Cibernàrium Disaster Recovery Plan: que fer en cas de pèrdua crítica de dades Capacitació Tecnològica per a Professionals i Empreses www.bcn.cat/cibernarium Ajuntament de Barcelona Cibernàrium Barcelona Activa: Qui som? Barcelona Activa, integrada en l’àrea d’Economia, Empresa i Ocupació, és l’organització executora de les polítiques de promoció econòmica de l’Ajuntament de Barcelona. Des de fa 25 anys impulsa el creixement econòmic de Barcelona i el seu àmbit d’influència donant suport a les empreses, la iniciativa emprenedora i l'ocupació, alhora que promociona la ciutat internacionalment i els seus sectors estratègics; en clau de proximitat al territori. Barcelona Activa va ser guanyadora del Gran Premi del Jurat 2011, atorgat per la DG d’Empresa i Indústria de la Comissió Europea en el marc dels European Enterprise Awards, per la iniciativa empresarial més creativa i inspiradora d’Europa. Pàg 2 www.bcn.cat/cibernarium www.segall.es Ajuntament de Barcelona Cibernàrium Àrees d’activitat de Barcelona Activa Barcelona Activa s’estructura en tres grans blocs de serveis a les Empreses, a l’Emprenedoria i a la Ocupació. La Formació és un instrument transversal present en els tres blocs, així com també tot el relacionat amb l’economia social. Empresa Emprenedoria Capacitació Professional i Ocupació Formació Economia Social Pàg 3 www.bcn.cat/cibernarium www.segall.es Ajuntament de Barcelona Cibernàrium Una xarxa d’Equipaments Especialitzats Seu Central Parc Tecnològic BCN Nord Centre Iniciativa Emprenedora Incubadora Glòries Almogàvers Business Factory Centre Desenvolupament Professional Porta22 Cibernàrium MediaTIC Convent de Sant Agustí Xarxa de Proximitat Can Jaumandreu Ca n’Andalet 13 antenes Cibernàrium a biblioteques 10 punts d’atenció en Ocupació Pàg 4 www.bcn.cat/cibernarium www.segall.es Disaster Recovery Plan Cibernàrium Enric Gómez Arcusa Ingeniero Industrial por la E.T.S.E.I.B. C.I.S.A. (Certified Information Systems Auditor) Auditor y Consultor, con más de 35 años de experiencia en el sector de las Tecnologías de la Información, especialmente en temas de Seguridad de la Información. Entre otras, ha trabajado en empresas de auditoria y consultoría (Price Waterhouse, G.M.S.), servicios (Entel), seguros (Winterthur Ibérica), y automoción (S.E.A.T., Lear Coporation). Con amplia experiencia en programas de auditoría informática, así como en la supervisión e implantación de proyectos de Disaster Recovery. Actualmente colabora con el grupo de especialistas técnicos de SEGALL TECNOLOGIA. Más información en: https://www.linkedin.com/pub/enrique-gomez/4/521/142 http://www.segall.es enric.gomez@segall.es 5 www.bcn.cat/cibernarium www.segall.es Disaster Recovery Plan Cibernàrium Disaster Recovery Plan Cómo asegurar la disponibilidad y supervivencia de los sistemas de información de la empresa Pàg 6 www.bcn.cat/cibernarium www.segall.es Disaster Recovery Plan Cibernàrium Índice 1. Introducción 2. Visión general 3. Alcance 4. Requerimientos 5. Componentes básicos 6. Algunos productos 7. Preguntas Pàg 7 www.bcn.cat/cibernarium www.segall.es 1. Introducción Cibernàrium IMAGINE… …que su empresa estuviera en New Orleans, después del Huracán Katrina (Agosto 2005)… 8 www.bcn.cat/cibernarium www.segall.es 1. Introducción Cibernàrium …o en Springfield, Massachusetts, después del tornado del 1 de Junio de 2011… 9 www.bcn.cat/cibernarium www.segall.es 1. Introducción Cibernàrium 2011: Año de desastres en Massachusetts • Enero: Ventiscas • 1 de Junio: Tornado • 18-28 de Agosto: Huracán Irene. Más de 500.000 personas sin suministro eléctrico, algunas durante más de una semana • 24 de Agosto: Terremoto • 29 de Octubre: Tempestad de nieve. Más de 600.000 personas sin suministro eléctrico. La interrupción duró varios días Millones en daños y pérdidas de negocios 10 www.bcn.cat/cibernarium www.segall.es 1. Introducción Cibernàrium Algunas declaraciones recientes de grandes desastres • • • • • • • 29-30 Octubre 2012 8-17 Enero 2013 8-9 Febrero 2013 11-21 Junio 2013 17-18 Nov. 2013 10-15 Febrero 2014 11-12 Mayo 2014 Ohio Louisiana New York Colorado Illinois S. Carolina Nebraska • 3-4 Junio 2014 Iowa • • • 24 Agosto 2014 California 18 Septiembre 2014 California 30 Septiembre 2014 Kentucky • 10 Octubre 2014 Montana Huracán Sandy Fuertes tormentas, tornados e inundaciones Intensas tormentas de nieve Incendio incontrolado Intensas tormentas, fuertes vientos e inundaciones Intensas tormentas de nieve Intensas tormentas, tornados, fuertes vientos e inundaciones Intensas tormentas, tornados, fuertes vientos e inundaciones Terremoto Gran incendio Fuertes tormentas, inundaciones, derrumbes y deslizamientos de tierra Intensas tormentas, fuertes vientos e inundaciones Fuente: FEMA (Federal Emergency Management Agency) 11 www.bcn.cat/cibernarium www.segall.es 1. Introducción Cibernàrium Sectores de infraestructura crítica • Agricultura y alimentación • Comunicaciones • Energía • Fabricación • Instalaciones comerciales • Instalaciones gubernamentales • IT • Presas • Químico • Reactores nucleares, Materiales y Residuos • Servicios de emergencia • Salud y Salud pública • Servicios financieros • Transportes • Tratamiento de Aguas y Aguas residuales Fuente: CERT (Community Emergency Response Team), Software Engineering Institute , Enero 2014 12 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium ¿Qué es un Disaster Recovery Plan? Es un conjunto de procesos de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos. También debería incluir procedimientos para enfrentarse a la pérdida inesperada o repentina de personal clave. 13 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium Definiciones: ¿Qué entendemos por desastre? Un evento que impacta en la capacidad de una instalación para operar normalmente. • • • • • • • • • • Catástrofes Fuego Fallos en el suministro eléctrico Ataques terroristas, disturbios Interrupciones organizadas o deliberadas Fallos del sistema y/o equipo Error humano Virus, amenazas y ataques informáticos Cuestiones legales Huelgas de empleados 14 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium Definiciones: ¿Qué entendemos por sistema crítico? Es un sistema soportado por IT, definido como indispensable para las operaciones de la empresa por los procesos del negocio o los propietarios de los datos. 15 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium Definiciones: ¿Qué entendemos por riesgo? Es un problema potencial que puede provocar un desastre 16 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium Definiciones: ¿Qué entendemos por evaluación de riesgos? Es el proceso de identificación de riesgos (tal como se ha definido anteriormente), evaluando la posibilidad de que esos eventos ocurran 17 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium ¿Porqué abordar un proyecto de Disaster Recovery Plan? • Concienciación de la Dirección • Establecer un programa básico de referencia para DR • Eficiencia operacional • Minimizar los riesgos de IT (implica incrementar la seguridad) • Responsabilidades Patrimoniales • Requerimiento Legal • Requerimientos de clientes • Requerimientos de Auditoría Interna y/o Externa 18 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium ¿Porqué abordar un proyecto de Disaster Recovery Plan? “Una compañía que experimenta una interrupción de sus servicios informáticos durante más de 10 días nunca se recuperará financieramente por completo. El 50% tendrá que finalizar su actividad en 5 años.” • El 70% de las pequeñas empresas que sufren una importante pérdida de datos cerrarán en un año • Las compañías que no son capaces de reanudar sus operaciones en los 10 días siguientes a la ocurrencia de un desastre no es probable que sobrevivan • De aquellas empresas que experimenten un desastre y no tengan un plan de emergencia, el 43% nunca volverá a abrir; de las que vuelvan a abrir, sólo el 29% estarán aún operativas dos años después. Fuente: Counselors to America’s Small Businesses 19 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium ¿Porqué abordar un proyecto de Disaster Recovery Plan? • El 15-40% de las empresas fracasan después de un desastre natural o hecho por el hombre * • El 35% de las pequeñas y medianas empresas tienen un plan integral de recuperación de desastres ** • El 94% de los propietarios de pequeñas empresas creen que un desastre podría afectar seriamente su negocio dentro de los próximos dos años *** • El 51% de los estadounidenses ha experimentado al menos un caso de emergencia que ha implicado la pérdida de servicios durante al menos 3 días, la evacuación de su hogar u oficina, la pérdida de la comunicación con los miembros de la familia o tener que proporcionar primeros auxilios a los demás **** Fuentes: *Insurance Information Institute, **Gartner, ***American Red Cross and FedEx Small Business Survey, 2007, ****American Red Cross/Harris Poll Survey, 2009. 20 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium ¿Porqué abordar un proyecto de Disaster Recovery Plan? Principales eventos disruptivos de negocio • Interrupción del suministro eléctrico • Interrupción de Internet • Caída de un servidor • Virus, hackers y brechas de seguridad • Problemas basados en la ubicación, como evacuación de un edificio debido a un incendio, derrames peligrosos, rotura de conducciones, robo, etc. 21 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium ¿Porqué abordar un proyecto de Disaster Recovery Plan? ¿Cuál es el coste actual en € para el negocio si estuviera interrumpido un día? 22 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium ¿Porqué abordar un proyecto de Disaster Recovery Plan? ¿Cuál es el coste actual en € para un negocio si estuviera interrumpido un día? Coste medio del tiempo de inactividad: • Pequeñas empresas: 2.300 € al día • Medianas empresas: 18.000 € al día Fuente: Symantec 2011 SMB Disaster Preparedness Survey - Global: January 2011 23 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium ¿Porqué abordar un proyecto de Disaster Recovery Plan? ¿Cuál es el coste actual en € para un negocio si estuviera interrumpido un día? Coste real del tiempo de inactividad: • • • Pérdida de capacidad de trabajo Pérdida de ingresos Pérdida de servicio Todos son efectos en cascada. La pérdida total es mayor de lo que se piensa 24 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium ¿Porqué abordar un proyecto de Disaster Recovery Plan? A pesar de las advertencias, la mayoría de las pequeñas y medianas empresas aún no están preparadas para un desastre • El 50% no tienen un Disaster Recovery Plan implantado • El 41% nunca ha pensado en implantar un plan Fuente: Symantec 2011 SMB Disaster Preparedness Survey - Global: January 2011 25 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium ¿Porqué abordar un proyecto de Disaster Recovery Plan? Las pequeñas y medianas empresas están en situación de riesgo • El 40% dijeron que el Disaster Recovery no es una prioridad • Menos del 50% hacen back-up de sus datos semanalmente o con mayor frecuencia • El 23% hacen back-up de sus datos diariamente Symantec 2011 SMB Disaster Preparedness Survey - Global: January 2011 26 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium ¿Porqué abordar un proyecto de Disaster Recovery Plan? Las pequeñas y medianas empresas no actúan hasta que es demasiado tarde • El 50% de pequeñas y medianas empresas que implementaron un Disaster Recovery Plan lo hicieron después de experimentar una interrupción y/o una pérdida de datos • De hecho, sólo el 28% probó su Disaster Recovery Plan Symantec 2011 SMB Disaster Preparedness Survey - Global: January 2011 27 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium ¿Porqué abordar un proyecto de Disaster Recovery Plan? Errores comunes de las pequeñas y medianas empresas Falta de: • • • • • • • Un Disaster Recovery Plan formal y por escrito Protección de datos externa Políticas de retención de datos Pruebas de restauración / pruebas del DR plan efectuadas regularmente Garantías de protección de datos críticos Centrarse en la recuperación Una persona designada como responsable del DR Plan 28 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium Objetivos de un proyecto DRP • Desarrollar el Disaster Recovery Plan para todas las ubicaciones afectadas • Incrementar la concienciación de la Dirección sobre el impacto en el negocio debido a interrupciones significativas del sistema • Implantar un modo homogéneo para desarrollar y documentar los planes • Probar los Disaster Recovery Plans desarrollados para asegurar su viabilidad • Implantar procesos para abordar y mantener los planes de Disaster Recovery cuando se produzcan cambios en el entorno de las TI 29 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium Análisis de Impacto Enfoque Fase I Análisis de Impacto Proceso del Disaster Recovery Plan En esta fase, se identifica el impacto en el negocio si los sistemas de información se interrumpen por un período de tiempo prolongado. Como parte del análisis de impacto, se realiza una evaluación de riesgos del entorno operativo existente 30 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium Análisis de Impacto Enfoque Fase I Análisis de Impacto Proceso del Disaster Recovery Plan Fase II Moderación de Riesgos En esta fase, se identifica el impacto en el negocio si los sistemas de información se interrumpen por un período de tiempo prolongado. Como parte del análisis de impacto, se realiza una evaluación de riesgos del entorno operativo existente Moderación de Riesgos En esta fase se evalúan estrategias alternativas para reducir los riesgos asociados con la pérdida de capacidades del sistema de información, que fueron identificados en la fase de Análisis de Impacto 31 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium Análisis de Impacto Enfoque Fase I Análisis de Impacto Proceso del Disaster Recovery Plan Fase II Moderación de Riesgos En esta fase, se identifica el impacto en el negocio si los sistemas de información se interrumpen por un período de tiempo prolongado. Como parte del análisis de impacto, se realiza una evaluación de riesgos del entorno operativo existente Moderación de Riesgos Fase III Desarrollo del Plan Desarrollo del Plan Una vez decidida la estrategia alternativa, se documentan los procesos de recuperación para los sistemas críticos identificados durante la fase de Análisis de Impacto En esta fase se evalúan estrategias alternativas para reducir los riesgos asociados con la pérdida de capacidades del sistema de información, que fueron identificados en la fase de Análisis de Impacto 32 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium Análisis de Impacto Enfoque Fase I Análisis de Impacto Mantenimiento del Plan En esta fase se institucionaliza el proceso de Disaster Recovery Plan en la Organización. Esto implica la definición de los parámetros de prueba y el ajuste de los procesos existentes para incluir los componentes de recuperación de desastres Fase IV Mantenimiento del Plan Proceso del Disaster Recovery Plan Fase II Moderación de Riesgos En esta fase, se identifica el impacto en el negocio si los sistemas de información se interrumpen por un período de tiempo prolongado. Como parte del análisis de impacto, se realiza una evaluación de riesgos del entorno operativo existente Moderación de Riesgos Fase III Desarrollo del Plan Desarrollo del Plan Una vez decidida la estrategia alternativa, se documentan los procesos de recuperación para los sistemas críticos identificados durante la fase de Análisis de Impacto En esta fase se evalúan estrategias alternativas para reducir los riesgos asociados con la pérdida de capacidades del sistema de información, que fueron identificados en la fase de Análisis de Impacto 33 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium Análisis de Impacto Enfoque Fase I Análisis de Impacto Mantenimiento del Plan En esta fase se institucionaliza el proceso de Disaster Recovery Plan en la Organización. Esto implica la definición de los parámetros de prueba y el ajuste de los procesos existentes para incluir los componentes de recuperación de desastres Fase IV Mantenimiento del Plan Proceso del Disaster Recovery Plan Fase II Moderación de Riesgos En esta fase, se identifica el impacto en el negocio si los sistemas de información se interrumpen por un período de tiempo prolongado. Como parte del análisis de impacto, se realiza una evaluación de riesgos del entorno operativo existente Moderación de Riesgos Fase III Desarrollo del Plan Desarrollo del Plan Una vez decidida la estrategia alternativa, se documentan los procesos de recuperación para los sistemas críticos identificados durante la fase de Análisis de Impacto En esta fase se evalúan estrategias alternativas para reducir los riesgos asociados con la pérdida de capacidades del sistema de información, que fueron identificados en la fase de Análisis de Impacto 34 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium Productos finales • Análisis de Impacto en el Negocio (B.I.A.), incluyendo la priorización de hard y soft • Procedimientos de declaración de Desastre • Notificación de emergencias y planes de comunicación • Planificación y estrategias de Back-up • Estrategias de recuperación y enfoques documentados para la restauración de las infraestructuras críticas de IT • Procedimientos de restauración de hard y soft • Procedimientos de prueba del Disaster Recovery • Procedimientos documentados para asegurar que el Disaster Recovery Plan permanece viable en el tiempo 35 www.bcn.cat/cibernarium www.segall.es 2. Visión general Cibernàrium VS 36 www.bcn.cat/cibernarium www.segall.es 3. Alcance Cibernàrium Relación entre Disaster Recovery y Seguridad TI • El objetivo final de ambos es minimizar el riesgo • Ambos identifican los riesgos para que puedan ser tenidos en cuenta y minimizados • Los responsables de seguridad tienen también responsabilidad sobre el Disaster Recovery • La política de Disaster Recovery es uno de los componentes principales de las medidas de protección de datos 37 www.bcn.cat/cibernarium www.segall.es 3. Alcance Cibernàrium Componentes del Disaster Recovery Plan Personas Procesos Tecnología 38 www.bcn.cat/cibernarium www.segall.es 3. Alcance Cibernàrium Componentes del Disaster Recovery Plan Personas En primer lugar se identifican los procesos clave de negocio Procesos Tecnología 39 www.bcn.cat/cibernarium www.segall.es 3. Alcance Cibernàrium Componentes del Disaster Recovery Plan Personas Después, hay que identificar las personas que soportan esos procesos Procesos Tecnología 40 www.bcn.cat/cibernarium www.segall.es 3. Alcance Cibernàrium Componentes del Disaster Recovery Plan Personas Finalmente, se ha de considerar la pérdida de la tecnología que soporta esos procesos Procesos Tecnología 41 www.bcn.cat/cibernarium www.segall.es 3. Alcance Cibernàrium Dos tipos de planes: Ubicaciones simples y Centros de Datos • Los Centros de Datos dan servicio a múltiples ubicaciones y por ello representan un riesgo mayor para la empresa VS • Las ubicaciones simples normalmente tienen una sala de ordenadores, aunque a menudo hay sistemas de negocio soportados por un Centro de Datos más grande • El enfoque del Plan es algo diferente para los Centros de Datos que para las salas de ordenadores de las ubicaciones simples 42 www.bcn.cat/cibernarium www.segall.es 3. Alcance Cibernàrium Disaster recovery vs Continuidad del negocio • Disaster recovery es el primer paso en un programa de continuidad global • Disaster recovery cubre los componentes de TI de las operaciones de negocio – incluyendo la sala de ordenadores y los procesos gestionados por TI • La Continuidad de negocio se ocupa de las áreas operativas, incluyendo planes de recuperación financieros y de la planta de producción. Los procedimientos de recuperación de estas áreas se pueden ir abordando a medida que madure el programa de continuidad global. . 43 www.bcn.cat/cibernarium www.segall.es 4. Requerimientos Cibernàrium Requerimientos básicos para un proyecto con éxito • Es necesario apoyo operacional El Director de la ubicación y el Controller han de estar involucrados e informados Hay que notificar el estado del proyecto al Comité de Dirección • La gestión del tiempo es esencial para poder cumplir la intensa planificación • Se deben mantener informes de estado Las ubicaciones deben informar del estado de las tareas La Dirección Operativa debe estar puesta al día con la periodicidad suficiente La oficina global del proyecto necesita ser informada para que los promotores tengan una idea precisa del estado del proyecto 44 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium Componentes básicos de un DR Plan 1. 2. 3. 4. 5. Inventario Evaluación de riesgos Análisis de Impacto en el Negocio (BIA) Listas de contacto de empleados, clientes y proveedores Procedimientos de notificación y respuesta a emergencias 6. Procedimientos de backup de datos 7. Procedimientos de recuperación de datos 8. Procedimientos de recuperación del sistema 9. Estrategias de prueba del Plan 10. Procedimientos de mantenimiento del Plan 45 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 1. Inventario • Realizar un inventario actualizado de equipos y software para cada ubicación • Además del inventario de los componentes hard y soft existentes, es conveniente determinar la configuración mínima necesaria para que los sistemas críticos puedan funcionar adecuadamente 46 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 2. Evaluación de riesgos • Determinar los escenarios posibles y evaluar su riesgo - ¿Qué tipo de emergencias ha experimentado en el pasado? - ¿Qué pasaría si un proceso o sistema fallara? - ¿Qué amenazas tiene la ubicación de su negocio? - Si a su vecino le sucediera un desastre, ¿tendría consecuencias para Vd.? • Cada ubicación puede tener escenarios y grados de riesgo diferentes 47 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 3. Análisis de Impacto en el negocio (BIA) • El BIA es una herramienta diseñada para ayudar a identificar los procesos críticos de negocio y los sistemas de IT que los soportan o posibilitan. El objetivo de esta herramienta es identificar los sistemas críticos de IT de forma que se pueda establecer un Disaster Recovery (DR) Plan cuando sea necesario. • Cada ubicación debe evaluar sus procesos de negocio e identificar los sistemas de IT que les dan soporte. • El BIA debe ser realizado y actualizado anualmente para cada proceso de negocio que requiera de un sistema de IT para funcionar normalmente. 48 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 3. Análisis de Impacto en el negocio (BIA) Para cada proceso de negocio: B A ¿Existe el proceso en esta ubicación? Si No Si ¿Es un proceso crítico? D C No ¿Existen en esta ubicación sistemas de IT que soportan este proceso? Si No ¿Son estos sistemas de IT críticos para el proceso? Si No Un Disaster Recovery Plan no es necesario para este proceso en esta ubicación Existen sistemas críticos de IT gestionados desde esta ubicación. Crear el Disaster Recovery Plan que corresponda 49 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 3. Análisis de Impacto en el negocio (BIA) • Asegurar que todas las aplicaciones (no solo las críticas) han sido contempladas en el BIA. El Responsable de IT ha de asegurarse de que todas las aplicaciones, bases de datos, sistemas operativos y componentes de la infraestructura de IT se han tenido en cuenta en el BIA. • Obtener el “Tiempo hasta Impacto” (time to impact): “Cuánto tiempo puede utilizarse el proceso alternativo al Sistema de IT interrumpido (o prescindir de él) antes de que se produzca un fallo en el proceso de negocio”. 50 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 3. Análisis de Impacto en el negocio (BIA) Areas típicas de negocio: • • • • • • • • • • • • • • Facturación Cobros Pagos Compras Calidad Desarrollo de productos (I + D) Información Financiera Recursos Humanos Logística y Materiales Producción Tecnologías de la Información (EDI, BB.DD., Sistemas Operativos, …) Comunicación / Relaciones Públicas Entorno físico Auditoría Interna 51 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 4. Listas de contactos • Empleados clave y participantes en los procesos de recuperación • Proveedores (especialmente los de hard, soft y servicios) • Clientes 52 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 5. Procedimientos de notificación y respuesta a emergencias • Los procedimientos de notificación son críticos para una respuesta puntual a una interrupción del negocio. Una rápida notificación al personal clave ayudará a asegurar que se minimiza el impacto de una interrupción, y que la respuesta a la misma será rápida. Cuanto más rápido empiezan las tareas de recuperación, menor es la cantidad de datos y operaciones de producción que se pierden • Documentar siempre el resultado de los contactos realizados 53 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 5. Procedimientos de notificación y respuesta a emergencias Ejemplo de procedimiento: 1. Si la persona está disponible, darle la siguiente información: - Breve descripción del problema - Ubicación del Centro de Mando del Incidente - Número de teléfono del Centro de Mando del Incidente - Cualquier requerimiento de acción inmediata - Informar a la persona de no hacer ninguna declaración pública sobre la situación - Informar a la persona de no hacer llamadas a otros empleados (esto evita prematuras notificaciones) 54 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 5. Procedimientos de notificación y respuesta a emergencias Ejemplo de procedimiento (cont.): 2. Si la persona no está disponible, preguntar dónde se puede contactar con ella - Si está en alguna ubicación que no sea el lugar de trabajo, obtener el número de teléfono, hacer la llamada, y dar la información citada en el punto 1 - Si la persona esta en el lugar de trabajo, indicar que ya le contactará allí (NO COMENTAR SITUACIONES DE DESASTRE CON LA PERSONA QUE CONTESTE AL TELÉFONO) - Contactar al Jefe de Equipo inmediatamente 55 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 5. Procedimientos de notificación y respuesta a emergencias Ejemplo de procedimiento (cont.): 3. Si no hay respuesta: - Registrar la hora en que se hicieron los intentos de contacto - Preparar una lista de las personas que no pudieron ser contactadas y dársela al Jefe de Equipo El Jefe de Equipo delegará la tarea de contacto telefónico al Equipo de Recuperación o a otro personal administrativo de soporte 56 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 5. Procedimientos de notificación y respuesta a emergencias Ejemplo de procedimiento (cont.): 4. Si la información de contacto no es válida: (P. ej. número equivocado, teléfono desconectado, …) - Si la persona se ha trasladado, intentar obtener el nuevo número de teléfono y contactar con ella - Comunicar al Jefe de Equipo que la información de contacto es incorrecta 57 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 6. Procedimientos de back-up de datos • Back-up Hacer copias de seguridad sin planificación de recuperación no tiene sentido • Disaster Recovery La recuperación sin copias de seguridad es imposible 58 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 6. Procedimientos de back-up de datos • Planes de back-up - ¿Cuánto tiempo puede funcionar su negocio sin datos críticos a disposición de sus empleados, clientes, socios, etc.? - ¿Qué datos son extremadamente importantes para conseguir volver a funcionar después de un evento perjudicial imprevisto? - ¿Qué tipo de solución de copia de seguridad (local / remoto basado en cloud) se requiere para hacer frente a sus necesidades? - ¿Qué nivel de copia de seguridad de datos (archivos, imagen global) se necesita y cuál es la frecuencia de las copias de seguridad? - ¿Qué equipos (sobremesa / portátiles / dispositivos móviles) necesitan ser respaldados? Revisar y modificar (si procede) los procedimientos de back-up existentes para adecuarlos a las necesidades definidas en el análisis de impacto en el negocio 59 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 6. Procedimientos de back-up de datos • Documentar los procedimientos de back-up - Archivos a copiar - Tipo de copia - Nomeclatura de las copias - Tipo de soporte utilizado - Frecuencia de las copias - Número de versiones a guardar - Ubicación de las copias y su rotación - Hard y soft utilizados para obtener las copias 60 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 7. Procedimientos de recuperación de datos • Software de back-up utilizado • Guías de recuperación “paso a paso” • Requerimientos del sistema (unidades de cinta, etc.) • Durante el proceso de recuperación, ¿cuál es el orden en el que los sistemas, aplicaciones y datos serán recuperados? • ¿Cómo van a tener acceso los empleados a las aplicaciones y los datos en caso de que no se pueda acceder al lugar de trabajo regular? 61 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 8. Procedimientos de recuperación del sistema • Sistemas operativos • Aplicaciones • Configuraciones (hardware, interfaces, direcciones IP, etc.) 62 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 8. Procedimientos de recuperación del sistema Definición de Estrategias Alternativas • Se centran en los procesos de restauración de aplicaciones críticas de negocio • Gestionar los riesgos desde el punto de vista de toda la empresa • Desarrollar las estrategias de recuperación basándose en el análisis de impacto en el negocio • Desarrollar y/o asegurarse de que existen procedimientos manuales para apoyar los procesos críticos de negocio (p. ej. transacciones EDI) • Siempre que sea posible, utilizar los servicios compartidos disponibles en toda la empresa (p. ej. soporte de la LAN, WAN) • Cuando sea necesario, debe seguirse el proceso de aprobación de inversiones para gestionar riesgos específicos del negocio 63 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 8. Procedimientos de recuperación del sistema • Evaluar el “Tiempo de recuperación” (time to recover): “Cuánto tiempo se necesita para recuperar el Sistema de IT que soporta el proceso de negocio” • Para recuperación de hardware definir: - Ubicación: Dónde se necesita que esté el hardware - Requerimientos: Qué hardware mínimo se necesita - Tiempo de recuperación: En cuánto tiempo se necesita 64 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 8. Procedimientos de recuperación del sistema • Una copia reciente del DR Plan debe estar disponible para todos los miembros del equipo de recuperación, con las listas de contactos actualizadas • El DR Plan ha de estar guardado en una ubicación externa segura • Revisar los Tiempos de Recuperación expresados en el DR Plan y evaluar su razonabilidad (P.ej. 2 horas para recuperar un servidor, incluyendo la obtención del hardware, carga del Sistema operativo, parches, software, etc. puede no ser un tiempo razonable). 65 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 9. Estrategias de prueba del Plan • Alcance de las pruebas - Revisión de Calidad - Guía estructurada - Test de Simulación / Paralelo / Interrupción completa • Verificar que el plan de pruebas del DR Plan incluye un ejercicio de contactar a los miembros de las listas de contactos interna y externa. Cada ubicación debería haber llamado a los contactos de la lista para asegurar que los números de teléfono y los nombres son válidos. • Necesidad de pruebas periódicas - Al menos anualmente, y cuando se produzcan cambios 66 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 9. Estrategias de prueba del Plan Revisión de Calidad • El objetivo de este test es validar el contenido del DRP. Este test no trata escenarios específicos de desastre • Este test lo dirige y aprueba el responsable de negocio, con la participación del personal técnico del equipo de recuperación • Actividades: - Validar los sistemas de información que son críticos para las operaciones del negocio - Validar la información de back-up de datos - Validar la información de contactos - Validar la información de almacenamiento externo y ubicaciones estratégicas - Validar los procedimientos de alerta y notificación 67 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 9. Estrategias de prueba del Plan Guía estructurada • El objetivo de este test es validar que el DR Plan es capaz de recuperar los procesos críticos en caso de que los sistemas que los soportan no estuvieran disponibles • Este test lo dirige y aprueba el responsable de IT, con la participación del equipo técnico de recuperación, y proveedores/consultores, cuando sea aplicable • Actividades: Los miembros del equipo recorren verbalmente los pasos específicos tal como se documentan en el plan para identificar lagunas y deficiencias, y confirmar la eficacia general del Plan 68 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 9. Estrategias de prueba del Plan Test de Simulación / Paralelo / Interrupción completa • El objetivo de este test es probar en un entorno real o pseudo-real que determinados sistemas y funciones previamente definidos pueden recuperarse satisfactoriamente en el tiempo estipulado, siguiendo los procesos de recuperación descritos en el Plan • En función del ámbito de la prueba, se identifican las personas, unidades de negocio y proveedores de servicios que han de estar involucrados en la prueba, así como sus diversos roles y responsabilidades • Actividades: - Planificar día y hora del test - Identificar las tareas y los responsables de llevarlas a cabo - Estimar la duración de la prueba - Documentar el resultado del test y las sugerencias de modificación, si procede 69 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 9. Estrategias de prueba del Plan Realización, aceptación de las pruebas y documentación de los resultados • Confirmar que la ubicación ha realizado pruebas del DR Plan dentro de los últimos doce meses. • Obtener de la ubicación evidencias de la realización de pruebas del DR Plan, de la revisión de las partes interesadas y de la aprobación de los resultados. • Confirmar que se ha notificado a la Dirección que las pruebas del DR Plan se han realizado y han sido satisfactorias. 70 www.bcn.cat/cibernarium www.segall.es 5. Componentes básicos del DRP Cibernàrium 10. Procedimientos de mantenimiento del Plan • Revisión anual (como mínimo) • Actualización cuando se produzcan cambios Determinar si existen procedimientos para asegurar que los cambios criticos han sido actualizados en el DR Plan Verificar si los cambios experimentados por la estrategia de continuidad de IT han sido reflejados en el DR Plan. (Ejemplos de cambios pueden ser: direcciones y/o números de teléfono, estrategia de negocio, ubicación de instalaciones, legislación, sub-contratistas, proveedores, clientes clave, nuevos riesgos tanto operacionales como financieros, cambios de hardware / software en los sistemas críticos, cambios en el personal). 71 www.bcn.cat/cibernarium www.segall.es 6. Algunos productos Cibernàrium Algunos productos / soluciones de software • SUNGARD Availabilty Services http://www.sungardas.com/ • AGILITY Recovery http://www2.agilityrecovery.com/ • KingsBridge http://disasterrecovery.com/ • BCP Generator http://www.disaster-recovery-plan.com/ • Guardian Software (cloud solutions) http://guardiansoftware.es • StorageCraft http://www.storagecraft.com/ 72 www.bcn.cat/cibernarium www.segall.es 7. Preguntas Cibernàrium 73 www.bcn.cat/cibernarium www.segall.es Cibernàrium ¡Muchas gracias! 74 www.bcn.cat/cibernarium www.segall.es Cibernàrium bcn.cat/barcelonactiva bcn.cat/cibernarium www.bcn.cat/cibernarium