la que realizará una revisión. 
• Una descripción con los principales aspectos a revisar. 
• Identificación de cambios en las disposiciones relativas al negocio aún no reflejadas en los planes de continuidad.

Plan de Recuperación ante Desastres (DRP)

• Definición de Plan de Recuperación 
• Es el conjunto de acciones necesarias de ejecutar para volver a la situación que existía antes del desastre. 
• Este plan puede dividirse en 2 roles:
• A. Salvamento: Restaurar la funcionalidad de los sistemas dañados, unidades y de las instalaciones. Incluye los siguiente pasos:
• Evaluar los daños
• Recuperación del equipamiento reparable.
• Reparación y limpieza de las instalaciones. Recuperación del equipamiento faltante.
• Restauración de las instalaciones a su estado original.
• B. Recuperación: Se focaliza en la responsabilidad de migrar los servicios a un sitio alternativo.

Alternativas de Recuperación

• OPCIONES ANTE DESASTRES  
• Hacer Nada 
• Procedimientos Manuales 
• Acuerdos Recíprocos 
• Recuperación Gradual (Standby Frio) 
• Recuperación Intermedia (Standby Templado) 
• Recuperación Inmediata (Standby Caliente)
• Tipos de Respaldo (Backup) 
• Full: Respalda toda la información disponible a la fecha de ejecución. 
• Incremental: Respalda todos los archivos modificados desde el último backup ejecutado. 
• Diferencial: Respalda todos los archivos modificados desde el último backup full.
• Estrategia de Backup

 Como auditar un Plan de Continuidad de Negocios

• Toma de conciencia y educación dentro de la organización.  
• Análisis de impacto en el negocio realizados. 
• Estrategias de Recuperación Tecnología y Negocios adoptadas. 
• Desarrollo y documentación del plan. 
• Procedimiento de mantenimiento del plan. 
• Evaluar evidencia de pruebas del plan.