1. No category

Estrategias de continuidad Tecnológica. ¿Qué hemos aprendido?
Sandra Patricia Camacho Bonilla, M.Sc, CBCP, PMP, ITIL v3, auditor
ISO 27001:2005 e ISO 9001:2008
Nadie duda de la importancia de las estrategias de continuidad
tecnológica, sin embargo, día a día se experimentan pérdidas de
continuidad
ti id d que iimpactan
t a llas organizaciones
i
i
bi
bien por ffallas
ll parciales
i l o
totales. Así las cosas, la presentación busca recapitular los diferentes
momentos de esta práctica y ver qué podemos seguir avanzando de cara
al reto de un mundo más interconectado y dependiente
p
de las
tecnologías de información
Continuidad Tecnológica Continuidad
Tecnológica
Contenido
•
Introducción
•
Evolución - Metodologías
g
y mejores
j
p
prácticas
•
Caso – Banco de la República
•
Recomendaciones y factores claves
•
Preguntas
Introducción
I
Importancia
t i en la organización
l
i ió
• Cada vez más la operación del negocio reposa sobre tecnología
• Los tiempos “de no disponibilidad” de un servicio impactan cada vez más transversalmente
q
p
p
g
Clave Æ Identificar lo qué es lo importante para la organización?
Datos y procesamiento
Procesos críticos
Cli t /
Clientes/usuarios
i
Operación del negocio Adquirir y mantener la lealtad y confianza del cliente
Procesos “core” Cadena valor
P
Procesos de apoyo
d
Continuidad Tecnológica Continuidad
Tecnológica
Contenido
•
Introducción
•
Evolución - Metodologías
g
y mejores
j
p
prácticas
•
Caso – Banco de la República
•
Recomendaciones y factores claves
•
Preguntas
Continuidad del Negocio – Continuidad Tecnológica Eventos que han marcado su desarrollo
Avances tecnológicos virtualización, cloud‐computing, balanceo, mayores velocidades,
Voz ip, granjas de servidores, etc.
Circular 052
ITIL v2
GTC 176
ITIL v3
ISO-2700x
BS-25999
BS-25777
2007
2008
BS 17799-x
1988
1995
Y2K
9-11
2000
2001
2005
2010
Continuidad del Negocio
BS 25999 / DRII
BS‐25999 / DRII
Disaster Recovery Institute International
Y
Continuidad de Tecnología
BS‐25777 / BRCCI
Business Resilience
Certification Consortium
International
Continuidad del negocio
Continuidad del negocio
•
“Conjunto de políticas y procedimientos usados para minimizar el impacto de los eventos negativos para la operación normal del negocio, manteniéndose las pérdidas operativas y financieras en un nivel aceptable ”
operativas y financieras en un nivel aceptable.
•
j
Business Resilience / flexibilidad
Objetivo Æ
Definición tomada de: “BRCCI - Business Resilience ertification Consortium International”
Business resilience & Business continuity
Proteger e
Incrementar valor
Valor para
“stake-holders”
Misión y Mi
ió
objetivos
Estrategia del negocio
Políticas y procedimientos
Organización y personal
Business resilience / flexibilidad
* Capacidad para ajustarse rápidamente
* Transformación del negocio en respuesta a cualquier
cambio anticipado o no anticipado
* Prevención y mitigación de las amenazas
* Capturar oportunidades, crear posición competitiva y
para los involucrados.
aumentar el valor p
Business Continuity
Procesos del negocio
Información y tecnología
Disaster Recovery IT
Instalaciones
Definición tomada de: “BRCCI - Business Resilience ertification Consortium International”
Disaster Recovery
Desastre tecnológico
g
•
Qué es un desastre en tecnología?
“Evento de interrupción que causa que los sistemas o servicios tecnológicos no estén disponibles por un periodo de tiempo en el cual las pérdidas operacionales o financieras para la organización son inaceptables.”
•
Pérdidas operacionales Æ imagen, confianza, relaciones, cumplimiento, flujo de caja
Pérdidas financieras Æ penalizaciones, sobrecostos, costo de renta de equipos, pérdida de ventas
•
Definición tomada de: “BRCCI - Business Resilience ertification Consortium International”
Recuperación de Desastres de tecnología
Recuperación de Desastres de tecnología
•
“Conjunto de políticas y procedimientos usados por las área de tecnología para recuperarse de los impactos de eventos negativos para las operaciones de tecnología dentro de los marcos de tiempo acordados ”
marcos de tiempo acordados.
•
•
•
g
p
Rol de tecnología como proveedor del servicio
Acuerdos de servicio
Costos por las pérdidas de los servicios de tecnología
Definición tomada de: “BRCCI - Business Resilience ertification Consortium International”
Recuperación
ecupe ac ó de
de desastres de tecnología
desast es de tec o og a
ObjetivosÆ
•
•
•
•
Cumplir con las prioridades de recuperación de acuerdo al momento del “negocio” en que se presenta
g
q
p
Cumplir con los tiempos esperados de recuperación (R.T.O.)
Cumplir con el punto esperado de recuperación de i f
información (R.P.O.)
ió (R P O )
Recuperación de desastres de tecnología
de desastres de tecnología
•
Cómo lograrlo
• Directrices claras Æ Políticas, estándares
• Procedimientos Æ Viables, completos, verificados
• Equipos Æ roles definidos, entrenados y probados
• Recursos Æ Financieros, humanos, técnicos y tecnológicos etc
tecnológicos, etc.
Estándares BS25‐999 y BS 25‐777
Embedding continuity management
Understanting
The ICT continuity
requirements
Understanting
The organization
Exercising,
Exercising
Maintaining
& reviewing
BCM programme
management
Determining
BCM
Strategy
Exercising,
Exercising
Maintaining
& reviewing
Determining
ICT continuity
ti it
Strategy
Developing and
I l
Implementing
ti
ICT continuity
strategies
Developing and
Implementing
BCM response
DRII
Disaster Recovery
Institute
International
ICT continuity
programme
management
In the organization’s culture
BRCCI
Business Resilience
Certification Consortium
International
Comparación “Continuidad del Negocio”
DRII vs BS‐25999
Disaster Recovery Institute (1988)
BS – 25999 (2008)
Inicio y administración del proyecto
Gestión del programa BCM
Evaluación y análisis de riesgos
Entender la organización
Análisis de impacto al negocio
g
Desarrollo de estrategias BC/DR
Determinar la estrategia de Continuidad (*)
g
( )
Preparación y respuesta de emergencia
Desarrollar e implementar una respuesta BCM
Programas de concientización y capacitación
Embeber BCM en la cultura de la organización
M t i i t y actualización de planes
Mantenimiento
t li ió d l
Ejercitar,
Ej
it mantener and revisar los acuerdos t
d
i l
d
BCM
Comunicación de crisis
Determinar las estrategias de continuidad “Stakeholders” (*)
Coordinación con autoridades externas
Determinar las estrategias de continuidad (emergencias civiles) (*)
Comparación “Continuidad de TI”
BRCCI vs BS‐25777
BRCCI (Business Resilience
Certification Consortium
International )
Identificar los sistemas y su uso
Identificar BIA, RTO y RPO
BIA RTO y RPO
Determinar estrategias de recuperación
Identificar equipos de recuperación de TI
BS – 25777 (2008)
Programa de continuidad de ITC
Entender la organización
g
Desarrollar e implementar estrategias de recuperación
Responsabilidades de los equipos de RDTI
Desarrollar procedimientos de RDTI
Entrenamiento del equipo de RDTI
Ejercitar y probar
Mantenimiento del plan
Mantenimiento, revisión y mejora
RDTI = Recuperación de Desastres de TI
Ot
Otros estándares
tá d
que apoyan la continuidad
l
ti id d
BS 25999 / DRI
BS 25999 / DRI
Programa de continuidad
del negocio
BS 25777 / CBRIT
BS 25777 / CBRIT
Buenas prácticas en IT DR
COBIT, ITIL, ISO 20000, ISO 27001
ISO 9001
Buenas prácticas en tecnología
Procesos
Método Æ da foco y estandariza los protocolos para brindar efectividad y eficiencia en la recuperación y
reanudación del servicio
Continuidad Tecnológica
Continuidad Tecnológica
Perspectiva desde ITIL versión 3
C
Conocer
lla organización
i
ió
Gestión de la demanda, del portafolio y del catálogo, SLAs, requerimientos
Prevención
Gestión de disponibilidad, eventos, cambios, liberaciones e implementación , activos y
configuración seguridad y acceso,
configuración,
acceso capacidad
capacidad,
Acción
Gestión de eventos, incidentes, problemas, disponibilidad y continuidad, proveedores,
Continuidad Tecnológica g
Contenido
•
Introducción
•
Evolución - Metodologías y mejores prácticas
•
Caso – Banco de la República
• Evolución
• Planeación
• Acción
•
Recomendaciones y factores claves
Evolución
o uc ó
Banco de la República
1996 Æ Acciones alternas para fallas en el servicio DCV e inicios de un nodo alterno local (hotsite) con salas para las
áreas operativas
1997 Æ Investigación de mejores prácticas en el mercado (D
(D.R.I.I.)
RII)
1998 Æ Aplicación de DRI a los servicios y áreas de misión crítica, construcción de BCPs
1999 Æ Enfoque para preparación para el Y2K
2001 Æ Conformación de área específica para trabajar en continuidad
2002-2005 Æ Desarrollo nodo alterno tecnológico remoto (Barranquilla)
2006 Æ Conformación del Programa de continuidad del negocio externa a Informática
Certificación ISO 27001 para seguridad informática
2007 Æ Complemento con BS – 25999
2008 Æ Complemento con BS - 25777
2009 Æ Evolución tecnológica clusters, virtualización, balanceos, granjas de servidores, replicación, sincronización
2010 Æ Evolución en las pruebas de contingencia para autonomía de los nodos local y remoto
Estrategias de continuidad Tecnológica
Caso Banco de la República
p
Planeación
Sandra Patricia Camacho Bonilla
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
[email protected]
Pl
Planeación
ió para lla continuidad
ti id d ttecnológica
ló i
Banco de la República
0.
Programa de continuidad tecnológica (apoyo, políticas, gerencia)
1.
Conocer la organización
2.
Desarrollar e implementar estrategias de recuperación
3.
Ejercitar y probar
4.
Mantenimiento, revisión y mejora
BS 25-777
Understanting
The ICT continuity
requirements
Exercising,
M i t i i
Maintaining
& reviewing
ICT continuity
programm
e
manageme
nt
Developing and
Implementing
ICT continuity
strategies
Determining
ICT continuity
Strategy
0 Programa de continuidad tecnológica
0.
Banco de la República
•
Apoyo de la gerencia
•
Gerencia del proyecto
•
Políticas
•
Programas de concientización
•
Certificaciones
ISO-9001 e 27001
1 Conocer y entender la organización
1.
Banco de la República
A. Identificar las funciones operativas de la organización
y procesos críticos
1.
2.
3.
4.
5
5.
6.
7.
8.
Banco de Bancos
Prestamista de última Instancia
Emisión de moneda legal
Promotor del desarrollo científico, cultural y social
Ad i i t ió d
Administración
de reservas iinternacionales
t
i
l
Funciones cambiarias y de crédito
Banquero, agente fiscal y fideicomiso del gobierno
Informe de la Junta Directiva al Congreso
g
de la República
p
Operación del negocio
Tecnología
1. Conocer y entender la organización
g
Banco de la República
B.
Conocer los servicios de TI y que proceso de negocio apoyan
•
Servicios tecnológicos de misión crítica
•
•
•
•
•
•
•
Servicios tecnológicos de uso general
Correo, FS, red, voz ip, web BR, internet, etc.
•
Servicios
S
i i ttecnológicos
ló i
administrativos
d i i t ti
RH, Contaduría, Cartera, SM, etc.
•
•
Operación bancaria (DCV, CUD, SEN, CEDEC, CENIT, SWIFT, OPICS, etc.)
Industrial y tesorería (MASTER, SMV, SAP, etc.)
Cultural (BLAA, Museo, etc.)
p
de tasas,, etc.))
Estudios económicos ((Serankua,, SISEC,, publicación
Reservas Internacionales
Servicios de plataforma informática
•
SEBRA, PKI, SOA, WAN, LAN, etc.
1. Conocer y entender la organización
Banco de la República
C.
Definir las expectativas
•
Definir acuerdos de servicio
•
Análisis de riesgos
•
Análisis de impacto para el negocio (BIA)
•
Gestión de la demanda (horarios críticos)
•
RTO y RPO
Proceso BIA
Identificar Funciones
Criticas
Determinar Impactos
Cuantitativos y Cualitativos
•INTERFACES
•PÉRDIDA FINANCIERA $$$
•ESTABLECER PRIORIDADES
•USUARIOS
•PÉRDIDA INTANGIBLE
•DESARROLLAR ESTRATEGIAS
•TIEMPOS CRITICOS
3
Priorización RTO
•¿CUÁNDO ES INTERRUPCIÓN
Y CUÁNDO DESASTRE?
Método
Análisis de riesgos Æ ESCENARIOS DE FALLA Y SU PROBABILIDAD
Identificar vulnerabilidades y amenazas para implantar controles de disminución de probabilidad y estrategias de mitigación del impacto
BASILEA, SEI‐OCTAVE, NIST, ISO 27001
BIA Æ PRIORIZACIÓN
Ó
Priorización de procesos del negocio Æ Priorización de servicios de
tecnología Æ Niveles de continuidad (tier), RTOs/RPOs/RTA
Di ñ estrategias
Diseñar
t t i para mitigación
iti
ió d
dell riesgo
i
Análisis costo-beneficio
Metodología Æ DRI
2. Estrategias de recuperación
Banco de la República
A.
Definición de los recursos tecnológicos
•
Determinar estrategias de recuperación Æ Adquisiciones basadas en
costo beneficio identificado con el BIA
costo-beneficio
•
Identificar equipos de recuperación y responsabilidades para la
ejecución de los procedimientos Æ RACI, esquemas de notificación,
funciones de grupos de trabajo, entrenamiento, conocimiento, etc.
•
Desarrollar procedimientos de recuperación basado en las
tecnologías disponibles y evaluar la viabilidad de optimizar los RTOs
y RPOs con nueva tecnología en caso de requerirse
2 Estrategias de recuperación
2.
Banco de la República
•
Determinar estrategias
g
de recuperación
p
netamente técnicas Æ
Tecnologías disponibles en el banco: Cluster, discos SAN, NAS,
balanceo, virtualización, granja de servidores, “hosting” externo,
nodos externos local y remoto.
•
Estrategias con las áreas usuarias Æ Acuerdos con otras entidades o
áreas, mini-aplicativos, accesos alternativos, proceso alternativo,
desarrollos complementarios
p
Estrategias •
Sitios alternos (vendedores comerciales, acuerdos recíprocos con
otras compañías, sitios remotos propios)
•
Hot site
•
Cold site
•
Warm site
•
Mobile site
•
Opciones
•
Adquisición (pre-establecidos, pre-acordados, adquiridos
cuando se necesiten)
•
Área de trabajo alterna (Sitio de trabajo móvil, sitio de trabajo
fijo, “Home-office”)
Estrategias •
Almacenamiento
•
Datos críticos (frecuencia/ tipos/ método/ infraestructura para
los backup, acuerdos de recuperación, agenda de retención,
infraestructura)
•
Copia en cintas/CD, Sincronización y Replicación
•
Comunicaciones de voz y datos
•
Conectividad
•
Ancho de banda y capacidad
•
Características (calidad, velocidad, etc.)
•
Requerimientos de seguridad
Estrategias de recuperación de TI
•
Tecnologías
•
Cluster
•
Virtualización
•
RAID
•
SAN
•
NAS
•
Deduplicación de datos
•
Replicación
•
Balanceo de cargas
•
Granja de servidores
•
“Clo d comp ting”
“Cloud-computing”
Alta disponibilidad
Alta disponibilidad
•
•
Característica de un sistema que asegura que estará disponible según la demanda de los usuarios (proteger contra las caídas y fallas de los componentes)
Cumplir los acuerdos de servicio
Cumplir los acuerdos de servicio
• 99.9 %
• 99.99 %
99.99 %
• 99.999 % 2 Estrategias de recuperación
2.
Banco de la República
B.
Definición de responsabilidades
p
y equipos
q p de trabajo
j
Equipo de recuperación del servicio
Equipo de reanudación del servicio
Equipo de notificación
Equipo de logística
Equipo de soporte en los nodos
Gestión de Crisis
C t d
Centro
de C
Comando
d
Gestión de crisis
Comando tecnológico
Equipo
Reanudación
Equipo
Planeación
Equipo
Logística
Equipo
Finanzas
3. Ejercitar y probar
Banco de la República
•
Pruebas funcionales y operativas de las estrategias
•
Son requeridas para aprobar un cambio en producción en algún componente
del servicio
•
Escenario Æ Incidente del servicio
•
Verificaciones de procedimientos de activación y retorno
•
Se realizan 2 veces al año (Marzo y Septiembre)
•
Escenario Æ Emergencia tecnológica
•
Ejercicios integrales del plan
•
Semestralmente junto con los planes de BCP (Junio y Diciembre)
•
Duración en contingencia Æ 2 semanas
Escenario Æ Desastre tecnológico/ catástrofe en instalaciones
•
3. Ejercitar y probar
Banco de la República
4. Mantenimiento, revisión y mejora
Banco de la República
•
•
•
Políticas de mantenimiento Æ Control de documentos y registros (ISO 9001)
Políticas de revisión Æ Indicadores de gestión, auditorías internas (ISO 9001)
Políticas de mejora Æ Seguimiento acciones correctivas y preventivas (ISO 9001)
Planeación para la continuidad tecnológica
B
Banco
d
de lla R
República
úbli
0.
Programa de continuidad tecnológica (apoyo, políticas, gerencia) Æ PMP
1
1.
Conocer lla organización
C
i
ió
•
Identificar los sistemas y su uso Æ Gestión de portafolio y catálogo ITIL
•
Identificar BIA y análisis de riesgos Æ DRI e ISO 27001
•
RTO y RPO Æ Gestión de acuerdos de servicio y de la demanda ITIL
2.
Desarrollar e implementar estrategias de recuperación
•
Determinar estrategias de recuperación Æ ISO 25777, BRCCI y “Estado del arte TI”
•
Identificar equipos de recuperación y responsabilidades Æ DRI y PMP
•
Desarrollar procedimientos de recuperación de TI Æ ISO 25777 y BRCCI
3.
Ejercitar y probar Æ DRI y ISO 25777, BRCCI
•
Verificaciones de procedimientos de act/ret, pruebas funcionales y operativas de la
estrategia y ejercicios integrales del plan
4.
Mantenimiento, revisión y mejora Æ ISO 9001
•
Medición, seguimiento, trazabilidad, acciones correctivas y preventivas enfocadas a la
mejora
Estrategias de continuidad Tecnológica
Banco de la República
p
Acción
Sandra Patricia Camacho Bonilla
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
[email protected]
Alertas
Verde – Normalidad
Amarilla – Contingencia
Naranja – Emergencia
Roja ‐ Crisis
Roja M
Manejo
j d
de alertas
l t ttecnológicas
ló i
•
Gestión de continuidad Æ Prevención de emergencias y desastres
•
Atención de contingencia
g
Æ Atención de incidentes del servicio
•
Atención de emergencias Æ Atención de desastres tecnológicos
•
Gestión de crisis Æ Catástrofes
Prevención de eventos
(correlación monitoreos, alertas)
Hw, Sw, Comm, BD,
Apl, etc.
Intoxicación, emergencia
sanitaria, terrorismo, etc.
0. Normalidad
1. Incidentes de impacto alto
2. Evacuación edificio o no acceso
(Sin afectar las instalaciones físicas)
Servicios operando normalmente
Interrupción de un servicio tecnológico
crítico
El RH de tecnología se ve obligado a salir y/o
no ingresar al Edificio por un periodo de
tiempo, pero las instalaciones físicas OK.
Amenaza de Red, Potencia o
ambiente Inundación
ambiente,
3. Pérdida total CDC PPAL controlado
(Apagado controlado y previsto)
No hay servicio del Centro de Cómputo
PPAL Æ no red ed PPAL
Evento de falla en la Red,
potencia, ambiente, inundación
4. Pérdida total CDC PPAL inesperado
(Apagado abrupto e inesperado)
No hay servicio del Centro de Cómputo
PPAL Æ no red ed PPAL
Interrupción en el suministro
potencia, comunicaciones o
evento severo en los dos nodos
Incendio, explosión,
Temblor en el edificio
Terremoto Bogotá
5. Desastre tecnológico Bogotá
Ninguno
Ni
de
d los
l dos
d nodos
d tecnológicos
t
ló i
en
Bogotá están operativos, afectándose
tecnológicamente los servicios del BR
6. Desastre total Edificio PPAL
Recurso humano e Instalaciones físicas
afectadas del Ed PPAL
7. Catástrofe Bogotá
Gran parte de Bogotá afectada, incluyendo
tanto BR como gran parte de los clientes
externos. El recurso humano pudo haber
sido afectado.
Centro de Comando
Subgerentes
Directores áreas
Toma de decisiones
Ejecución Agenda Tecnológica
G tió d
Gestión
de crisis
i i
Coordinación de la Crisis
Integración de notificaciones
Equipo
Reanudación
Conmutación
de servicios
Subgerente SGINF
Directores SGINF
Directora USCI
Comando
Coordinación
de comm.tecnológico
Internas y externas
E i
Equipos
d
de E
Emergencias
i
Control de impactos en los negocios
Evaluación de riesgos residuales
Gestión de recursos,
preacuerdos, administración de
accesos seguros
seguros, claves
claves, etc
etc.
Equipo Planeación
(Impacto IT
y Notificaciones)
Correo contactos
Semáforos Srv.
Centro soporte
Equipo Logística
Equipo Finanzas
Apoyo a la sala
Presupuesto y
de operaciones
adquisiciones
E caso d
En
de requerirse,
i
gestiona las adquisiciones y el
Presupuesto
Gestión de continuidad
Prevención de emergencias y desastres
Chequeos diarios
Correlación de eventos
Monitoreos y alertas de servicios
Acuerdos de servicio
Gestión de continuidad
Prevención de emergencias y desastres
•
Gestión de eventos
•
Gestión de cambios en producción
•
Medición, mejora y prevención Æ Indicadores de gestión
•
Gestión de problemas (reunión de problemas)
•
Gestión de continuidad
Atención de contingencias Æ INCIDENTES
Atención de incidentes tecnológicos
Atención de contingencias Æ INCIDENTES
Atención de incidentes tecnológicos
•
Identificación oportuna del incidente
•
“Primeros auxilios” y diagnóstico inicial confiables y oportunosÆ
Base de datos de conocimiento
•
Notificación ágil a los equipos de recuperación (TI) y reanudación
(TI y/o Usuarios)
•
•
Gestión de acuerdos de servicio Æ Control del RTO y RPO
esperado por las áreas para este escenario
Atención de emergencias Æ DESASTRE
Atención de desastres tecnológicos
•
Conmutación controlada o abrupta de TODO el nodo principal
h i ell segundo
hacia
d nodo
d ((operación
ió cruzada
d con primer
i
nodo)
d )
•
Movilización de personal hacia el segundo nodo
•
Notificaciones a las partes interesadas
•
Control del riesgo
•
Mitigación y control del impacto
EDIFICIO
C:
Swift A. A.
Srv: - Int. Swift - SOI
- Swift
ARQUITECTURA PLATAFORMA SUN
PRINCIPAL
BD: BAN 8
Srv: - CUD
BD: BR
Srv: - Cedec
- Cenit
A
SUN Fire V880
SBAN1A
A
SUN Fire V240
SWAL1A
SUN Fire V240
SBAN5A
SUN Fire V440
SACH1A
C:
Apache
Srv: - Htrans
----------------------------C:
Apache
Srv: - Interfaces SEN
----------------------------C:
IAS
Srv: - Aurora
EDIFICIO
BD: BAN 3
Srv: - Ares
- Carteleras
(Wsebra)
- Cumbre
- Htrans
- Interfaces SEN
- SAFD
- SEC
- SGU Certicámara
- SOI
- Subastas
BD: BR
Srv: - Cedec Pruebas
- Cenit Pruebas
BD: BAN 4
Srv: - SAC
SUN Fire V440
SACH2B
SUN Fire V880
SBAN2B
BD: BAN 1
Srv: - Sisec
SUN Fire V240
SBAN6B
Srv: - SMV
SUN Fire V240
TCS2
SUN Fire V880
SBAN4A
SUN Fire V880
SBAN3B
Srv: - SMV
SUN Fire V240
SWEB1A
SUN Fire V240
TCS1
BD: PROD
Srv: - SAP
Discos
Sun StorEdge
6920
Srv: - PKI
SUN Fire V480
SIND1A
BD: MFNSYS
Srv: - DCV
SUN Enterprise 280R
SPKI1A
C:
Alliance Gateway
Srv: - Swift Gateway
C:
SUN Fire V440
SATL1A
C:
OAS
S
Srv:
- CUD
SUN Fire 240
SWEB3A
C:
Platform
Srv: - Cud Compensación
- SGU (Certicámara)
SUN Fire T2000
SPOR3A
Apache
Tomcat
Srv: - DCV
--------------------------C:
Apache
Tomcat
Srv: - Subastas
SUN Fire V890
SWAT1A
Discos
Sun StorEdge
6920
SUN Fire V215
SWAG1A
C:
Apache
Srv: - SEC
- Web Banco
SUN Fire V240
SPOR1A / QUIMBAYA
C: Apache
-----------------------C: Tomcat
SUN Fire V890
SWAT2B
SUN Fire V240
SWAL2B
C:
Apache
Srv: - Ares
- FAEP
- SEC
---------------------------C:
IAS
Srv: - SIC
- SAC
---------------------------C:
OC4J
Srv: - Fic
---------------------------C:
Jboss
Srv: - SAFD Intranet
---------------------------C:
Propietario
V:
N/A
Srv: - SMART
SUN Fire V240
SWEB2B
C:
Alliance Gateway
Srv: - Swift Gateway
C: Apache
SUN Fire V240
SPOR2B /
QUIMBAYA II
Swift A. A.
Srv: - PKI
P
A
C:
Activo - Activo
Base de Datos
Componente
IP Física
IP Virtual
Servicios
P
P
BD: BAN 2
Srv: - SIC
A:
BD:
C:
F:
V:
Srv:
CDE
SUN Fire V215
SWAG2B
C:
Platform
Srv: - Master – Antares
------------------------------C:
Jboss
Srv: - SAFD Internet
SUN Fire T2000
SPOR4B
SUN Enterprise 280R
SPKI2B
C:
Business Intel.
OC4J, OAS
Srv: - Cumbre
-----------------------------C:
OAS
Srv: - Master
- Jano
- SOI
SUN Fire 240
SWEB4B
BD: BAN5_New
BAN5 New
Srv: - Fic
- Faep
- JANO
- Master
- Master - Antares
- Neón Web
- Sidef
- Siged
- Simed
- Sipres
- Smart
- SRH
SUN Fire V440
SATL2B
Atención de emergencias
Centro de operaciones
SALA DE CONTINGENCIA – CENTRAL DE EFECTIVO
Archivadores
Super SGMR SGEE
55 3822 56
3823
3817
16
57
15
3816
Bloomberg DRI
3815
14
DRI
3814
13
DRI
51 3821 50
49 3819 48 3820 47 3818 Reuters DRI DRI DRI
9
12
10
11
ABC ABC SEN FAEP URCPIURCPIURCPIURCPI
3954
3811
3813
3812
54
3957
BALANZA
52
53
RPC
3824 39 3825
40
Master
Master
Mesa de
Dinero 2
URCPIURCPIURCPI
SIC SIC SIC
41 3826 42 3827 43
44 3828 45 3829 46 3830
3810
3958
38
3835
37
3956
35
36
3834
34
3831
33
3832
32
3833
31
OPI
OPI
SEN DCV DCV DCV Cedec Cedec
OPI
OPI
OPI
22
21 3844 20
Lector PKI
UPCI
19
3843
18
3842
7
3847
6
3807
5
DODM DODM DODM SET FX
DODM DODM
DCV DCV DCV Cenit Cenit
23 3837 24 3836 25 3839 26 3838 27 3840 28
3809
8
29 3955 30 3841
3953
1
3805
2
SEN
3804
3
AL&CR
3806
4
Mesa de
Dinero 1
17
CUD CUD CUD CUD CUD
Bodega
Archivadores
Disarchivo
Entrada
Gestión de crisis
Catástrofes
•
•
•
Nodo remoto Æ Barranquilla (más 800 km)
W
Warm-site
it para los
l servicios
i i d
de misión
i ió crítica
íti y plataforma
l t f
informática (RTO = 2 horas y RPO = 20 minutos)
Personal técnico de alto nivel
Etapas atención de crisis
Etapa Uno
PRE CRISIS
PRE-CRISIS
Etapa Dos
¾Analizar el riesgo
CRISIS AGUDA
¾Determinar el potencial efecto
¾Necesario tomar alguna acción
Etapa Tres
¾Activar Equipos
¾No visible fuera empresa
¾Reanudar Operaciones
POST-CRISIS
¾Comunicar interna/externa
¾Ahora visible para todos
¾Recuperación de
actividades
¾Evaluar desempeño de la
organización durante la
crisis
Instalaciones BR Barranquilla
Edificio Principal
Instalaciones
Central de Efectivo
Bogotá
Sincronización
Edificio Principal
Enlace Fibra Oscura
10 km aprox
Central de Efectivo
Centro
C
t d
de
Operaciones
Diagrama
Tercer Nodo Tecnológico
Intermediarios
Financieros
Centro de Operaciones
Tercer
Nodo
Internet
Usuarios
Banco República
Principal
Segundo Nodo
ISDN
Fibraaccess
Óptica
line
IIntermediarios
t
di i
Financieros
Proveedor
De
Comunicaciones
Continuidad Tecnológica Continuidad
Tecnológica
Contenido
•
Introducción
•
Evolución - Metodologías
g
y mejores
j
p
prácticas
•
Caso – Banco de la República
•
Recomendaciones y factores claves
•
Preguntas
Continuidad Tecnológica Recomendaciones y factores claves
•
•
•
Contar con el apoyo de la alta gerencia
Involucrar a toda la organización
Seguir mejores prácticas a nivel de documentación, continuidad,
gestión tecnológica
g
g
y medición
•
•
•
•
•
Identificación de procesos de la cadena valor de la organización
Conocimiento del cliente, su demanda y expectativas
Conocimiento de las propias limitaciones
Claridad hacia la organización
Sinergia Continuidad tecnológica con Continuidad del negocio
Continuidad Tecnológica g
Resumen
•
Evolución - Metodologías y mejores prácticas
•
Caso – Banco de la República
• Planeación
• Acción
A ió
•
Recomendaciones y factores claves
Continuidad Tecnológica Bibliografía y referencias
•
“Disaster Recovery
y Testing”
g – Exercising
gy
your contingency
g
yp
plan.
Philip Jan Rothstein, FBCI, ed. 2007
•
Managing Catastrophic loss of sensitive Data. Constantine
Photopoulos. Syngress. Ed. 2008
•
Disaster Recovery Institute. http://www.drii.org
•
British Standards http://www.bsigroup.com/
•
Business Resilience Certification Consorcium International
http://www.brcci.org/cbritp.htm
Estrategias de continuidad Tecnológica
Sandra Patricia Camacho Bonilla
M Sc CBCP PMP ITIL v3 auditor ISO 27001:2005 e ISO 9001:2008
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
[email protected]
Estrategias de continuidad Tecnológica
Gracias
SSandra Patricia Camacho Bonilla
d P ti i C
h B ill
M.Sc, CBCP, PMP, ITIL v3, auditor ISO 27001:2005 e ISO 9001:2008
[email protected]
Estándar 25‐777 “Information and communication
technology continuity management”
CBRITP
IT Continuity and Disaster Recovery Planning
•
•
•
•
•
Business Resilience & Business Continuity
IT disaster & IT disaster recovery
High availability vs Continuous availability
IT DR plan development steps
IT recovery concepts & strategies
Plan de recuperación de desastres de tecnología ‐ CBRITP
Pasos para su desarrollo
1.
2
2.
3.
4
4.
5.
6.
7.
8.
Identificar los sistemas y aplicaciones en uso
Analizar el impacto para el negocio (BIA) de una interrupción en la capacidad tecnológica y
Analizar el impacto para el negocio (BIA) de una interrupción en la capacidad tecnológica y determinar los marcos de tiempo esperados y prioridades de recuperación (RTO y RPO)
Determinar las estrategias de recuperación de desastres tecnológicos (Sitios alternos, costo‐beneficio)
D
Documentar la organización de los equipos
l
i ió d l
i
d l ITDR (RACI
del ITDR (RACI, organigrama, líderes de i
líd
d
equipos, notificaciones, listas de chequeo)
Documentar las responsabilidades de los equipos ITDR (tareas, dependencias, protocolos, agendas) Desarrollar y documentar los procedimientos de recuperación de IT (detallado, adecuado, completo, viable, prevenir síndrome del “héroe”)
Documentar el entrenamiento del ITDR (concientización, conocimiento del procedimiento, trabajo de equipo, nuevas contrataciones, refuerzo y recordación)
trabajo de equipo, nuevas contrataciones, refuerzo y recordación)
Documentar el mantenimiento del plan (Revisión, validación, liberación, distribución)
7 “tiers”
7 tiers de recuperación de desastres
de recuperación de desastres
Tier 0 0 – No off
No off‐site
site data data – posibly no recovery
no recovery
Tier 1 – Data backup with no hot site
Tier 2 – Data backup with a hot site
Tier 3 – Electronic vaulting
Tier 4 – Point‐in‐time copies
Tier 5 5 – Transaction integrity
Tier 6 – Zero or near zero data loss
Tier 7 – Highly automated, business integrated solution
Estrategias según el escenarios de desastre
Catástrofes en la ciudad O
Operación en otra ciudad
ió
i d d
Desastres de infraestructura física (CDC, edificio, potencia, ambiente, sabotajes, terrorismo, huelgas)
Nodos alternos distantes al principal (Cold sites, hot sites, propios, contratados, SLAs)
Desastres de tecnología (máquina servicio)
Desastres de tecnología (máquina, servicio)
(HA) Virtualización / cloud computing/ granja / balanceo / cluster
Fail tolerance
“Resilience”
Resilience / Flexibilidad
/ Flexibilidad
•
•
•
•
Ajustarse rápidamente Transformación del negocio en respuesta a cualquier cambio anticipado o no anticipado Prevención y mitigación de las amenazas
ió
i i ió d l
Capturar oportunidades, crear posición competitiva y aumentar el valor para los involucrados.
aumentar el valor para los involucrados.