Diseo de un Marco Metodolgico para el desarrollo de un Plan de Continuidad del Negocio

MAESTRA EN GOBIERNO DE TECNOLOGIA INFORMTICA

CLAUDIA BARROS QUIROZ GIRALDO MAURY CURE

CONTENIDO
ANTECEDENTES FORMULACIN DEL PROBLEMA OBJETIVOS Objetivo General Objetivos Especficos

ALCANCES Y LIMITACIONES
METODOLOGA CRONOGRAMA IMPACTOS Y RESULTADOS ESPERADOS REFERENCIAS BIBLIOGRFICAS

ANTECEDENTES

La informacin se ha convertido en un activo estratgico de las empresas, un activo que tiene un valor en ocasiones poco calculable hasta que se pierde y altera la trayectoria del negocio. Esta prdida puede ser ocasionada por diferentes factores como:

condiciones atmosfricas extremas, actividades polticas hostiles, prdida de los sistemas y datos informticos, prdida de poder, prdida de una persona esencial, incendio, Inundacin, explosin.

Segn datos del Emergency Management Forum

43% de las empresas estadounidenses que afrontan un desastre sin contar con un Plan de Continuidad de Negocio nunca vuelven a la actividad, 51% sobrevive pero tarda un promedio de dos aos para reinsertarse en el mercado. 6% mantiene su negocio a largo plazo.

ANTECEDENTES
Segn VERITAS Disaster Recovery Survey 2004:

72% de todos los negocios tienen alguna de estas condiciones: No tienen Plan de Continuidad del Negocio. Si lo tienen, nunca lo han probado. Su Plan fall cundo lo probaron. Solamente 18% de los datos de usuario final estn protegidos. Un incidente no tiene que ser un dramtico ataque terrorista para tener un impacto enorme en una empresa. Las empresas necesitan implementar planes que les permitan: Manejar incidentes, ya sean grandes ataques terroristas o pequeos problemas informticos. Evitar grandes interrupciones del negocio.

ANTECEDENTES

Se han desarrollado directivas y estndares para la Gestin de la Continuidad del Negocio, que es el nombre que se da a las distintas disciplinas que tienen como objetivo promover polticas, prcticas y procesos que estn al servicio de las medidas de proteccin que hoy en da existen en los mercados financieros y que deben ser adoptadas por las organizaciones. Algunos de estos estndares son: British Standard - 25999 que cubre el proceso de Gestin de la continuidad de los servicios IT, Proceso Gestin de la Continuidad del Servicio de TI de la Etapa de Diseo del servicio de ITIL Proceso DS4 - Asegurar la continuidad del servicio del dominio Entrega y soporte del estndar COBIT.

FORMULACIN DEL PROBLEMA

Para las grandes organizaciones, la gestin de la continuidad del negocio se lleva a cabo durante todo el tiempo, por una persona o un pequeo equipo (de acuerdo al tamao del negocio). Para la gran mayora de las empresas, esta funcin ser probablemente la responsabilidad de una persona que haga este trabajo adems de sus funciones diarias.

Para otras organizaciones, ni siquiera tienen contemplado un plan de continuidad, debido a la falta de formacin y de informacin sencilla.

FORMULACIN DEL PROBLEMA

Las autoridades reguladoras estn insistiendo en que se adopten medidas que protejan a las organizaciones de sucesos imprevistos y a medida que los negocios evolucionan, tambin lo hace la dependencia a las infraestructuras de soporte.

Cmo proporcionar a las organizaciones una metodologa detallada, que ilustre las fases, tareas y actividades para confeccionar gilmente un Plan de continuidad del Negocio?

OBJETIVOS
OBJETIVO GENERAL
Disear un Marco Metodolgico para el desarrollo de un Plan de Continuidad del Negocio en una compaa, soportado en estndares de Gestin de la Continuidad del Negocio.

OBJETIVOS ESPECFICOS
Explorar e interpretar el estndar BS 25999, el proceso Gestin de la Continuidad de los Servicios de TI de ITIL y el proceso DS4 - Asegurar la continuidad del servicio del dominio Entrega y soporte de COBIT. A partir de dicha exploracin:

Entender los diferentes estndares y prcticas que propone la bibliografa especializada en el tema. Realizar entrevistas y encuestas que permitan complementar la investigacin terica con la situacin actual de algunas empresas. Disear un Marco Metodolgico para desarrollar un plan de continuidad del negocio adaptable a cualquier empresa. Desarrollar una gua de implantacin de dicho marco, donde se muestren cada una de las fases que componen un Plan de Continuidad del negocio. Describir las actividades a desarrollar en cada una de las fases del plan de Continuidad del negocio. Seleccionar los procesos claves para la efectiva Gestin de la Continuidad y preparar los procedimientos requeridos para cada proceso.

METODOLOGA
El marco metodolgico se desarrollar haciendo un recorrido detallado del estndar BS 25999, el proceso Gestin de la Continuidad de los Servicios de TI de ITIL y el proceso DS4 - Asegurar la continuidad del servicio del dominio Entrega y soporte de COBIT; con el propsito de precisar e identificar las reas y fases a tratar en el marco metodolgico a proponer. Para cumplir con los objetivos o dar respuesta concreta al problema identificado se deben aplicar la investigacin, observacin, anlisis y sntesis en las siguientes etapas:

Etapa 1

Etapa 2

Etapa 3

Consistir en la lectura, anlisis y sntesis de BS - 25999, ITIL y COBIT. Se realizar una investigacin y levantamiento de informacin adicional que permita el entendimiento de los Procesos.

Consistir en la identificacin de la situacin actual de algunas compaas frente a la gestin de la continuidad del negocio y de la Gobernabilidad de TI. Se realizarn entrevistas y encuestas, de modo que se logre obtener la informacin necesaria.

Etapa 4

Interpretacin de los diferentes estndares

Formulacin del proyecto

Definicin de un marco metodolgico compuesto por diferentes fases y actividades Consistir en la identificacin de las principales fases y actividades, y determinar las herramientas que se necesitarn para seguir las pautas del marco de trabajo.

Diseo de la Herramienta Se realizar el diseo de la herramienta, teniendo en cuenta las fases y actividades de un plan de continuidad del negocio.

ALCANCES Y LIMITACIONES
Los alcances de este proyecto consisten bsicamente en lograr disear un Marco Metodolgico para el desarrollo de un plan de continuidad, en un plazo de tiempo de cuatro meses aproximadamente, que incluye las fases de Diagnstico, Diseo y presentacin del Marco. Este proyecto no abarca la implementacin del marco metodolgico, pero se van incluir ejemplos y procesos claves que ilustren la estructura del plan.

CRONOGRAMA

Levantamiento Bibliogrfico Recorrido y Anlisis del contenido de Estndares BS25999, ITIL, COBIT Anlisis y Evaluacin de la situacin actual de las compaas Diseo del Marco Metodolgico para el desarrollo de un plan de continuidad Preparacin Informe final

3 Semanas 5 Semanas 2 Semanas 4 Semanas 2 Semanas

IMPACTOS Y RESULTADOS ESPERADOS

Este proyecto surge como una necesidad del sector empresarial, y proporcionar un marco metodolgico o una gua prctica para que el personal de TI, implemente de manera gil un plan de continuidad del negocio que permita prevenir o evitar los posibles escenarios originados por una situacin de crisis as como minimizar las consecuencias econmicas, reputacionales o de responsabilidad civil derivadas de la misma, y que ayude a reducir los costos asociados a la interrupcin o evitar penalizaciones contractuales por incumplimiento de contratos como proveedor de productos o servicios.

MARCO METODOLGICO PROPUESTO

Fase I. DISEAR LA POLTICA

Comprende la identificacin de las actividades que deben ser realizadas de forma previa para comenzar el proceso de desarrollo e implantacin del Plan de Continuidad. Es indispensable contar con el apoyo de la Alta Direccin as como la inversin econmica necesaria. Las actividades a realizar son las siguientes:

Es necesario designar un coordinador quien se encargue gestionar y supervisar el proceso de elaboracin del plan. Es recomendable constituir (dependiendo de la inversin) un equipo de continuidad del negocio.

La poltica se entiende como un documento sencillo, claro y conciso que establece a alto nivel (estratgico) los objetivos, el alcance y las responsabilidades en la gestin de la continuidad de negocio en la organizacin.

Actividad 3

Actividad 1

Actividad 2

Establecer los responsables de la Continuidad del Negocio

Elaborar la poltica de continuidad

Definicin de un marco metodolgico compuesto por diferentes fases y actividades Consistir en la identificacin de las principales fases y actividades, y determinar las herramientas que se necesitarn para seguir las pautas del marco de trabajo.

Fase II. ANALIZAR EL IMPACTO

Constituye la base para elaborar un plan de continuidad de negocio. Consiste en describir qu prdidas potenciales tendr la organizacin si alguna de sus actividades de negocio o de los recursos que las soportan se paraliza. Este anlisis va a permitir que las organizaciones sepan qu recursos van a tener que proveer al plan de recuperacin y en qu orden para restablecer y recuperar la operativa despus de un desastre.

Identificar Activos Para cada uno de los procesos crticos de la compaa es necesario realizar un inventario de los activos involucrados en el proceso. Los activos se definen como los recursos de una compaa que son necesarios para la consecucin de sus objetivos de negocio.

Identificar Amenazas hay que evaluar las distintas amenazas que pueden provenir de las ms diversas fuentes. Entre stas se incluyen los agresores malintencionados, las amenazas no intencionadas y los desastres naturales.

Evaluar Vulnerabilidades Para identificar las vulnerabilidades debemos responder a la pregunta: Cmo puede ocurrir una amenaza? Definimos las distintas situaciones por las que puede ocurrir la misma, evaluando si puede darse esa circunstancia. Si no se responde afirmativamente, es que existen vulnerabilidades que podran utilizarse de forma que la amenaza se convierta en un incidente real.

Evaluar Riesgos El resultado del proceso ser un mapa que permite identificar y priorizar aquellos riesgos que pueden provocar una paralizacin de las actividades de negocio o de los recursos crticos. El riesgo suele expresarse en trminos cualitativos (Alto, Medio, Bajo).

Medidas de Reduccin de Riesgos Reducen la posibilidad de que una compaa sufra una contingencia grave o un desastre y, si ste se produce, disminuir el dao que provocara. Existen diferentes opciones para hacer frente a los mismos: aceptar, transferir, reducir o evitar el riesgo.

Actividad 1

Actividad 2

Actividad 3

Actividad 4

Actividad 5

Fase III. ANALIZAR LOS RIESGOS

Consiste en identificar las amenazas sobre estos activos y su probabilidad de ocurrencia, las vulnerabilidades asociadas a cada activo y el impacto que las citadas amenazas pueden provocar sobre la disponibilidad de los mismos. Dentro del Anlisis de Riesgos podemos distinguir las siguientes actividades:
Identificar los Procesos Crticos Se deber establecer los Procesos de Negocio que se realizan en la compaa y determinar cules son los procesos crticos cuya ausencia tendra un impacto alto en la actividad. Se propone clasificar el nivel de criticidad de los procesos de negocio as: Funciones de Misin crtica, Esenciales, Necesarias, Deseables. Elaborar la poltica de continuidad Se entiende como un documento sencillo, claro y conciso que establece a nivel estratgico los objetivos, el alcance y las responsabilidades en la gestin de la continuidad de negocio en la organizacin. Adems se deber clasificar categora de criticidad de los recursos. Determinar las interdependencias de recursos Son las relaciones cliente/servicio que soportan las operaciones comerciales normales. Se debern listar todos los insumos que son crticos para el xito del rea o proceso de negocio y quienes son los proveedores del servicio o proceso. Determinar el impacto Se deber hacer una valoracin de prdidas tanto tangibles como intangibles. Las categoras planteadas son--. Operativos, econmicos, regulatorios o contractuales, imagen. Determinar el Perodo Mximo de Interrupcin Establece la urgencia que las diferentes unidades de negocio precisan para volver a su funcionamiento habitual. Estos pueden establecerse en perodos de tiempo en funcin de la criticidad de los procesos y pueden ser cuestin de horas o semanas en aquellos procesos prescindibles.

Actividad 4

Actividad 1

Actividad 2

Actividad 3

Actividad 5

Fase IV. DETERMINAR LA ESTRATEGIA DE RECUPERACION

Las estrategias de recuperacin son procesos focalizados en cmo rescatar a la organizacin en caso de que un desastre se presente. En esta fase se seleccionarn los mtodos operativos alternativos que se van a utilizar en el caso de que ocurra un incidente que provoque una interrupcin en la organizacin. El mtodo seleccionado deber garantizar la restauracin de los procesos afectados en los tiempos determinados por el Anlisis de Impacto. La organizacin debe seleccionar las diferentes soluciones o alternativas de recuperacin de sus actividades crticas, considerando adicionalmente los siguientes factores:
El costo econmico asociado a la implantacin de la estrategia de recuperacin, la cual suele constituir uno de los mayores inconvenientes a la hora de adquirir una solucin de recuperacin. Los beneficios que proporciona la estrategia. El Tiempo Mximo Permitido de Interrupcin (MTD) de la actividad crtica. El Tiempo de Recuperacin Objetivo (RTO). La prdida mxima de informacin que una empresa se puede permitir (RPO).

Fase IV. DETERMINAR LA ESTRATEGIA DE RECUPERACION

REFERENCIAS BIBLIOGRAFICAS

Emergency Management Forum, 2001. Documentacin en lnea: http://www.oakridge.doe.gov/external/Home/PublicActivities/EmergencyManag ementForum/tabid/307/Default.aspx

GASPAR J., 2004. Planes De Contingencia. La Continuidad Del Negocio En Las Organizaciones. BS 25999, Sep 2010. British Standard 25999. Documentacin en lnea: http://www.bs25999.com/ ITIL, Sep 2010. Information Technology Infrastructure Library. Documentacin en lnea: http://www.itil-officialsite.com/home/home.asp ISACA, Sep 2010. COBIT. Control Objectives for Information and related Technology. Documentacin en lnea: http://www.isaca.org/KnowledgeCenter/COBIT/Pages/Overview.aspx