Este documento presenta una guía para el desarrollo de un Plan de Continuidad de Negocio. Inicia con una breve introducción sobre la importancia de contar con un plan de continuidad. Luego, describe el objetivo principal de la guía, que es proporcionar una descripción detallada de las fases y tareas necesarias para desarrollar un plan de continuidad. Finalmente, presenta algunos antecedentes sobre incidentes que pueden afectar la continuidad de una organización y las consecuencias de no contar con un plan de continuidad.
La importancia de la información y la tecnología relacionada sigue creciendo, y los líderes empresariales necesitan buena información para agudizar su visión y tomar decisiones comerciales acertadas, y esto deben asegurarlo a lo largo del tiempo. Por eso, la organización que desee conseguir un plan eficiente para garantizar la resiliencia en su negocio debe estar integrada y organizada a través de la concientización diaria, la capacitación periódica y por la generación de procesos de negocio y tecnológicos que hayan sido creados bajo un concepto de resiliencia.
¿El desafío? Establecer un proceso de continuidad y resiliencia que aporte un marco de gobierno de ciberseguridad y tecnológico, ayudando a minimizar y prevenir los ataques internos y externos como por ejemplo las violaciones de datos o actividades fraudulentas, que dejan a las organizaciones vulnerables a los riesgos de pérdida o exposición de su información.
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...Mario Ureña
Conferencia presentada en ISACA - Latin CACS 2011 (Puerto Rico) sobre el Sistema de Gestión de Continuidad del Negocio basado en BS25999 e ISO22301. 03 Octubre 2011. Mario Ureña
En esta presentación se describen los objetivos, tareas y resultados de cada una de las fases de un Plan de Continuidad de Negocio y de un Plan de Contingencia de TI
La importancia de la información y la tecnología relacionada sigue creciendo, y los líderes empresariales necesitan buena información para agudizar su visión y tomar decisiones comerciales acertadas, y esto deben asegurarlo a lo largo del tiempo. Por eso, la organización que desee conseguir un plan eficiente para garantizar la resiliencia en su negocio debe estar integrada y organizada a través de la concientización diaria, la capacitación periódica y por la generación de procesos de negocio y tecnológicos que hayan sido creados bajo un concepto de resiliencia.
¿El desafío? Establecer un proceso de continuidad y resiliencia que aporte un marco de gobierno de ciberseguridad y tecnológico, ayudando a minimizar y prevenir los ataques internos y externos como por ejemplo las violaciones de datos o actividades fraudulentas, que dejan a las organizaciones vulnerables a los riesgos de pérdida o exposición de su información.
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...Mario Ureña
Conferencia presentada en ISACA - Latin CACS 2011 (Puerto Rico) sobre el Sistema de Gestión de Continuidad del Negocio basado en BS25999 e ISO22301. 03 Octubre 2011. Mario Ureña
En esta presentación se describen los objetivos, tareas y resultados de cada una de las fases de un Plan de Continuidad de Negocio y de un Plan de Contingencia de TI
Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...Mario Ureña
Presentación de la conferencia "Caso práctico para la ejecución de un análisis de impacto al negocio" del 01 de Octubre del 2013 en Latin CACS realizado en Medellín, Colombia.
Plan de contingencia sobre la estación de trenes rosa de lima de Burgos, puede valer como modelo para realizar otros planes de contingencia en cualquier empresa.
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
Présentation sur le cycle de vie du Secure Software Development Life Cycle (SSDLC). Threat modeling, revue d'architecture, analyse statique, analyse dynaique, OWASP ASVS, OpenSAMM, etc.
Introducción a la Continuidad de Negocio
En primer lugar se presentan conceptos de la Gestión de Continuidad de Negocio. A continuación se muestran las ventajas de adopción de un esquema de continuidad de negocio. Asimismo se muestra una relación con iniciativas actuales en la industria
financiera y por último se propone una serie de recomendaciones.
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONALFabián Descalzo
Desarrollo e implementación de estrategias y planes de continuidad operativa tecnológica (DRP) y funcionales de áreas de negocio (BCP), pruebas de verificación a procedimientos y recursos de recuperación, awareness y capacitación.
In this webinar, we will discuss how to Integrate Information Security with Business Continuity Planning. Tips for reducing BCP volumes and preventing your plan from ‘collecting dust on the shelf’ and achieving a hands-on BCP process and getting your organization truly 'incident ready'.
Main points covered:
• Integrating Information Security with Business Continuity Planning (BCP)
• Tips for reducing BCP volumes and preventing your plan from 'collecting dust on the shelf'
• Achieving a hands-on BCP process and getting your organization truly 'incident ready'
Presenter:
The presenter of this webinar will be Ms. Rinske Geerlings MSc, CBCP, MBCI, COBIT, ISO 22301 Master, ISO 31000 Lead Risk Manager, ISO 27001 Lead Implementer, and ITIL Master. She is an internationally known, award-winning consultant, speaker and certified trainer in Business Continuity, IT Management, Disaster Recovery, Risk Management and Information Security with 20 years global experience.
Link of the recorded session published on YouTube: https://youtu.be/5_lnQyFlGTs
Plan de Continuidad de Negocio - BCP: Este documento detalla los aspectos relacionados con el desarrollo del mismo. Detallando los pasos necesarios en todo el proceso, así como los puntos más importantes que no se pueden dejar de analizar en el proceso de formulación y ejecución del BCP. Se desarrollan los puntos importantes de la BS 25999. En el documento se presentan los aspectos relacionados con la estrategia de creación de un centro de respaldo.
Enterprise Security Architecture for Cyber SecurityThe Open Group SA
Cyber Security is one of the major challenges facing organisations within all industries. This presentation will examine the integration of an Enterprise Architecture approach with an Enterprise Security Architecture approach (TOGAF and SABSA) and propose a generic framework.
Download this presentation at http://opengroup.co.za/presentations
Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...Mario Ureña
Presentación de la conferencia "Caso práctico para la ejecución de un análisis de impacto al negocio" del 01 de Octubre del 2013 en Latin CACS realizado en Medellín, Colombia.
Plan de contingencia sobre la estación de trenes rosa de lima de Burgos, puede valer como modelo para realizar otros planes de contingencia en cualquier empresa.
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
Présentation sur le cycle de vie du Secure Software Development Life Cycle (SSDLC). Threat modeling, revue d'architecture, analyse statique, analyse dynaique, OWASP ASVS, OpenSAMM, etc.
Introducción a la Continuidad de Negocio
En primer lugar se presentan conceptos de la Gestión de Continuidad de Negocio. A continuación se muestran las ventajas de adopción de un esquema de continuidad de negocio. Asimismo se muestra una relación con iniciativas actuales en la industria
financiera y por último se propone una serie de recomendaciones.
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONALFabián Descalzo
Desarrollo e implementación de estrategias y planes de continuidad operativa tecnológica (DRP) y funcionales de áreas de negocio (BCP), pruebas de verificación a procedimientos y recursos de recuperación, awareness y capacitación.
In this webinar, we will discuss how to Integrate Information Security with Business Continuity Planning. Tips for reducing BCP volumes and preventing your plan from ‘collecting dust on the shelf’ and achieving a hands-on BCP process and getting your organization truly 'incident ready'.
Main points covered:
• Integrating Information Security with Business Continuity Planning (BCP)
• Tips for reducing BCP volumes and preventing your plan from 'collecting dust on the shelf'
• Achieving a hands-on BCP process and getting your organization truly 'incident ready'
Presenter:
The presenter of this webinar will be Ms. Rinske Geerlings MSc, CBCP, MBCI, COBIT, ISO 22301 Master, ISO 31000 Lead Risk Manager, ISO 27001 Lead Implementer, and ITIL Master. She is an internationally known, award-winning consultant, speaker and certified trainer in Business Continuity, IT Management, Disaster Recovery, Risk Management and Information Security with 20 years global experience.
Link of the recorded session published on YouTube: https://youtu.be/5_lnQyFlGTs
Plan de Continuidad de Negocio - BCP: Este documento detalla los aspectos relacionados con el desarrollo del mismo. Detallando los pasos necesarios en todo el proceso, así como los puntos más importantes que no se pueden dejar de analizar en el proceso de formulación y ejecución del BCP. Se desarrollan los puntos importantes de la BS 25999. En el documento se presentan los aspectos relacionados con la estrategia de creación de un centro de respaldo.
Enterprise Security Architecture for Cyber SecurityThe Open Group SA
Cyber Security is one of the major challenges facing organisations within all industries. This presentation will examine the integration of an Enterprise Architecture approach with an Enterprise Security Architecture approach (TOGAF and SABSA) and propose a generic framework.
Download this presentation at http://opengroup.co.za/presentations
Diapositivas utilizadas en la sesión de clausura de la conferencia DRJ en Español. ISO22301: La meta internacional para la continuidad del negocio.
Mario Ureña
La continuidad del negocio es un asunto serio para todas las organizaciones y su gestión debe ser un elemento en la gestión de la compañía. La capacidad para que una organización mantenga sus operaciones críticas durante y después de un acontecimiento desastroso, tanto como la velocidad de respuesta en que se puede reestablecer su funcionalidad completa, puede ser la diferencia entre el éxito y el fracaso.
Ponencia de José Manuel Ballester Fernández, Cátedra de Buen Gobierno Universidad Deusto
18_03_2010
Assessing the impact of a disruption: Building an effective business impact a...Bryghtpath LLC
Many organizations have adopted the ISO 22301 standard for their business continuity management systems. Recently, ISO has released the new ISO 22317 Standard for Business Impact Analysis. In this webinar, learn about several different strategies to build an effective BIA that will help you advance your business continuity strategies.
The instructor for this webinar is Bryan Strawser, Founder and CEO of Bryghtpath LLC, a strategic advisory firm specializing in crisis management, business continuity, global risk, crisis communications, and public affairs.
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario Ureña
Gestion de continuidad de las Tecnologias de informacion y comunicaciones utilizando el estándar ISO 27031 (antes BS 25777) presentada por Mario Ureña Cuate en el Congreso Internacional de Infraestructura TIC 2011.
ANALISIS Y ESTUDIO DE LA NORMA ISO 22301:2012 PARA LA IMPLEMENTACION DE SISTEMAS DE GESTION DE CONTINUIDAD DE NEGOCIO Y PLANES DE CONTINUIDAD DEL NEGOCIO
BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...Mario Ureña
ISO 22301
Durante este presentación revisamos la evolución de los principales estándares relacionados con la Gestión de Continuidad del Negocio originados por BSI, iniciando con PAS 56 y hasta la publicación de ISO 22301
PECB Webinar: Estructura de la norma ISO 22301:2012. Un enfoque estratégico.PECB
The webinar covers:
• Marco general de la norma ISO 22301, tendencias y oportunidades
• Taller práctico del BIA
• Lecciones aprendidas en un proceso de implementación
Presenter:
Carlos Alfonso Restrepo Oramas, Gerente General en RESTREPO ORAMAS SAS.
Link of the recorded session published on YouTube: https://youtu.be/_tfJ32TSj00
Vive Digital, es el plan de tecnología para los próximos cuatro años en Colombia, que busca que el país dé un gran salto tecnológico mediante la masificación de Internet y el desarrollo del ecosistema digital nacional.
El Plan responde al reto de este gobierno de alcanzar la prosperidad democrática gracias a la apropiación y el uso de la tecnología. Vive Digital le apuesta a la masificación de Internet. Está demostrado que hay una correlación directa entre la penetración de Internet, la apropiación de las Tecnologías de la Información y las Comunicaciones (TIC), la generación de empleo y la reducción de la pobreza. El plan Vive Digital conlleva entonces importantes beneficios sociales y económicos.
Según estudios de Raul Katz, de la Universidad de Columbia, en el caso Chileno aumentar en 10% la penetración de Internet generó una reducción en el desempleo del 2%. Según el UNCTAD Information Economy Report 2010, en países en desarrollo como Filipinas e India, por cada empleo generado en la industria TIC se generan entre 2 y 3.5 empleos adicionales en la Economía. Según el Banco Mundial y el reporte del Foro Económico Mundial, The Global Information Technology Report 2010, hay una correlación directa entre el Network Readiness Index, que mide el uso y desarrollo de las TIC, y su competitividad internacional.
Encontramos que Colombia debe superar diversas barreras para lograr la masificación de Internet. Tenemos barreras en todas las partes del ecosistema digital, es decir, en infraestructura, servicios, aplicaciones y usuarios. En esta propuesta de Vive Digital analizamos éstas barreras y proponemos diversas iniciativas para superarlas.
Tesis análisis sobre el uso, beneficios y limitaciones de las herramientas de...Luis Ernesto Silva Solano
La investigación tiene como objetivo analizar el uso, beneficios y limitaciones de las herramientas de inteligencia de negocios en la actividad de los jefes y gerentes comerciales del sector comercio de electrodomésticos. Para las ciencias de la gestión, el estudio de la inteligencia de negocios es relevante debido a que la recolección, procesamiento y análisis sistemático de la información contribuyen de manera decisiva con el proceso de toma de decisiones, la gestión de recursos y ejecución de actividades dentro de las organizaciones. La investigación muestra que la utilización de las herramientas de inteligencia de negocios genera beneficios importantes y de gran valor para la toma de decisiones de los directivos.
El análisis PESTEL es una herramienta estratégica que examina seis factores clave del entorno externo que podrían afectar a una empresa: políticos, económicos, sociales, tecnológicos, ambientales y legales.
Entre las novedades introducidas por el Código Aduanero (Ley 22415 y Normas complementarias), quizás la más importante es el articulado referido a la determinación del Valor Imponible de Exportación; es decir la base sobre la que el exportador calcula el pago de los derechos de exportación.
Anna Lucia Alfaro Dardón, Harvard MPA/ID. The international successful Case Study of Banco de Desarrollo Rural S.A. in Guatemala - a mixed capital bank with a multicultural and multisectoral governance structure, and one of the largest and most profitable banks in the Central American region.
INCAE Business Review, 2010.
Anna Lucía Alfaro Dardón
Dr. Ivan Alfaro
Dr. Luis Noel Alfaro Gramajo
La Norma Internacional de Contabilidad 21 Efectos de las variaciones en las t...mijhaelbrayan952
La Norma Internacional de Contabilidad 21 Efectos de las variaciones en las tasas de Cambio de la Moneda Extranjera (NIC 21) está contenida en los párrafos 1 a 49. Todos los párrafos tienen igual valor normativo, si bien la Norma conserva el formato IASC que tenía cuando fue adoptada por el IASB.
1. Escuela Universitaria de Informática
Universidad Politécnica de Madrid
Guía de Desarrollo de un Plan de
Continuidad de Negocio
Autora: Laura del Pino Jiménez
Director de Tesis: Jorge Ramió Aguirre
Fecha del trabajo original: julio 2007
2. BREVE CURRICULUM VITAE DE LA AUTORA (diciembre de 2008)
Laura del Pino es Ingeniero Técnico en Informática de Sistemas por la Universidad
Politécnica de Madrid. Ha realizado el Curso Superior de Dirección de Seguridad de
la Información del IADE de la Universidad Autónoma y es CISA por la ISACA.
Comenzó a trabajar en Seguridad informática en KPMG como NITSO, National
Information Security Officer, pasando en el año 2000 a formar parte de AZERTIA
como Consultor Senior de Seguridad. Actualmente desarrolla su carrera profesional
en el departamento de Seguridad de INDRA.
NOTA DEL DIRECTOR DE TESIS
Laura realizó su Trabajo Fin de Carrera en la Escuela Universitaria de Informática
EUI de la Universidad Politécnica de Madrid en este tema en el año 2007, ocasión
en la que tuve la grata oportunidad de ser su tutor de tesis, como profesor del
departamento de Lenguajes, Proyectos y Sistemas Informáticos LPSI.
A mediados de 2008 le pedí que hiciese un breve resumen de esa tesis para
publicarlo en Internet como documento de libre distribución, con el objeto de que
fuese una guía práctica y de fácil entendimiento. Este es el feliz resultado de
dicho trabajo.
Agradezco a Laura en todo su valor el esfuerzo que ha realizado, conociendo el
poco tiempo libre que le dejan sus actividades profesionales que desarrolla en
esta importante área de la seguridad de la información.
Madrid, marzo de 2009.
4. Guía de Desarrollo de Plan de Continuidad de Negocio
Índice
1. INTRODUCCIÓN ....................................................................................................................... 1
2. OBJETO DE LA GUIA ............................................................................................................... 2
3. ANTECEDENTES ........................................................................................................................ 3
4. ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIO? ................................................ 5
5. POR DÓNDE EMPEZAMOS..................................................................................................... 7
6. FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS ............................ 9
6.1 ANÁLISIS DE IMPACTO ................................................................................................... 10
6.1.1 RELACIÓN DE PROCESOS.................................................................................................... 11
6.1.2 RELACIÓN DE APLICACIONES............................................................................................... 11
6.1.3 RELACIÓN DE DEPARTAMENTOS Y USUARIOS ....................................................................... 12
6.1.4 DETERMINAR LOS PROCESOS CRÍTICOS ............................................................................... 12
6.1.5 PERIODO MÁXIMO DE INTERRUPCIÓN ................................................................................... 12
6.2 ANÁLISIS DE RIESGOS ................................................................................................... 14
6.2.1 IDENTIFICAR ACTIVOS ......................................................................................................... 15
6.2.2 IDENTIFICAR AMENAZAS ...................................................................................................... 16
6.2.3 EVALUAR VULNERABILIDADES ............................................................................................. 17
6.2.4 EVALUACIÓN DEL IMPACTO ................................................................................................. 18
6.2.5 EVALUACIÓN DEL RIESGO ................................................................................................... 18
6.2.6 EVALUAR CONTRAMEDIDAS ................................................................................................. 20
7. FASE II. ESTRATEGIA DE RESPALDO ............................................................................ 22
7.1 SELECCIÓN DE ESTRATEGIAS ........................................................................................ 22
8. FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD............................................ 25
8.1 ORGANIZACIÓN DE LOS EQUIPOS.................................................................................. 25
8.1.1 EQUIPO DIRECTOR O COMITÉ DE CRISIS ............................................................................... 26
8.1.2 EQUIPO DE RECUPERACIÓN ................................................................................................ 26
8.1.3 EQUIPO LOGÍSTICO ............................................................................................................. 26
8.1.4 EQUIPO DE RELACIONES PÚBLICAS Y ATENCIÓN A CLIENTES.................................................. 27
8.1.5 EQUIPO DE LAS UNIDADES DE NEGOCIO ............................................................................... 27
8.2 DESARROLLO DE PROCEDIMIENTOS ............................................................................ 28
8.2.1 FASE DE ALERTA ................................................................................................................ 29
8.2.2 FASE DE TRANSICIÓN ......................................................................................................... 31
5. Guía de Desarrollo de Plan de Continuidad de Negocio
Índice
8.2.3 FASE DE RECUPERACIÓN .................................................................................................... 32
8.2.4 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA ................................................ 33
8.2.5 GENERACIÓN DE INFORMES Y EVALUACIÓN .......................................................................... 33
9. FASE IV. PRUEBAS Y MANTENIMIENTO ....................................................................... 34
9.1 PRUEBAS ............................................................................................................................ 34
9.1.1. OBJETIVOS DEL PLAN DE PRUEBAS ...................................................................................... 34
9.2 TIPOS DE PRUEBAS ......................................................................................................... 34
9.2.1. EJERCICIOS TÉCNICOS ................................................................................................... 35
9.2.2. TEST COMPLETO ............................................................................................................ 35
9.3 MANTENIMIENTO DEL PLAN DE CONTINUIDAD ............................................................ 36
ANEXOS ............................................................................................................................................... 37
ANEXO I – CUADROS DE RECOGIDA DE DATOS ANÁLISIS DE IMPACTO ................................. 38
ANEXO II - LISTADO DE AMENAZAS ................................................................................................ 41
ANEXO III – EJEMPLOS DE VULNERABILIDADES .......................................................................... 43
ANEXO IV – EJEMPLO ÁRBOL DE LLAMADAS............................................................................... 44
ANEXO V – SITIOS DE INTERÉS........................................................................................................ 45
CASO DE ESTUDIO ............................................................................................................................. 47
ANTECEDENTES ............................................................................................................................. 47
ANÁLISIS DE IMPACTO ................................................................................................................ 48
COMPONENTES DE LOS PROCESOS ...................................................................................... 48
PROCESO PEDIDOS................................................................................................................... 48
PROCESO DE NÓMINAS ............................................................................................................ 50
TIEMPO MÁXIMO DE RECUPERACIÓN DE LOS PROCESOS .................................................. 52
ANÁLISIS DE RIESGOS ................................................................................................................ 53
INVENTARIO DE ACTIVOS ......................................................................................................... 53
LISTADO DE AMENAZAS ............................................................................................................ 53
VULNERABILIDADES .................................................................................................................. 54
EVALUACIÓN DE RIESGOS ....................................................................................................... 55
RECOMENDACIONES - CONTRAMEDIDAS .............................................................................. 55
ESTRATEGIA DE RECUPERACIÓN .............................................................................................. 56
DESARROLLO DEL PLAN .............................................................................................................. 57
COMITÉ DE CRISIS ..................................................................................................................... 57
EQUIPO DE RECUPERACIÓN .................................................................................................... 58
6. Guía de Desarrollo de Plan de Continuidad de Negocio
Índice
EQUIPO DE COORDINACIÓN LOGÍSTICA................................................................................. 59
EQUIPO DE RELACIONES PÚBLICAS ....................................................................................... 60
EQUIPO DE LAS UNIDADES DE NEGOCIO ............................................................................... 61
FASE DE ALERTA ........................................................................................................................... 62
PROCEDIMIENTO DE NOTIFICACIÓN DEL DESASTRE ............................................................................ 62
PROCEDIMIENTO DE EJECUCIÓN DEL PLAN ........................................................................................ 62
PROCEDIMIENTO DE NOTIFICACIÓN DE EJECUCIÓN DEL PLAN ............................................................. 62
FASE DE TRANSICIÓN.................................................................................................................. 64
PROCEDIMIENTO DE CONCENTRACIÓN Y TRASLADO DE MATERIAL Y PERSONAS ................................... 64
PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIÓN ......................................... 64
FASE DE RECUPERACIÓN ............................................................................................................ 65
PROCEDIMIENTO DE RESTAURACIÓN ................................................................................................ 65
PROCEDIMIENTO DE SOPORTE Y GESTIÓN ......................................................................................... 65
FASE DE VUELTA A LA NORMALIDAD ....................................................................................... 66
ANÁLISIS DEL IMPACTO .................................................................................................................... 66
ADQUISICIÓN DE NUEVO MATERIAL ................................................................................................... 66
FIN DE LA CONTINGENCIA ................................................................................................................. 66
CONCLUSIONES............................................................................................................................. 67
BIBLIOGRAFÍA..................................................................................................................................... 68
7. Guía de Desarrollo de Plan de Continuidad de Negocio
Introducción
1. INTRODUCCIÓN
Dentro de la Gestión de la Seguridad de la Información en una compañía es
importante contar con un plan alternativo que asegure la continuidad de la
actividad del Negocio en caso de que ocurran incidentes graves.
Tradicionalmente, los Planes de Continuidad, denominados Planes de
Contingencia en sus orígenes, están asociados a grandes compañías que
necesitan reaccionar de forma inmediata ante cualquier evento que interrumpa
sus servicios. La realidad es que cualquier compañía puede sufrir un incidente
que afecte a su continuidad y, dependiendo de la forma en que se gestione dicho
incidente, las consecuencias pueden ser más o menos graves.
Esta guía pretende desglosar las actividades necesarias para desarrollar un Plan
de Continuidad de Negocio, proporcionando plantillas y ejemplos que ayuden al
lector a entender cada una de las fases y tareas que componen el Plan.
Es importante destacar que la guía puede servir para desarrollar un Plan de
Continuidad de Negocio tanto en una gran compañía como en una Pyme, aunque
consecuentemente el tiempo, el esfuerzo y el presupuesto a emplear variarán
sensiblemente.
1
8. Guía de Desarrollo de Plan de Continuidad de Negocio
Objeto de la Guía
2. OBJETO DE LA GUIA
Una de las motivaciones que me ha llevado a desarrollar esta guía es la poca
información que he encontrado que contenga una descripción detallada de las
fases y tareas que componen un Plan de Continuidad. Por ello, los principales
objetivos son:
o Dar a conocer la importancia del Plan de Continuidad de Negocio para
hacer frente a incidentes graves de seguridad en una compañía.
o Desarrollar una Guía completa sobre Continuidad de Negocio, donde se
muestren cada una de las fases que componen el Plan.
o Resumir de forma clara y sencilla cada una de las actividades a desarrollar
dentro de las Fases del Plan de Continuidad.
o Establecer ejemplos ilustrativos que ayuden a confeccionar un Plan de
Continuidad.
2
9. Guía de Desarrollo de Plan de Continuidad de Negocio
Antecedentes
3. ANTECEDENTES
A la velocidad con la que operan los negocios actuales un incidente de unas
pocas horas de duración puede tener un impacto catastrófico en los resultados y
en la imagen de la organización que lo sufra.
La íntima dependencia que existe entre el negocio y los sistemas de información
exige que éstos estén preparados para afrontar las múltiples amenazas que
ponen en riesgo su operatividad y, en consecuencia, la continuidad del negocio.
El incendio ocurrido en el Edificio Windsor en Madrid en el mes de febrero de
2005 o el Huracán Katrina en agosto de ese mismo año, son dos ejemplos que
vienen a sumarse a sucesos, como los atentados del 11-S del año 2001. Sin
embargo, en no pocas ocasiones no es necesario un desastre de dimensiones
parecidas a las de los mencionados anteriormente para poner en peligro no sólo
la buena marcha del negocio sino su misma supervivencia; eventos como la
irrupción de un virus o la instalación de un parche de seguridad pueden conducir
a la inoperabilidad temporal de los sistemas, la pérdida de información crítica o,
en última instancia, la inutilización de las infraestructuras.
Tipos de incidentes
No sólo las catástrofes ambientales, tales como incendios o inundaciones,
pueden causar daños adversos a una organización. Otros tipos de incidentes,
como los que se detallan a continuación, pueden tener impactos adversos para
una compañía:
• Incidentes serios de seguridad en los sistemas, como delitos
cibernéticos, pérdida de información, robo de información sensible o
su distribución accidental, fallos en los sistemas IT, errores de
operación en los sistemas, etc.
• Daños en las infraestructuras o en los servicios, fallos en el
suministro eléctrico, fallos en el suministro de agua, fallos en las
comunicaciones, huelgas en los servicios de limpieza.
• Fallos en los equipos o en los sistemas, incluyendo fallos en las
fuentes de alimentación, en los equipos de refrigeración.
• Daños deliberados como actos de terrorismo o de sabotaje, guerras,
robos, huelgas, etc.
Los accidentes afectan de forma diferente a cada organización, dependiendo de
su tamaño y de su área de actividad, no siendo el tamaño una característica
3
10. Guía de Desarrollo de Plan de Continuidad de Negocio
Antecedentes
fundamental; las pequeñas y medianas organizaciones también pueden verse
seriamente afectadas.
Las consecuencias de estos accidentes sobre las organizaciones que no tienen un
plan de continuidad de negocio pueden llegar a ocasionar incluso el cierre de las
mismas. Tomemos como ejemplo las siguientes cifras:
• Un 43% de las organizaciones después de un accidente no podrán
continuar sus operaciones viéndose obligadas a cerrar.
• Un 80% tendrán que hacerlo en menos de 13 meses.
• Un 53% de los clientes de estas organizaciones no recuperarán las
pérdidas causadas por los daños derivados.
• Un 50% se verán forzadas a cerrar antes de cinco años después del
desastre.
Fuente: Cámara de Comercio de Londres
A pesar de que los efectos inmediatos de un desastre aparentemente son la
pérdida de beneficios por la parada de actividad puntual y la incapacidad para
proveer servicios críticos, no son éstos los efectos más perniciosos que un
incidente de este tipo provoca.
Otros efectos derivados que pueden causar un gran impacto en la compañía son
la pérdida de reputación de cara a los clientes, o la pérdida de ventaja
competitiva con otras compañías.
4
11. Guía de Desarrollo de Plan de Continuidad de Negocio
¿Qué es un Plan de Continuidad de Negocio?
4. ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIO?
Un Plan de Continuidad de Negocio se compone de varias fases que comienzan
con un análisis de los procesos que componen la organización. Este análisis
servirá para priorizar qué procesos son críticos para el negocio y establecer una
política de recuperación ante un desastre. Por cada proceso se identifican los
impactos potenciales que amenazan la organización, estableciendo un plan que
permita continuar con la actividad empresarial en caso de una interrupción.
Un Plan de Continuidad de Negocio, a diferencia de una Plan de Contingencia,
está orientado al mantenimiento del negocio de la organización, con lo que
priorizará las operaciones de negocio críticas necesarias para continuar en
funcionamiento después de un incidente no planificado.
En el desarrollo de un Plan de Continuidad de Negocio existen dos preguntas
clave:
• ¿Cuáles son los recursos de información relacionados con los procesos
críticos del negocio de la compañía?
• ¿Cuál es el período de tiempo de recuperación crítico para los recursos
de información en el cual se debe establecer el procesamiento del negocio
antes de que se experimenten pérdidas significativas o aceptables?
Un Plan de Continuidad reducirá el número y la magnitud de las decisiones que
se toman durante un período en que los errores pueden resultar mayores. El Plan
establecerá, organizará y documentará los riesgos, responsabilidades, políticas y
procedimientos, acuerdos con entidades internas y externas.
La activación de un Plan de Continuidad debería producirse solamente en
situaciones de emergencia y cuando las medidas de seguridad hayan fallado.
BENEFICIOS
• Identifica los diversos eventos que podrían impactar sobre la continuidad
de las operaciones y su impacto financiero, humano y de reputación sobre
la organización.
• Obliga a conocer los tiempos críticos de recuperación para volver a la
situación anterior al desastre sin comprometer al negocio.
• Previene o minimiza las pérdidas para el negocio en caso de desastre.
• Clasifica los activos para priorizar su protección en caso de desastre.
• Aporta una ventaja competitiva frente a la competencia.
5
12. Guía de Desarrollo de Plan de Continuidad de Negocio
¿Qué es un Plan de Continuidad de Negocio?
• Fomenta e implica a los recursos humanos de la compañía en las
actividades de continuidad.
¿QUIEN DEBE TENER UN PLAN DE RECUPERACIÓN?
Una pregunta que podemos hacernos es si el tamaño de una organización
determina la necesidad o no de tener un Plan de Continuidad. Se puede
responder a esta pregunta diciendo que NO. Si una organización es muy grande,
con beneficios millonarios, con grandes edificios y gran número de empleados, o
si se trata de una persona trabajando en una pequeña oficina con 5 empleados,
ambos necesitan asegurar la disponibilidad de su negocio. De hecho, debido a los
pocos recursos y a las pocas opciones de respuesta ante un desastre, en algunos
casos sería más vital desarrollar un Plan de Recuperación de Negocio para los
pequeños negocios que para las grandes corporaciones.
6
13. Guía de Desarrollo de Plan de Continuidad de Negocio
¿Por Dónde Empezamos?
5. POR DÓNDE EMPEZAMOS
Para desarrollar un Plan de Continuidad de Negocio tenemos que empezar por
obtener un conocimiento de la compañía: sus productos/servicios, sus objetivos
empresariales, procesos internos, etc.
No es lo mismo un Plan de Continuidad para una empresa de servicios de
Internet que para una empresa fabricante de juguetes. Aunque en ambos casos
el objetivo será el de seguir dando servicio a sus clientes, las actividades y
procesos sobre las que se soporta la empresa tendrán diferentes prioridades de
recuperación ante una contingencia grave.
El propósito general de un Plan de recuperación es obtener un mapa de
acciones que reduzcan “la toma de decisiones” durante las operaciones de
recuperación, restaure los servicios críticos rápidamente y permita un normal
funcionamiento de los sistemas y procesos lo antes posible, minimizando costes
y aumentando la efectividad.
Podemos dividir un Plan de Continuidad de Negocio en cuatro Fases:
Figura 1. Diagrama de Fases del Plan de Continuidad
7
14. Guía de Desarrollo de Plan de Continuidad de Negocio
¿Por Dónde Empezamos?
FASE I – ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS
Se trata de obtener un conocimiento de los objetivos de negocio y de los
procesos que se consideran críticos para el funcionamiento de la compañía. Una
vez identificados los procesos críticos, se analizarán cuáles son los riesgos
asociados a dichos procesos para identificar cuáles son las causas potenciales
que pueden llegar a interrumpir un negocio.
FASE II – SELECCIÓN DE ESTRATEGIAS
Esta fase tiene dos objetivos:
• Por un lado, valorar las diferentes alternativas y estrategias de respaldo en
función de los resultados obtenidos en la fase anterior, para seleccionar la
más adecuada a las necesidades de la compañía.
• Por otro lado, corregir las vulnerabilidades detectadas en los procesos
críticos de negocio identificadas en el Análisis de Riesgos.
FASE III- DESARROLLO DEL PLAN
Una vez que se ha seleccionado la estrategia de respaldo hay que desarrollarla e
implantarla dentro de la compañía. En esta fase se desarrollan los
procedimientos y planes de actuación para las distintas áreas y equipos, y se
organizan los equipos que intervienen en cada fase del Plan.
FASE IV – PRUEBAS Y MANTENIMIENTO
Una parte importante del Plan de Continuidad, es conocer que realmente
funciona y es efectivo. Para ello se define la estrategia de pruebas y se realiza la
prueba del Plan, para afinarlo según los resultados. Además, en esta última fase
se definirán los procedimientos de mantenimiento del Plan.
8
15. Guía de Desarrollo de Plan de Continuidad de Negocio
FASE I. Análisis del Negocio y Evaluación de Riesgos
6. FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS
Para desarrollar un Plan de Continuidad con garantía de éxito, lo primero es
conocer y entender cuáles son los procesos de negocio que son esenciales dentro
de la compañía en la que se va a desarrollar el Plan, con el objetivo de asegurar
la continuidad de la actividad en caso de contingencia. Para ello debemos
empezar por responder a cuestiones tales como:
• ¿Cuáles son las actividades más importantes para la compañía?
• ¿Cómo afectaría económicamente una interrupción de los servicios a medida
que va pasando el tiempo sin reanudar el servicio?
• ¿Cuál sería la capacidad operativa de la empresa a medida que pasa el
tiempo?
• ¿Cuál es el plazo máximo para volver a la normalidad sin llegar a incurrir en
graves pérdidas?
Las actividades/procesos que se clasifican como esenciales dentro de una
compañía suelen ser en su mayoría los Operacionales. Estos procesos interactúan
directamente con los clientes o con otras organizaciones externas a la compañía
(Dpto. de Ventas, Dpto. Atención al Cliente, etc.). También es posible, que estos
procesos dependan de otros internos, que también deben ser analizados.
Para conocer cuáles son las necesidades de la compañía en cuanto a estrategias
de continuidad, vamos a utilizar dos mecanismos de análisis:
Análisis de Impacto (BIA – Business Impact Analysis): Nos permitirá
identificar la urgencia de recuperación de cada función de negocio, determinando
el impacto en caso de interrupción. Esta información nos permitirá seleccionar
cuál es la estrategia más adecuada.
Análisis de Riesgos: El Objetivo de un análisis de riesgos es identificar y
analizar los diferentes factores de riesgo que potencialmente podrán afectar a las
actividades que queremos proteger. La evaluación de riesgos supone imaginarse
lo que puede ir mal y a continuación estimar el impacto que supondría para la
organización. Se ha de tener en cuenta la probabilidad de que sucedan cada uno
de los problemas posibles. De esta forma se pueden priorizar los problemas y su
coste potencial desarrollando un plan de acción adecuado.
9
16. Guía de Desarrollo de Plan de Continuidad de Negocio
FASE I. Análisis del Negocio y Evaluación de Riesgos
6.1 ANÁLISIS DE IMPACTO
El Análisis de Impacto es esencial para establecer una estrategia de
recuperación, que en principio dará continuidad a las actividades críticas y
posteriormente al resto, si es posible.
El nivel de criticidad de una actividad dentro de la compañía se mide en función
de lo dependiente de ella, que es la organización y de lo que repercutiría su
indisponibilidad. En términos económicos esta valoración sería responder a la
pregunta de cuánto perdería la organización si la actividad/proceso no estuviera
disponible.
Dentro del Análisis de Impacto podemos distinguir las siguientes actividades:
• Obtención de la Relación de Procesos: Establecer los procesos de
negocio que se realizan en la compañía.
• Obtención de la Relación de Aplicaciones: Establecer la relación de
aplicaciones que soportan los procesos de la compañía.
• Relación de Departamentos y Usuarios: Se identifican los
departamentos que hay en la empresa y el nombre de las personas que la
componen y que intervienen en los procesos.
• Determinar cuáles son los Procesos Críticos: Pueden darse dos
valoraciones, una basada en la importancia para la compañía de los
procesos cuya ausencia tendría un impacto alto en la actividad de la
compañía (valoración cualitativa). La otra, se referiría a las pérdidas
económicas por período debido a la ausencia de los procesos (valoración
cuantitativa).
• Período Máximo de Interrupción: El acumulado de pérdidas suele ir
creciendo linealmente a medida que pasan los días y las actividades están
interrumpidas. No obstante, a partir de un momento que denominaremos
Período Máximo de Interrupción, las pérdidas sufren un aumento
significativo y las funciones no podrían ser reasumidas.
En los casos en que la organización tenga varias sedes, será necesario establecer
un alcance geográfico.
En el Anexo I se incluye un ejemplo de recogida de datos para cada una de las
partes que componen el Análisis de Impacto. La recogida de esta información
permitirá evaluar las necesidades de la organización en materia de continuidad,
por lo que es importante que la información sea lo más completa posible.
10
17. Guía de Desarrollo de Plan de Continuidad de Negocio
FASE I. Análisis del Negocio y Evaluación de Riesgos
6.1.1 RELACIÓN DE PROCESOS
Para obtener la información sobre los procesos y las aplicaciones que los
gestionan, es esencial la participación de las personas responsables de los
mismos dentro de la compañía, y de aquellos trabajadores que conocen en
profundidad los mismos. Para ello pueden utilizarse entrevistas personales y
cuestionarios que nos acercarán a los procesos críticos del negocio.
Podemos dividir los procesos en operativos y procesos de soporte. Los procesos
operativos son aquellos que guardan una relación directa con el cliente
(comercial, facturación, almacenaje, atención al cliente, etc.). Los procesos de
soporte, serían aquellos que facilitan los “recursos” para poder realizar los
procesos operativos (recursos humanos, gestión financiera, etc.)
6.1.2 RELACIÓN DE APLICACIONES
En este apartado debe recogerse el inventario de los recursos tecnológicos que
soportan los procesos de la compañía, a fin de identificar aquellos que den
soporte directo a los servicios críticos.
Los tipos de recursos que se deben analizar son:
• Hardware, identificando cada uno de los elementos hardware que soportan
los sistemas de información de la compañía.
• Software Base, recogiendo todos aquellos componentes de software, incluido
todos los asociados al sistema operativo, indispensables para el
funcionamiento y optimización del Sistema de Información de la compañía.
• Software de Aplicaciones, inventariando las aplicaciones de gestión que son
utilizadas en la empresa.
• Sistemas de Infraestructura, considerando aquellos elementos o
componentes que sin disponer de una tecnología enfocada propiamente al
tratamiento de la información sí son requeridos para garantizan la
operatividad del servicio.
11
18. Guía de Desarrollo de Plan de Continuidad de Negocio
FASE I. Análisis del Negocio y Evaluación de Riesgos
6.1.3 RELACIÓN DE DEPARTAMENTOS Y USUARIOS
Los procesos de la compañía están gestionados por departamentos/usuarios.
Dentro del inventario de procesos es necesario conocer el personal involucrado
en los mismos. Esta información puede obtenerse en las mismas entrevistas
donde se recoge la información de los procesos existentes y de los elementos
(hardware, software, etc.) que lo componen.
6.1.4 DETERMINAR LOS PROCESOS CRÍTICOS
Esta tarea supone evaluar los impactos económicos y operacionales sobre el
negocio en caso de no disponer de la función analizada. La valoración de
pérdidas no es una cuestión sencilla, ya que pueden concurrir aspectos
intangibles, tales como la imagen de la organización ante sus clientes. Algunos
criterios que pueden ayudar a valorar las eventuales pérdidas pueden ser:
• Coste de horas de trabajo perdidas, al no poder usar las aplicaciones que
no tengan alternativa manual o cuyo tratamiento manual suponga una
pérdida de eficiencia importante.
• Ingresos dejados de percibir.
• Penalizaciones por incumplimiento de contratos con clientes.
• Sanciones administrativas por incumplimiento de leyes debido a la falta
de control en situación de desastre (exposición de datos personales,
incumplimiento de normativa internacional como la Ley Sarbanes Oxley,
etc.).
• Gastos financieros.
Para simplificar esta valoración de los procesos podemos establecer una
clasificación numérica, asignando mayor prioridad (p.e. 1) a aquellos procesos
que se consideren más críticos y menor prioridad (p.e. 3) a aquellos que se
consideren menos críticos.
6.1.5 PERIODO MÁXIMO DE INTERRUPCIÓN
Una vez que obtenemos la visión del negocio, de los procesos que lo componen y
de la criticidad de cada uno de ellos, debemos establecer los tiempos de
recuperación. Teniendo en cuenta que el objetivo del Plan es dar continuidad al
negocio tras un incidente o contingencia grave con las menores pérdidas
económicas posibles para la compañía, deben estimarse para cada uno de los
12
19. Guía de Desarrollo de Plan de Continuidad de Negocio
FASE I. Análisis del Negocio y Evaluación de Riesgos
procesos que se han considerado críticos, el tiempo a partir del cual las pérdidas
económicas afectarían de forma grave a la compañía (Tiempo máximo de
interrupción). Esta estimación es importante de cara a seleccionar la estrategia
de respaldo adecuada a las necesidades de recuperación.
Pueden existir procesos en los que el tiempo de recuperación es muy pequeño
(horas), por ejemplo el servicio de banca electrónica de un banco, y otros
procesos como la facturación a clientes en una empresa de servicios, pueden
tener un periodo de recuperación mayor (días o semanas).
TIEMPO MÁXIMO DE INTERRUPCIÓN
MINUTOS HORAS DIAS SEMANAS MESES
TIEMPO DE RECUPERACIÓN OBJETIVO PERDIDAS ECOÓMICAS GRAVES
Figura 2. Tiempos de Recuperación
En definitiva, el Análisis de Criticidad nos da una visión de los procesos,
actividades y recursos a proteger con la prioridad de recuperación de cada uno
de ellos, junto con los tiempos objetivo de puesta en marcha tras un incidente.
13
20. Guía de Desarrollo de Plan de Continuidad de Negocio
FASE I. Análisis del Negocio y Evaluación de Riesgos
6.2 ANÁLISIS DE RIESGOS
El objetivo de un Análisis de Riesgos es poner de manifiesto aquellas debilidades
actuales que por su situación o su importancia pueden poner en marcha, antes
de lo deseable, el Plan de Recuperación de Negocio. El Análisis de Riesgo debe
centrarse en los procesos/actividades del negocio que se han considerado
críticos, aunque también puede extenderse a aquellos que no lo son.
La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuación
estimar el coste que supondría. Se ha de tener en cuenta la probabilidad de que
sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar
los problemas y su coste potencial desarrollando un plan de acción adecuado.
En lo fundamental, la evaluación de riesgos que se ha de llevar a cabo ha de
contestar, con la mayor fiabilidad posible, a las siguientes preguntas:
¿Qué se intenta proteger?
¿Cuál es su valor para uno o para la organización?
¿Frente a qué se intenta proteger?
¿Cuál es la probabilidad de un ataque?
ESQUEMA DEL ANÁLISIS DE RIESGOS
Figura 3. Esquema Análisis de Riesgos
14
21. Guía de Desarrollo de Plan de Continuidad de Negocio
FASE I. Análisis del Negocio y Evaluación de Riesgos
Existen diferentes metodologías de Análisis de Riesgos:
• MARION
• OCTAVE
• MAGERIT
Para el desarrollo de esta guía no se ha seleccionado ninguna metodología
concreta, sino que se realiza una descripción general de los pasos que componen
un Análisis de Riesgos.
6.2.1 IDENTIFICAR ACTIVOS
Para cada uno de los procesos críticos de la compañía es necesario realizar un
inventario de los activos involucrados en el proceso. Los activos se definen como
los recursos de una compañía que son necesarios para la consecución de sus
objetivos de negocio. Ejemplos de activos de una compañía pueden ser:
• Información
• Equipamiento
• Conocimiento
• Sistemas
Nota: en el apartado anterior, se ha obtenido gran parte de esta información,
sobre los activos que componen los procesos críticos.
Cada activo de la compañía tendrá unos costes asociados. En algunos casos
estos costes pueden ser cuantificados con un valor económico (activos tangibles)
como el software o el hardware, y en otros casos es más complicado cuantificar
el activo con valores monetarios (activos intangibles) tales como el prestigio o la
confianza de los clientes.
El proceso de elaborar un inventario de activos es uno de los aspectos
fundamentales de un correcto análisis de riesgos. En este inventario se
identificará claramente su propietario y su valor para la organización, así como
su localización actual.
A continuación se incluye un esquema con la relación existente entre los
diferentes elementos que intervienen en el Análisis de Riesgos.
15
22. Guía de Desarrollo de Plan de Continuidad de Negocio
FASE I. Análisis del Negocio y Evaluación de Riesgos
Figura 4. Componentes del Análisis de Riesgos
6.2.2 IDENTIFICAR AMENAZAS
Una amenaza se define como un evento que puede desencadenar un incidente en
la organización, produciendo daños materiales o pérdidas inmateriales en sus
servicios.
A la hora de analizar los riesgos hay que evaluar las distintas amenazas que
pueden provenir de las más diversas fuentes. Entre éstas se incluyen los
agresores malintencionados, las amenazas no intencionadas y los desastres
naturales.
La siguiente ilustración clasifica las distintas amenazas a los sistemas.
Figura 5. Clasificación General de Amenazas
16
23. Guía de Desarrollo de Plan de Continuidad de Negocio
FASE I. Análisis del Negocio y Evaluación de Riesgos
Dependiendo de la organización y el proceso analizado, serán aplicables distintos
tipos de amenazas. Las amenazas tendrán una probabilidad de ocurrencia
que dependerá de la existencia de una vulnerabilidad que pueda ser explotada,
para materializarse en un incidente. Por ejemplo una amenaza del tipo de
desastre natural como es un terremoto, tendrá una mayor probabilidad de
ocurrencia en una empresa con oficinas en Japón, donde los terremotos ocurren
con mayor frecuencia, que en España. Por lo tanto, a priori podemos decir que el
riesgo de daño por terremoto en una compañía situada en Japón es mayor que el
de una compañía situada en España.
A la hora de valorar la probabilidad de ocurrencia de una amenaza, resulta más
complicado valorar las amenazas humanas (ataques maliciosos, robos de
información, etc.), que las amenazas naturales. En el componente humano
existen dos factores a tener en cuenta:
AMENAZA= CAPACIDAD X MOTIVACIÓN
La motivación es una característica humana que es difícil de valorar, pero que sin
embargo es un factor a considerar: empleados descontentos, ex-empleados, etc.
En el anexo II se recogen algunos ejemplos de posibles amenazas.
Del listado de amenazas debemos tener en cuenta aquellas que pueden afectar a
la organización de forma grave y valorar la probabilidad de que se conviertan en
un incidente real.
6.2.3 EVALUAR VULNERABILIDADES
Las vulnerabilidades son debilidades que pueden ser explotadas para convertir
una amenaza en un riesgo real que puede causar daños graves en una
compañía. Las vulnerabilidades en sí mismas no causan daño alguno, sino que es
una condición o un conjunto de condiciones que pueden permitir a una amenaza
afectar a un activo.
En el anexo III se recogen algunos ejemplos de vulnerabilidades.
Para identificar las vulnerabilidades que pueden afectar a una compañía debemos
responder a la pregunta: ¿Cómo puede ocurrir una amenaza?
Para responder a esta pregunta ponemos como objetivo la amenaza y definimos
las distintas situaciones por las que puede ocurrir la misma, evaluando si dentro
de la compañía puede darse esa circunstancia; es decir, si el nivel de protección
es suficiente para evitar que se materialice la amenaza. Por ejemplo: si nuestra
17
24. Guía de Desarrollo de Plan de Continuidad de Negocio
FASE I. Análisis del Negocio y Evaluación de Riesgos
Amenaza es que nos roben datos estratégicos de la compañía, podemos
establecer, entre otros, los siguientes escenarios:
ESCENARIOS NIVEL DE PROTECCIÓN
1. Entrada no autorizada a los datos ¿Existe un control de acceso a los datos?
a través del sistema informático.
2. Robo de datos de los dispositivos ¿Están los dispositivos de
de almacenamiento magnético. almacenamiento protegidos y
controlados de forma adecuada?
3. Robo de datos mediante accesos ¿Existen perfiles adecuados de acceso a
no autorizados. los datos?
Figura 6. Cuadro de Escenarios
Si no se responde afirmativamente a las preguntas de la columna derecha, es
que existen vulnerabilidades que podrían utilizarse de forma que la amenaza se
convierta en un incidente real, y causar daños importantes en la compañía.
6.2.4 EVALUACIÓN DEL IMPACTO
Los incidentes causan un impacto dentro de la organización, que también
deberá tomarse en cuenta a la hora de calcular los riesgos. La valoración del
impacto puede realizarse de forma cuantitativa, estimando las pérdidas
económicas, o de forma cualitativa, asignando un valor dentro de una escala
(p.e. alto, medio, bajo).
Por ejemplo, el robo de información confidencial de la compañía puede causar un
impacto alto si ésta cae en malas manos.
En otro caso, podemos estimar las pérdidas económicas de equipos tangibles
valorando el coste de reposición y puesta en marcha.
6.2.5 EVALUACIÓN DEL RIESGO
Riesgo es la posibilidad de que se produzca un impacto determinado en la
organización. El riesgo calculado es simplemente un indicador ligado al par de
18
25. Guía de Desarrollo de Plan de Continuidad de Negocio
FASE I. Análisis del Negocio y Evaluación de Riesgos
valores calculados de vulnerabilidad y el impacto, ambos ligados a su vez de la
relación entre el activo y la amenaza a la que el riesgo calculado se refiere.
PROBABILIDAD DE INCIDENTES= AMENAZA X VULNERABILIDAD
RIESGO= PROBABILIDAD DE INCIDENTES X IMPACTO
El riesgo suele expresarse en términos cualitativos (Alto, Medio, Bajo). A
continuación se muestra un ejemplo de una matriz de probabilidad/impacto:
RIESGO RIESGO RIESGO
ALTO
MEDIO ALTO ALTO
PROBABILIDADD
MEDIO
RIESGO RIESGO RIESGO
BAJO MEDIO ALTO
RIESGO RIESGO RIESGO
BAJO
BAJO BAJO MEDIO
BAJO MEDIO ALTO
IMPACTO
Figura 7. Matriz de Riesgos
Cuanto más baja sea la probabilidad de ocurrencia (no existan vulnerabilidades)
y el impacto sobre la compañía sea también bajo, estaremos en un nivel de
riesgo bajo.
Sin embargo, si existen vulnerabilidades que aumenten la probabilidad de
ocurrencia o el impacto del incidente sea alto para la compañía, estaremos en
unos niveles de riesgo medio-alto.
A modo de ejemplo se muestra la siguiente tabla:
19
26. Guía de Desarrollo de Plan de Continuidad de Negocio
FASE I. Análisis del Negocio y Evaluación de Riesgos
DESCRIPCIÓN PROBAB IMPACTO RIESGO
Terremoto en ciudades situadas fuera de
BAJA MEDIO BAJO
fallas sísmicas
Terremoto en ciudades situadas sobre fallas
ALTA MEDIO ALTO
sísmicas
Robo de información confidencial compañía
BAJA ALTO MEDIO
con control de acceso lógico
Robo de información confidencial compañía
ALTA ALTO ALTO
sin control de acceso lógico
Una vez que se han evaluado los riesgos, queda decidir qué hacemos con ellos.
Se pueden tomar diferentes caminos:
• Transferir el riesgo a través de seguros o subcontratando la gestión del
riesgo a terceras empresas.
• Aceptar el riesgo (posicionamiento aprobado por la dirección de la
compañía).
• Reducir el riesgo con controles que los mitiguen.
• Eliminar el riesgo (eliminando la causa o el foco del riesgo).
6.2.6 EVALUAR CONTRAMEDIDAS
Para reducir riesgos se utilizan los denominados controles o medidas de
seguridad. Podemos clasificar los controles en:
• Controles preventivos
o Identifican potenciales problemas antes de que ocurran
o Previenen errores, omisiones o actos maliciosos.
Ejemplos:
• Realizar copias de seguridad de los archivos.
• Contratar seguros para los activos.
• Establecer procedimientos / políticas de seguridad.
• Establecer control de acceso a la información.
• Establecer control de acceso físico.
• Controles detectivos
o Identifican y “reportan” la ocurrencia de un error, omisión o acto
malicioso ocurrido.
20
27. Guía de Desarrollo de Plan de Continuidad de Negocio
FASE I. Análisis del Negocio y Evaluación de Riesgos
Ejemplos:
• Monitorización de eventos.
• Auditorías internas.
• Revisiones periódicas de procesos.
• Sensores de humo.
• Detección de virus (Antivirus).
• Controles Correctivos
o Minimizan el impacto de una amenaza.
o Solucionan errores detectados por controles detectivos.
o Identifican la causa de los problemas con el objeto de corregir
errores producidos.
o Modifican los procedimientos para minimizar futuras ocurrencias del
problema.
Ejemplos:
• Parches de seguridad.
• Corrección de daños por virus.
• Recuperación de datos perdidos.
Las medidas seleccionadas para mitigar riesgos deben mantener una proporción
entre el esfuerzo y coste necesarios para su implantación y el riesgo que mitigan
(evaluación del coste-beneficio).
Uno de los objetivos del Plan de Continuidad es evitar en la medida de lo posible
que se produzcan incidentes que hagan necesaria su ejecución. Por ello, es
importante que la compañía conozca sus riesgos y ponga las medidas adecuadas
para corregir el mayor número de vulnerabilidades que puedan provocar un
incidente grave.
La evaluación de riesgos debe ser periódica y de acuerdo con el modelo de
gestión de riesgos de la organización y en función de la evolución del negocio
(crecimiento), de cambios importantes en la organización (procesos internos),
nuevas obligaciones legales, etc.
21
28. Guía de Desarrollo de Plan de Continuidad de Negocio
FASE II. Estrategia de Respaldo
7. FASE II. ESTRATEGIA DE RESPALDO
En esta fase se seleccionarán los métodos operativos alternativos que se van a
utilizar en el caso de que ocurra un incidente que provoque una interrupción en
la organización. El método seleccionado deberá garantizar la restauración de los
procesos afectados en los tiempos determinados por el Análisis de Impacto.
7.1 SELECCIÓN DE ESTRATEGIAS
Existen diferentes estrategias para mitigar el impacto de una interrupción. Cada
una de estas estrategias tiene unos parámetros de tiempo, disponibilidad y
costes asociados que serán más o menos apropiados dependiendo de las
funciones de negocio.
A continuación se describen diferentes estrategias para reubicación funcional:
• No hacer nada: Este tipo de actuación podría utilizarse en aquellas
funciones o actividades que se han clasificado como “no urgentes” en el
Análisis de Impacto. En este tipo de estrategia se asume el riesgo.
• Utilización de espacios propios: Espacios existentes en la compañía
tales como salas de formación, cafeterías, etc. Este tipo de estrategia
requiere una planificación minuciosa.
• Reutilización de recursos: Reubicación de personal con funciones no
urgentes en tareas que requieren una mayor prioridad. En este caso se
debe poner cuidado en convertir la función no urgente en urgente por ser
desatendida durante demasiado tiempo.
• Trabajo Remoto o Teletrabajo: Posibilidad de trabajar desde
ubicaciones exteriores a la compañía mediante conexión remota.
• Acuerdos Recíprocos: Acuerdos entre dos organizaciones (o dos
unidades de negocio de la propia compañía diferentes) con características
de equipamiento/espacio similares que permitiría a cada una de las partes
recuperar funciones en la otra localización. En este caso es importante
definir las condiciones de uso y la realización de pruebas periódicas para
asegurar las condiciones pactadas.
• Sitio alternativo subcontratado a terceros: Contratación con
compañías especializadas de espacios alternativos para la recuperación de
la actividad. En este caso hay que asegurar que estas compañías pueden
22
29. Guía de Desarrollo de Plan de Continuidad de Negocio
FASE II. Estrategia de Respaldo
proporcionar unos tiempos de recuperación acordes con las necesidades
de la organización. Este tipo de compañías pueden proporcionar diferentes
de soluciones:
o Espacio dedicado: Se garantiza la disponibilidad inmediata del
espacio. En contrapartida este servicio es más caro que otras
alternativas.
o Espacio compartido: Se comparte el espacio con otras compañías.
Es más barato que un centro dedicado.
o Espacios móviles: Se pueden utilizar rápidamente, pero tienen un
espacio limitado.
o Módulos prefabricados: Pueden tardar unos días en estar
disponibles para su uso.
• Localizaciones diversas: Se traslada la operación pero no el personal.
• Centro replicado: Solución que permite trasladar de forma inmediata la
operación y continuar la actividad de forma inmediata. También puede
denominarse “centro espejo”. Esta solución es normalmente la más cara,
pero también la mejor solución en el caso de que se necesite una
recuperación muy rápida de la operación.
A continuación se muestra una tabla que recoge la relación entre el Tiempo
Objetivo de recuperación y la solución de continuidad más adecuada a este
Objetivo:
TIEMPO OBJETIVO DE
INTERNAS CONTRATADO
RECUPERACIÓN
MESES Reconstrucción / ----
Realojamiento
SEMANAS Edificios prefabricados On- Contratación de unidades
Site móviles o prefabricados
DIAS Recuperación “in situ” Subcontratación de procesos en
oficinas móviles
Trabajo en casa
HORAS Localizaciones diversas con Re-localización de un grupo de
empleados formados personas
INMEDIATO Localizaciones diversas para Cambio de funcionamiento a un
la misma función centro de respaldo subcontratado
Figura 8. Tabla de Estrategias de Recuperación
Fuente: Business Continuity Institute.
23
30. Guía de Desarrollo de Plan de Continuidad de Negocio
FASE II. Estrategia de Respaldo
De todas las alternativas existentes hay que elegir la más adecuada en cada
caso. Dependerá de las necesidades de cada compañía, en cuanto a tiempos de
recuperación, costes económicos, recursos, etc.
Además deberá considerarse otros factores como:
• Ubicación y superficie requerida
o Espacio suficiente
o Zonas acondicionadas para acoger a personal
• Recursos técnicos necesarios:
o Hardware
o Software
o Comunicaciones
o Datos de respaldo
• Recursos humanos requeridos
o Recursos materiales y de infraestructura
o Servicios auxiliares necesarios
o Tiempos de activación
o Coste
Suele ocurrir que cuanto menor sea el tiempo de recuperación objetivo, mayor
será el coste de la solución. Por ello es conveniente realizar un análisis con
tiempos de recuperación adecuados y adaptados a la realidad de la compañía.
Una vez tomada la decisión sobre el tipo de estrategia que se utilizará como
respaldo en caso de interrupción del negocio, pasaremos a desarrollar todos los
procedimientos, funciones y actividades que permitirán restablecer los procesos
de negocio en unos plazos razonables.
24
31. Guía de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
8. FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD
Hasta este momento hemos obtenido:
• Conocimiento de los procesos de la compañía, valorando cuáles son
críticos para el funcionamiento del negocio.
• Valoración de los riesgos que pueden afectar al negocio y que pueden
disparar el Plan de Continuidad de Negocio.
• Estrategia de Continuidad más adecuada para el negocio.
A partir de aquí desarrollaremos “nuestro Plan de Continuidad”. Para ello
definiremos:
• Los equipos necesarios para el desarrollo del Plan.
• Las responsabilidades y funciones de cada uno de los equipos.
• Las dependencias orgánicas entre los diferentes equipos.
• El desarrollo de los procedimientos de alerta y actuación ante eventos que
puedan activar el Plan.
• Los procedimientos de actuación ante incidentes.
• La estrategia de vuelta a la normalidad.
8.1 ORGANIZACIÓN DE LOS EQUIPOS
Los equipos de emergencia están formados por el personal clave necesario en la
activación y desarrollo del Plan de Continuidad. Cada equipo tiene unas funciones
y procedimientos que tendrán que desarrollar en las distintas fases del Plan.
Aunque la composición y número de equipos puede variar según el tipo de
estrategia de recuperación, a continuación se muestran algunos ejemplos de los
equipos que pueden formar parte del Plan:
• Comité de Crisis: Encargado de dirigir las acciones durante la
contingencia y recuperación.
• Equipo de Recuperación: Su función es restablecer todos los sistemas
necesarios (voz, datos, comunicaciones, etc.).
• Equipo Logístico: Responsable de toda la logística necesaria en el
esfuerzo de recuperación.
• Equipo de las Unidades de Negocio: Encargados de la realización de
pruebas que verifiquen la recuperación de los sistemas críticos.
25
32. Guía de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
• Equipo de Relaciones Públicas: Encargado de las comunicaciones a los
medios de comunicación y clientes.
El personal asignado a cada uno de los equipos puede variar dependiendo del
tamaño de la organización y de la estrategia de recuperación seleccionada. Una
persona puede pertenecer a más de un equipo, siempre y cuando no existan
incompatibilidades en las tareas a realizar.
8.1.1 EQUIPO DIRECTOR O COMITÉ DE CRISIS
El objetivo de este comité es reducir al máximo el riesgo y la incertidumbre en la
dirección de la situación. Este Comité debe tomar las decisiones “clave” durante
los incidentes, además de hacer de enlace con la dirección de la compañía,
manteniéndoles informados de la situación regularmente.
Las principales tareas y responsabilidades de este comité son:
• Análisis de la situación.
• Decisión de activar o no el Plan de Continuidad.
• Iniciar el proceso de notificación a los empleados a través de los diferentes
responsables.
• Seguimiento del proceso de recuperación, con relación a los tiempos
estimados de recuperación.
8.1.2 EQUIPO DE RECUPERACIÓN
El equipo de recuperación es responsable de establecer la infraestructura
necesaria para la recuperación. Esto incluye todos los servidores, PC’s,
comunicaciones de voz y datos y cualquier otro elemento necesario para la
restauración de un servicio.
8.1.3 EQUIPO LOGÍSTICO
Este equipo es responsable de todo lo relacionado con las necesidades logísticas
en el marco de la recuperación, tales como:
• Transporte de material y personas (si es necesario) al lugar de
recuperación.
26
33. Guía de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
• Suministros de oficina.
• Comida.
• Reservas de hotel, si son necesarias.
• Contacto con los proveedores.
Este equipo debe trabajar conjuntamente con los demás, para asegurar que
todas las necesidades logísticas sean cubiertas.
8.1.4 EQUIPO DE RELACIONES PÚBLICAS Y ATENCIÓN A CLIENTES
Se trata de canalizar la información que se realiza al exterior en un solo punto
para que los datos sean referidos desde una sola fuente. Sus funciones
principales son:
• Elaboración de comunicados para la prensa.
• Comunicación con los clientes.
Uno de los valores más importantes de una compañía son sus clientes, por lo que
es importante mantener informados a los mismos, estableciendo canales de
comunicación.
8.1.5 EQUIPO DE LAS UNIDADES DE NEGOCIO
Estos equipos estarán formados por las personas que trabajan con las
aplicaciones críticas, y serán los encargados de realizar las pruebas de
funcionamiento para verificar la operatividad de los sistemas y comenzar a
funcionar.
Cada equipo deberá configurar las diferentes pruebas que deberán realizar para
los sistemas.
27
34. Guía de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
8.2 DESARROLLO DE PROCEDIMIENTOS
Una vez que hemos definido los equipos y se han establecido las funciones que
debe desempeñar cada equipo, tenemos que desarrollar los procedimientos que
van a seguir, y su actuación en cada una de las fases de activación del Plan de
Continuidad.
- FASE DE ALERTA
• Procedimiento de notificación del desastre.
• Procedimiento de lanzamiento del Plan
• Procedimiento de notificación de la puesta en marcha del Plan a los
equipos implicados.
- FASE DE TRANSICIÓN
• Procedimiento de concentración de equipos.
• Procedimiento de traslado y puesta en marcha de la recuperación.
- FASE DE RECUPERACIÓN
• Procedimientos de restauración.
• Procedimientos de soporte y gestión.
- FASE DE VUELTA A LA NORMALIDAD
• Análisis del impacto.
• Procedimientos de vuelta a la normalidad.
En el siguiente esquema podemos ver las fases que componen el Plan de
Continuidad de Negocio:
28
35. Guía de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
Figura 9. Fases y Actividades del Plan de Continuidad
8.2.1 FASE DE ALERTA
La Fase de Alerta define los procedimientos de actuación ante las primeras
etapas de un suceso que implique la pérdida parcial o total de uno o varios
servicios críticos. Dividiremos esta fase en tres partes:
Notificación: Define cómo y quién debe ser informado en primera instancia de
lo ocurrido.
Evaluación: Análisis de la situación y valoración inicial de los daños. Definición
de estrategias.
Ejecución del Plan: Decisión del equipo director de disparar el Plan debido al
alcance de los daños.
Notificación
Dado que no es posible confeccionar un Plan de Alerta que dé cabida a todos los
casos que resultan de suponer que cualquier persona pueda dar aviso de un
incidente, vamos a suponer que la persona que descubre la contingencia será un
empleado o cualquier otra persona próxima al lugar donde ocurre el incidente.
Como parte del Plan de Continuidad se debe establecer un programa de
concienciación, en el que se informe debidamente al personal de cómo actuar
ante estos casos y a quién comunicar lo ocurrido.
29
36. Guía de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
EVENTO ACCIÓN
1 Situación de contingencia/incidente Aviso inmediato con el máximo detalle
detectado por algún empleado de la posible al Responsable de Personal de turno
compañía. (Fuego, inundación, virus, etc.). o a Seguridad.
2 Aviso a la persona de contacto del Comité de
El responsable de turno o de seguridad Crisis.
conoce que ha sucedido una contingencia. Aviso a los equipos de emergencia (si
procede).
Figura 10. Cuadro Fase de Notificación
Evaluación
Una vez que un miembro del Comité de Crisis es contactado e informado del
incidente, procederá a evaluar la situación con la recopilación de la mayor
información posible. El Comité informará a los responsables de los distintos
equipos de lo ocurrido y de la situación en ese momento para que permanezcan
en situación de espera, hasta que se tome la decisión de disparar el Plan o iniciar
otro tipo de estrategia.
EVENTO ACCIÓN
3 Conocimiento por algún miembro del El equipo del Comité se reunirá en un lugar
Comité de incidente ocurrido. acordado previamente y evaluará la
situación. Este Comité deberá tomar la
decisión de activar o no el Plan de
Continuidad.
Será necesario informar de la situación a los
siguientes responsables:
• Responsable de Seguridad.
• Comité de Dirección de la Empresa.
• Relaciones Públicas.
• Equipo de Recuperación.
• Responsable de los Equipos.
Figura 11. Cuadro Fase de Evaluación
Ejecución del Plan
Una vez que el Comité de Crisis ha decidido poner en marcha el Plan de
Recuperación, debe de iniciarse el árbol de llamadas (En el Anexo IV se incluye
un ejemplo de un árbol de llamadas) para comunicar a los Responsables y
30
37. Guía de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
componentes de cada equipo la situación de inicio de las actividades del Plan
para comenzar los procedimientos de actuación de cada uno de ellos. Deberá
informarse también al Comité de Dirección.
EVENTO ACCIÓN
4 Consideración por parte del Comité de Iniciar el árbol de llamadas.
Crisis y ejecución del Plan.
Informar al Comité de Dirección.
5 Paso a la Fase de Transición.
Figura 10. Cuadro Fase de Lanzamiento del Plan
8.2.2 FASE DE TRANSICIÓN
La Fase de Transición es la fase previa a la de recuperación de los sistemas. Es
importante que en esta fase exista una coordinación entre los diferentes equipos
y equipos de logística, ya que son éstos los encargados de que todo esté
disponible para comenzar la recuperación en el menor tiempo posible.
Podemos dividir la fase de transición en dos partes principalmente:
• Procedimientos de concentración y traslado de personas y equipos.
• Procedimientos de puesta en marcha del centro de recuperación.
Ambos procedimientos son la base del proceso de recuperación de los sistemas.
Si esta parte falla, no será posible comenzar la recuperación, y por tanto el Plan
de Continuidad fallará.
A continuación pasamos a describir de manera detallada cada uno de los
procedimientos y equipos que deben interactuar en esta fase de transición.
Procedimientos de concentración y traslado de material y personas
Dependiendo de la solución final que se decida como estrategia de respaldo, este
procedimiento puede variar. Realizaremos una descripción general de los
procedimientos, que podrá completarse una vez que se tome una solución
definitiva.
Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir al
centro de reunión. En el caso de que la emergencia se declare en horas de
trabajo, se tomará como punto de encuentro los lugares designados en el Plan de
Emergencia. Si el incidente ocurre fuera del horario de trabajo, el lugar de
reunión será el designado como centro de respaldo, o cualquier otro designado
por el Comité de Dirección de Crisis.
31
38. Guía de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
Además del traslado de personas al centro de recuperación (si es necesario) hay
que realizar una importante labor de coordinación para el traslado de todo el
material necesario para poner en marcha el centro de recuperación (cintas de
backup, material de oficina, documentación, ...)
Procedimientos de puesta en marcha del centro de recuperación
Una vez concentrados los distintos equipos que van a intervenir en la
recuperación, y con todos los elementos necesarios disponibles para comenzar la
recuperación, hay que poner en marcha este centro, estableciendo la
infraestructura necesaria, tanto de software como de comunicaciones, etc.
8.2.3 FASE DE RECUPERACIÓN
Una vez que hemos establecido las bases para comenzar la recuperación, se
procederá a la carga de datos y a la restauración de los servicios críticos. Este
proceso y el anterior suele precisar los mayores esfuerzos e intervenciones para
cumplir con los plazos fijados.
Podemos dividir esta fase en dos:
• Procedimientos de Restauración
• Procedimientos de Gestión y Soporte
Procedimientos de Restauración
Estos procedimientos se refieren a las acciones que se llevan a cabo para
restaurar los sistemas críticos.
Procedimientos de soporte y gestión
Una vez restaurados los sistemas hay que comprobar su funcionamiento, realizar
un mantenimiento sobre los mismos y protegerlos, de manera que se reanude el
negocio con las máximas garantías de éxito. Los integrantes del equipo de
unidades de negocio serán los encargados de comprobar y verificar el correcto
funcionamiento de los procesos.
32
39. Guía de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
8.2.4 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA
Una vez con los procesos críticos en marcha y solventada la contingencia,
debemos plantearnos las diferentes estrategias y acciones para recuperar la
normalidad total de funcionamiento. Para ello vamos a dividir esta fase en
diferentes procedimientos:
• Análisis del impacto.
• Procedimientos de vuelta a la normalidad
Análisis del impacto
El análisis de impacto pretende realizar una valoración detallada de los equipos e
instalaciones dañadas para definir la estrategia de vuelta a la normalidad.
Procedimientos de vuelta a la normalidad
Una vez determinado el impacto deben establecerse los mecanismos que en la
medida de lo posible lleven a recuperar la normalidad total de funcionamiento.
Estas acciones incluyen las necesidades de compra de nuevos equipos,
mobiliario, material, etc.
8.2.5 GENERACIÓN DE INFORMES Y EVALUACIÓN
Una vez solventado el incidente y vuelto a la normalidad, cada equipo deberá
realizar un informe de las acciones llevadas a cabo y sobre el cumplimiento de
los objetivos del Plan de Continuidad, los tiempos empleados, dificultades con las
que se encontraron, etc.
Toda esta información servirá para valorar si el Plan ha funcionado según lo
planeado, así como conocer los posibles fallos, y en su caso, tenerlos en cuenta
para la adecuación del mismo.
33
40. Guía de Desarrollo de Plan de Continuidad de Negocio
Fase IV. Pruebas y Mantenimiento
9. FASE IV. PRUEBAS Y MANTENIMIENTO
9.1 PRUEBAS
9.1.1. OBJETIVOS DEL PLAN DE PRUEBAS
El Plan de Continuidad no se considerará válido hasta que no se haya superado
satisfactoriamente el Plan de Pruebas que asegure la viabilidad de las soluciones
adoptadas.
El Plan de Pruebas diseñado tiene como objetivos:
• Evaluar la capacidad de respuesta ante una situación de desastre que afecte a
los recursos de la compañía.
• Probar la efectividad y los tiempos de respuesta del Plan para comprobar que
están alineados con la definición realizada en el diseño.
• Identificar las áreas de mejora en el diseño y ejecución del Plan.
• Comprobar si los procedimientos desarrollados son adecuados para soportar
la recuperación de las operaciones de negocio.
• Evaluar si los participantes del ejercicio están suficientemente familiarizados
con la operativa en situación de contingencia.
• Concienciación y formación para los empleados a través de la realización de
pruebas.
9.2 TIPOS DE PRUEBAS
Las pruebas de un Plan de Continuidad deben tener dos características
principales:
Realismo: La utilidad de las pruebas se reduce con la selección de escenarios
irreales. Por ello es importante reproducir escenarios que proporcionen un nivel
de entrenamiento adecuado a las situaciones de riesgo.
Exposición Mínima: Las pruebas deben diseñarse de forma que impacten lo
menos posible en el negocio, es decir, que si se programa una prueba que
34
41. Guía de Desarrollo de Plan de Continuidad de Negocio
Fase IV. Pruebas y Mantenimiento
suponga una parada de los sistemas de información, debe realizarse una ventana
de tiempo que impacte lo menos posible para el negocio.
En algunos casos puede resultar complicado realizar una prueba completa del
Plan de Continuidad de Negocio. Por ello, es necesario desarrollar un programa
de pruebas planificado para garantizar que todos los aspectos de los planes y
personal se han ensayado durante un período de tiempo.
9.2.1 EJERCICIOS TÉCNICOS
Este tipo de ejercicio requerirá la ejecución de procedimientos de notificación y
operativos, el uso de equipos de hardware, software y posibles centros y
métodos alternativos para asegurar un rendimiento adecuado. Ejemplos de
elementos verificados durante un ejercicio de simulación son:
- Procedimientos de emergencia.
- Métodos alternativos.
- Líneas de telecomunicaciones de backup.
- Procedimientos de notificación Vendedores / Clientes.
- Capacidad y rendimiento del hardware.
- Portabilidad del software.
- Accesibilidad al centro de respaldo.
- Movilización de los equipos de trabajo.
- Recuperación de ficheros y documentación almacenados en lugar externo.
- Recuperación de datos.
9.2.2 TEST COMPLETO
Los ejercicios de test son ejercicios planificados que implican la restauración real
de la capacidad de proceso en un centro alternativo. Generalmente, los procesos
en producción no son interrumpidos, pero puede planificarse su restauración y
validación en el centro alternativo. Normalmente, este tipo de prueba requiere la
participación de toda la organización de continuidad del negocio, incluyendo
usuarios, personal técnico y de operaciones.
35
42. Guía de Desarrollo de Plan de Continuidad de Negocio
Fase IV. Pruebas y Mantenimiento
9.3 MANTENIMIENTO DEL PLAN DE CONTINUIDAD
Por la propia dinámica de negocio, se van incorporando nuevas soluciones a los
Sistemas de Información y los activos informáticos van evolucionando para dar
respuesta a las necesidades planteadas.
La correcta planificación del mantenimiento del Plan de Continuidad evitará que
quede en poco tiempo obsoleto y que en caso de contingencia no pueda dar
respuesta a las necesidades.
36
44. Guía de Desarrollo de Plan de Continuidad de Negocio
Anexo I – Cuadros de Recogida de Datos Análisis de Impacto
ANEXO I – CUADROS DE RECOGIDA DE DATOS ANÁLISIS DE IMPACTO
o CUADRO DE PROCESOS
En este cuadro se recogen los procesos y subprocesos que componen la
organización donde se va a desarrollar el Plan de Continuidad.
Frecuencia
Breve Persona
Proceso Subproceso (Diario/Semanal
descripción responsable
Mensual)
o SISTEMAS QUE SOPORTAN EL PROCESO
En este cuadro se recogen los sistemas que soportan el proceso analizado.
Tipo de
Nº de
Nombre Sistema
Equipos Contacto
del Descripción Criticidad Responsable
(PC/Servidor/ con la Técnicos
Sistema
aplicación
Mainframe)
Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el sistema
2 – La organización/departamento no puede funcionar parcialmente sin el sistema
3 - La organización/departamento puede funcionar sin el sistema
38
45. Guía de Desarrollo de Plan de Continuidad de Negocio
Anexo I – Cuadros de Recogida de Datos Análisis de Impacto
o RECURSOS HARDWARE DEL PROCESO
En este apartado se recogen los componentes hardware que soportan los
procesos.
Detalles del
Tipo de hardware Distribuidor Criticidad Localización
Modelo/Configuración
Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el hardware
2 – La organización/departamento no puede funcionar parcialmente sin el hardware
3 - La organización/departamento puede funcionar sin el hardware
o OTROS ACTIVOS
En este apartado se recogen todos aquellos activos (comunicaciones, datos,
infraestructura, etc.), que forman parte del proceso y que son necesarios para
dar continuidad al mismo en caso de interrupción.
Descripción Tipo Criticidad Localización
Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el activo
2 – La organización/departamento no puede funcionar parcialmente sin el activo
3 - La organización/departamento puede funcionar sin el activo
39
46. Guía de Desarrollo de Plan de Continuidad de Negocio
Anexo I – Cuadros de Recogida de Datos Análisis de Impacto
o TIEMPO MÁXIMO DE INTERRUPCIÓN
Para cada uno de los procesos, se determinará el tiempo máximo de
interrupción, especificando cuántos días puede permanecer el proceso sin incurrir
en pérdidas económicas graves.
Proceso Necesidades de Recuperación Criticidad
Necesidad de Recuperación: Día 0 : Recuperación inmediata
Día 1-7: El proceso debe ser recuperado entre el primer y el quinto día después de un incidente.
Día 7–30: El proceso debe ser recuperado después de la primera semana y antes de un mes.
Más 30 días: El proceso pude esperar más de 30 días a ser recuperado.
40
47. Guía de Desarrollo de Plan de Continuidad de Negocio
ANEXO II - Listado de Amenazas
ANEXO II - LISTADO DE AMENAZAS
AMENAZAS
DESASTRES NATURALES
Huracanes
Inundaciones
Incendios
DAÑOS ACCIDENTALES
Fuego fortuito
Inundaciones
Fallo del aire acondicionado
Exceso de humedad
Humo, gases tóxicos
Subida de tensión
Fallo de suministro eléctrico
Fallo de la UPS
Accidentes del personal
Capacidad inadecuada de las comunicaciones
Fallo/degradación del hardware
Fallo/degradación de las comunicaciones
Errores de operación
Fallos en las copias de seguridad
Fallos de los sistemas de autenticación/autorización
Pérdida de confidencialidad
Incumplimientos legales
ATAQUES INTENCIONADOS
Explosivos
Fuego intencionado
Accesos no autorizados al edificio
Actos de vandalismo
Radiaciones electromagnéticas
Robos intencionados
Manipulación de datos/software
Manipulación de hardware
Uso de software por personal no autorizado
Acceso no autorizados a datos de la compañía
Software malicioso
Robo de equipos
Robo de documentos
41
48. Guía de Desarrollo de Plan de Continuidad de Negocio
ANEXO II - Listado de Amenazas
Robo de software
Descarga de software no controlada
Interceptación de las líneas de comunicación
Manipulación de las líneas de comunicación
Abuso de privilegios de acceso
Introducción de virus en los sistemas
Troyanos
Ataques por ingeniería social
Bombas lógicas
Ataques de denegación de servicio
Errores intencionados
Copias incontroladas de documentos/software/datos
Errores en el mantenimiento
Corrupción de datos
Incumplimientos legales intencionados
42
49. Guía de Desarrollo de Plan de Continuidad de Negocio
ANEXO III – Ejemplos de Vulnerabilidades
ANEXO III – EJEMPLOS DE VULNERABILIDADES
VULNERABILIDADES
Existencia de materiales inflamables como papel o cajas
Cableado inapropiado
Ancho de banda inapropiado
Suministro eléctrico inapropiado
Mantenimiento inapropiado del servicio técnico
Ausencia de mantenimiento
Educación inadecuada del personal en virus y malware
Políticas de firewall inadecuadas
Política de seguridad de la información inadecuada
Ausencia de política de seguridad
Derechos de acceso incorrectos
Ausencia de un sistema de extinción automática de fuegos/humos
Ausencia de backup
Ausencia de control de cambios de configuración eficiente y efectiva
Ausencia de mecanismos de identificación y autenticación
Ausencia de política de restricción de personal para uso licencias de software
Ubicación física en un área susceptible de desastres naturales
Carencia de software antivirus
Descarga incontrolada y uso de software de Internet
Ausencia de mecanismos de cifrado de datos para la transmisión de datos
confidenciales
Protección física de equipos inadecuada
Personal sin formación adecuada
Incumplimientos legales (LOPD, Ley Sarbanes Oxley, etc.)
Definición de privilegios de acceso inadecuada
Ausencia de un Plan de recuperación de incidentes
43
50. Guía de Desarrollo de Plan de Continuidad de Negocio
Anexo IV – Ejemplo Árbol de Llamadas
ANEXO IV – EJEMPLO ÁRBOL DE LLAMADAS
Comité de Crisis
Comité de
Dirección
Equipo de Equipo de Equipo de Equipo de
Recuperación Coordinación Seguridad Relaciones
Logística Públicas
Equipo de Unidades
de Negocio
44
51. Guía de Desarrollo de Plan de Continuidad de Negocio
Anexo V – Sitios de Interés
ANEXO V – SITIOS DE INTERÉS
http://www.contingencyplanning.com/ - Revista de Continuidad de Negocio
http://www.globalcontinuity.com/ - Portal de Business Continuity Plan
http://www.thebci.org/pas56.htm - Business Continuity Institute
http://www.disaster-recovery-guide.com/ - Información y guías sobre
Continuidad
http://www.nist.org/ - Mejores prácticas en Seguridad Informática
http://www.iss.net/ - Base de datos de vulnerabilidades X-Force
http://nvd.nist.gov/ - Base de datos de vulnerabilidades del NIST
http://www.securityfocus.com/ - Base de datos de vulnerabilidades
http://www-5.ibm.com/services/es/portfolios/recuperacion.html - Proveedor de
Servicios de Continuidad de Negocio
http://h20219.www2.hp.com/services/cache/9270-0-0-197-470.html -
Proveedor de Servicios de Continuidad de Negocio
45
53. Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
CASO DE ESTUDIO
ANTECEDENTES
Zapasol S.A. es una compañía que fabrica zapatos con materiales reciclados.
Zapasol S.A. cuenta actualmente con 80 empleados, repartidos en dos plantas de
fabricación, una en Valencia y otra en Albacete distante 200 kilómetros. El éxito
de venta de este tipo de zapatos les ha llevado a mercados internacionales,
importando a más de 20 países.
Dentro de la propia fábrica cuentan con un pequeño departamento de informática
formado por 4 empleados que se encargan de la gestión de todo lo relacionado
con comunicaciones, software, hardware, bases de datos. Este departamento y
su centro de proceso de datos se encuentran en Valencia.
El rápido desarrollo y expansión de esta compañía ha resultado en un
crecimiento tecnológico importante en los procesos de soporte, tales como
facturación, nóminas, atención al cliente, etc. Sin embargo, las medidas de
seguridad no han acompañado de igual forma a este crecimiento. A continuación
se describe brevemente cuál es la situación actual en cuanto a seguridad de la
compañía:
• No existe una política de seguridad en la compañía.
• Sólo hay antivirus en algunos equipos, en otro no se ha instalado.
• No se realizan copias de seguridad de la información.
• Existe control de acceso a los equipos, pero los usuarios comparten
contraseñas.
• Los servidores se encuentran en una sala sin ninguna medida de
protección física.
• ….
Como parte de los proyectos a acometer durante el año 2007, el Director de
Informática de Zapasol S.A. ha propuesto la realización de un Plan de
Continuidad de Negocio, para configurar una estrategia de recuperación ante
cualquier evento grave que haga peligrar el negocio de la empresa.
47
54. Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
ANÁLISIS DE IMPACTO
Para desarrollar este Plan, el director de informática ha encargado a Luis (otro de
los empleados del departamento de informática) que realice un inventario de los
procesos críticos de la compañía, estableciendo los tiempos de recuperación de
los mismos, antes de incurrir en pérdidas graves. Para ello, Luis se ha
entrevistado con los responsables de los procesos obteniendo la siguiente
información:
Frecuencia
Proceso Subproceso Breve descripción (Diario/Semanal Responsable
Mensual)
Diario
Pedidos -- Se encarga de recibir todos Inés Burgos
los pedidos de los distintos
clientes y de gestionar su
envío en los plazos y
condiciones establecidas
Atención al --- Recogida y Gestión de Diario Ángela Cano
Cliente incidentes
Recursos -- Selección y formación del Según Marta Álvarez
Humanos personal de la compañía necesidad
Nóminas -- Generación y Pago de las Mensual Laura Cuesta
Nóminas de los empleados
Stock --- Control y Gestión del stock de Diario Antonio
zapatos en los almacenes Romero
Nota: Para el ejemplo sólo se toman dos procesos de muestra (Pedidos y Nóminas)
COMPONENTES DE LOS PROCESOS
A continuación se describen cada uno de los componentes Hardware, Software,
Comunicaciones, etc., que conforman los procesos definidos en Zapasol S.A.
PROCESO PEDIDOS
• Sistemas del proceso de Pedidos:
48
55. Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
Tipo de Nº de
Nombre
Sistema Equipos Contacto
del Descripción Criticidad Responsable
(PC/Servidor/ con la Técnicos
Sistema
Mainframe) aplicación
--- ----
Correo 2 Servidor de 4
Electrónico Correo
Gestión Aplicación 1 4 ----
Pedidos para la
Gestión de
pedidos
• Hardware del proceso de Pedidos:
Tipo de Detalles del
Distribuidor Criticidad Localización
Hardware Modelo/Configuración
Servidor de PowerEdgeTM 1900 Dell 3 Centro proceso
Correo Servidor en torre de datos Valencia
núcleo cuádruple con 2
sockets
PC’s Procesador Dell 2 Centros de
Intel® CoreTM 2 Duo Valencia y
E6000 Albacete
Chipset Q965 ICH8DO
compatible con Active
Management Technology
(iAMT 2.1) de Intel®
Solución LAN Gigabit
Ethernet de Intel®
Servidor de PowerEdgeTM 2900 Dell 1 Centro proceso
Aplicaciones Servidor en torre de datos Valencia
núcleo cuádruple con 2
sockets
• Otros Activos del proceso:
Descripción Tipo Criticidad Localización
Línea RDSI de Comunicaciones 1 Centros de trabajo
comunicaciones
49
56. Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
Impresoras Hardware 2 Centros de trabajo
Centralita de Comunicaciones 3 Centros de trabajo
Comunicaciones
PROCESO DE NÓMINAS
• Sistemas del proceso de Nóminas:
Tipo de Nº de
Nombre
Sistema Equipos Responsa- Contacto
del Descripción Criticidad
(PC/Servidor/ con la ble Técnicos
Sistema
Mainframe) aplicación
3 Laura -----
Aplicación Programa Servidor / 3
Cuesta
Nóminas que se PC’s
encarga de
realizar el
cálculo de las
nóminas
2 Angel Perez Soporte
Windows Sistema PC’s 20
Windows
Operativo
• Hardware del proceso de Nóminas:
Tipo de Detalles del
Distribuidor Criticidad Localización
Hardware Modelo/Configuración
Servidor de PowerEdgeTM 1900 Dell 2 Centro proceso
aplicaciones Servidor en torre de datos Valencia
núcleo cuádruple con 2
sockets
PC’s Procesador Dell 2 Centros de
Intel® CoreTM 2 Duo Valencia y
E6000 Albacete
Chipset Q965 ICH8DO
compatible con Active
Management Technology
(iAMT 2.1) de Intel®
Solución LAN Gigabit
Ethernet de Intel®
50
57. Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
• Otros Activos del proceso
Descripción Tipo Criticidad Localización
Impresoras Hardware 2 Centros de trabajo
51
58. Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
TIEMPO MÁXIMO DE RECUPERACIÓN DE LOS PROCESOS
Necesidades de
Proceso Criticidad
Recuperación
PEDIDOS En 2-3 días 1
El proceso de Pedidos es clave para la organización, ya que si no se pueden
gestionar los pedidos de los clientes la empresa no puede dar servicio y por lo
tanto incurrirá rápidamente en pérdidas. Por ello es importante que este proceso
se recupere lo antes posible.
Necesidades de
Proceso Criticidad
Recuperación
NOMINAS En 15-30 días 3
Aunque el proceso de Nóminas es importante, la compañía puede esperar
semanas a que se restablezca y crear procedimientos alternativos como por
ejemplo, repetir el último pago de nómina a los trabajadores y realizar las
compensaciones correspondientes, cuando estén disponibles de nuevo los
sistemas.
52