Академический Документы
Профессиональный Документы
Культура Документы
DE
LA CONTINUIDAD
DEL NEGOCIO
RECUPERACIN DE DESASTRES
Planeacin de la Continuidad del Negocio (BPC), es un proceso continuo. Son los planes logsticos para la prctica de cmo una organizacin debe recuperar y restaurar sus funciones crticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado despus de una interrupcin no deseada o desastre. El propsito de la continuidad del negocio en casos de desastres es permitir que una empresa contine ofreciendo sus servicios crticos en caso de que ocurra una interrupcin y que sobreviva a una interrupcin desastrosa de las actividades. Es necesario contar con una planificacin y un compromiso riguroso de los recursos para proveer tales eventos de forma adecuada. El primer paso en la preparacin de un nuevo plan de continuidad de negocios, es identificar los procesos de negocio de importancia estratgica, aquellos procesos claves que son de responsables del crecimiento del negocio y de la consecucin de las metas del negocio. Basado en los procesos claves, el proceso de gestin de riesgos debera comenzar con una evaluacin de riesgos. El riesgo es directamente proporcional al impacto sobre la organizacin y la probabilidad de que ocurra la amenaza percibida. Por lo tanto, la evaluacin de riesgos debera permitir identificar lo siguiente: o Los recursos humanos, los datos, los elementos de la infraestructura, entre otros. o Una lista de las posibles vulnerabilidades, es decir, los peligros o amenazas para la organizacin. o La probabilidad estimada de que ocurran estas amenazas. o La eficiencia y eficacia de los controles existentes de mitigacin de riesgos (contramedidas para afrontar riesgos).
La gestin de estos riesgos se aborda en la preparacin del Planeacin de la Continuidad del Negocio (BCP).
El BCP, es bsicamente responsabilidad de la alta gerencia, debido a que a sta se le confi la proteccin de los activos y la viabilidad de la organizacin, tal como se defini en la poltica. En general, las unidades de negocio y soporte siguen el BCP, para ofrecer un nivel de funcionabilidad reducido pero suficiente en las operaciones de negocio inmediatamente despus de enfrentar una interrupcin, mientas ocurre la recuperacin. El plan debera tatar todas las funciones y los activos requeridos para continuar como una organizacin viable. Esto incluye procedimientos de continuidad considerados como necesarios para sobrevivir y minimizar las consecuencias de la interrupcin del negocio. El BCP, toma en consideracin lo siguiente: o Las operaciones crticas que son necearas para la supervivencia de la organizacin. o Los recursos humanos, materiales que los soporta. Adems del plan para la continuidad de las operaciones, el BCP incluye: El DPR, que se utiliza para recuperar una instalacin que se haya vuelto inoperable, incluyendo la reubicacin de las operaciones en una nueva ubicacin. El plan de restauracin que se utiliza para normalizar las operaciones de una instalacin restaurada o nueva. Dependiendo de la complejidad de la organizacin, podra haber uno o ms planes para tratar los diferentes aspectos de la continuidad del negocio y la recuperacin de desastres.
dependen de la disponibilidad de los componentes y los datos de la infraestructura de sistemas claves. El plan de continuidad de negocios de SI, debe estar alineado con la estrategia de la organizacin. La criticidad de los diferentes sistemas de aplicaciones de la organizacin depende de la naturaleza del negocio, as como del valor de cada aplicacin para el negocio. Un plan de continuidad del negocio de SI es mucho ms que slo un plan para los sistemas de informacin. Un BCP identifica lo que el negocio har en el caso de un desastre. Un subcomponente del plan de continuidad del negocio es el plan de recuperacin ante desastres de TI. ste, tpicamente detalla el proceso que el personal de TI utilizar para restablecer los sistemas de cmputo. Los DRPs pueden estar incluidos en el BCP como un documento completamente separado, dependiendo de las necesidades del negocio. Una vez que la evaluacin de riesgos identifica la importancia de los componentes de SI, para la organizacin de, y las amenazas y las vulnerabilidades de esos componentes, se puede desarrollar un plan de acciones correcticas para establecer lo mtodos ms apropiados para proteger los componentes. Siempre hay diferentes opciones de mitigacin de riesgos para escoger, bien sea para eliminar la amenaza y/o corregir la vulnerabilidad. No todos los sistemas requerirn de una estrategia de recuperacin. Basada en los resultados del anlisis de riesgo, la gerencia puede no ver una relacin costo-beneficio favorable para restablecer ciertas aplicaciones en el caso de un desastre. Un factor que se debe tener siempre presente para determinar las opciones de recuperacin es que el costo nunca debe exceder el beneficio. La calidad de los elementos de SI es esencial para la recuperacin ante desastres de SI. Por lo tanto, se recomienda que la organizacin implemente un sistema de gestin de seguridad de la informacin (ISMS), para mantener la integridad, confidencialidad y disponibilidad de SI.
PROCESO NEGOCIO
DE
PLANIFICACIN
DE
CONTINUIDAD
DEL
El proceso de BCP puede dividirse en las etapas del ciclo de vida siguientes: 1. Creacin de una poltica de continuidad del negocio. 2. BIA. Anlisis de Impacto del negocio. 3. Clasificacin de las operaciones y anlisis de criticidad. 4. Identificacin de los procesos de SI que soportan funciones organizacionales crticas. 5. Desarrollo de un BCP y procedimientos de recuperacin ante desastres de SI. 6. Desarrollo de procedimientos de reanudacin. 7. Programa de capacitacin y concientizacin. 8. Prueba e implementacin del plan. 9. Monitoreo.
Una poltica de continuidad del negocio debe ser proactiva y abarcar controles preventivos, de deteccin y correctivos. El BCP es el control correctivo ms crtico. Depende de que otros controles sean efectivos, en particular la gestin de incidentes y respaldo de medios.
un incidente mayor puede disminuir en grado momentneamente y extenderse luego para convertirse en una crisis.
PUNTO
DE
RECUPERACIN
OBJETIVO Y TIEMPO
DE
RECUPERACIN OBJETIVO
El RPO se determina sobre la base de la prdida de datos aceptable en caso de una interrupcin de operaciones. Ello indica el punto ms anticipado en el tiempo al cual es aceptable recuperar los datos. Por ejemplo, si el proceso puede permitirse perder los datos hasta cuatro horas antes del desastre, entonces la ltima copia de respaldo debera ser hasta cuatro horas antes del desastre o de la interrupcin y por tanto, las transacciones durante RPO y la interrupcin debern ser ingresadas despus de la recuperacin (conocido como catch-up data o puesta al da de los datos).
RPO cuantifica efectivamente la cantidad permitida de prdida de datos en el caso de interrupcin. Es casi imposible recuperar la totalidad de los datos. Incluso despus de ingresar los datos faltantes, algunos todava se perdern y a ellos se hace referencia como datos hurfanos.
El RTO (tiempo objetivo de recuperacin) se determina sobre la base del tiempo de inactividad aceptable en caso de una interrupcin de operaciones. Ello indica el punto ms anticipado en el tiempo en el que las operaciones de negocio deben retomarse despus del desastre. La siguiente figura, muestra la relacin entre RTO y RPO.
Cuanto ms bajo sea el tiempo de recuperacin requerido, ms elevado ser el costo de las estrategias de recuperacin, es decir, si el RPO est en minutos (prdida de datos aceptable ms baja posible), entonces el MIRROGING o la duplicacin de datos debe implementarse como la estrategia de recuperacin. Si el RTO es menor, entonces el sitio alternativo podra preferirse a un contrato de hot site.
ESTRATEGIAS DE RECUPERACIN
Una estrategia de recuperacin identifica la mejor forma de recuperar un sistema en caso de interrupcin, incluyendo desastre y provee orientacin basada en qu procedimientos detallados de recuperacin se pueden desarrollar. La estrategia apropiada es la que tiene un costo para un tiempo aceptable de recuperacin que tambin es razonable con el impacto y la probabilidad de ocurrencia. Las acciones ms efectivas seran: Eliminar la amenaza completamente. Minimizar la probabilidad y el efecto de la ocurrencia.
Una estrategia de recuperacin es una combinacin de medidas preventivas, detectives y correctivas. La seleccin de una estrategia de recuperacin dependera de: La criticidad del proceso del negocio y las aplicaciones que soportan los procesos. Costo. El tiempo requerido para recuperarse. Seguridad.
Alternativas de Recuperacin Cuando las instalaciones de produccin normal no estn disponibles, el negocio puede utilizar instalaciones alternas para sostener procesos crticos hasta que las instalaciones principales se puedan restaurar. Entre las instalaciones alternativas ms comunes estn: Hot Sites: Se configuran totalmente y estn listos para operar dentro de varias horas. El equipo, red y software del sistema deben ser compatibles con la instalacin primaria que est siendo respaldada. Las nicas necesidades adicionales son personal, programas, archivos de datos y documentacin.
El hot site est destinado para operaciones de emergencia durante un perodo limitado de tiempo y no para uso prolongado. Warm Sites: Estn parcialmente configurados, por lo general con conexiones de red y equipo perifrico seleccionado, como por ejemplo, unidades de discos y otros controladores, pero sin la computadora principal. Algunas veces un warm site est equipado con una CPU menos potente que la que se usa generalmente. El supuesto detrs del concepto warm site es que la computadora puede por lo general obtenerse rpidamente para una instalacin de emergencia y como la computadora es la unidad ms cara, dicho acuerdo es menos costoso que un hot site. Cold Sites, son instalaciones con espacio apropiado y la infraestructura bsica adecuada para apoyar la reanudacin de las operaciones, pero sin incluir ninguno de los equipos de TI o comunicaciones, programas, datos o soporte de oficina. Sitios mviles: Especie de remolque especialmente diseado para ser transportado rpidamente a un lugar de negocio o a un sitio alterno para proveer una instalacin acondicionada y lista para el procesamiento de informacin.
Procedimientos de evacuacin. Procedimientos para declarar un desastre. Las circunstancias bajo las cuales se debe declarar un desastre. Todas las interrupciones no son desastres, pero un pequeo incidente, si no es tratado a su debido tiempo o de manera apropiada, puede conducir a un desastre. Por ejemplo, un ataque de virus no reconocido y contenido a tiempo puede hacer colapsar toda la instalacin de TI. La clara identificacin de las responsabilidades en el plan. La clara identificacin de informacin de los contratos. La explicacin paso por paso de la opcin de recuperacin. La clara identificacin de los diversos recursos requeridos para la recuperacin y operacin contina de la organizacin. El plan debe estar documentado y escrito en un lenguaje sencillo y comprensible para todos.
Las tres divisiones principales que requieren participacin en la formulacin del BCP son los servicios de soporte, las operaciones del negocio y el soporte de procesamiento de informacin. La organizacin completa necesita ser considerada para el BCP y no solamente el personal TI. Cuando el plan se formule, se deben incluir los siguientes puntos: Una lista del personal, con informacin de contacto, requerido para mantener las funciones crticas del negocio en el corto, mediano y largo plazo. La configuracin de las instalaciones fsicas, escritorios, sillas, telfonos etc. que se requieren para mantener las funciones crticas del negocio, en el corto, mediano y largo plazo. Es decir, componentes de un BCP: Personal clave para la toma de decisiones (rbol de llamadas y directorios). Es un directorio telefnico de las personas que deben ser notificadas en caso de un desastre o de una catstrofe. Respaldo de los suministros requeridos (base de datos, sistemas operativos, etc.). Se deben considerar todos los suministros necesarios para la continuidad de las actividades normales del negocio durante el proceso de recuperacin. Procedimientos, formularios y todos los documentos que se requieran. Mtodos de recuperacin de desastre de las redes de telecomunicaciones. Arreglo redundante de discos independientes. Seguros.
Para las fases de planeacin, implementacin y evaluacin del BCP se debe acordar lo siguiente: Las polticas que regirn todos los esfuerzos de continuidad y recuperacin. Las metas/ requerimientos/ productos de cada fase. Instalaciones alternativas para realizar tareas y operaciones. Recursos de informacin critica a instalar. Personas responsables de su ejecucin.
Recursos disponibles para ayudar en la ejecucin del plan. El cronograma de actividades con las prioridades establecidas.
RESPALDO Y RECUPERACIN
Para asegurar que las actividades de un negocio no sean interrumpidas en el caso de un desastre, se usan medios secundarios de almacenamiento para almacenar programas y datos asociados para fines de copias de respaldo. Controles Incluyen: Asegurar que la construccin fsica pueda resistir al fuego / calor / agua (por dos horas). Ubicar la biblioteca lejos de la sala de computadoras, preferentemente a kilmetros de distancia para evitar que el riesgo de un desastre afecte ambas instalaciones. Asegurar que solo el personal autorizado tenga acceso a la biblioteca y a los medios fuera de lnea. Asegurar que se mantenga un inventario perpetuo de todos los medios de almacenamiento y de los archivos almacenados en la biblioteca. Asegurar que se mantenga un registro de informacin respecto al contenido, a las versiones y a la ubicacin de los archivos de datos. Seguridad y control de las instalaciones alternas: El sitio alterno de procesamiento de informacin debe ser tan seguro y controlado como el sitio primario. Esto incluye controles adecuados de acceso fsico como por ejemplo, puertas cerradas con cerrojo, ninguna ventana y personal para vigilancia. La instalacin alterna debe poseer el mismo monitoreo y control ambiental constante que el sitio primario. Esto incluye el monitoreo de humedad, de temperatura y de aire que lo rodea para logar condiciones ptimas para almacenar medios pticos, magnticos y en papel y, si fuera aplicable, equipo operativo de cmputo y dispositivos perifricos. Incluido en los controles ambientales apropiados, est el suministro ininterrumpido de energa operando
sobre un piso falso y con la instalacin de detectores de humo y agua apropiados y un sistema de extincin de incendio probado y en operacin. Respaldos de los medios y de la documentacin: Un elemento crucial para el plan de recuperacin para la continuidad de un negocio, en el sitio o en el sitio alterno, es la disponibilidad de datos adecuados. La duplicacin de datos y de documentacin importantes, incluyendo el almacenamiento de dichos datos y de la documentacin de respaldo en el sitio alterno, es un requisito previo para cualquier tipo de recuperacin. Procedimientos peridicos de copias de respaldo: Tanto los archivos de datos como el software deben ser respaldados peridicamente, de acuerdo con el RPO definido. El periodo de tiempo en el que se debe programar la copia de respaldo Puede diferir por programa de aplicacin o por sistema de software. Por ejemplo, ciertos sistemas de aplicacin que se ejecutan mensualmente en los cuales los archivos principales o de transacciones se actualizan mensualmente requerirn que se programen las copias de respaldo despus que se ejecute la produccin mensual. Sin embargo, los sistemas operativos o el software de aplicacin que sea actualizado con frecuencia podrn requerir copias de respaldo semanales. A menudo los sistemas en lnea que efectan el procesamiento de grandes volmenes de transacciones requieren de copias de respaldo cada noche o inmediatamente o utilizan actualizaciones de archivos maestros espejados en una instalacin de procesamiento separada.