x reunión de responsables de sistemas de información. iimv · la importancia de disponer de un...

Políticas de continuidad del servicio: Planes de Contingencia

Francisco Javier Nozal Millán

DIRECTOR DE SISTEMAS DE INFORMACIÓN

X Reunión de Responsables de Sistemas de Información. IIMV

La Antigua, Guatemala, septiembre de 2008

IntroducciónPlanes de Contingencias

- Gestión del Riesgo y Análisis del impacto de la actividad- Gestión de situaciones de crisis y Marco de Gobierno de la Continuidad- Planes de recuperación- Documentación, Implantación, Pruebas y Mantenimiento

Plan de Contingencias de la CNMV- Situación y Presupuestos- Organización- Planes de Recuperación- Centros alternativos de Usuarios y de IT- Dotación y situación de los Centros alternativos


La importancia de la continuidad del servicio:

- La supervisión del sector financiero requiere la actuación en todo momento y circunstancia

- Se enmarca dentro de la estabilidad financiera general del país

- Es obligada por las organizaciones internacionales en el marco de la estabilidad financiera global

- Al soportarse el servicio en administración electrónica se requier continuidad 24 X 7

- Solo se garantiza con políticas previas de continuidad

Introducción


La importancia de disponer de un Plan de Contingencias

- Hay que desarrollarlo en un largo periodo de meses

- Con medios propios o con consultoría externa

- Involucra a medios humanos, físicos y procedimentales

- Hay que documentarlo, implantarlo y probarlo

- Concienciar y formar a la organización y mantener el Plan

Introducción


Plan de Contingencias:

Gestión del Riesgo

- Objetivos, compromisos, responsabilidades y entorno

- Procesos, actividades, activos y recursos

- Análisis de Riegos ante amenazas

Análisis del impacto de la actividad

- Procesos críticos de la actividad

- Determinar prioridades ante la contingencia



Gestión de situaciones de crisis

- Procedimiento de Alerta

- Evaluación de la Incidencia

- Declaración de desastre Planes de Recuperación

Marco de Gobierno de la continuidad

- Comité de Continuidad

- Comité de Apoyo



Procedimiento de Gestión de Crisis


Procedimiento de Alerta

Responsable

Empleado

Seguridad

Acción / Procedimiento

Procedimientode Alerta Utilización de

ProcedimientosHabituales

Aviso al Comité de Continuidad (Presidente)

Resultado

¿Incidente afecta sólo a los Sistemas de Información?

No

Dirección de Sistemas de Información

Sí A. Comunicación de la incidencia

B. Valoración de la incidencia

C. Comunicación de la situación


Procedimiento de Evaluación

Responsable

Procedimientode Evaluación

Aviso al Coordinador del Comité deContinuidad

Aviso a los Órganos de Gobierno

Presidente del Comité de Continuidad

Aviso al Comité de Continuidad (Presidente)

Procedimiento de Alerta

Procedimiento de Evaluación

Acción / Procedimiento Resultado

A. Evaluación de la situación

B. Comunicación de la decisión


Planes de Recuperación

- Recuperación de procesos críticos ante las situaciones de contingencia consideradas

- Detallar y documentar perfectamentelos procedimientos de recuperación

- Siempre hay una parte importante de “Sistemas de Información”

- Implantar los requerimientos físicos



Planes de Recuperación: Prueba y Mantenimiento

- Probar los Planes de recuperación- medir viabilidad y eficacia de los planes- valorar rendimiento de los procedimientos- formar al personal en las gestión de las crisis

- Mantener y actualizar los Planes, para que sean efectivos y duraderos

- Contemplar la Formación y Divulgación entre el personal. Cultura de seguridad


Plan de Contingencias de la CNMVSituación

- Plan parcial de Sistemas de Información. 2000- Plan general abordado en 2007- Elaboración con apoyo externo- Adquisiciones e implantación en 2008 - Primeras pruebas reales en 2009

Presupuesto- Inversiones: Dotaciones informáticas para centro IT principal, de

respaldo y centro alternativo de usuarios ............ 1.400.000 euros- Gastos corrientes: .................................. 550.000 euros/año

- arrendamiento centro IT de respaldo, centro alternativo de usuarios y asistencia técnica ............................. 240.000 euros/año

- comunicaciones de unión ...215.000 euros/año- auditorías de redes .................100.000 euros/año


32 Procesos críticos / distinta Criticidad

- 15, recuperación entre 0 y 3 horas




- 6, recuperación > 48 horas

Plan de Contingencias de la CNMV


- 32 Procesos críticos

- 85 puestos de trabajo necesarios ante contingencia

- 4 escenarios de contingencia

- 2 Planes específicos de recuperación

Plan de Contingencias de la CNMV



Los posibles escenarios de contingencia que se han contemplado son los siguientes:

•PÉRDIDA DE LOS SISTEMAS DE INFORMACIÓN DE LA CNMV.•IMPOSIBILIDAD DE ACCESO AL EDIFICIO PRINCIPAL DE LA CNMV.•IMPOSIBILIDAD DE ACCESO AL EDIFICIO SECUNDARIO DE LA CNMV.•IMPOSIBILIDAD DE ACCESO A AMBOS EDIFICIOS DE LA CNMV.

Los Planes de Recuperación específicos desarrollados para cada uno de los escenarios anteriores son dos:

•PLAN DE RECUPERACIÓN POR PÉRDIDA DE SISTEMAS DE INFORMACIÓN.•PLAN DE RECUPERACIÓN POR INACCESIBILIDAD A LOS EDIFICIOS DE LA CNMV (incluye los tres últimos escenarios anteriores).


PRESIDENTE2 •

COORDINADOR

RESPONSABLE DE SISTEMAS

RESPONSABLE DE SEGURIDAD FÍSICA Y SERVICIOS GENERALES

RESPONSABLE DE CONTROL INTERNO

RESPONSABLE DE GABINETE DE PRESIDENCIA

SECRETARIO

Comité Permanente de Continuidad


Planes de Recuperación

- Totalmente documentados, con todos los procedimientos a seguir

- Gestionados por el Comité de Contingencias y por el Grupo de Apoyo a la Contingencia

- Se basan en la implantación previa de dos importantes infraestructuras:

- Centro de Tecnologías de la Información (IT) de Respaldo

- Centro alternativo de Usuarios


Centro alternativo de Usuarios

- 350 m2 con 85 puestos de trabajo, en tres áreas

- Sala de Consejo de la CNMV

- Sala de Comité de Continuidad

- Sala de secretarias

- Sala de equipamiento, comunicaciones y auxiliar informática

- Cocina y otros


Centro alternativo de Tecnologías de la Información (IT)

- 20 m2 en “Jaula” diferenciada, en sala de edificio de alta seguridad y con continuidad asegurada.

- Equipamiento informático totalmente redundadocon centro IT Principal (en sede CNMV)

- Servidores de base de datos y 15 servidores independientes en cada centro- Almacenamiento en SAN de 12 Teras en cada centro. Copia remota Síncrona- Chasis “blade” para virtualización de 19 servidores en cada centro

- Redundancia: 70 % “on line”, 30 % “off line”


Dotación y situación de los Centros alternativos

- Diseño realizado por la CNMV con OK de empresa consultora

- Arrendamiento de locales frente a centros propios

- Concurrencia limitada con expediente secreto, para:- “Jaula” de 20 m2 en edificio de alta seguridad, como centro IT- Oficina de 350 m2 para centro Usuarios en mismo edificio(6-25 Km)

- Asistencia técnica para monitorización de centro IT- Dotaciones informáticas para centro IT, Principal y de Usuarios- Comunicaciones redundantes entre Centros IT y Principal

-Centro de Usuarios finalizado, centro IT en instalación

ESTRUCTURA GENERAL DE RED DE COMUNICACIONES

JULIO - 2008 ESQUEMA 1

x reunión de responsables de sistemas de información. iimv · la importancia de disponer de un...

Documents