1 plan de contingencias lic. josé luis dominikow
TRANSCRIPT
1
PLAN DE CONTINGENCIAS
Lic. José Luis Dominikow
desastres
qué es un desastre?
es cualquier evento que, cuando ocurre tiene la capacidad de interrumpir la operación normal de una organización.
tipos de desastres
causado por un evento natural
Inundaciones Huracanes Temblores Tornados Incendios
causado por problemas ambientales
derramamiento de material explosiones contaminación derrumbe vibraciones
provocados
sabotaje atentado vandalismo provocación de incendio
No estamos exágerando ??Cuándo pasó ??
Gas venenosoMetro de Tokio, Japón (marzo de 1995), provocó desastres en la informática a causa de la escasez de personal.
Corte del suministro eléctricoAuckland, Nueva Zelanda (diciembre de 1997), provocó una importante pérdida empresarial y la quiebra de varios proveedores de informática, que no pudieron ofrecer el servicio al que se habían comprometido.
TerremotoKobe, Japón (enero de 1995).Los Ángeles, Estados Unidos (enero de 1994), quebraron más del 80% de las compañías que no pudieron recuperarse en el plazo de una semana.
BombaWorld Trade Center, Nueva York, Estados Unidos (febrero de 1993), provocó un corte del suministro eléctrico y errores en los programas y en la mayor parte de los sistemas informáticos.
Oklahoma City, Oklahoma, Estados Unidos (abril de 1995).
Docklands, Londres, Inglaterra (febrero de 1996).
Amenaza de bombaHaarlem, Países Bajos (1988), un centro de informática quedó fuera de servicio debido a una amenaza de bomba. La policía tardó ocho horas en inspeccionar el edificio.
InundaciónAlemania (1997), provocó el cierre del centro de informática de una importante organización alemana que se encontraba en un sótano.Pakistán (agosto de 1996).
Causas humanasHeerlen, Países Bajos (1989), algunos trabajadores de suministros cortaron cables principales y secundarios eléctricos y de red porque empezaron a trabajar simultáneamente en la zona norte y sur del centro de informática.
VirusEn todo el mundo (1999), el virus Melissa provocó enormes daños al afectar a un gran número de equipos.
“Los que sobreviven a los desastres, tal vez no sean los más fuertes si no los que tengan mayor conocimiento y estén mejor preparados” (STOFFEL)
Por qué un plan de contingencias?
qué preguntamos ante una foto como esta?
primeras preguntas..
Hubo muertos...? Se derrumbo el edificio..? Quién es el culpable...? Cómo pudo pasar...? Nadie pensó en algo...? ...? ...?
preguntas que continúan...
qué perdimos...? y ahora qué...? cómo seguimos...? con qué seguimos...? dónde seguimos...? seguimos igual...? ...? ...?
respuestas inútiles...
no se como paso... yo no tengo nada que ver... alguien se iba a encargar... estábamos por empezar... nos agarro de sorpresa... la culpa es de ... auditoría nunca dijo nada... ...
la única respuesta es…
tenemos algo que documenta la manera en que las funciones esenciales del negocio continuarán, hasta que la capacidad de procesamiento normal sea restaurada y los medios vitales sean accesibles
tenemos un plan de contingencia…
hay un modelo o un machete...?
NO
y algo en que basarnos?
SIgente con experiencia
sentido común
¿Cuál es la probabilidad de que suceda? Si se tuviera una cantidad ilimitada de recursos y fuera posible
protegerse contra todas las calamidades, esta pregunta carecería de interés.
Sin embargo, no se dispone de recursos infinitos; de hecho, los recursos son bastante escasos. Por lo tanto, se deben seleccionar los tipos de desastres contra los que uno intentará protegerse.
Obviamente, estos preciados recursos se querrán gastar en aquellos desastres que tengan la mayor probabilidad de afectar a la organización.
Por ejemplo, se podría intentar proteger los sistemas de la improbable ocurrencia de la caída sobre el edifico de un meteorito procedente del espacio exterior.
Que es un Plan de Contingencia?
Preguntas comunes....¿Respuestas comunes?¿POR DONDE COMENZAR?
DESASTER RECOVERY?Plan de Contingencia?Plan de Continuidad de Negocio?
Plan de Recupero?
¿Cuánto tiempo tarda una Empresa en posicionarse?
Hay entidades que desaparecen luego de 3 días sin operar....
Conceptos a Considerar
Plan de Contingencia
Incidente
Plan de Continuidad
Plan de Recupero de
Desastres
Reingenieria
Conceptos a Considerar
El plan de contingencias es una estrategia constituida por un conjunto de recursos pensados con el propósito de servir de respaldo, cuenta con una organización de emergencia y procedimientos de actuación, dirigidos a conseguir una restauración progresiva y ágil de los servicios de negocio afectados por una paralización total o parcial de la capacidad operativa de la empresa.
concepto a considerar “la continuidad en el negocio”
estudiar todo lo que pueda en un momento dado paralizar la actividad y producir pérdidas.
todo lo que no considere estos criterios no podrá ser nunca un plan de contingencias.
Es Exiglible para las Empresas?
ReglamentacionesEl costo de un Plan de Contingencia debería ser parte de
la planificación presupuestaria que posee la empresa bajo los conceptos de seguridad.
¿cuál es el costo de una póliza que cubra la NO existencia de Un Plan de Contingencia?
Reglamentaciones América
México Circular 1423 publicada por la Comisión Nacional
Bancaria y de Valores, evalúa riesgo operativo y hace referencia a los procedimientos que el área de administración de riesgos tiene para continuar su operación ante una contingencia.
Circular 1506 , menciona los planes de contingencia cuyo funcionamiento deberá ser sometido regularmente a pruebas de efectividad.
Reglamentaciones América
Chile Circular 3043 publicada por la Superintendencia
del Banco de Chile, la misma exige un plan de contingencias de los centros informáticos de las entidades bancarias, para recuperar la operatividad de las funciones criticas, considerando recursos humanos y tecnológicos.
Reglamentaciones América
EE.UU El Federal Financial Intitutions Examination
Counsel (FFIECC) , al que están sujetos los Bancos Federales y Uniones de Crédito, en su Interagency Statement de marzo 1997 que sustituía a otra versión de 1989.
La disposición no es solamente de aplicación dentro de su territorio nacional, sino también a las sucursales en otros países.
Reglamentaciones América
Argentina Cobit ISO/IEC 17.799 ISO/IEC 9001/2000 SOX (Serbanes Soxley) ITIL CMMi A-3198 del Banco Central de la Rep. Argentina Tratado de Basilea
RECONOCIMIENTO PUERTAS AFUERA
AGILIZAR METODODE
DIAGNOSTICOS
PLAN UNIFICADO
ESTIMAR LOS RIESGOS
ESTIMAR LOSIMPACTOS
QUE SE ASUME
RECURSOS NECESARIOS Y CAPACITADOS
RECONOCER
SOLO SE PUEDE PROTEGER LO QUE SE CONOCE
PRUEBA DEL PLAN
LA TEORIA LLEVADA A LA PRACTICA
fases de un plan
Análisis y Diseño
Desarrollo
Pruebas y mantenimiento
TAREAS
1. Identificación de amenazas 2. Análisis de la probabilidad de materialización de la amenaza 3. Selección de amenazas 4. Identificación de entornos amenazados 5. Identificación de servicios afectados 6. Estimación del impacto económico por paralización de cada
servicio 7. Selección de los servicios a cubrir 8. Selección final del ámbito del plan 9. Identificación de alternativas para los entornos10. Selección de alternativas11. Diseño de estrategias de respaldo12. Selección de la estrategia de respaldo
características de un buen plan de contingencia
FuncionalDesarrollado por los supervisores de primera línea
Costo-EfectividadEn relación con baja probabilidad
FlexibilidadEl mismo plan puede ser utilizado para cualquier desastre
Fácil de mantener Mantenimiento simple
planes actuales que pueden NO ser efectivos
Al menos el 25% de las organizaciones han tenido desastres en el trabajo debido a sus planes de recuperación.
Algunos planes parecen muy buenos en papel pero podrían no funcionar al momento de ser implementados.
Factor Tiempo
Hourly Downtime Cost
1
10000
100000000
01/01/00
Brokerage Operations
Credit Cards
Pay-Per View
Home Shopping
Catalog Sales
Airline Reservations
Tele Ticket Sales
Package Shipping
ATM Fees
C
Dependencia Tecnológica en los servicios
Análisis y estadísticas por servicio
Costos por cada hora de caída de los servicios
Argentina
Empresas locales Vs.Planes de Contingencia
•Globalización
•Después de los ’90 desde los tecnólogico
•Los ‘90 en Argentina desde lo Tecnológico
ASSESSMENT
Gestión del Proyecto¿Está establecido la necesidad de la continuidad de
las operaciones?
¿La Alta Dirección de la Empresa está involucrada en el proyecto del Plan de Contingencia?
¿Existe un Comité de Planificación/Dirección identificando los componentes, funciones, responsables, etc. Del Empresa?
¿Se evaluaron las necesidades presupuestarias para incluir el desarrollo de un Plan de Contingencia?
¿La Empresa tiene iniciado el proyecto de un Plan de Contingencia?
SI NO
Análisis del Riesgo¿La Empresa posee conocimiento sobre la
potencial pérdida?
¿La Empresa reconoce la vulnerabilidad ante las posibles pérdidas?
¿La Alta Dirección tiene conocimiento de los riesgos detectados y la vulnerabilidad ante los mismos?
¿Existe una metodología para el análisis de los Riesgos?
¿Sobre los riesgos identificados , se efectúan las correspondientes revisiones para su actualización ?
SI NO
Análisis del Impacto¿Posee una metodología para el análisis del
impacto ante un riesgo activo?
¿Tiene claramente identificado los procesos de negocios?
¿Existe la identificación de los umbrales de recuperación ?
Según los impactos,¿tiene identificado los tiempos de recuperación y los recursos necesarios?
SI NO
Planes de Continuidad
¿Posee identificado los negocios prioritarios?
¿Tiene claramente identificado los procesos que soportan los negocios?
¿Existe la identificación costos/beneficios para la continuidad de los negocios prioritarios?
¿Posee acuerdos para la continuidad de los servicios?
SI NO
Gestión de Crisis
¿Posee procedimientos de respuesta ante la emergencia?
¿Posee accione preventivas con respecto a sus Clientes?
¿Posee claramente identificado el circuito de comunicación?
¿Probó los planes de comunicación establecidos?
SI NO
Si Ud. Respondió NO Si Ud. Respondió NO
a mas de una pregunta, a mas de una pregunta,
Ud. Tiene trabajo para hacer Ud. Tiene trabajo para hacer AhoraAhora..
¿Preguntas?