Escuela Universitaria de Informática Universidad Politécnica de MadridGuía de Desarrollo de un Plan de    Continuidad de N...
BREVE CURRICULUM VITAE DE LA AUTORA (diciembre de 2008)Laura del Pino es Ingeniero Técnico en Informática de Sistemas por ...
Guía de Desarrollo de Plan de Continuidad de NegocioÍndice                                                       ÍNDICE
Guía de Desarrollo de Plan de Continuidad de NegocioÍndice1.    INTRODUCCIÓN ................................................
Guía de Desarrollo de Plan de Continuidad de NegocioÍndice        8.2.3       FASE DE RECUPERACIÓN ..........................
Guía de Desarrollo de Plan de Continuidad de NegocioÍndice       EQUIPO DE COORDINACIÓN LOGÍSTICA............................
Guía de Desarrollo de Plan de Continuidad de NegocioIntroducción1. INTRODUCCIÓNDentro de la Gestión de la Seguridad de la ...
Guía de Desarrollo de Plan de Continuidad de NegocioObjeto de la Guía2. OBJETO DE LA GUIAUna de las motivaciones que me ha...
Guía de Desarrollo de Plan de Continuidad de NegocioAntecedentes3. ANTECEDENTESA la velocidad con la que operan los negoci...
Guía de Desarrollo de Plan de Continuidad de NegocioAntecedentesfundamental; las pequeñas y medianas organizaciones tambié...
Guía de Desarrollo de Plan de Continuidad de Negocio¿Qué es un Plan de Continuidad de Negocio?4. ¿QUÉ ES UN PLAN DE CONTIN...
Guía de Desarrollo de Plan de Continuidad de Negocio¿Qué es un Plan de Continuidad de Negocio?   •   Fomenta e implica a l...
Guía de Desarrollo de Plan de Continuidad de Negocio¿Por Dónde Empezamos?5. POR DÓNDE EMPEZAMOSPara desarrollar un Plan de...
Guía de Desarrollo de Plan de Continuidad de Negocio¿Por Dónde Empezamos?FASE I – ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIE...
Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgos6. FASE I. ANÁLISI...
Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgos6.1 ANÁLISIS DE IM...
Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgos6.1.1 RELACIÓN DE ...
Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgos6.1.3 RELACIÓN DE ...
Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgosprocesos que se ha...
Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgos6.2    ANÁLISIS DE...
Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de RiesgosExisten diferentes...
Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de RiesgosFigura 4. Componen...
Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de RiesgosDependiendo de la ...
Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de RiesgosAmenaza es que nos...
Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgosvalores calculados...
Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgos                  ...
Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgos       Ejemplos:  ...
Guía de Desarrollo de Plan de Continuidad de NegocioFASE II. Estrategia de Respaldo7. FASE II. ESTRATEGIA DE RESPALDOEn es...
Guía de Desarrollo de Plan de Continuidad de NegocioFASE II. Estrategia de Respaldo          proporcionar unos tiempos de ...
Guía de Desarrollo de Plan de Continuidad de NegocioFASE II. Estrategia de RespaldoDe todas las alternativas existentes ha...
Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de Continuidad8. FASE III. DESARROLLO DE...
Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de Continuidad   •    Equipo de Relacion...
Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de Continuidad   •   Suministros de ofic...
Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de Continuidad8.2       DESARROLLO DE PR...
Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de Continuidad       Figura 9. Fases y A...
Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de Continuidad                          ...
Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de Continuidadcomponentes de cada equipo...
Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de ContinuidadAdemás del traslado de per...
Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de Continuidad8.2.4 FASE DE VUELTA A LA ...
Guía de Desarrollo de Plan de Continuidad de NegocioFase IV. Pruebas y Mantenimiento9. FASE IV. PRUEBAS Y MANTENIMIENTO9.1...
Guía de Desarrollo de Plan de Continuidad de NegocioFase IV. Pruebas y Mantenimientosuponga una parada de los sistemas de ...
Guía de Desarrollo de Plan de Continuidad de NegocioFase IV. Pruebas y Mantenimiento9.3   MANTENIMIENTO DEL PLAN DE CONTIN...
Guía de Desarrollo de Plan de Continuidad de NegocioANEXOSANEXOS                                                       37
Guía de Desarrollo de Plan de Continuidad de NegocioAnexo I – Cuadros de Recogida de Datos Análisis de ImpactoANEXO I – CU...
Guía de Desarrollo de Plan de Continuidad de NegocioAnexo I – Cuadros de Recogida de Datos Análisis de Impactoo   RECURSOS...
Guía de Desarrollo de Plan de Continuidad de NegocioAnexo I – Cuadros de Recogida de Datos Análisis de Impactoo   TIEMPO M...
Guía de Desarrollo de Plan de Continuidad de NegocioANEXO II - Listado de AmenazasANEXO II - LISTADO DE AMENAZAS          ...
Guía de Desarrollo de Plan de Continuidad de NegocioANEXO II - Listado de AmenazasRobo de softwareDescarga de software no ...
Guía de Desarrollo de Plan de Continuidad de NegocioANEXO III – Ejemplos de VulnerabilidadesANEXO III – EJEMPLOS DE VULNER...
Guía de Desarrollo de Plan de Continuidad de NegocioAnexo IV – Ejemplo Árbol de LlamadasANEXO IV – EJEMPLO ÁRBOL DE LLAMAD...
Guía de Desarrollo de Plan de Continuidad de NegocioAnexo V – Sitios de InterésANEXO V – SITIOS DE INTERÉShttp://www.conti...
Guía de Desarrollo de Plan de Continuidad de NegocioCASO DE ESTUDIO                                                       46
Guía de Desarrollo de Plan de Continuidad de NegocioCaso de EstudioCASO DE ESTUDIOANTECEDENTESZapasol S.A. es una compañía...
Guía de Desarrollo de Plan de Continuidad de NegocioCaso de EstudioANÁLISIS DE IMPACTOPara desarrollar este Plan, el direc...
Guía de Desarrollo de Plan de Continuidad de NegocioCaso de Estudio                                                Tipo de...
Guía de Desarrollo de Plan de Continuidad de NegocioCaso de EstudioImpresoras                      Hardware               ...
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
Próxima SlideShare
Cargando en…5
×

Guia desarrolloplancontinuidadnegocio

791 visualizaciones

Publicado el

Plan de continuidad de Negocios

Publicado en: Empresariales
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
791
En SlideShare
0
De insertados
0
Número de insertados
2
Acciones
Compartido
0
Descargas
38
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Guia desarrolloplancontinuidadnegocio

  1. 1. Escuela Universitaria de Informática Universidad Politécnica de MadridGuía de Desarrollo de un Plan de Continuidad de Negocio Autora: Laura del Pino Jiménez Director de Tesis: Jorge Ramió Aguirre Fecha del trabajo original: julio 2007
  2. 2. BREVE CURRICULUM VITAE DE LA AUTORA (diciembre de 2008)Laura del Pino es Ingeniero Técnico en Informática de Sistemas por la UniversidadPolitécnica de Madrid. Ha realizado el Curso Superior de Dirección de Seguridad dela Información del IADE de la Universidad Autónoma y es CISA por la ISACA.Comenzó a trabajar en Seguridad informática en KPMG como NITSO, NationalInformation Security Officer, pasando en el año 2000 a formar parte de AZERTIAcomo Consultor Senior de Seguridad. Actualmente desarrolla su carrera profesionalen el departamento de Seguridad de INDRA.NOTA DEL DIRECTOR DE TESISLaura realizó su Trabajo Fin de Carrera en la Escuela Universitaria de InformáticaEUI de la Universidad Politécnica de Madrid en este tema en el año 2007, ocasiónen la que tuve la grata oportunidad de ser su tutor de tesis, como profesor deldepartamento de Lenguajes, Proyectos y Sistemas Informáticos LPSI.A mediados de 2008 le pedí que hiciese un breve resumen de esa tesis parapublicarlo en Internet como documento de libre distribución, con el objeto de quefuese una guía práctica y de fácil entendimiento. Este es el feliz resultado dedicho trabajo.Agradezco a Laura en todo su valor el esfuerzo que ha realizado, conociendo elpoco tiempo libre que le dejan sus actividades profesionales que desarrolla enesta importante área de la seguridad de la información.Madrid, marzo de 2009.
  3. 3. Guía de Desarrollo de Plan de Continuidad de NegocioÍndice ÍNDICE
  4. 4. Guía de Desarrollo de Plan de Continuidad de NegocioÍndice1.  INTRODUCCIÓN ....................................................................................................................... 1 2.  OBJETO DE LA GUIA ............................................................................................................... 2 3.  ANTECEDENTES ........................................................................................................................ 3 4.  ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIO? ................................................ 5 5.  POR DÓNDE EMPEZAMOS..................................................................................................... 7 6.  FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS ............................ 9  6.1  ANÁLISIS DE IMPACTO ................................................................................................... 10  6.1.1  RELACIÓN DE PROCESOS.................................................................................................... 11  6.1.2  RELACIÓN DE APLICACIONES............................................................................................... 11  6.1.3  RELACIÓN DE DEPARTAMENTOS Y USUARIOS ....................................................................... 12  6.1.4  DETERMINAR LOS PROCESOS CRÍTICOS ............................................................................... 12  6.1.5  PERIODO MÁXIMO DE INTERRUPCIÓN ................................................................................... 12  6.2  ANÁLISIS DE RIESGOS ................................................................................................... 14  6.2.1  IDENTIFICAR ACTIVOS ......................................................................................................... 15  6.2.2  IDENTIFICAR AMENAZAS ...................................................................................................... 16  6.2.3  EVALUAR VULNERABILIDADES ............................................................................................. 17  6.2.4  EVALUACIÓN DEL IMPACTO ................................................................................................. 18  6.2.5  EVALUACIÓN DEL RIESGO ................................................................................................... 18  6.2.6  EVALUAR CONTRAMEDIDAS ................................................................................................. 20 7.  FASE II. ESTRATEGIA DE RESPALDO ............................................................................ 22  7.1  SELECCIÓN DE ESTRATEGIAS ........................................................................................ 22 8.  FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD............................................ 25  8.1  ORGANIZACIÓN DE LOS EQUIPOS.................................................................................. 25  8.1.1  EQUIPO DIRECTOR O COMITÉ DE CRISIS ............................................................................... 26  8.1.2  EQUIPO DE RECUPERACIÓN ................................................................................................ 26  8.1.3  EQUIPO LOGÍSTICO ............................................................................................................. 26  8.1.4  EQUIPO DE RELACIONES PÚBLICAS Y ATENCIÓN A CLIENTES.................................................. 27  8.1.5  EQUIPO DE LAS UNIDADES DE NEGOCIO ............................................................................... 27  8.2  DESARROLLO DE PROCEDIMIENTOS ............................................................................ 28  8.2.1  FASE DE ALERTA ................................................................................................................ 29  8.2.2  FASE DE TRANSICIÓN ......................................................................................................... 31 
  5. 5. Guía de Desarrollo de Plan de Continuidad de NegocioÍndice 8.2.3  FASE DE RECUPERACIÓN .................................................................................................... 32  8.2.4  FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA ................................................ 33  8.2.5  GENERACIÓN DE INFORMES Y EVALUACIÓN .......................................................................... 33 9.  FASE IV. PRUEBAS Y MANTENIMIENTO ....................................................................... 34  9.1  PRUEBAS ............................................................................................................................ 34  9.1.1.  OBJETIVOS DEL PLAN DE PRUEBAS ...................................................................................... 34  9.2  TIPOS DE PRUEBAS ......................................................................................................... 34  9.2.1.  EJERCICIOS TÉCNICOS ................................................................................................... 35  9.2.2.  TEST COMPLETO ............................................................................................................ 35  9.3  MANTENIMIENTO DEL PLAN DE CONTINUIDAD ............................................................ 36 ANEXOS ............................................................................................................................................... 37 ANEXO I – CUADROS DE RECOGIDA DE DATOS ANÁLISIS DE IMPACTO ................................. 38 ANEXO II - LISTADO DE AMENAZAS ................................................................................................ 41 ANEXO III – EJEMPLOS DE VULNERABILIDADES .......................................................................... 43 ANEXO IV – EJEMPLO ÁRBOL DE LLAMADAS............................................................................... 44 ANEXO V – SITIOS DE INTERÉS........................................................................................................ 45 CASO DE ESTUDIO ............................................................................................................................. 47  ANTECEDENTES ............................................................................................................................. 47  ANÁLISIS DE IMPACTO ................................................................................................................ 48  COMPONENTES DE LOS PROCESOS ...................................................................................... 48  PROCESO PEDIDOS................................................................................................................... 48  PROCESO DE NÓMINAS ............................................................................................................ 50  TIEMPO MÁXIMO DE RECUPERACIÓN DE LOS PROCESOS .................................................. 52  ANÁLISIS DE RIESGOS ................................................................................................................ 53  INVENTARIO DE ACTIVOS ......................................................................................................... 53  LISTADO DE AMENAZAS ............................................................................................................ 53  VULNERABILIDADES .................................................................................................................. 54  EVALUACIÓN DE RIESGOS ....................................................................................................... 55  RECOMENDACIONES - CONTRAMEDIDAS .............................................................................. 55  ESTRATEGIA DE RECUPERACIÓN .............................................................................................. 56  DESARROLLO DEL PLAN .............................................................................................................. 57  COMITÉ DE CRISIS ..................................................................................................................... 57  EQUIPO DE RECUPERACIÓN .................................................................................................... 58 
  6. 6. Guía de Desarrollo de Plan de Continuidad de NegocioÍndice EQUIPO DE COORDINACIÓN LOGÍSTICA................................................................................. 59  EQUIPO DE RELACIONES PÚBLICAS ....................................................................................... 60  EQUIPO DE LAS UNIDADES DE NEGOCIO ............................................................................... 61  FASE DE ALERTA ........................................................................................................................... 62  PROCEDIMIENTO DE NOTIFICACIÓN DEL DESASTRE ............................................................................ 62  PROCEDIMIENTO DE EJECUCIÓN DEL PLAN ........................................................................................ 62  PROCEDIMIENTO DE NOTIFICACIÓN DE EJECUCIÓN DEL PLAN ............................................................. 62  FASE DE TRANSICIÓN.................................................................................................................. 64  PROCEDIMIENTO DE CONCENTRACIÓN Y TRASLADO DE MATERIAL Y PERSONAS ................................... 64  PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIÓN ......................................... 64  FASE DE RECUPERACIÓN ............................................................................................................ 65  PROCEDIMIENTO DE RESTAURACIÓN ................................................................................................ 65  PROCEDIMIENTO DE SOPORTE Y GESTIÓN ......................................................................................... 65  FASE DE VUELTA A LA NORMALIDAD ....................................................................................... 66  ANÁLISIS DEL IMPACTO .................................................................................................................... 66  ADQUISICIÓN DE NUEVO MATERIAL ................................................................................................... 66  FIN DE LA CONTINGENCIA ................................................................................................................. 66  CONCLUSIONES............................................................................................................................. 67 BIBLIOGRAFÍA..................................................................................................................................... 68 
  7. 7. Guía de Desarrollo de Plan de Continuidad de NegocioIntroducción1. INTRODUCCIÓNDentro de la Gestión de la Seguridad de la Información en una compañía esimportante contar con un plan alternativo que asegure la continuidad de laactividad del Negocio en caso de que ocurran incidentes graves.Tradicionalmente, los Planes de Continuidad, denominados Planes deContingencia en sus orígenes, están asociados a grandes compañías quenecesitan reaccionar de forma inmediata ante cualquier evento que interrumpasus servicios. La realidad es que cualquier compañía puede sufrir un incidenteque afecte a su continuidad y, dependiendo de la forma en que se gestione dichoincidente, las consecuencias pueden ser más o menos graves.Esta guía pretende desglosar las actividades necesarias para desarrollar un Plande Continuidad de Negocio, proporcionando plantillas y ejemplos que ayuden allector a entender cada una de las fases y tareas que componen el Plan.Es importante destacar que la guía puede servir para desarrollar un Plan deContinuidad de Negocio tanto en una gran compañía como en una Pyme, aunqueconsecuentemente el tiempo, el esfuerzo y el presupuesto a emplear variaránsensiblemente. 1
  8. 8. Guía de Desarrollo de Plan de Continuidad de NegocioObjeto de la Guía2. OBJETO DE LA GUIAUna de las motivaciones que me ha llevado a desarrollar esta guía es la pocainformación que he encontrado que contenga una descripción detallada de lasfases y tareas que componen un Plan de Continuidad. Por ello, los principalesobjetivos son: o Dar a conocer la importancia del Plan de Continuidad de Negocio para hacer frente a incidentes graves de seguridad en una compañía. o Desarrollar una Guía completa sobre Continuidad de Negocio, donde se muestren cada una de las fases que componen el Plan. o Resumir de forma clara y sencilla cada una de las actividades a desarrollar dentro de las Fases del Plan de Continuidad. o Establecer ejemplos ilustrativos que ayuden a confeccionar un Plan de Continuidad. 2
  9. 9. Guía de Desarrollo de Plan de Continuidad de NegocioAntecedentes3. ANTECEDENTESA la velocidad con la que operan los negocios actuales un incidente de unaspocas horas de duración puede tener un impacto catastrófico en los resultados yen la imagen de la organización que lo sufra.La íntima dependencia que existe entre el negocio y los sistemas de informaciónexige que éstos estén preparados para afrontar las múltiples amenazas queponen en riesgo su operatividad y, en consecuencia, la continuidad del negocio.El incendio ocurrido en el Edificio Windsor en Madrid en el mes de febrero de2005 o el Huracán Katrina en agosto de ese mismo año, son dos ejemplos quevienen a sumarse a sucesos, como los atentados del 11-S del año 2001. Sinembargo, en no pocas ocasiones no es necesario un desastre de dimensionesparecidas a las de los mencionados anteriormente para poner en peligro no sólola buena marcha del negocio sino su misma supervivencia; eventos como lairrupción de un virus o la instalación de un parche de seguridad pueden conducira la inoperabilidad temporal de los sistemas, la pérdida de información crítica o,en última instancia, la inutilización de las infraestructuras.Tipos de incidentesNo sólo las catástrofes ambientales, tales como incendios o inundaciones,pueden causar daños adversos a una organización. Otros tipos de incidentes,como los que se detallan a continuación, pueden tener impactos adversos parauna compañía: • Incidentes serios de seguridad en los sistemas, como delitos cibernéticos, pérdida de información, robo de información sensible o su distribución accidental, fallos en los sistemas IT, errores de operación en los sistemas, etc. • Daños en las infraestructuras o en los servicios, fallos en el suministro eléctrico, fallos en el suministro de agua, fallos en las comunicaciones, huelgas en los servicios de limpieza. • Fallos en los equipos o en los sistemas, incluyendo fallos en las fuentes de alimentación, en los equipos de refrigeración. • Daños deliberados como actos de terrorismo o de sabotaje, guerras, robos, huelgas, etc.Los accidentes afectan de forma diferente a cada organización, dependiendo desu tamaño y de su área de actividad, no siendo el tamaño una característica 3
  10. 10. Guía de Desarrollo de Plan de Continuidad de NegocioAntecedentesfundamental; las pequeñas y medianas organizaciones también pueden verseseriamente afectadas.Las consecuencias de estos accidentes sobre las organizaciones que no tienen unplan de continuidad de negocio pueden llegar a ocasionar incluso el cierre de lasmismas. Tomemos como ejemplo las siguientes cifras: • Un 43% de las organizaciones después de un accidente no podrán continuar sus operaciones viéndose obligadas a cerrar. • Un 80% tendrán que hacerlo en menos de 13 meses. • Un 53% de los clientes de estas organizaciones no recuperarán las pérdidas causadas por los daños derivados. • Un 50% se verán forzadas a cerrar antes de cinco años después del desastre.Fuente: Cámara de Comercio de LondresA pesar de que los efectos inmediatos de un desastre aparentemente son lapérdida de beneficios por la parada de actividad puntual y la incapacidad paraproveer servicios críticos, no son éstos los efectos más perniciosos que unincidente de este tipo provoca.Otros efectos derivados que pueden causar un gran impacto en la compañía sonla pérdida de reputación de cara a los clientes, o la pérdida de ventajacompetitiva con otras compañías. 4
  11. 11. Guía de Desarrollo de Plan de Continuidad de Negocio¿Qué es un Plan de Continuidad de Negocio?4. ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIO?Un Plan de Continuidad de Negocio se compone de varias fases que comienzancon un análisis de los procesos que componen la organización. Este análisisservirá para priorizar qué procesos son críticos para el negocio y establecer unapolítica de recuperación ante un desastre. Por cada proceso se identifican losimpactos potenciales que amenazan la organización, estableciendo un plan quepermita continuar con la actividad empresarial en caso de una interrupción.Un Plan de Continuidad de Negocio, a diferencia de una Plan de Contingencia,está orientado al mantenimiento del negocio de la organización, con lo quepriorizará las operaciones de negocio críticas necesarias para continuar enfuncionamiento después de un incidente no planificado.En el desarrollo de un Plan de Continuidad de Negocio existen dos preguntasclave: • ¿Cuáles son los recursos de información relacionados con los procesos críticos del negocio de la compañía? • ¿Cuál es el período de tiempo de recuperación crítico para los recursos de información en el cual se debe establecer el procesamiento del negocio antes de que se experimenten pérdidas significativas o aceptables?Un Plan de Continuidad reducirá el número y la magnitud de las decisiones quese toman durante un período en que los errores pueden resultar mayores. El Planestablecerá, organizará y documentará los riesgos, responsabilidades, políticas yprocedimientos, acuerdos con entidades internas y externas.La activación de un Plan de Continuidad debería producirse solamente ensituaciones de emergencia y cuando las medidas de seguridad hayan fallado.BENEFICIOS • Identifica los diversos eventos que podrían impactar sobre la continuidad de las operaciones y su impacto financiero, humano y de reputación sobre la organización. • Obliga a conocer los tiempos críticos de recuperación para volver a la situación anterior al desastre sin comprometer al negocio. • Previene o minimiza las pérdidas para el negocio en caso de desastre. • Clasifica los activos para priorizar su protección en caso de desastre. • Aporta una ventaja competitiva frente a la competencia. 5
  12. 12. Guía de Desarrollo de Plan de Continuidad de Negocio¿Qué es un Plan de Continuidad de Negocio? • Fomenta e implica a los recursos humanos de la compañía en las actividades de continuidad.¿QUIEN DEBE TENER UN PLAN DE RECUPERACIÓN?Una pregunta que podemos hacernos es si el tamaño de una organizacióndetermina la necesidad o no de tener un Plan de Continuidad. Se puederesponder a esta pregunta diciendo que NO. Si una organización es muy grande,con beneficios millonarios, con grandes edificios y gran número de empleados, osi se trata de una persona trabajando en una pequeña oficina con 5 empleados,ambos necesitan asegurar la disponibilidad de su negocio. De hecho, debido a lospocos recursos y a las pocas opciones de respuesta ante un desastre, en algunoscasos sería más vital desarrollar un Plan de Recuperación de Negocio para lospequeños negocios que para las grandes corporaciones. 6
  13. 13. Guía de Desarrollo de Plan de Continuidad de Negocio¿Por Dónde Empezamos?5. POR DÓNDE EMPEZAMOSPara desarrollar un Plan de Continuidad de Negocio tenemos que empezar porobtener un conocimiento de la compañía: sus productos/servicios, sus objetivosempresariales, procesos internos, etc.No es lo mismo un Plan de Continuidad para una empresa de servicios deInternet que para una empresa fabricante de juguetes. Aunque en ambos casosel objetivo será el de seguir dando servicio a sus clientes, las actividades yprocesos sobre las que se soporta la empresa tendrán diferentes prioridades derecuperación ante una contingencia grave.El propósito general de un Plan de recuperación es obtener un mapa deacciones que reduzcan “la toma de decisiones” durante las operaciones derecuperación, restaure los servicios críticos rápidamente y permita un normalfuncionamiento de los sistemas y procesos lo antes posible, minimizando costesy aumentando la efectividad.Podemos dividir un Plan de Continuidad de Negocio en cuatro Fases: Figura 1. Diagrama de Fases del Plan de Continuidad 7
  14. 14. Guía de Desarrollo de Plan de Continuidad de Negocio¿Por Dónde Empezamos?FASE I – ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOSSe trata de obtener un conocimiento de los objetivos de negocio y de losprocesos que se consideran críticos para el funcionamiento de la compañía. Unavez identificados los procesos críticos, se analizarán cuáles son los riesgosasociados a dichos procesos para identificar cuáles son las causas potencialesque pueden llegar a interrumpir un negocio.FASE II – SELECCIÓN DE ESTRATEGIASEsta fase tiene dos objetivos: • Por un lado, valorar las diferentes alternativas y estrategias de respaldo en función de los resultados obtenidos en la fase anterior, para seleccionar la más adecuada a las necesidades de la compañía. • Por otro lado, corregir las vulnerabilidades detectadas en los procesos críticos de negocio identificadas en el Análisis de Riesgos.FASE III- DESARROLLO DEL PLANUna vez que se ha seleccionado la estrategia de respaldo hay que desarrollarla eimplantarla dentro de la compañía. En esta fase se desarrollan losprocedimientos y planes de actuación para las distintas áreas y equipos, y seorganizan los equipos que intervienen en cada fase del Plan.FASE IV – PRUEBAS Y MANTENIMIENTOUna parte importante del Plan de Continuidad, es conocer que realmentefunciona y es efectivo. Para ello se define la estrategia de pruebas y se realiza laprueba del Plan, para afinarlo según los resultados. Además, en esta última fasese definirán los procedimientos de mantenimiento del Plan. 8
  15. 15. Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgos6. FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOSPara desarrollar un Plan de Continuidad con garantía de éxito, lo primero esconocer y entender cuáles son los procesos de negocio que son esenciales dentrode la compañía en la que se va a desarrollar el Plan, con el objetivo de asegurarla continuidad de la actividad en caso de contingencia. Para ello debemosempezar por responder a cuestiones tales como:• ¿Cuáles son las actividades más importantes para la compañía?• ¿Cómo afectaría económicamente una interrupción de los servicios a medida que va pasando el tiempo sin reanudar el servicio?• ¿Cuál sería la capacidad operativa de la empresa a medida que pasa el tiempo?• ¿Cuál es el plazo máximo para volver a la normalidad sin llegar a incurrir en graves pérdidas?Las actividades/procesos que se clasifican como esenciales dentro de unacompañía suelen ser en su mayoría los Operacionales. Estos procesos interactúandirectamente con los clientes o con otras organizaciones externas a la compañía(Dpto. de Ventas, Dpto. Atención al Cliente, etc.). También es posible, que estosprocesos dependan de otros internos, que también deben ser analizados.Para conocer cuáles son las necesidades de la compañía en cuanto a estrategiasde continuidad, vamos a utilizar dos mecanismos de análisis:Análisis de Impacto (BIA – Business Impact Analysis): Nos permitiráidentificar la urgencia de recuperación de cada función de negocio, determinandoel impacto en caso de interrupción. Esta información nos permitirá seleccionarcuál es la estrategia más adecuada.Análisis de Riesgos: El Objetivo de un análisis de riesgos es identificar yanalizar los diferentes factores de riesgo que potencialmente podrán afectar a lasactividades que queremos proteger. La evaluación de riesgos supone imaginarselo que puede ir mal y a continuación estimar el impacto que supondría para laorganización. Se ha de tener en cuenta la probabilidad de que sucedan cada unode los problemas posibles. De esta forma se pueden priorizar los problemas y sucoste potencial desarrollando un plan de acción adecuado. 9
  16. 16. Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgos6.1 ANÁLISIS DE IMPACTOEl Análisis de Impacto es esencial para establecer una estrategia derecuperación, que en principio dará continuidad a las actividades críticas yposteriormente al resto, si es posible.El nivel de criticidad de una actividad dentro de la compañía se mide en funciónde lo dependiente de ella, que es la organización y de lo que repercutiría suindisponibilidad. En términos económicos esta valoración sería responder a lapregunta de cuánto perdería la organización si la actividad/proceso no estuvieradisponible.Dentro del Análisis de Impacto podemos distinguir las siguientes actividades: • Obtención de la Relación de Procesos: Establecer los procesos de negocio que se realizan en la compañía. • Obtención de la Relación de Aplicaciones: Establecer la relación de aplicaciones que soportan los procesos de la compañía. • Relación de Departamentos y Usuarios: Se identifican los departamentos que hay en la empresa y el nombre de las personas que la componen y que intervienen en los procesos. • Determinar cuáles son los Procesos Críticos: Pueden darse dos valoraciones, una basada en la importancia para la compañía de los procesos cuya ausencia tendría un impacto alto en la actividad de la compañía (valoración cualitativa). La otra, se referiría a las pérdidas económicas por período debido a la ausencia de los procesos (valoración cuantitativa). • Período Máximo de Interrupción: El acumulado de pérdidas suele ir creciendo linealmente a medida que pasan los días y las actividades están interrumpidas. No obstante, a partir de un momento que denominaremos Período Máximo de Interrupción, las pérdidas sufren un aumento significativo y las funciones no podrían ser reasumidas.En los casos en que la organización tenga varias sedes, será necesario establecerun alcance geográfico.En el Anexo I se incluye un ejemplo de recogida de datos para cada una de laspartes que componen el Análisis de Impacto. La recogida de esta informaciónpermitirá evaluar las necesidades de la organización en materia de continuidad,por lo que es importante que la información sea lo más completa posible. 10
  17. 17. Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgos6.1.1 RELACIÓN DE PROCESOSPara obtener la información sobre los procesos y las aplicaciones que losgestionan, es esencial la participación de las personas responsables de losmismos dentro de la compañía, y de aquellos trabajadores que conocen enprofundidad los mismos. Para ello pueden utilizarse entrevistas personales ycuestionarios que nos acercarán a los procesos críticos del negocio.Podemos dividir los procesos en operativos y procesos de soporte. Los procesosoperativos son aquellos que guardan una relación directa con el cliente(comercial, facturación, almacenaje, atención al cliente, etc.). Los procesos desoporte, serían aquellos que facilitan los “recursos” para poder realizar losprocesos operativos (recursos humanos, gestión financiera, etc.)6.1.2 RELACIÓN DE APLICACIONESEn este apartado debe recogerse el inventario de los recursos tecnológicos quesoportan los procesos de la compañía, a fin de identificar aquellos que densoporte directo a los servicios críticos.Los tipos de recursos que se deben analizar son:• Hardware, identificando cada uno de los elementos hardware que soportan los sistemas de información de la compañía.• Software Base, recogiendo todos aquellos componentes de software, incluido todos los asociados al sistema operativo, indispensables para el funcionamiento y optimización del Sistema de Información de la compañía.• Software de Aplicaciones, inventariando las aplicaciones de gestión que son utilizadas en la empresa.• Sistemas de Infraestructura, considerando aquellos elementos o componentes que sin disponer de una tecnología enfocada propiamente al tratamiento de la información sí son requeridos para garantizan la operatividad del servicio. 11
  18. 18. Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgos6.1.3 RELACIÓN DE DEPARTAMENTOS Y USUARIOSLos procesos de la compañía están gestionados por departamentos/usuarios.Dentro del inventario de procesos es necesario conocer el personal involucradoen los mismos. Esta información puede obtenerse en las mismas entrevistasdonde se recoge la información de los procesos existentes y de los elementos(hardware, software, etc.) que lo componen.6.1.4 DETERMINAR LOS PROCESOS CRÍTICOSEsta tarea supone evaluar los impactos económicos y operacionales sobre elnegocio en caso de no disponer de la función analizada. La valoración depérdidas no es una cuestión sencilla, ya que pueden concurrir aspectosintangibles, tales como la imagen de la organización ante sus clientes. Algunoscriterios que pueden ayudar a valorar las eventuales pérdidas pueden ser: • Coste de horas de trabajo perdidas, al no poder usar las aplicaciones que no tengan alternativa manual o cuyo tratamiento manual suponga una pérdida de eficiencia importante. • Ingresos dejados de percibir. • Penalizaciones por incumplimiento de contratos con clientes. • Sanciones administrativas por incumplimiento de leyes debido a la falta de control en situación de desastre (exposición de datos personales, incumplimiento de normativa internacional como la Ley Sarbanes Oxley, etc.). • Gastos financieros.Para simplificar esta valoración de los procesos podemos establecer unaclasificación numérica, asignando mayor prioridad (p.e. 1) a aquellos procesosque se consideren más críticos y menor prioridad (p.e. 3) a aquellos que seconsideren menos críticos.6.1.5 PERIODO MÁXIMO DE INTERRUPCIÓNUna vez que obtenemos la visión del negocio, de los procesos que lo componen yde la criticidad de cada uno de ellos, debemos establecer los tiempos derecuperación. Teniendo en cuenta que el objetivo del Plan es dar continuidad alnegocio tras un incidente o contingencia grave con las menores pérdidaseconómicas posibles para la compañía, deben estimarse para cada uno de los 12
  19. 19. Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgosprocesos que se han considerado críticos, el tiempo a partir del cual las pérdidaseconómicas afectarían de forma grave a la compañía (Tiempo máximo deinterrupción). Esta estimación es importante de cara a seleccionar la estrategiade respaldo adecuada a las necesidades de recuperación.Pueden existir procesos en los que el tiempo de recuperación es muy pequeño(horas), por ejemplo el servicio de banca electrónica de un banco, y otrosprocesos como la facturación a clientes en una empresa de servicios, puedentener un periodo de recuperación mayor (días o semanas). TIEMPO MÁXIMO DE INTERRUPCIÓN MINUTOS HORAS DIAS SEMANAS MESES TIEMPO DE RECUPERACIÓN OBJETIVO PERDIDAS ECOÓMICAS GRAVESFigura 2. Tiempos de RecuperaciónEn definitiva, el Análisis de Criticidad nos da una visión de los procesos,actividades y recursos a proteger con la prioridad de recuperación de cada unode ellos, junto con los tiempos objetivo de puesta en marcha tras un incidente. 13
  20. 20. Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgos6.2 ANÁLISIS DE RIESGOSEl objetivo de un Análisis de Riesgos es poner de manifiesto aquellas debilidadesactuales que por su situación o su importancia pueden poner en marcha, antesde lo deseable, el Plan de Recuperación de Negocio. El Análisis de Riesgo debecentrarse en los procesos/actividades del negocio que se han consideradocríticos, aunque también puede extenderse a aquellos que no lo son.La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuaciónestimar el coste que supondría. Se ha de tener en cuenta la probabilidad de quesucedan cada uno de los problemas posibles. De esta forma se pueden priorizarlos problemas y su coste potencial desarrollando un plan de acción adecuado.En lo fundamental, la evaluación de riesgos que se ha de llevar a cabo ha decontestar, con la mayor fiabilidad posible, a las siguientes preguntas: ¿Qué se intenta proteger? ¿Cuál es su valor para uno o para la organización? ¿Frente a qué se intenta proteger? ¿Cuál es la probabilidad de un ataque?ESQUEMA DEL ANÁLISIS DE RIESGOSFigura 3. Esquema Análisis de Riesgos 14
  21. 21. Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de RiesgosExisten diferentes metodologías de Análisis de Riesgos: • MARION • OCTAVE • MAGERITPara el desarrollo de esta guía no se ha seleccionado ninguna metodologíaconcreta, sino que se realiza una descripción general de los pasos que componenun Análisis de Riesgos.6.2.1 IDENTIFICAR ACTIVOSPara cada uno de los procesos críticos de la compañía es necesario realizar uninventario de los activos involucrados en el proceso. Los activos se definen comolos recursos de una compañía que son necesarios para la consecución de susobjetivos de negocio. Ejemplos de activos de una compañía pueden ser: • Información • Equipamiento • Conocimiento • SistemasNota: en el apartado anterior, se ha obtenido gran parte de esta información,sobre los activos que componen los procesos críticos.Cada activo de la compañía tendrá unos costes asociados. En algunos casosestos costes pueden ser cuantificados con un valor económico (activos tangibles)como el software o el hardware, y en otros casos es más complicado cuantificarel activo con valores monetarios (activos intangibles) tales como el prestigio o laconfianza de los clientes.El proceso de elaborar un inventario de activos es uno de los aspectosfundamentales de un correcto análisis de riesgos. En este inventario seidentificará claramente su propietario y su valor para la organización, así comosu localización actual.A continuación se incluye un esquema con la relación existente entre losdiferentes elementos que intervienen en el Análisis de Riesgos. 15
  22. 22. Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de RiesgosFigura 4. Componentes del Análisis de Riesgos6.2.2 IDENTIFICAR AMENAZASUna amenaza se define como un evento que puede desencadenar un incidente enla organización, produciendo daños materiales o pérdidas inmateriales en susservicios.A la hora de analizar los riesgos hay que evaluar las distintas amenazas quepueden provenir de las más diversas fuentes. Entre éstas se incluyen losagresores malintencionados, las amenazas no intencionadas y los desastresnaturales.La siguiente ilustración clasifica las distintas amenazas a los sistemas.Figura 5. Clasificación General de Amenazas 16
  23. 23. Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de RiesgosDependiendo de la organización y el proceso analizado, serán aplicables distintostipos de amenazas. Las amenazas tendrán una probabilidad de ocurrenciaque dependerá de la existencia de una vulnerabilidad que pueda ser explotada,para materializarse en un incidente. Por ejemplo una amenaza del tipo dedesastre natural como es un terremoto, tendrá una mayor probabilidad deocurrencia en una empresa con oficinas en Japón, donde los terremotos ocurrencon mayor frecuencia, que en España. Por lo tanto, a priori podemos decir que elriesgo de daño por terremoto en una compañía situada en Japón es mayor que elde una compañía situada en España.A la hora de valorar la probabilidad de ocurrencia de una amenaza, resulta máscomplicado valorar las amenazas humanas (ataques maliciosos, robos deinformación, etc.), que las amenazas naturales. En el componente humanoexisten dos factores a tener en cuenta: AMENAZA= CAPACIDAD X MOTIVACIÓNLa motivación es una característica humana que es difícil de valorar, pero que sinembargo es un factor a considerar: empleados descontentos, ex-empleados, etc.En el anexo II se recogen algunos ejemplos de posibles amenazas.Del listado de amenazas debemos tener en cuenta aquellas que pueden afectar ala organización de forma grave y valorar la probabilidad de que se conviertan enun incidente real.6.2.3 EVALUAR VULNERABILIDADESLas vulnerabilidades son debilidades que pueden ser explotadas para convertiruna amenaza en un riesgo real que puede causar daños graves en unacompañía. Las vulnerabilidades en sí mismas no causan daño alguno, sino que esuna condición o un conjunto de condiciones que pueden permitir a una amenazaafectar a un activo.En el anexo III se recogen algunos ejemplos de vulnerabilidades.Para identificar las vulnerabilidades que pueden afectar a una compañía debemosresponder a la pregunta: ¿Cómo puede ocurrir una amenaza?Para responder a esta pregunta ponemos como objetivo la amenaza y definimoslas distintas situaciones por las que puede ocurrir la misma, evaluando si dentrode la compañía puede darse esa circunstancia; es decir, si el nivel de protecciónes suficiente para evitar que se materialice la amenaza. Por ejemplo: si nuestra 17
  24. 24. Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de RiesgosAmenaza es que nos roben datos estratégicos de la compañía, podemosestablecer, entre otros, los siguientes escenarios: ESCENARIOS NIVEL DE PROTECCIÓN 1. Entrada no autorizada a los datos ¿Existe un control de acceso a los datos? a través del sistema informático. 2. Robo de datos de los dispositivos ¿Están los dispositivos de de almacenamiento magnético. almacenamiento protegidos y controlados de forma adecuada? 3. Robo de datos mediante accesos ¿Existen perfiles adecuados de acceso a no autorizados. los datos? Figura 6. Cuadro de EscenariosSi no se responde afirmativamente a las preguntas de la columna derecha, esque existen vulnerabilidades que podrían utilizarse de forma que la amenaza seconvierta en un incidente real, y causar daños importantes en la compañía.6.2.4 EVALUACIÓN DEL IMPACTOLos incidentes causan un impacto dentro de la organización, que tambiéndeberá tomarse en cuenta a la hora de calcular los riesgos. La valoración delimpacto puede realizarse de forma cuantitativa, estimando las pérdidaseconómicas, o de forma cualitativa, asignando un valor dentro de una escala(p.e. alto, medio, bajo).Por ejemplo, el robo de información confidencial de la compañía puede causar unimpacto alto si ésta cae en malas manos.En otro caso, podemos estimar las pérdidas económicas de equipos tangiblesvalorando el coste de reposición y puesta en marcha.6.2.5 EVALUACIÓN DEL RIESGORiesgo es la posibilidad de que se produzca un impacto determinado en laorganización. El riesgo calculado es simplemente un indicador ligado al par de 18
  25. 25. Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgosvalores calculados de vulnerabilidad y el impacto, ambos ligados a su vez de larelación entre el activo y la amenaza a la que el riesgo calculado se refiere. PROBABILIDAD DE INCIDENTES= AMENAZA X VULNERABILIDAD RIESGO= PROBABILIDAD DE INCIDENTES X IMPACTOEl riesgo suele expresarse en términos cualitativos (Alto, Medio, Bajo). Acontinuación se muestra un ejemplo de una matriz de probabilidad/impacto: RIESGO RIESGO RIESGO ALTO MEDIO ALTO ALTO PROBABILIDADD MEDIO RIESGO RIESGO RIESGO BAJO MEDIO ALTO RIESGO RIESGO RIESGO BAJO BAJO BAJO MEDIO BAJO MEDIO ALTO IMPACTO Figura 7. Matriz de RiesgosCuanto más baja sea la probabilidad de ocurrencia (no existan vulnerabilidades)y el impacto sobre la compañía sea también bajo, estaremos en un nivel deriesgo bajo.Sin embargo, si existen vulnerabilidades que aumenten la probabilidad deocurrencia o el impacto del incidente sea alto para la compañía, estaremos enunos niveles de riesgo medio-alto.A modo de ejemplo se muestra la siguiente tabla: 19
  26. 26. Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgos DESCRIPCIÓN PROBAB IMPACTO RIESGO Terremoto en ciudades situadas fuera de BAJA MEDIO BAJO fallas sísmicas Terremoto en ciudades situadas sobre fallas ALTA MEDIO ALTO sísmicas Robo de información confidencial compañía BAJA ALTO MEDIO con control de acceso lógico Robo de información confidencial compañía ALTA ALTO ALTO sin control de acceso lógicoUna vez que se han evaluado los riesgos, queda decidir qué hacemos con ellos.Se pueden tomar diferentes caminos: • Transferir el riesgo a través de seguros o subcontratando la gestión del riesgo a terceras empresas. • Aceptar el riesgo (posicionamiento aprobado por la dirección de la compañía). • Reducir el riesgo con controles que los mitiguen. • Eliminar el riesgo (eliminando la causa o el foco del riesgo).6.2.6 EVALUAR CONTRAMEDIDASPara reducir riesgos se utilizan los denominados controles o medidas deseguridad. Podemos clasificar los controles en: • Controles preventivos o Identifican potenciales problemas antes de que ocurran o Previenen errores, omisiones o actos maliciosos. Ejemplos: • Realizar copias de seguridad de los archivos. • Contratar seguros para los activos. • Establecer procedimientos / políticas de seguridad. • Establecer control de acceso a la información. • Establecer control de acceso físico. • Controles detectivos o Identifican y “reportan” la ocurrencia de un error, omisión o acto malicioso ocurrido. 20
  27. 27. Guía de Desarrollo de Plan de Continuidad de NegocioFASE I. Análisis del Negocio y Evaluación de Riesgos Ejemplos: • Monitorización de eventos. • Auditorías internas. • Revisiones periódicas de procesos. • Sensores de humo. • Detección de virus (Antivirus). • Controles Correctivos o Minimizan el impacto de una amenaza. o Solucionan errores detectados por controles detectivos. o Identifican la causa de los problemas con el objeto de corregir errores producidos. o Modifican los procedimientos para minimizar futuras ocurrencias del problema. Ejemplos: • Parches de seguridad. • Corrección de daños por virus. • Recuperación de datos perdidos.Las medidas seleccionadas para mitigar riesgos deben mantener una proporciónentre el esfuerzo y coste necesarios para su implantación y el riesgo que mitigan(evaluación del coste-beneficio).Uno de los objetivos del Plan de Continuidad es evitar en la medida de lo posibleque se produzcan incidentes que hagan necesaria su ejecución. Por ello, esimportante que la compañía conozca sus riesgos y ponga las medidas adecuadaspara corregir el mayor número de vulnerabilidades que puedan provocar unincidente grave.La evaluación de riesgos debe ser periódica y de acuerdo con el modelo degestión de riesgos de la organización y en función de la evolución del negocio(crecimiento), de cambios importantes en la organización (procesos internos),nuevas obligaciones legales, etc. 21
  28. 28. Guía de Desarrollo de Plan de Continuidad de NegocioFASE II. Estrategia de Respaldo7. FASE II. ESTRATEGIA DE RESPALDOEn esta fase se seleccionarán los métodos operativos alternativos que se van autilizar en el caso de que ocurra un incidente que provoque una interrupción enla organización. El método seleccionado deberá garantizar la restauración de losprocesos afectados en los tiempos determinados por el Análisis de Impacto.7.1 SELECCIÓN DE ESTRATEGIASExisten diferentes estrategias para mitigar el impacto de una interrupción. Cadauna de estas estrategias tiene unos parámetros de tiempo, disponibilidad ycostes asociados que serán más o menos apropiados dependiendo de lasfunciones de negocio.A continuación se describen diferentes estrategias para reubicación funcional: • No hacer nada: Este tipo de actuación podría utilizarse en aquellas funciones o actividades que se han clasificado como “no urgentes” en el Análisis de Impacto. En este tipo de estrategia se asume el riesgo. • Utilización de espacios propios: Espacios existentes en la compañía tales como salas de formación, cafeterías, etc. Este tipo de estrategia requiere una planificación minuciosa. • Reutilización de recursos: Reubicación de personal con funciones no urgentes en tareas que requieren una mayor prioridad. En este caso se debe poner cuidado en convertir la función no urgente en urgente por ser desatendida durante demasiado tiempo. • Trabajo Remoto o Teletrabajo: Posibilidad de trabajar desde ubicaciones exteriores a la compañía mediante conexión remota. • Acuerdos Recíprocos: Acuerdos entre dos organizaciones (o dos unidades de negocio de la propia compañía diferentes) con características de equipamiento/espacio similares que permitiría a cada una de las partes recuperar funciones en la otra localización. En este caso es importante definir las condiciones de uso y la realización de pruebas periódicas para asegurar las condiciones pactadas. • Sitio alternativo subcontratado a terceros: Contratación con compañías especializadas de espacios alternativos para la recuperación de la actividad. En este caso hay que asegurar que estas compañías pueden 22
  29. 29. Guía de Desarrollo de Plan de Continuidad de NegocioFASE II. Estrategia de Respaldo proporcionar unos tiempos de recuperación acordes con las necesidades de la organización. Este tipo de compañías pueden proporcionar diferentes de soluciones: o Espacio dedicado: Se garantiza la disponibilidad inmediata del espacio. En contrapartida este servicio es más caro que otras alternativas. o Espacio compartido: Se comparte el espacio con otras compañías. Es más barato que un centro dedicado. o Espacios móviles: Se pueden utilizar rápidamente, pero tienen un espacio limitado. o Módulos prefabricados: Pueden tardar unos días en estar disponibles para su uso. • Localizaciones diversas: Se traslada la operación pero no el personal. • Centro replicado: Solución que permite trasladar de forma inmediata la operación y continuar la actividad de forma inmediata. También puede denominarse “centro espejo”. Esta solución es normalmente la más cara, pero también la mejor solución en el caso de que se necesite una recuperación muy rápida de la operación. A continuación se muestra una tabla que recoge la relación entre el Tiempo Objetivo de recuperación y la solución de continuidad más adecuada a este Objetivo: TIEMPO OBJETIVO DE INTERNAS CONTRATADO RECUPERACIÓNMESES Reconstrucción / ---- RealojamientoSEMANAS Edificios prefabricados On- Contratación de unidades Site móviles o prefabricadosDIAS Recuperación “in situ” Subcontratación de procesos en oficinas móviles Trabajo en casaHORAS Localizaciones diversas con Re-localización de un grupo de empleados formados personasINMEDIATO Localizaciones diversas para Cambio de funcionamiento a un la misma función centro de respaldo subcontratadoFigura 8. Tabla de Estrategias de RecuperaciónFuente: Business Continuity Institute. 23
  30. 30. Guía de Desarrollo de Plan de Continuidad de NegocioFASE II. Estrategia de RespaldoDe todas las alternativas existentes hay que elegir la más adecuada en cadacaso. Dependerá de las necesidades de cada compañía, en cuanto a tiempos derecuperación, costes económicos, recursos, etc.Además deberá considerarse otros factores como:• Ubicación y superficie requerida o Espacio suficiente o Zonas acondicionadas para acoger a personal• Recursos técnicos necesarios: o Hardware o Software o Comunicaciones o Datos de respaldo• Recursos humanos requeridos o Recursos materiales y de infraestructura o Servicios auxiliares necesarios o Tiempos de activación o CosteSuele ocurrir que cuanto menor sea el tiempo de recuperación objetivo, mayorserá el coste de la solución. Por ello es conveniente realizar un análisis contiempos de recuperación adecuados y adaptados a la realidad de la compañía.Una vez tomada la decisión sobre el tipo de estrategia que se utilizará comorespaldo en caso de interrupción del negocio, pasaremos a desarrollar todos losprocedimientos, funciones y actividades que permitirán restablecer los procesosde negocio en unos plazos razonables. 24
  31. 31. Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de Continuidad8. FASE III. DESARROLLO DEL PLAN DE CONTINUIDADHasta este momento hemos obtenido: • Conocimiento de los procesos de la compañía, valorando cuáles son críticos para el funcionamiento del negocio. • Valoración de los riesgos que pueden afectar al negocio y que pueden disparar el Plan de Continuidad de Negocio. • Estrategia de Continuidad más adecuada para el negocio.A partir de aquí desarrollaremos “nuestro Plan de Continuidad”. Para ellodefiniremos: • Los equipos necesarios para el desarrollo del Plan. • Las responsabilidades y funciones de cada uno de los equipos. • Las dependencias orgánicas entre los diferentes equipos. • El desarrollo de los procedimientos de alerta y actuación ante eventos que puedan activar el Plan. • Los procedimientos de actuación ante incidentes. • La estrategia de vuelta a la normalidad.8.1 ORGANIZACIÓN DE LOS EQUIPOSLos equipos de emergencia están formados por el personal clave necesario en laactivación y desarrollo del Plan de Continuidad. Cada equipo tiene unas funcionesy procedimientos que tendrán que desarrollar en las distintas fases del Plan.Aunque la composición y número de equipos puede variar según el tipo deestrategia de recuperación, a continuación se muestran algunos ejemplos de losequipos que pueden formar parte del Plan: • Comité de Crisis: Encargado de dirigir las acciones durante la contingencia y recuperación. • Equipo de Recuperación: Su función es restablecer todos los sistemas necesarios (voz, datos, comunicaciones, etc.). • Equipo Logístico: Responsable de toda la logística necesaria en el esfuerzo de recuperación. • Equipo de las Unidades de Negocio: Encargados de la realización de pruebas que verifiquen la recuperación de los sistemas críticos. 25
  32. 32. Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de Continuidad • Equipo de Relaciones Públicas: Encargado de las comunicaciones a los medios de comunicación y clientes.El personal asignado a cada uno de los equipos puede variar dependiendo deltamaño de la organización y de la estrategia de recuperación seleccionada. Unapersona puede pertenecer a más de un equipo, siempre y cuando no existanincompatibilidades en las tareas a realizar.8.1.1 EQUIPO DIRECTOR O COMITÉ DE CRISISEl objetivo de este comité es reducir al máximo el riesgo y la incertidumbre en ladirección de la situación. Este Comité debe tomar las decisiones “clave” durantelos incidentes, además de hacer de enlace con la dirección de la compañía,manteniéndoles informados de la situación regularmente.Las principales tareas y responsabilidades de este comité son: • Análisis de la situación. • Decisión de activar o no el Plan de Continuidad. • Iniciar el proceso de notificación a los empleados a través de los diferentes responsables. • Seguimiento del proceso de recuperación, con relación a los tiempos estimados de recuperación.8.1.2 EQUIPO DE RECUPERACIÓNEl equipo de recuperación es responsable de establecer la infraestructuranecesaria para la recuperación. Esto incluye todos los servidores, PC’s,comunicaciones de voz y datos y cualquier otro elemento necesario para larestauración de un servicio.8.1.3 EQUIPO LOGÍSTICOEste equipo es responsable de todo lo relacionado con las necesidades logísticasen el marco de la recuperación, tales como: • Transporte de material y personas (si es necesario) al lugar de recuperación. 26
  33. 33. Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de Continuidad • Suministros de oficina. • Comida. • Reservas de hotel, si son necesarias. • Contacto con los proveedores.Este equipo debe trabajar conjuntamente con los demás, para asegurar quetodas las necesidades logísticas sean cubiertas.8.1.4 EQUIPO DE RELACIONES PÚBLICAS Y ATENCIÓN A CLIENTESSe trata de canalizar la información que se realiza al exterior en un solo puntopara que los datos sean referidos desde una sola fuente. Sus funcionesprincipales son: • Elaboración de comunicados para la prensa. • Comunicación con los clientes.Uno de los valores más importantes de una compañía son sus clientes, por lo quees importante mantener informados a los mismos, estableciendo canales decomunicación.8.1.5 EQUIPO DE LAS UNIDADES DE NEGOCIOEstos equipos estarán formados por las personas que trabajan con lasaplicaciones críticas, y serán los encargados de realizar las pruebas defuncionamiento para verificar la operatividad de los sistemas y comenzar afuncionar.Cada equipo deberá configurar las diferentes pruebas que deberán realizar paralos sistemas. 27
  34. 34. Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de Continuidad8.2 DESARROLLO DE PROCEDIMIENTOSUna vez que hemos definido los equipos y se han establecido las funciones quedebe desempeñar cada equipo, tenemos que desarrollar los procedimientos quevan a seguir, y su actuación en cada una de las fases de activación del Plan deContinuidad.- FASE DE ALERTA • Procedimiento de notificación del desastre. • Procedimiento de lanzamiento del Plan • Procedimiento de notificación de la puesta en marcha del Plan a los equipos implicados.- FASE DE TRANSICIÓN • Procedimiento de concentración de equipos. • Procedimiento de traslado y puesta en marcha de la recuperación.- FASE DE RECUPERACIÓN • Procedimientos de restauración. • Procedimientos de soporte y gestión.- FASE DE VUELTA A LA NORMALIDAD • Análisis del impacto. • Procedimientos de vuelta a la normalidad.En el siguiente esquema podemos ver las fases que componen el Plan deContinuidad de Negocio: 28
  35. 35. Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de Continuidad Figura 9. Fases y Actividades del Plan de Continuidad8.2.1 FASE DE ALERTALa Fase de Alerta define los procedimientos de actuación ante las primerasetapas de un suceso que implique la pérdida parcial o total de uno o variosservicios críticos. Dividiremos esta fase en tres partes:Notificación: Define cómo y quién debe ser informado en primera instancia delo ocurrido.Evaluación: Análisis de la situación y valoración inicial de los daños. Definiciónde estrategias.Ejecución del Plan: Decisión del equipo director de disparar el Plan debido alalcance de los daños.NotificaciónDado que no es posible confeccionar un Plan de Alerta que dé cabida a todos loscasos que resultan de suponer que cualquier persona pueda dar aviso de unincidente, vamos a suponer que la persona que descubre la contingencia será unempleado o cualquier otra persona próxima al lugar donde ocurre el incidente.Como parte del Plan de Continuidad se debe establecer un programa deconcienciación, en el que se informe debidamente al personal de cómo actuarante estos casos y a quién comunicar lo ocurrido. 29
  36. 36. Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de Continuidad EVENTO ACCIÓN1 Situación de contingencia/incidente Aviso inmediato con el máximo detalle detectado por algún empleado de la posible al Responsable de Personal de turno compañía. (Fuego, inundación, virus, etc.). o a Seguridad.2 Aviso a la persona de contacto del Comité de El responsable de turno o de seguridad Crisis. conoce que ha sucedido una contingencia. Aviso a los equipos de emergencia (si procede).Figura 10. Cuadro Fase de NotificaciónEvaluaciónUna vez que un miembro del Comité de Crisis es contactado e informado delincidente, procederá a evaluar la situación con la recopilación de la mayorinformación posible. El Comité informará a los responsables de los distintosequipos de lo ocurrido y de la situación en ese momento para que permanezcanen situación de espera, hasta que se tome la decisión de disparar el Plan o iniciarotro tipo de estrategia. EVENTO ACCIÓN3 Conocimiento por algún miembro del El equipo del Comité se reunirá en un lugar Comité de incidente ocurrido. acordado previamente y evaluará la situación. Este Comité deberá tomar la decisión de activar o no el Plan de Continuidad. Será necesario informar de la situación a los siguientes responsables: • Responsable de Seguridad. • Comité de Dirección de la Empresa. • Relaciones Públicas. • Equipo de Recuperación. • Responsable de los Equipos.Figura 11. Cuadro Fase de EvaluaciónEjecución del PlanUna vez que el Comité de Crisis ha decidido poner en marcha el Plan deRecuperación, debe de iniciarse el árbol de llamadas (En el Anexo IV se incluyeun ejemplo de un árbol de llamadas) para comunicar a los Responsables y 30
  37. 37. Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de Continuidadcomponentes de cada equipo la situación de inicio de las actividades del Planpara comenzar los procedimientos de actuación de cada uno de ellos. Deberáinformarse también al Comité de Dirección. EVENTO ACCIÓN4 Consideración por parte del Comité de Iniciar el árbol de llamadas. Crisis y ejecución del Plan. Informar al Comité de Dirección.5 Paso a la Fase de Transición.Figura 10. Cuadro Fase de Lanzamiento del Plan8.2.2 FASE DE TRANSICIÓNLa Fase de Transición es la fase previa a la de recuperación de los sistemas. Esimportante que en esta fase exista una coordinación entre los diferentes equiposy equipos de logística, ya que son éstos los encargados de que todo estédisponible para comenzar la recuperación en el menor tiempo posible.Podemos dividir la fase de transición en dos partes principalmente:• Procedimientos de concentración y traslado de personas y equipos.• Procedimientos de puesta en marcha del centro de recuperación.Ambos procedimientos son la base del proceso de recuperación de los sistemas.Si esta parte falla, no será posible comenzar la recuperación, y por tanto el Plande Continuidad fallará.A continuación pasamos a describir de manera detallada cada uno de losprocedimientos y equipos que deben interactuar en esta fase de transición.Procedimientos de concentración y traslado de material y personasDependiendo de la solución final que se decida como estrategia de respaldo, esteprocedimiento puede variar. Realizaremos una descripción general de losprocedimientos, que podrá completarse una vez que se tome una solucióndefinitiva.Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir alcentro de reunión. En el caso de que la emergencia se declare en horas detrabajo, se tomará como punto de encuentro los lugares designados en el Plan deEmergencia. Si el incidente ocurre fuera del horario de trabajo, el lugar dereunión será el designado como centro de respaldo, o cualquier otro designadopor el Comité de Dirección de Crisis. 31
  38. 38. Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de ContinuidadAdemás del traslado de personas al centro de recuperación (si es necesario) hayque realizar una importante labor de coordinación para el traslado de todo elmaterial necesario para poner en marcha el centro de recuperación (cintas debackup, material de oficina, documentación, ...)Procedimientos de puesta en marcha del centro de recuperaciónUna vez concentrados los distintos equipos que van a intervenir en larecuperación, y con todos los elementos necesarios disponibles para comenzar larecuperación, hay que poner en marcha este centro, estableciendo lainfraestructura necesaria, tanto de software como de comunicaciones, etc.8.2.3 FASE DE RECUPERACIÓNUna vez que hemos establecido las bases para comenzar la recuperación, seprocederá a la carga de datos y a la restauración de los servicios críticos. Esteproceso y el anterior suele precisar los mayores esfuerzos e intervenciones paracumplir con los plazos fijados.Podemos dividir esta fase en dos:• Procedimientos de Restauración• Procedimientos de Gestión y SoporteProcedimientos de RestauraciónEstos procedimientos se refieren a las acciones que se llevan a cabo pararestaurar los sistemas críticos.Procedimientos de soporte y gestiónUna vez restaurados los sistemas hay que comprobar su funcionamiento, realizarun mantenimiento sobre los mismos y protegerlos, de manera que se reanude elnegocio con las máximas garantías de éxito. Los integrantes del equipo deunidades de negocio serán los encargados de comprobar y verificar el correctofuncionamiento de los procesos. 32
  39. 39. Guía de Desarrollo de Plan de Continuidad de NegocioFase III. Desarrollo del Plan de Continuidad8.2.4 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIAUna vez con los procesos críticos en marcha y solventada la contingencia,debemos plantearnos las diferentes estrategias y acciones para recuperar lanormalidad total de funcionamiento. Para ello vamos a dividir esta fase endiferentes procedimientos:• Análisis del impacto.• Procedimientos de vuelta a la normalidadAnálisis del impactoEl análisis de impacto pretende realizar una valoración detallada de los equipos einstalaciones dañadas para definir la estrategia de vuelta a la normalidad.Procedimientos de vuelta a la normalidadUna vez determinado el impacto deben establecerse los mecanismos que en lamedida de lo posible lleven a recuperar la normalidad total de funcionamiento.Estas acciones incluyen las necesidades de compra de nuevos equipos,mobiliario, material, etc.8.2.5 GENERACIÓN DE INFORMES Y EVALUACIÓNUna vez solventado el incidente y vuelto a la normalidad, cada equipo deberárealizar un informe de las acciones llevadas a cabo y sobre el cumplimiento delos objetivos del Plan de Continuidad, los tiempos empleados, dificultades con lasque se encontraron, etc.Toda esta información servirá para valorar si el Plan ha funcionado según loplaneado, así como conocer los posibles fallos, y en su caso, tenerlos en cuentapara la adecuación del mismo. 33
  40. 40. Guía de Desarrollo de Plan de Continuidad de NegocioFase IV. Pruebas y Mantenimiento9. FASE IV. PRUEBAS Y MANTENIMIENTO9.1 PRUEBAS9.1.1. OBJETIVOS DEL PLAN DE PRUEBASEl Plan de Continuidad no se considerará válido hasta que no se haya superadosatisfactoriamente el Plan de Pruebas que asegure la viabilidad de las solucionesadoptadas.El Plan de Pruebas diseñado tiene como objetivos:• Evaluar la capacidad de respuesta ante una situación de desastre que afecte a los recursos de la compañía.• Probar la efectividad y los tiempos de respuesta del Plan para comprobar que están alineados con la definición realizada en el diseño.• Identificar las áreas de mejora en el diseño y ejecución del Plan.• Comprobar si los procedimientos desarrollados son adecuados para soportar la recuperación de las operaciones de negocio.• Evaluar si los participantes del ejercicio están suficientemente familiarizados con la operativa en situación de contingencia.• Concienciación y formación para los empleados a través de la realización de pruebas.9.2 TIPOS DE PRUEBASLas pruebas de un Plan de Continuidad deben tener dos característicasprincipales:Realismo: La utilidad de las pruebas se reduce con la selección de escenariosirreales. Por ello es importante reproducir escenarios que proporcionen un nivelde entrenamiento adecuado a las situaciones de riesgo.Exposición Mínima: Las pruebas deben diseñarse de forma que impacten lomenos posible en el negocio, es decir, que si se programa una prueba que 34
  41. 41. Guía de Desarrollo de Plan de Continuidad de NegocioFase IV. Pruebas y Mantenimientosuponga una parada de los sistemas de información, debe realizarse una ventanade tiempo que impacte lo menos posible para el negocio.En algunos casos puede resultar complicado realizar una prueba completa delPlan de Continuidad de Negocio. Por ello, es necesario desarrollar un programade pruebas planificado para garantizar que todos los aspectos de los planes ypersonal se han ensayado durante un período de tiempo.9.2.1 EJERCICIOS TÉCNICOSEste tipo de ejercicio requerirá la ejecución de procedimientos de notificación yoperativos, el uso de equipos de hardware, software y posibles centros ymétodos alternativos para asegurar un rendimiento adecuado. Ejemplos deelementos verificados durante un ejercicio de simulación son: - Procedimientos de emergencia. - Métodos alternativos. - Líneas de telecomunicaciones de backup. - Procedimientos de notificación Vendedores / Clientes. - Capacidad y rendimiento del hardware. - Portabilidad del software. - Accesibilidad al centro de respaldo. - Movilización de los equipos de trabajo. - Recuperación de ficheros y documentación almacenados en lugar externo. - Recuperación de datos.9.2.2 TEST COMPLETOLos ejercicios de test son ejercicios planificados que implican la restauración realde la capacidad de proceso en un centro alternativo. Generalmente, los procesosen producción no son interrumpidos, pero puede planificarse su restauración yvalidación en el centro alternativo. Normalmente, este tipo de prueba requiere laparticipación de toda la organización de continuidad del negocio, incluyendousuarios, personal técnico y de operaciones. 35
  42. 42. Guía de Desarrollo de Plan de Continuidad de NegocioFase IV. Pruebas y Mantenimiento9.3 MANTENIMIENTO DEL PLAN DE CONTINUIDADPor la propia dinámica de negocio, se van incorporando nuevas soluciones a losSistemas de Información y los activos informáticos van evolucionando para darrespuesta a las necesidades planteadas.La correcta planificación del mantenimiento del Plan de Continuidad evitará quequede en poco tiempo obsoleto y que en caso de contingencia no pueda darrespuesta a las necesidades. 36
  43. 43. Guía de Desarrollo de Plan de Continuidad de NegocioANEXOSANEXOS 37
  44. 44. Guía de Desarrollo de Plan de Continuidad de NegocioAnexo I – Cuadros de Recogida de Datos Análisis de ImpactoANEXO I – CUADROS DE RECOGIDA DE DATOS ANÁLISIS DE IMPACTOo CUADRO DE PROCESOSEn este cuadro se recogen los procesos y subprocesos que componen laorganización donde se va a desarrollar el Plan de Continuidad. Frecuencia Breve Persona Proceso Subproceso (Diario/Semanal descripción responsable Mensual)o SISTEMAS QUE SOPORTAN EL PROCESOEn este cuadro se recogen los sistemas que soportan el proceso analizado. Tipo de Nº de Nombre Sistema Equipos Contacto del Descripción Criticidad Responsable (PC/Servidor/ con la Técnicos Sistema aplicación Mainframe)Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el sistema 2 – La organización/departamento no puede funcionar parcialmente sin el sistema 3 - La organización/departamento puede funcionar sin el sistema 38
  45. 45. Guía de Desarrollo de Plan de Continuidad de NegocioAnexo I – Cuadros de Recogida de Datos Análisis de Impactoo RECURSOS HARDWARE DEL PROCESOEn este apartado se recogen los componentes hardware que soportan losprocesos. Detalles delTipo de hardware Distribuidor Criticidad Localización Modelo/ConfiguraciónRangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el hardware 2 – La organización/departamento no puede funcionar parcialmente sin el hardware 3 - La organización/departamento puede funcionar sin el hardwareo OTROS ACTIVOSEn este apartado se recogen todos aquellos activos (comunicaciones, datos,infraestructura, etc.), que forman parte del proceso y que son necesarios paradar continuidad al mismo en caso de interrupción. Descripción Tipo Criticidad LocalizaciónRangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el activo 2 – La organización/departamento no puede funcionar parcialmente sin el activo 3 - La organización/departamento puede funcionar sin el activo 39
  46. 46. Guía de Desarrollo de Plan de Continuidad de NegocioAnexo I – Cuadros de Recogida de Datos Análisis de Impactoo TIEMPO MÁXIMO DE INTERRUPCIÓNPara cada uno de los procesos, se determinará el tiempo máximo deinterrupción, especificando cuántos días puede permanecer el proceso sin incurriren pérdidas económicas graves. Proceso Necesidades de Recuperación CriticidadNecesidad de Recuperación: Día 0 : Recuperación inmediata Día 1-7: El proceso debe ser recuperado entre el primer y el quinto día después de un incidente. Día 7–30: El proceso debe ser recuperado después de la primera semana y antes de un mes. Más 30 días: El proceso pude esperar más de 30 días a ser recuperado. 40
  47. 47. Guía de Desarrollo de Plan de Continuidad de NegocioANEXO II - Listado de AmenazasANEXO II - LISTADO DE AMENAZAS AMENAZASDESASTRES NATURALESHuracanesInundacionesIncendiosDAÑOS ACCIDENTALESFuego fortuitoInundacionesFallo del aire acondicionadoExceso de humedadHumo, gases tóxicosSubida de tensiónFallo de suministro eléctricoFallo de la UPSAccidentes del personalCapacidad inadecuada de las comunicacionesFallo/degradación del hardwareFallo/degradación de las comunicacionesErrores de operaciónFallos en las copias de seguridadFallos de los sistemas de autenticación/autorizaciónPérdida de confidencialidadIncumplimientos legalesATAQUES INTENCIONADOSExplosivosFuego intencionadoAccesos no autorizados al edificioActos de vandalismoRadiaciones electromagnéticasRobos intencionadosManipulación de datos/softwareManipulación de hardwareUso de software por personal no autorizadoAcceso no autorizados a datos de la compañíaSoftware maliciosoRobo de equiposRobo de documentos 41
  48. 48. Guía de Desarrollo de Plan de Continuidad de NegocioANEXO II - Listado de AmenazasRobo de softwareDescarga de software no controladaInterceptación de las líneas de comunicaciónManipulación de las líneas de comunicaciónAbuso de privilegios de accesoIntroducción de virus en los sistemasTroyanosAtaques por ingeniería socialBombas lógicasAtaques de denegación de servicioErrores intencionadosCopias incontroladas de documentos/software/datosErrores en el mantenimientoCorrupción de datosIncumplimientos legales intencionados 42
  49. 49. Guía de Desarrollo de Plan de Continuidad de NegocioANEXO III – Ejemplos de VulnerabilidadesANEXO III – EJEMPLOS DE VULNERABILIDADES VULNERABILIDADESExistencia de materiales inflamables como papel o cajasCableado inapropiadoAncho de banda inapropiadoSuministro eléctrico inapropiadoMantenimiento inapropiado del servicio técnicoAusencia de mantenimientoEducación inadecuada del personal en virus y malwarePolíticas de firewall inadecuadasPolítica de seguridad de la información inadecuadaAusencia de política de seguridadDerechos de acceso incorrectosAusencia de un sistema de extinción automática de fuegos/humosAusencia de backupAusencia de control de cambios de configuración eficiente y efectivaAusencia de mecanismos de identificación y autenticaciónAusencia de política de restricción de personal para uso licencias de softwareUbicación física en un área susceptible de desastres naturalesCarencia de software antivirusDescarga incontrolada y uso de software de InternetAusencia de mecanismos de cifrado de datos para la transmisión de datosconfidencialesProtección física de equipos inadecuadaPersonal sin formación adecuadaIncumplimientos legales (LOPD, Ley Sarbanes Oxley, etc.)Definición de privilegios de acceso inadecuadaAusencia de un Plan de recuperación de incidentes 43
  50. 50. Guía de Desarrollo de Plan de Continuidad de NegocioAnexo IV – Ejemplo Árbol de LlamadasANEXO IV – EJEMPLO ÁRBOL DE LLAMADAS Comité de Crisis Comité de Dirección Equipo de Equipo de Equipo de Equipo de Recuperación Coordinación Seguridad Relaciones Logística Públicas Equipo de Unidades de Negocio 44
  51. 51. Guía de Desarrollo de Plan de Continuidad de NegocioAnexo V – Sitios de InterésANEXO V – SITIOS DE INTERÉShttp://www.contingencyplanning.com/ - Revista de Continuidad de Negociohttp://www.globalcontinuity.com/ - Portal de Business Continuity Planhttp://www.thebci.org/pas56.htm - Business Continuity Institutehttp://www.disaster-recovery-guide.com/ - Información y guías sobreContinuidadhttp://www.nist.org/ - Mejores prácticas en Seguridad Informáticahttp://www.iss.net/ - Base de datos de vulnerabilidades X-Forcehttp://nvd.nist.gov/ - Base de datos de vulnerabilidades del NISThttp://www.securityfocus.com/ - Base de datos de vulnerabilidadeshttp://www-5.ibm.com/services/es/portfolios/recuperacion.html - Proveedor deServicios de Continuidad de Negociohttp://h20219.www2.hp.com/services/cache/9270-0-0-197-470.html -Proveedor de Servicios de Continuidad de Negocio 45
  52. 52. Guía de Desarrollo de Plan de Continuidad de NegocioCASO DE ESTUDIO 46
  53. 53. Guía de Desarrollo de Plan de Continuidad de NegocioCaso de EstudioCASO DE ESTUDIOANTECEDENTESZapasol S.A. es una compañía que fabrica zapatos con materiales reciclados.Zapasol S.A. cuenta actualmente con 80 empleados, repartidos en dos plantas defabricación, una en Valencia y otra en Albacete distante 200 kilómetros. El éxitode venta de este tipo de zapatos les ha llevado a mercados internacionales,importando a más de 20 países.Dentro de la propia fábrica cuentan con un pequeño departamento de informáticaformado por 4 empleados que se encargan de la gestión de todo lo relacionadocon comunicaciones, software, hardware, bases de datos. Este departamento ysu centro de proceso de datos se encuentran en Valencia.El rápido desarrollo y expansión de esta compañía ha resultado en uncrecimiento tecnológico importante en los procesos de soporte, tales comofacturación, nóminas, atención al cliente, etc. Sin embargo, las medidas deseguridad no han acompañado de igual forma a este crecimiento. A continuaciónse describe brevemente cuál es la situación actual en cuanto a seguridad de lacompañía: • No existe una política de seguridad en la compañía. • Sólo hay antivirus en algunos equipos, en otro no se ha instalado. • No se realizan copias de seguridad de la información. • Existe control de acceso a los equipos, pero los usuarios comparten contraseñas. • Los servidores se encuentran en una sala sin ninguna medida de protección física. • ….Como parte de los proyectos a acometer durante el año 2007, el Director deInformática de Zapasol S.A. ha propuesto la realización de un Plan deContinuidad de Negocio, para configurar una estrategia de recuperación antecualquier evento grave que haga peligrar el negocio de la empresa. 47
  54. 54. Guía de Desarrollo de Plan de Continuidad de NegocioCaso de EstudioANÁLISIS DE IMPACTOPara desarrollar este Plan, el director de informática ha encargado a Luis (otro delos empleados del departamento de informática) que realice un inventario de losprocesos críticos de la compañía, estableciendo los tiempos de recuperación delos mismos, antes de incurrir en pérdidas graves. Para ello, Luis se haentrevistado con los responsables de los procesos obteniendo la siguienteinformación: Frecuencia Proceso Subproceso Breve descripción (Diario/Semanal Responsable Mensual) DiarioPedidos -- Se encarga de recibir todos Inés Burgos los pedidos de los distintos clientes y de gestionar su envío en los plazos y condiciones establecidasAtención al --- Recogida y Gestión de Diario Ángela CanoCliente incidentesRecursos -- Selección y formación del Según Marta ÁlvarezHumanos personal de la compañía necesidadNóminas -- Generación y Pago de las Mensual Laura Cuesta Nóminas de los empleadosStock --- Control y Gestión del stock de Diario Antonio zapatos en los almacenes RomeroNota: Para el ejemplo sólo se toman dos procesos de muestra (Pedidos y Nóminas)COMPONENTES DE LOS PROCESOSA continuación se describen cada uno de los componentes Hardware, Software,Comunicaciones, etc., que conforman los procesos definidos en Zapasol S.A.PROCESO PEDIDOS• Sistemas del proceso de Pedidos: 48
  55. 55. Guía de Desarrollo de Plan de Continuidad de NegocioCaso de Estudio Tipo de Nº de Nombre Sistema Equipos Contacto del Descripción Criticidad Responsable (PC/Servidor/ con la Técnicos Sistema Mainframe) aplicación --- ----Correo 2 Servidor de 4Electrónico CorreoGestión Aplicación 1 4 ----Pedidos para la Gestión de pedidos• Hardware del proceso de Pedidos: Tipo de Detalles del Distribuidor Criticidad Localización Hardware Modelo/ConfiguraciónServidor de PowerEdgeTM 1900 Dell 3 Centro procesoCorreo Servidor en torre de datos Valencia núcleo cuádruple con 2 socketsPC’s Procesador Dell 2 Centros de Intel® CoreTM 2 Duo Valencia y E6000 Albacete Chipset Q965 ICH8DO compatible con Active Management Technology (iAMT 2.1) de Intel® Solución LAN Gigabit Ethernet de Intel®Servidor de PowerEdgeTM 2900 Dell 1 Centro procesoAplicaciones Servidor en torre de datos Valencia núcleo cuádruple con 2 sockets• Otros Activos del proceso: Descripción Tipo Criticidad LocalizaciónLínea RDSI de Comunicaciones 1 Centros de trabajocomunicaciones 49
  56. 56. Guía de Desarrollo de Plan de Continuidad de NegocioCaso de EstudioImpresoras Hardware 2 Centros de trabajoCentralita de Comunicaciones 3 Centros de trabajoComunicacionesPROCESO DE NÓMINAS• Sistemas del proceso de Nóminas: Tipo de Nº de Nombre Sistema Equipos Responsa- Contacto del Descripción Criticidad (PC/Servidor/ con la ble Técnicos Sistema Mainframe) aplicación 3 Laura -----Aplicación Programa Servidor / 3 CuestaNóminas que se PC’s encarga de realizar el cálculo de las nóminas 2 Angel Perez SoporteWindows Sistema PC’s 20 Windows Operativo• Hardware del proceso de Nóminas: Tipo de Detalles del Distribuidor Criticidad Localización Hardware Modelo/ConfiguraciónServidor de PowerEdgeTM 1900 Dell 2 Centro procesoaplicaciones Servidor en torre de datos Valencia núcleo cuádruple con 2 socketsPC’s Procesador Dell 2 Centros de Intel® CoreTM 2 Duo Valencia y E6000 Albacete Chipset Q965 ICH8DO compatible con Active Management Technology (iAMT 2.1) de Intel® Solución LAN Gigabit Ethernet de Intel® 50

×