Documentación y Pruebas de Continuidad de Servicios ante Irrupciones y/o Desastres para el Área de Tecnologías de Información Alumnos: JUAN JOSÉ VALENZUELA MORALES GABRIEL ALEJANDRO BARRERA VILLASECA Año Académico: 2012 Profesor Guía: TRUNG T. PHAM, PH.D. Escuela de Ingeniería Informática Empresarial Universidad de Talca, Talca, Chile Contraparte: JOSÉ LETELIER Oriencoop Talca, Chile Resumen. Toda compañía se enfoca diariamente en mejorar su gestión interna en cada área operativa. El área de Tecnologías de Información es una de las áreas más delicadas de las compañías, debido a que se debe trabajar con grandes cantidades de información que son relevantes para las operaciones de la misma, la que en muchas ocasiones es vital, ya que gatillan en las utilidades de las empresas. Es por el sentido de vitalidad del negocio y la dependencia que produce la información que las compañías buscan resguardar los activos de información de esta área en particular, salvaguardándola en el caso que se produzca alguna contingencia que atente al normal funcionamiento del negocio. Para tales efectos es que se establecen procedimientos a seguir que permitan retornar a la normalidad de manera correcta y oportuna, reduciendo el impacto al mínimo, de modo de asegurar la correcta ejecución de los procesos críticos de las compañías y de sus activos de información asociados. Para estos efectos es que se desarrolla un Plan de Continuidad de Negocio o BCP (Business Continuity Plan, por sus siglas en inglés), el cual establece los planes de acción a seguir en el caso de que se produzca una contingencia del servicio (Terremotos, incendios, robos físicos o de información, cortes de energía eléctrica, etc.), identificando los activos y procesos afectados por la contingencia y su criticidad, de modo de establecer planes de acción para cada uno de los activos y procesos críticos identificados. Palabras claves: Activos de Información, Tecnologías de Información, Plan de Continuidad de Negocio, Procesos Críticos, Activos Críticos, Planes de acción, Impacto, Contingencia. 1. INTRODUCCIÓN El proyecto denominado “Documentación y pruebas de continuidad de servicios ante irrupciones y/o desastres para el área de Tecnologías de Información”, nace por la necesidad de la Cooperativa de Ahorro y Crédito Oriencoop de tener planes de acción a seguir en caso de contingencia, de modo de no afectar a sus clientes, tal como lo exigen las autoridades financieras como la SBIF (Superintendencia de Bancos e Instituciones Financieras). Para todo negocio es relevante mantener una correcta imagen, sobre todo si hablamos de instituciones financieras, donde Oriencoop debe mantener una imagen de confiabilidad para sus clientes. El hecho de sufrir algún inconveniente que impida operar correctamente cualquiera de sus servicios o productos afecta directamente en la reputación y la confianza de sus clientes para con la cooperativa, lo que puede provocar considerables pérdidas económicas gatilladas por el retiro masivo de dinero o la privación de consumir productos de la cooperativa. En pos de mantener la continuidad del negocio es que Oriencoop desea proteger los activos de información correspondientes a una de sus áreas más relevantes, el área de Tecnologías de Información (TI), ya que es en esta área donde se maneja la información total de sus clientes, mediante sistemas de información que gestionan; cuentas de sus cliente y su respectiva información económica, información de productos y servicios de la cooperativa, cuentas de quienes trabajan en la compañía y sus privilegios de información, información de transacciones, etc., de forma tal que si la cooperativa se viese afectada por alguna contingencia, ésta se encuentre preparada para que sus procesos críticos continúen operando, proporcionando un nivel de servicio capaz de soportar los requerimientos mínimos del negocio, para mantener resguardada la información de sus clientes y sus operaciones. 2012©UTALCA-2007419065-2005419052 Universidad de Talca Escuela de Ingeniería Informática Empresarial Para efectos de la continuidad de las operaciones del negocio es que en este artículo se explicará el desarrollo del plan de continuidad de negocio BCP (Business Continuity Plan) de Oriencoop, el cual cuenta de cinco etapas principales, las cuales son: (i) Formalización de procesos y activos críticos, donde se realizará la formalización de los procesos del área de tecnologías de información de Oriencoop, considerando su importancia operativa sobre la cooperativa. (ii) Definir el Análisis del Impacto del Negocio, donde se busca determinar y entender qué procesos y activos son esenciales para la continuidad del negocio, o sea, determinar su criticidad para la cooperativa. (iii) Definir escenarios, donde se realizará la determinación de todas aquellas contingencias que pueden afectar al negocio además de definir la estrategia de continuidad para remplazar operativamente el activo crítico para minimizar el impacto sobre la cooperativa. (iv) Documentar planes de acción bajo los cuales la cooperativa se guiará en caso de contingencia, o sea, se determinarán los procedimientos para responder a las situaciones de contingencia. (v) Realizar pruebas de planes propuestos, donde se diseñarán, registrarán, ejecutarán y documentarán las pruebas realizadas a los activos críticos, determinados como tal, siguiendo las políticas de continuidad de negocio de la cooperativa. Este artículo se descompone en seis partes principales: Introducción, Enfoque Técnico, Procedimiento de Implementación, Resultado, Contribución a la tecnología y Conclusión. 2. ENFOQUE TÉCNICO 2.1. Objetivos Generales y Específicos. El objetivo principal del proyecto es el siguiente: “Asegurar la reanudación oportuna y ordenada de los procesos críticos del área de Tecnologías de Información, reduciendo el impacto a mínimo o nulo ante una contingencia mediante planes de acción previamente elaborados”. Este objetivo demuestra lo que se quiere lograr con el desarrollo de este proyecto, bajo la cual se utilizará la metodología BCP para lograr eficiencia en el desarrollo de los servicios de la organización. Bajo este objetivo se busca establecer planes de contingencia para los proceso críticos del área TI, los cuales estarán destinados operativamente en los activos, con el fin de asegurar la continuidad del proceso crítico y en consecuencia de la continuidad del servicio de la cooperativa. El objetivo principal esta soportado por tres objetivos secundarios, que buscan ir cumpliendo el objetivo principal paso a paso. Los objetivos secundarios son los siguientes: Identificar y proteger el 100% los procesos críticos y activos de información asociados para el área de Tecnologías de Información. Es importante para este objetivo analizar cada uno de los procesos críticos y activos asociados de la organización, los cuales son; Ingeniería y Soporte, Producción y Base de Datos, Testing y Mantención, o sea, procesos y activos de información que tengan mayor repercusión para la Business Continuity Plan para el Área de TI organización para los cuales se desarrollará el Plan de Continuidad de Negocio correspondiente, a modo de protegerlos generando un impacto mínimo o nulo sobre ellos. Restablecer los procesos críticos y sus activos asociados en al menos 48 horas después de ocurrida la contingencia Este objetivo específico está orientado en el restablecimiento de los procesos críticos y sus activos asociados, es por ello que se da un plazo máximo de restablecimiento de 48 horas, el cual atiende a una recuperación oportuna para la cooperativa. Establecer y realizar pruebas de continuidad de un 40% de los activos de información que correspondan a procesos críticos. Este objetivo busca establecer pruebas de continuidad, y realizarlas para conocer el comportamiento de los planes de acción y los activos comprometidos, de modo tal de conocer cómo la contingencia del activo repercute en el proceso crítico afectado. Las pruebas serán realizadas para el 40% de los activos que integren aquellos procesos críticos. 2.2. Etapas del Desarrollo del Plan de Contingencia. El proceso de desarrollo del pan de contingencia está basado en cinco etapas, las cuales son dependientes de la anterior, las cuales se detallan a continuación: Etapa 1: Formalización de procesos y activos críticos: Donde se realizará la formalización de los procesos del área de tecnologías de información de Oriencoop, considerando su importancia operativa sobre la cooperativa. Esta etapa cuenta con tres sub etapas, las cuales son: Identificar procesos críticos: En esta etapa se identificarán aquellos procesos relevantes de la cooperativa, evaluando los procesos implicados en el área de Tecnologías de Información. Modelar y formalizar procesos críticos: En esta etapa se comienza a diagramar/modelar los procesos determinados previamente como críticos mediante la notación BPMN (Business Process Modeling Notation, en español Notación de Modelamiento de Procesos de Negocio), bajo el software Bizagi Process Modeler. Identificar, clasificar y evaluar activos: Esta etapa se desarrolla según los procesos modelados, bajo los cuales se determinan los activos de información que son parte del proceso. Estos activos son identificados y clasificados según su tipo, los cuales pueden corresponder a los siguientes cinco tipos; software, físicos, información, personas y documentos. Etapa 2: Definir el Análisis del Impacto del Negocio: Donde se busca determinar y entender qué procesos y activos son esenciales para la continuidad del negocio, o sea, determinar su criticidad para la cooperativa. Esta etapa cuenta con tres sub etapas, las cuales son: Determinar Criticidad: En esta etapa se determinará la criticidad de cada uno de los procesos, bajo criterios de impacto como; financieros, servicio al cliente, legales regulatorios e imagen y reputación. Además de criterios de frecuencia, como; 302 Juan José Valenzuela y Gabriel Barrera Escuela de Ingeniería Informática Empresarial Universidad de Talca complejidad tecnológica, dependencias de externos, complejidades operativas y ocurrencias del proceso. Para cada uno de estos criterios se designará un porcentaje, el cual será determinado por la cooperativa bajo la ponderación de criterios que esta estime. Estos criterios serán clasificados por medio de una escala de criticidad, la cual determinará el nivel de cada uno de los procesos. Análisis del Impacto: En esta etapa se consideran todos aquellos procesos y activos asociados determinados como críticos, bajo los cuales se realiza la valoración monetaria de cada uno de ellos considerando su inoperancia, con ello se puede obtener cuales de aquellos procesos y activos asociados críticos afectan en mayor grado a la cooperativa negocio ante cualquier contingencia. Determinar RTO – RPO: Para que el análisis del impacto del negocio esté completo es necesaria la etapa donde se determinan los RTO y RPO que se definen a continuación: Recovery Time Objective (RPO): Punto de Recuperación antes del desastre. Recovery Point Objective(RTO): Tiempo de Demora de Recuperación. La determinación de cada uno de los RTO y RPO de la cooperativa refleja cuán importante es aquel proceso para la cooperativa, ya que mientras más bajos sean los valores más críticos y relevantes son para el desarrollo de la cooperativa Etapa 3: Definir escenarios: Donde se realizará la determinación de todas aquellas contingencias que pueden afectar al negocio además de definir la estrategia de continuidad para reemplazar operativamente el activo crítico para minimizar el impacto sobre la cooperativa. Etapa 4: Documentar planes de acción bajo los cuales la cooperativa se guiará en caso de contingencia: Etapa donde se determinarán los procedimientos para responder a las situaciones de contingencia. Esta etapa cuenta con dos sub etapas, las cuales son: Elaborar procedimientos para escenarios de contingencia: En esta etapa se elaboran los procedimientos a seguir por la cooperativa para asegurar un impacto mínimo en el negocio. Escriturar procedimientos bajo formatos de la cooperativa: En esta etapa se inicia la documentación formal de los planes de acción, los cuales siguen el formato determinado previamente por la cooperativa, algunos de los parámetros de este formato son: Nombre del plan de acción. Activo asociado al plan de acción. Estrategia a implementar. Responsable del activo de información. Procesos involucran el activo crítico. Amenazas asociadas al activo de información. Medidas para mitigar el riesgo. RTO sugerido. Descripción del procedimiento de respuesta a emergencia. Juan José Valenzuela y Gabriel Barrera Etapa 5: Realizar pruebas de planes propuestos: Donde se diseñarán, registrarán, ejecutarán y documentarán las pruebas realizadas a los activos críticos, determinados como tal, siguiendo las políticas de continuidad de negocio de la cooperativa. Esta etapa cuenta con tres sub etapas, las cuales son: Elaborar Prueba: En esta etapa se deben diseñar las pruebas a realizar para los activos determinados dentro del 40% considerados como críticos, de modo tal de definir resultados esperados, tipo de prueba, activos implicados, etc. Ejecutar Prueba: En esta etapa se realiza la ejecución de las pruebas directamente en el activo, registrando todo lo que acontece y pueda ser relevante, mientras se ejecuta el plan de acción previamente escriturado. Documentar Pruebas bajo formatos de la Cooperativa: Finalmente se procederá a documentar toda aquella información de recogida por las pruebas realizadas, las cuales seguirán el formato de la cooperativa, basado en las políticas de continuidad de negocio que se describen a continuación: Fecha de la prueba. Hora en que se aplicó la prueba. Riesgo asociado a la prueba. Activos involucrados. Objetivos de la prueba. Tipo de prueba que se aplicará. Nombre de los participantes de la prueba. Detallar la prueba, resultado esperado, resultado real y observaciones pertinentes. 3. PROCEDIMIENTO DE IMPLEMENTACIÓN Para la correcta implementación del plan de contingencia para el área de tecnologías de información se ha establecido un producto entregable integral, el cual considere dos aspectos importantes del proyecto que son el plan y las pruebas. El primero consiste en el plan de contingencia, el cual es el documento que cuenta con la información relevante para el área TI, tal como los procesos críticos, los activos afectados por la detención del proceso, el riesgo del proceso, etc., las cuales permitirán desarrollar el plan de contingencia procedimental de los procesos críticos del área. El segundo aspecto importante trata de la ejecución del plan de contingencia para la realización de las pruebas correspondientes a los procesos críticos que cuentan con el plan de contingencia, de forma tal de conocer la eficacia del plan de contingencia. Bajo las pruebas realizadas se describirán los resultados obtenidos, para que sean considerados y analizados por la cooperativa futuramente. A continuación se detallan los productos entregables del plan de contingencia anteriormente descritos: Plan de contingencia: Este consiste en la descripción procedimental para la reanudación del proceso que identifica. El documento plan de contingencia está compuesto por una serie de planes de contingencia de los procesos descritos previamente como críticos para el área TI. Cada uno de estos planes de contingencia representa a: 303 Business Continuity Plan para el Área de TI Universidad de Talca Escuela de Ingeniería Informática Empresarial La reanudación del servicio que presta el proceso La identificación de cada uno de los activos involucrados en el proceso. La persona responsable del plan de acción. La estrategia de contingencia. Las amenazas asociadas. El riesgo asociado a la detención del proceso. Medidas para mitigar el riesgo. Plan de acción. El plan de contingencia es desarrollado describiendo el paso a paso de las acciones a realizar para reanudar el servicio en contingencia, de ser necesario contará con capturas de pantalla y comandos que permitan al ejecutante del plan de acción seguir el plan y ejecutarlo a cabalidad. Plan de pruebas: Este consiste en la descripción de las pruebas realizadas para la reanudación del proceso. El documento cuenta con el detalle de las pruebas realizadas bajo las políticas de la cooperativa, las cuales consideran: Fecha de la prueba. Hora en la que se aplica la prueba. Riesgo asociado a la prueba Activos involucrados en la prueba. Objetivos de la prueba. Tipo de prueba. Identificación de los participantes de la prueba. Detalle de la prueba. Resultados esperados. Resultados obtenidos y las observaciones pertinentes. Las pruebas realizadas consideran los escenarios posibles, para efectos de este artículo considerarán el 40% de los activos identificados. RESULTADO Los resultados obtenidos en este artículo obedecen a dos evaluaciones, las cuales son: la evaluación de la criticidad de los procesos y la evaluación de cada uno de los activos del área. Cada uno de los procesos fue evaluado con el responsable del proceso y considerando la frecuencia y el impacto del proceso, a fin de determinar el riesgo asociado al mismo. La frecuencia es determinada bajo cuatro parámetros: Complejidad tecnológica: Nivel de complejidad asociado a la infraestructura TI de soporte. Dependencias externas: Dependencias a proveedores o actividades externas. Complejidad operativa: Nivel de complejidad asociada a insumos, actividades y resultado del proceso. Ocurrencia del proceso: Nivel de iteración asociado al proceso. Cada uno de los cuales es evaluado según su nivel; (1) Bajo, (2) Medio, (3) Alto. El impacto es determinado bajo otros cuatro parámetros: Financiero: Riesgo de pérdida de ingresos y sobrecostos asociados a cada una de las líneas de negocios: Riesgo de no satisfacer las necesidades o requerimientos de los clientes. Servicio al cliente: Riesgo de no satisfacer las necesidades o requerimientos de los clientes. Legal regulatorio: Riesgo de no cumplir requerimientos legales o regulatorios determinados por al SBIF u otros. Imagen/reputación: Riesgo de generar desconfianza o ser visto como inexperto ante emergencias. Donde los parámetros también serán medidos en escala (1) Bajo, (2) Medio, (3) Alto. Ambos resultados permitirán conocer el nivel de criticidad, el cual está dado por la siguiente fórmula: Frecuencia × 0.4 + Impacto × 0.6 El nivel de criticidad está representado por la siguiente ilustración, la que muestra los niveles de criticidad. Crítico Medio alto Medio Medio bajo Bajo 4. Business Continuity Plan para el Área de TI 2,6 - 3 2,2 - 2,5 1,8 - 2,1 1,5 - 1,7 1 - 1,4 Es por ello que cada uno de los procesos donde su nivel de criticidad asciende a 2,6 o más es considerado como crítico. Ahora bien, para la determinación de la criticidad de los activos se consideraron a algunos participantes del área de TI, de modo tal de obtener un promedio de la evaluación de cada uno de los participantes respecto de cada uno de los activos. La evaluación obedece a la determinación del riesgo de los activos, lo que comprende la frecuencia y el impacto. La frecuencia es evaluada según los siguientes criterios: Nivel de probabilidad 1: El activo nunca falla. Nivel de probabilidad 2: El activo falla una vez por año. Nivel de probabilidad 3: El activo falla una vez al mes. Nivel de probabilidad 4: El activo falla quincenalmente Nivel de probabilidad 5: El activo falla semanalmente. 304 Juan José Valenzuela y Gabriel Barrera Escuela de Ingeniería Informática Empresarial Universidad de Talca En cuanto al impacto, es evaluado de la siguiente forma: Nivel de impacto 1: La falla del activo no afecta el funcionamiento de la organización. Nivel de impacto 2: La falla del activo afecta un número menor de procesos de negocio. Nivel de impacto 3: La falla del activo afecta a los procesos más importantes negocio. Nivel de impacto 4: La falla del activo afecta a una gran cantidad de los procesos del negocio. Nivel de impacto 5: La falla del activo afecta severamente a la organización. Bajo esta evaluación el riesgo es determinado por la siguiente fórmula: Frecuencia × 0.4 + Impacto × 0.6 Lo que determinará el riesgo de cada uno de los activos asociados a los procesos de TI. 5. CONTRIBUCIÓN A LA TECNOLOGÍA A lo largo del artículo se ha enfatizado en el objetivo del desarrollo del plan de contingencia y la importancia de contar con él, es por ello que resulta relevante conocer cuál es el aporte a la tecnología que puede significar la implementación de este plan en la cooperativa. Para analizar cuáles son los aportes de la implementación del plan de contingencia es necesario precisar que se derivarán aportes a la tecnología según los productos entregados, el resultado de la sinergia de ellos o las actividades que se desarrollaron para su composición, además de los aspectos de la gestión de proyecto que han sido utilizados para la contribución de la gestión, como son; las tareas a ejecutar, los recursos a utilizar, los tiempos determinados para ejecutar las tareas, etc. Los aportes a la tecnología son los siguientes: El levantamiento de los procesos de TI permite conocer a la cooperativa el cómo se desarrollan los procesos del área, lo que permitirá realizar un análisis profundo de los procesos y procedimientos, pudiendo identificar actividades críticas que permitan reducir los tiempos de ejecución de los procesos u optimización completa de cada uno de los procesos de TI. El análisis del impacto permite establecer prioridades a la hora de restablecer servicios de la cooperativa, dada las posibles limitantes de personal que pueden existir en situaciones complejas de reanudación de servicios, por ejemplo, un caso de incendio producido en la madrugada impedirá contar con la totalidad del personal del área para ejecutar el plan de acción, pero probablemente sí estará una persona, la cual pueda priorizar (según el análisis del impacto) qué servicios son vitales, a los cuales debe ejecutar el plan de contingencia. La implementación del plan de contingencia permite al personal de la cooperativa estar en conocimiento del plan de acción, o sea, permite al personal ejecutar el plan de acción, ya que está en conocimiento de éste, lo que permite agilizar el proceso de reanudación del servicio, gatillado por la coordinación del personal y de la ayuda que presenta el plan Juan José Valenzuela y Gabriel Barrera de acción documentando el procedimiento de acción claramente. Toda gestión está vinculada a términos económicos, es por ello, que la implementación del plan de contingencia significará reducir las pérdidas de facturación de la cooperativa, provocadas por la lentitud de reacción ante las contingencias sin contar con los procedimientos adecuados ya que se implementará la tecnología apropiada para estos efectos. Bajo este aporte, Oriencoop tendrá un desafío enorme a futuro, el cual considera la correcta implementación transversal para toda el área de tecnologías de información, para que, todo el personal. 6. CONCLUSIÓN El artículo propone comprender a grandes rasgos el proceso completo de desarrollo y prueba del plan de contingencias de una cooperativa, negocio del rubro financiero, del cual depende enormemente la imagen, ya que cualquier daño a la imagen de la cooperativa puede ser letal y detonar una crisis y el término del negocio. Es por ello que la iniciativa apunta a reducir al mínimo cualquier falla en los servicios, que pudiera afectar a algún cliente y con ello evitar cualquier daño a la imagen del negocio. El artículo descompone cada una de las etapas de desarrollo del plan de contingencia y también el plan de pruebas, los cuales permitirán conocer cómo funcionan los planes de contingencia, respecto de lo que se espera que pase a lo que en realidad ocurra. El aporte del artículo dicta directrices de un correcto desarrollo plan de acción ya que está basado en aspectos de buenas prácticas de normas internacionales como la ISO, DRII y además considera y se ajusta a las necesidades de la cooperativa, lo que permite un calce justo a la hora de la implementación del plan. Es sumamente importante para la implementación del plan que todo el personal del área esté en conocimiento de los planes de acción, de modo que se conozca tanto de su existencia como de su uso y cualquiera pueda ejecutarlo, ya que como es bien sabido el plan de acción se pone en marcha ante una contingencia a la cual la cooperativa contar con la dotación ideal de personal para ejecutarla. Para finalizar, para la cooperativa es vital desarrollar un plan de contingencia frecuente, que permita mantener cada uno de los procesos, activos y servicios actualizados. BIBLIOGRAFÍAS 305 [1] [2] [3] [4] [5] Citizen Corps (2011), Business Continuity and Disaster Preparedness Planning Patterns and Findings from Current Research. Gaspar Martínez, Juan (2004), Planes de contingencia, la continuidad del negocio en las organizaciones. Norma chilena Oficial ISO 27001, Técnicas de seguridad Sistemas de gestión de la seguridad de la información. Norma chilena Oficial ISO 27002, Tecnología de la información Código de prácticas para la gestión de la seguridad de la información. Sánchez, J – Fierro L. (2008), Plan de Continuidad de Negocios (BCP) para el Área de Sistemas de una empresa dedicada a la manufactura de papel. Business Continuity Plan para el Área de TI Universidad de Talca Escuela de Ingeniería Informática Empresarial AUTORES Juan José Valenzuela Morales es Ingeniero en Informática Empresarial egresada de la Universidad de Talca. Actualmente se desempeña como ingeniero en el área de tecnología de información en Viña del Mar, Chile. Gabriel Alejandro Barrera Villaseca es Ingeniero en Informática Empresarial egresada de la Universidad de Talca. Actualmente se desempeña como ingeniero en el área de tecnología de información en Santiago, Chile. Business Continuity Plan para el Área de TI 306 Juan José Valenzuela y Gabriel Barrera