BCP/DRP

PLAN PARA LA CONTINUIDAD DEL NEGOCIO (BCP Y DRP)


Inicialmente las empresas consideraron la importancia de poseer planes para garantizar la
continuidad del negocio (BCP, DRP)  solamente buscando cumplir con ciertas regulaciones en
algunos países del mundo. Pero con el pasar del tiempo y considerando la rapidez con que se
necesitan hacer los negocios hoy en día, junto con la complejidad asociado a los sistemas de
información, han influido para que la gestión de la contingencia haya llegado a ser una variable muy
importante con el fin de lograr que las empresas sobrevivan en un ambiente cada vez más dinámico y
con alto riesgo.

Por otra parte, todos sabemos que los desastres pueden ocurrir en cualquier momento, es por eso
que se requiere un plan detallado que proteja tanto las personas, como la infraestructura, edificios,
aplicaciones, servicios con el fin de poderlos retornar a su normal operación tan pronto como sea
posible.























Figura 1.Diferentes fases del Plan de Continuidad.

Por medio de la implantación de medidas o controles que de alguna forman puedan mitigar el impacto
producido por un evento determinado, se puede lograr confianza de parte de la comunidad y también
de los inversionistas de la compañía.  En este punto es importante considerar que no sólo debemos
tener en cuenta aspectos económicos, sino que temas como la reputación y la credibilidad de una
compañía pueden poner en peligro, si ante un desastre o evento adverso no se responde con la
adecuada estrategia y acciones soportadas por un plan previamente concebido.

Ante un desastre uno de los principales problemas con que el que tendremos que enfrentarnos es el
hecho que nuestros clientes no podrán colocar por ejemplo ordenes de pedido, y nuestra entrega de
estos pedidos también podrá de alguna manera verse afectada. Este tipo de demoras o inclusive
imposibilidad de entregas o de la prestación de un servicio pueden ser ocasionadas por ejemplo por
el fuego, falla prolongada de potencia, una inundación o un terremoto entre otros eventos.

Ahora bien, las organizaciones hoy en día giran alrededor de sus procesos de negocio como nunca se
habían visto anteriormente. Es claro que con el fin de poder prestar un servicio a una comunidad por
ejemplo, una serie de actividades deben ser realizadas con el fin de cumplir con la prestación del
producto o la entrega del producto. Esta orientación hacia los procesos de negocio nos permite
proponer los siguientes componentes en una organización integrada según Andrew Hiles:

  •  Procesos de negocio
  •  Participantes
  •  Infraestructura y recursos


















Figura 2. Organización girando alrededor de los procesos de negocio.

Lo que lo anterior nos está tratando de expresar, es la unión existente entre las diferentes unidades
que sirven de soporte a desarrollar un proceso de negocio. Es decir, cada proceso de negocio
depende de un número de elementos críticos. Por ejemplo cierta actividad de negocio puede depender
de personas calificadas para lograr su objetivo. Otras dependencias o recursos pueden ser
computadores, redes, Internet, servicios de electricidad y otros.

CLASIFICACION DE LOS DESASTRES

Podemos plantear la siguiente clasificación de los desastres de la siguiente manera:

Desastres naturales
  •  Terremotos
  •  Inundaciones
  •  Fallas de potencia prologadas
Accidentales
  •  Falla en la base de datos
  •  Falla de la estructura física
Intencionales
    Externas
  • Terrorismo
  •  Hackers
Internas
  •  Huelga, sabotaje, borrado de datos

Aunque tendemos a pensar que los desastres sólo pasan en otros países, las estadísticas nos
muestras por ejemplo que por lo menos el 19% de las compañías han reportado una no
disponibilidad de IT por más de 24 horas.



















Figura 3. Frecuencia de las amenazas

FASES DE UN BCP o DRP

Las fases tradicionalmente consideradas de un BCP, DRP son:

  1. Gestión e iniciación del proyecto: Establece un equipo para el proyecto y una estrategia para
    desarrollar el plan.
  2. Análisis de impacto sobre el negocio (AIN) o BIA: Identifica los aspectos críticos relacionadas
    con el máximo tiempo en que un proceso puede estar no disponible.
  3. Estrategia de recuperación: Identifica y selecciona las apropiadas alternativas de recuperación
    para lograr los tiempos requeridos definidos en el AIN.
  4. Diseño del plan y desarrollo: Se trata en esta fase de documentar las estrategias de
    recuperación.
  5. Prueba, Mantenimiento, y entrenamiento: La idea es esta fase es probar las estrategias de
    recuperación anteriormente definidas, manteniendo actualizado el plan y dándolo a conocer a
    todos los empleados.

ANALISIS DEL IMPACTO SOBRE EL NEGOCIO DE UN BCP, DRP

El análisis del impacto sobre el negocio (BIA) es uno de los aspectos más importantes a considerar
en el desarrollo de un plan de continuidad del negocio. Se trata pues, de identificar los diversos
eventos que pudieran afectar la continuidad de los procesos de negocio, las operaciones, las finanzas
y por supuesto también a las personas.

Es importante en esta etapa lograr un verdadero entendimiento de la organización, es decir, cuáles
son los procesos de negocio que si llegaran a fallar afectarían notablemente a la compañía en el corto
y mediano plazo.

Otro de los objetivos de BIA, es determinar en común acuerdo cuales son los máximos tiempos
tolerables de caída (MTD),  para cada uno de los recursos críticos del negocio. Se trata de lograr tener
valores cuantitativos con relación al  impacto financiero que un evento adverso pueda tener sobre la
organización o una división de esta misma organización.

Las actividades relacionadas con el BIA son:

  1.         Obtener información por medio de entrevistas o encuestas
  2.         Obtener información financiera del impacto en caso de afectarse un proceso de negocio
  3.         Estudio detallado de la información obtenida
  4.         Determinar tiempos críticos de aplicaciones, procesos de negocio y recursos o servicios
  5.         Calcular los MTD
  6.         Priorizar las operaciones de recuperación con base en la anterior información recolectada
  7.         La anterior información recolectada debe ser documentada adecuadamente con el fin de
    ser parte de nuestro plan.




















Figura 4. Niveles de disponibilidad expresados porcentualmente.

ESTRATEGIAS DE RECUPERACION DEL BCP, DRP

Las estrategias de recuperación están basadas obviamente en los resultados obtenidos luego de la
realización del AIN, en donde también se consideraron los valor de los tiempos máximos permitidos
de no disponibilidad (MTD). Realizando un análisis de la toda la información obtenida de las
entrevistas, entendimiento de los procesos de negocio, AIN, MTD, procedemos a realizar una tabla
ordenada de prioridades de recuperación de las diferentes unidades de negocio.

Los elementos a considerar son:

        Redes
        Servidores de aplicaciones
        Bases de datos
        Sistemas telefónicos
        Redes Locales
        Recuperación de los data centers
        Personal
        Edificios y oficinas

También podemos contar con estrategias de recuperación para aplicaciones o procesos críticos del negocio. La selección del camino a seguir dependerá de su costo y la decisión estará basada en los
análisis anteriormente realizados, principalmente los obtenidos en la fase del AIN:

  1.     Hot sites: Normalmente esta configurado con todo el hardware y el software requerido          
    para iniciar la recuperación a la mayor brevedad.
  2.     Warm sites: En esta opción no se incluyen servidores especificos de alta capacidad.
  3.     Cold sites: En esta opción sólo se tiene aire acondicionado, potencia, enlaces de
    telecomunicaciones, y otros.
  4.     Sitios móviles
  5.     Acuerdos recíprocos con otras organizaciones
  6.     Mirror site: Se procesa cada transacción en paralelo con el sitio principal.
  7.     Múltiples centros de procesamiento internos con el fin de distribuir el procesamiento y de
    esta forma de logra un mejor nivel de disponibilidad.

ESTRATEGIAS DE RECUPERACION DE LA INFORMACION DEL BCP, DRP

Se busca asegurar el respaldo de la información crítica para la operación de los sistemas de
información. Estas estrategias de recuperación deben ser aplicadas con el fin de no incurrir en errores
durante el proceso de respaldo y servir de guía para los diferentes operadores que tengan bajo su
responsabilidad esta función crítica para lo operación continua y segura.

Los medios magnéticos que contienen los respaldos de información serán debidamente protegidos
contra amenazas de tipo físico, accidental o intencional. Se debe tener una copia de los respaldos
fuera de la organización, procedimiento que será realizado según alguna periodicidad y con una
empresa que posea acuerdos de confidencialidad con sus empleados y sea de reconocido prestigio
por la seguridad con que maneja este tipo de activos.

PRUEBAS DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP, DRP)

A Continuación una descripción de los tipos de pruebas a realizar al plan de continuidad del negocio:

  1.   Revisión estructurada del plan
  2.   Prueba de la lista de verificación
  3.   Simulaciones
  4.   Prueba en paralelo
  5.   Prueba de interrupción completa

ENTRENAMIENTO Y CAPACITACION DEL BCP, DRP

Por último es importante que todos los empleados de la organización conozcan de manera detallada
sobre los alcances y objetivos del plan de continuidad del negocio. Esto principalmente con el fin que
en el caso de activarse el plan, cada uno de los empleados conozca las actividades que el debe
ejecutar y el plan sea ejecutado de una forma efectiva y eficiente.

MEJORES PRÁCTICAS EN CONTINUIDAD DEL NEGOCIO (BCP, DRP)

Algunas de las entidades o institutos que nos pueden ayudar con mejores prácticas en el desarrollo
de planes de continuidad de negocio son:

        BCI
        DRII
        NIST
        FEMA
        HIPPA
        COBIT
        ISO 27001
        ITIL V3


DEFINICIONES

Plan de continuidad del negocio (BCP-Business Continuity Plan): Un plan documentado y probado con el fin de responder ante una emergencia de manera adecuada, logrando así  el mínimo impacto a la operación del
negocio.

Plan de Contingencia: Contempla como reaccionar ante una contingencia que pueda afectar la disponibilidad o los
servicios ofrecidos por los sistemas informáticos. Una contingencia puede ser un problema de corrupción de datos,
suministro eléctrico, un problema de software o hardware, errores humanos, intrusión etc.

Plan de recuperación frente a desastres: Es aquella parte del plan de contingencia y del plan de continuidad de
negocio,  que aborda aquellas contingencias que, por su gravedad, no permiten continuar prestando el servicio desde
el centro local  y debe continuarse el servicio desde un nuevo centro. Este plan debe contemplar la vuelta atrás
cuando, tras arreglar las consecuencias del desastre, el servicio pueda ser reanudado en el centro local.

Business Impact Analysis (BIA): El propósito del BIA es  crear un documento que ayude a entender el impacto que un
desastre pueda tener sobre un negocio en particular. Contempla los siguientes objetivos fundamentales:

    Priorizar procesos críticos del negocio.
    Calcular el “Maximun Tolerable Downtime”, (MTD) el cual es el tiempo máximo sin servicio
que una organización puede soportar y seguir siendo una compañía que cumple con sus
objetivos de negocio. Normalmente es encontrado que este tiempo es mucho menor de lo
esperado.

Descargar: Documento politica BCP/DRP
Descargar: Metodologia para desarrollar un BIA
Descargar: Estándares del BCP DRP BS 25999
Descargar: Gestion del Plan de Continuidad BCP DRP
Descargar: Auditoría Plan de Continuidad BCP DRP
Descargar: Mejores prácticas para el BCP ISO 27001, COBIT, e ITIL V3
Curso: Diseño Plan de recuperación ante desastres
Metodologia para desarrollo de un Plan de Recuperación ante desastres DRP

Si desea un documento explicativo de la metodologia para hacer un BCP solicitarlo justificando su necesidad a
info@sisteseg.com
Ha calculado usted cuanto
perdería su empresa en 1 hora sin
operación...