Upload
jorge-palomino-carpio
View
244
Download
4
Embed Size (px)
Citation preview
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
1/74
Escuela Universitaria de Informtica
Universidad Politcnica de Madrid
Gua de Desarrollo de un Plan de
Continuidad de Negocio
Autora: Laura del Pino Jimnez
Director de Tesis: Jorge Rami Aguirre
Fecha del trabajo or iginal: julio 2007
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
2/74
BREVE CURRICULUM VITAE DE LA AUTORA (diciembre de 2008)
Laura del Pino es Ingeniero Tcnico en Informtica de Sistemas por la Universidad
Politcnica de Madrid. Ha realizado el Curso Superior de Direccin de Seguridad de
la Informacin del IADE de la Universidad Autnoma y es CISA por la ISACA.
Comenz a trabajar en Seguridad informtica en KPMG como NITSO, National
Information Security Officer, pasando en el ao 2000 a formar parte de AZERTIA
como Consultor Senior de Seguridad. Actualmente desarrolla su carrera profesionalen el departamento de Seguridad de INDRA.
NOTA DEL DIRECTOR DE TESIS
Laura realiz su Trabajo Fin de Carrera en la Escuela Universitaria de InformticaEUI de la Universidad Politcnica de Madrid en este tema en el ao 2007, ocasin
en la que tuve la grata oportunidad de ser su tutor de tesis, como profesor del
departamento de Lenguajes, Proyectos y Sistemas Informticos LPSI.
A mediados de 2008 le ped que hiciese un breve resumen de esa tesis para
publicarlo en Internet como documento de libre distribucin, con el objeto de que
fuese una gua prctica y de fcil entendimiento. Este es el feliz resultado de
dicho trabajo.
Agradezco a Laura en todo su valor el esfuerzo que ha realizado, conociendo el
poco tiempo libre que le dejan sus actividades profesionales que desarrolla en
esta importante rea de la seguridad de la informacin.
Madrid, marzo de 2009.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
3/74
Gua de Desarrollo de Plan de Continuidad de Negocio
ndice
NDICE
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
4/74
Gua de Desarrollo de Plan de Continuidad de Negocio
ndice
1. INTRODUCCIN ....................................................................................................................... 12. OBJETO DE LA GUIA ............................................................................................................... 23. ANTECEDENTES ........................................................................................................................ 34. QU ES UN PLAN DE CONTINUIDAD DE NEGOCIO? ................................................ 55. POR DNDE EMPEZAMOS ..................................................................................................... 76. FASE I. ANLISIS DEL NEGOCIO Y EVALUACIN DE RIESGOS ............................ 9
6.1 ANLISIS DE IMPACTO ................................................................................................... 106.1.1 RELACIN DE PROCESOS.................................................................................................... 116.1.2 RELACIN DE APLICACIONES............................................................................................... 116.1.3 RELACIN DE DEPARTAMENTOS Y USUARIOS ....................................................................... 126.1.4 DETERMINAR LOS PROCESOS CRTICOS............................................................................... 126.1.5 PERIODO MXIMO DE INTERRUPCIN...................................................................................12
6.2 ANLISIS DE RIESGOS ................................................................................................... 146.2.1 IDENTIFICAR ACTIVOS ......................................................................................................... 156.2.2 IDENTIFICAR AMENAZAS ...................................................................................................... 166.2.3 EVALUAR VULNERABILIDADES ............................................................................................. 176.2.4 EVALUACIN DEL IMPACTO ................................................................................................. 186.2.5 EVALUACIN DEL RIESGO ................................................................................................... 186.2.6 EVALUAR CONTRAMEDIDAS................................................................................................. 20
7. FASE II. ESTRATEGIA DE RESPALDO ............................................................................ 227.1 SELECCIN DE ESTRATEGIAS ........................................................................................ 22
8. FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD............................................ 258.1 ORGANIZACIN DE LOS EQUIPOS.................................................................................. 25
8.1.1 EQUIPO DIRECTOR O COMIT DE CRISIS ............................................................................... 268.1.2 EQUIPO DE RECUPERACIN ................................................................................................ 268.1.3 EQUIPO LOGSTICO............................................................................................................. 268.1.4 EQUIPO DE RELACIONES PBLICAS Y ATENCIN A CLIENTES.................................................. 278.1.5 EQUIPO DE LAS UNIDADES DE NEGOCIO ............................................................................... 27
8.2 DESARROLLO DE PROCEDIMIENTOS ............................................................................ 288.2.1 FASE DE ALERTA ................................................................................................................ 298.2.2 FASE DE TRANSICIN ......................................................................................................... 31
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
5/74
Gua de Desarrollo de Plan de Continuidad de Negocio
ndice
8.2.3 FASE DE RECUPERACIN .................................................................................................... 328.2.4 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA ................................................ 338.2.5 GENERACIN DE INFORMES Y EVALUACIN.......................................................................... 33
9. FASE IV. PRUEBAS Y MANTENIMIENTO ....................................................................... 349.1 PRUEBAS ............................................................................................................................ 34
9.1.1. OBJ ETIVOS DEL PLAN DE PRUEBAS ...................................................................................... 349.2 TIPOS DE PRUEBAS ......................................................................................................... 34
9.2.1. EJ ERCICIOS TCNICOS ................................................................................................... 359.2.2. TEST COMPLETO............................................................................................................ 35
9.3 MANTENIMIENTO DEL PLAN DE CONTINUIDAD............................................................ 36ANEXOS ............................................................................................................................................... 37ANEXO I CUADROS DE RECOGIDA DE DATOS ANLISIS DE IMPACTO ................................. 38ANEXO II - LISTADO DE AMENAZAS ................................................................................................ 41ANEXO III EJEMPLOS DE VULNERABILIDADES.......................................................................... 43ANEXO IV EJEMPLO RBOL DE LLAMADAS............................................................................... 44ANEXO V SITIOS DE INTERS........................................................................................................ 45CASO DE ESTUDIO............................................................................................................................. 47
ANTECEDENTES ............................................................................................................................. 47ANLISIS DE IMPACTO ................................................................................................................ 48
COMPONENTESDELOSPROCESOS ...................................................................................... 48PROCESOPEDIDOS................................................................................................................... 48PROCESODENMINAS ............................................................................................................ 50
TIEMPO MXIMO DE RECUPERACIN DE LOS PROCESOS .................................................. 52ANLISIS DE RIESGOS ................................................................................................................ 53
INVENTARIODEACTIVOS ......................................................................................................... 53LISTADODEAMENAZAS ............................................................................................................ 53VULNERABILIDADES .................................................................................................................. 54EVALUACINDERIESGOS ....................................................................................................... 55RECOMENDACIONES-CONTRAMEDIDAS.............................................................................. 55
ESTRATEGIA DE RECUPERACIN .............................................................................................. 56DESARROLLO DEL PLAN .............................................................................................................. 57
COMITDECRISIS ..................................................................................................................... 57EQUIPODERECUPERACIN .................................................................................................... 58
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
6/74
Gua de Desarrollo de Plan de Continuidad de Negocio
ndice
EQUIPODECOORDINACINLOGSTICA................................................................................. 59EQUIPODERELACIONESPBLICAS ....................................................................................... 60EQUIPODELASUNIDADESDENEGOCIO ............................................................................... 61
FASE DE ALERTA ........................................................................................................................... 62PROCEDIMIENTO DE NOTIFICACIN DEL DESASTRE ............................................................................ 62PROCEDIMIENTO DE EJ ECUCIN DEL PLAN........................................................................................ 62PROCEDIMIENTO DE NOTIFICACIN DE EJ ECUCIN DEL PLAN ............................................................. 62
FASE DE TRANSICIN.................................................................................................................. 64PROCEDIMIENTO DE CONCENTRACIN Y TRASLADO DE MATERIAL Y PERSONAS................................... 64PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIN ......................................... 64
FASE DE RECUPERACIN ............................................................................................................ 65PROCEDIMIENTO DE RESTAURACIN ................................................................................................ 65PROCEDIMIENTO DE SOPORTE Y GESTIN......................................................................................... 65
FASE DE VUELTA A LA NORMALIDAD ....................................................................................... 66ANLISIS DEL IMPACTO .................................................................................................................... 66ADQUISICIN DE NUEVO MATERIAL ................................................................................................... 66FIN DE LA CONTINGENCIA................................................................................................................. 66
CONCLUSIONES............................................................................................................................. 67BIBLIOGRAFA..................................................................................................................................... 68
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
7/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Introduccin
1
1. INTRODUCCIN
Dentro de la Gestin de la Seguridad de la Informacin en una compaa esimportante contar con un plan alternativo que asegure la continuidad de laactividad del Negocio en caso de que ocurran incidentes graves.
Tradicionalmente, los Planes de Continuidad, denominados Planes deContingencia en sus orgenes, estn asociados a grandes compaas quenecesitan reaccionar de forma inmediata ante cualquier evento que interrumpasus servicios. La realidad es que cualquier compaa puede sufrir un incidenteque afecte a su continuidad y, dependiendo de la forma en que se gestione dichoincidente, las consecuencias pueden ser ms o menos graves.
Esta gua pretende desglosar las actividades necesarias para desarrollar un Plande Continuidad de Negocio, proporcionando plantillas y ejemplos que ayuden allector a entender cada una de las fases y tareas que componen el Plan.
Es importante destacar que la gua puede servir para desarrollar un Plan deContinuidad de Negocio tanto en una gran compaa como en una Pyme, aunqueconsecuentemente el tiempo, el esfuerzo y el presupuesto a emplear variarnsensiblemente.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
8/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Objeto de la Gua
2
2. OBJETO DE LA GUIA
Una de las motivaciones que me ha llevado a desarrollar esta gua es la pocainformacin que he encontrado que contenga una descripcin detallada de lasfases y tareas que componen un Plan de Continuidad. Por ello, los principalesobjetivos son:
o Dar a conocer la importancia del Plan de Continuidad de Negocio parahacer frente a incidentes graves de seguridad en una compaa.
o Desarrollar una Gua completa sobre Continuidad de Negocio, donde semuestren cada una de las fases que componen el Plan.
o Resumir de forma clara y sencilla cada una de las actividades a desarrollardentro de las Fases del Plan de Continuidad.
o Establecer ejemplos ilustrativos que ayuden a confeccionar un Plan deContinuidad.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
9/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Antecedentes
3
3. ANTECEDENTES
A la velocidad con la que operan los negocios actuales un incidente de unaspocas horas de duracin puede tener un impacto catastrfico en los resultados yen la imagen de la organizacin que lo sufra.
La ntima dependencia que existe entre el negocio y los sistemas de informacinexige que stos estn preparados para afrontar las mltiples amenazas queponen en riesgo su operatividad y, en consecuencia, la continuidad del negocio.El incendio ocurrido en el Edificio Windsor en Madrid en el mes de febrero de2005 o el Huracn Katrina en agosto de ese mismo ao, son dos ejemplos quevienen a sumarse a sucesos, como los atentados del 11-S del ao 2001. Sin
embargo, en no pocas ocasiones no es necesario un desastre de dimensionesparecidas a las de los mencionados anteriormente para poner en peligro no slola buena marcha del negocio sino su misma supervivencia; eventos como lairrupcin de un virus o la instalacin de un parche de seguridad pueden conducira la inoperabilidad temporal de los sistemas, la prdida de informacin crtica o,en ltima instancia, la inutilizacin de las infraestructuras.
Tipos de incidentes
No slo las catstrofes ambientales, tales como incendios o inundaciones,pueden causar daos adversos a una organizacin. Otros tipos de incidentes,como los que se detallan a continuacin, pueden tener impactos adversos parauna compaa:
Incidentes serios de seguridad en los sistemas, como delitoscibernticos, prdida de informacin, robo de informacin sensible osu distribucin accidental, fallos en los sistemas IT, errores deoperacin en los sistemas, etc.
Daos en las infraestructuras o en los servicios, fallos en elsuministro elctrico, fallos en el suministro de agua, fallos en lascomunicaciones, huelgas en los servicios de limpieza.
Fallos en los equipos o en los sistemas, incluyendo fallos en lasfuentes de alimentacin, en los equipos de refrigeracin.
Daos deliberados como actos de terrorismo o de sabotaje, guerras,robos, huelgas, etc.
Los accidentes afectan de forma diferente a cada organizacin, dependiendo desu tamao y de su rea de actividad, no siendo el tamao una caracterstica
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
10/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Antecedentes
4
fundamental; las pequeas y medianas organizaciones tambin pueden verseseriamente afectadas.
Las consecuencias de estos accidentes sobre las organizaciones que no tienen unplan de continuidad de negocio pueden llegar a ocasionar incluso el cierre de lasmismas. Tomemos como ejemplo las siguientes cifras:
Un 43% de las organizaciones despus de un accidente no podrncontinuar sus operaciones vindose obligadas a cerrar.
Un 80% tendrn que hacerlo en menos de 13 meses.
Un 53% de los clientes de estas organizaciones no recuperarn lasprdidas causadas por los daos derivados.
Un 50% se vern forzadas a cerrar antes de cinco aos despus deldesastre.
Fuente: Cmara de Comercio de Londres
A pesar de que los efectos inmediatos de un desastre aparentemente son laprdida de beneficios por la parada de actividad puntual y la incapacidad paraproveer servicios crticos, no son stos los efectos ms perniciosos que unincidente de este tipo provoca.
Otros efectos derivados que pueden causar un gran impacto en la compaa sonla prdida de reputacin de cara a los clientes, o la prdida de ventajacompetitiva con otras compaas.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
11/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Qu es un Plan de Continuidad de Negocio?
5
4. QU ES UN PLAN DE CONTINUIDAD DE NEGOCIO?
Un Plan de Continuidad de Negocio se compone de varias fases que comienzancon un anlisis de los procesos que componen la organizacin. Este anlisisservir para priorizar qu procesos son crticos para el negocio y establecer unapoltica de recuperacin ante un desastre. Por cada proceso se identifican losimpactos potenciales que amenazan la organizacin, estableciendo un plan quepermita continuar con la actividad empresarial en caso de una interrupcin.
Un Plan de Continuidad de Negocio, a diferencia de una Plan de Contingencia,est orientado al mantenimiento del negocio de la organizacin, con lo quepriorizar las operaciones de negocio crticas necesarias para continuar en
funcionamiento despus de un incidente no planificado.En el desarrollo de un Plan de Continuidad de Negocio existen dos preguntasclave:
Cules son los recursos de informacin relacionados con los procesoscrticos del negocio de la compaa?
Cul es el perodo de tiempo de recuperacin crtico para los recursosde informacin en el cual se debe establecer el procesamiento del negocioantes de que se experimenten prdidas significativas o aceptables?
Un Plan de Continuidad reducir el nmero y la magnitud de las decisiones quese toman durante un perodo en que los errores pueden resultar mayores. El Planestablecer, organizar y documentar los riesgos, responsabilidades, polticas yprocedimientos, acuerdos con entidades internas y externas.
La activacin de un Plan de Continuidad debera producirse solamente ensituaciones de emergencia y cuando las medidas de seguridad hayan fallado.
BENEFICIOS
Identifica los diversos eventos que podran impactar sobre la continuidadde las operaciones y su impacto financiero, humano y de reputacin sobrela organizacin.
Obliga a conocer los tiempos crticos de recuperacin para volver a lasituacin anterior al desastre sin comprometer al negocio.
Previene o minimiza las prdidas para el negocio en caso de desastre. Clasifica los activos para priorizar su proteccin en caso de desastre.
Aporta una ventaja competitiva frente a la competencia.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
12/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Qu es un Plan de Continuidad de Negocio?
6
Fomenta e implica a los recursos humanos de la compaa en lasactividades de continuidad.
QUIEN DEBE TENER UN PLAN DE RECUPERACIN?
Una pregunta que podemos hacernos es si el tamao de una organizacindetermina la necesidad o no de tener un Plan de Continuidad. Se puederesponder a esta pregunta diciendo que NO. Si una organizacin es muy grande,con beneficios millonarios, con grandes edificios y gran nmero de empleados, osi se trata de una persona trabajando en una pequea oficina con 5 empleados,ambos necesitan asegurar la disponibilidad de su negocio. De hecho, debido a lospocos recursos y a las pocas opciones de respuesta ante un desastre, en algunoscasos sera ms vital desarrollar un Plan de Recuperacin de Negocio para lospequeos negocios que para las grandes corporaciones.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
13/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Por Dnde Empezamos?
5. POR DNDE EMPEZAMOS
Para desarrollar un Plan de Continuidad de Negocio tenemos que empezar por
obtener un conocimiento de la compaa: sus productos/servicios, sus objetivosempresariales, procesos internos, etc.
No es lo mismo un Plan de Continuidad para una empresa de servicios deInternet que para una empresa fabricante de juguetes. Aunque en ambos casosel objetivo ser el de seguir dando servicio a sus clientes, las actividades yprocesos sobre las que se soporta la empresa tendrn diferentes prioridades derecuperacin ante una contingencia grave.
El propsito general de un Plan de recuperacin es obtener un mapa deacciones que reduzcan la toma de decisiones durante las operaciones derecuperacin, restaure los servicios crticos rpidamente y permita un normalfuncionamiento de los sistemas y procesos lo antes posible, minimizando costesy aumentando la efectividad.
Podemos dividir un Plan de Continuidad de Negocio en cuatro Fases:
Figura 1. Diagrama de Fases del P lan de Continuidad
7
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
14/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Por Dnde Empezamos?
8
FASE I ANLISIS DEL NEGOCIO Y EVALUACIN DE RIESGOS
Se trata de obtener un conocimiento de los objetivos de negocio y de los
procesos que se consideran crticos para el funcionamiento de la compaa. Unavez identificados los procesos crticos, se analizarn cules son los riesgosasociados a dichos procesos para identificar cules son las causas potencialesque pueden llegar a interrumpir un negocio.
FASE II SELECCIN DE ESTRATEGIAS
Esta fase tiene dos objetivos:
Por un lado, valorar las diferentes alternativas y estrategias de respaldo enfuncin de los resultados obtenidos en la fase anterior, para seleccionar lams adecuada a las necesidades de la compaa.
Por otro lado, corregir las vulnerabilidades detectadas en los procesoscrticos de negocio identificadas en el Anlisis de Riesgos.
FASE III- DESARROLLO DEL PLAN
Una vez que se ha seleccionado la estrategia de respaldo hay que desarrollarla e
implantarla dentro de la compaa. En esta fase se desarrollan losprocedimientos y planes de actuacin para las distintas reas y equipos, y seorganizan los equipos que intervienen en cada fase del Plan.
FASE IV PRUEBAS Y MANTENIMIENTO
Una parte importante del Plan de Continuidad, es conocer que realmentefunciona y es efectivo. Para ello se define la estrategia de pruebas y se realiza laprueba del Plan, para afinarlo segn los resultados. Adems, en esta ltima fasese definirn los procedimientos de mantenimiento del Plan.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
15/74
Gua de Desarrollo de Plan de Continuidad de Negocio
FASE I. Anlisis del Negocio y Evaluacin de Riesgos
9
6. FASE I. ANLISIS DEL NEGOCIO Y EVALUACIN DE RIESGOS
Para desarrollar un Plan de Continuidad con garanta de xito, lo primero es
conocer y entender cules son los procesos de negocio que son esenciales dentrode la compaa en la que se va a desarrollar el Plan, con el objetivo de asegurarla continuidad de la actividad en caso de contingencia. Para ello debemosempezar por responder a cuestiones tales como:
Cules son las actividades ms importantes para la compaa?
Cmo afectara econmicamente una interrupcin de los servicios a medidaque va pasando el tiempo sin reanudar el servicio?
Cul sera la capacidad operativa de la empresa a medida que pasa eltiempo?
Cul es el plazo mximo para volver a la normalidad sin llegar a incurrir engraves prdidas?
Las actividades/procesos que se clasifican como esenciales dentro de unacompaa suelen ser en su mayora los Operacionales. Estos procesos interactandirectamente con los clientes o con otras organizaciones externas a la compaa
(Dpto. de Ventas, Dpto. Atencin al Cliente, etc.). Tambin es posible, que estosprocesos dependan de otros internos, que tambin deben ser analizados.
Para conocer cules son las necesidades de la compaa en cuanto a estrategiasde continuidad, vamos a utilizar dos mecanismos de anlisis:
Anlisis de Impacto (BIA Business Impact Analysis): Nos permitiridentificar la urgencia de recuperacin de cada funcin de negocio, determinandoel impacto en caso de interrupcin. Esta informacin nos permitir seleccionarcul es la estrategia ms adecuada.
Anlisis de Riesgos: El Objetivo de un anlisis de riesgos es identificar yanalizar los diferentes factores de riesgo que potencialmente podrn afectar a lasactividades que queremos proteger. La evaluacin de riesgos supone imaginarselo que puede ir mal y a continuacin estimar el impacto que supondra para laorganizacin. Se ha de tener en cuenta la probabilidad de que sucedan cada unode los problemas posibles. De esta forma se pueden priorizar los problemas y sucoste potencial desarrollando un plan de accin adecuado.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
16/74
Gua de Desarrollo de Plan de Continuidad de Negocio
FASE I. Anlisis del Negocio y Evaluacin de Riesgos
10
6.1 ANLISIS DE IMPACTO
El Anlisis de Impacto es esencial para establecer una estrategia derecuperacin, que en principio dar continuidad a las actividades crticas yposteriormente al resto, si es posible.
El nivel de criticidad de una actividad dentro de la compaa se mide en funcinde lo dependiente de ella, que es la organizacin y de lo que repercutira suindisponibilidad. En trminos econmicos esta valoracin sera responder a lapregunta de cunto perdera la organizacin si la actividad/proceso no estuvieradisponible.
Dentro del Anlisis de Impacto podemos distinguir las siguientes actividades:
Obtencin de la Relacin de Procesos: Establecer los procesos denegocio que se realizan en la compaa.
Obtencin de la Relacin de Aplicaciones: Establecer la relacin deaplicaciones que soportan los procesos de la compaa.
Relacin de Departamentos y Usuarios: Se identifican losdepartamentos que hay en la empresa y el nombre de las personas que la
componen y que intervienen en los procesos. Determinar cules son los Procesos Crticos: Pueden darse dos
valoraciones, una basada en la importancia para la compaa de losprocesos cuya ausencia tendra un impacto alto en la actividad de lacompaa (valoracin cualitativa). La otra, se referira a las prdidaseconmicas por perodo debido a la ausencia de los procesos (valoracincuantitativa).
Perodo Mximo de Interrupcin: El acumulado de prdidas suele ircreciendo linealmente a medida que pasan los das y las actividades estn
interrumpidas. No obstante, a partir de un momento que denominaremosPerodo Mximo de Interrupcin, las prdidas sufren un aumentosignificativo y las funciones no podran ser reasumidas.
En los casos en que la organizacin tenga varias sedes, ser necesario establecerun alcance geogrfico.
En el Anexo I se incluye un ejemplo de recogida de datos para cada una de laspartes que componen el Anlisis de Impacto. La recogida de esta informacinpermitir evaluar las necesidades de la organizacin en materia de continuidad,por lo que es importante que la informacin sea lo ms completa posible.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
17/74
Gua de Desarrollo de Plan de Continuidad de Negocio
FASE I. Anlisis del Negocio y Evaluacin de Riesgos
11
6.1.1 RELACIN DE PROCESOS
Para obtener la informacin sobre los procesos y las aplicaciones que losgestionan, es esencial la participacin de las personas responsables de losmismos dentro de la compaa, y de aquellos trabajadores que conocen enprofundidad los mismos. Para ello pueden utilizarse entrevistas personales ycuestionarios que nos acercarn a los procesos crticos del negocio.
Podemos dividir los procesos en operativos y procesos de soporte. Los procesosoperativos son aquellos que guardan una relacin directa con el cliente(comercial, facturacin, almacenaje, atencin al cliente, etc.). Los procesos desoporte, seran aquellos que facilitan los recursos para poder realizar los
procesos operativos (recursos humanos, gestin financiera, etc.)
6.1.2 RELACIN DE APLICACIONES
En este apartado debe recogerse el inventario de los recursos tecnolgicos quesoportan los procesos de la compaa, a fin de identificar aquellos que densoporte directo a los servicios crticos.
Los tipos de recursos que se deben analizar son:
Hardware, identificando cada uno de los elementos hardware que soportanlos sistemas de informacin de la compaa.
Software Base, recogiendo todos aquellos componentes de software, incluidotodos los asociados al sistema operativo, indispensables para elfuncionamiento y optimizacin del Sistema de Informacin de la compaa.
Software de Aplicaciones, inventariando las aplicaciones de gestin que sonutilizadas en la empresa.
Sistemas de Infraestructura, considerando aquellos elementos ocomponentes que sin disponer de una tecnologa enfocada propiamente altratamiento de la informacin s son requeridos para garantizan laoperatividad del servicio.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
18/74
Gua de Desarrollo de Plan de Continuidad de Negocio
FASE I. Anlisis del Negocio y Evaluacin de Riesgos
12
6.1.3 RELACIN DE DEPARTAMENTOS Y USUARIOS
Los procesos de la compaa estn gestionados por departamentos/usuarios.Dentro del inventario de procesos es necesario conocer el personal involucradoen los mismos. Esta informacin puede obtenerse en las mismas entrevistasdonde se recoge la informacin de los procesos existentes y de los elementos(hardware, software, etc.) que lo componen.
6.1.4 DETERMINAR LOS PROCESOS CRTICOS
Esta tarea supone evaluar los impactos econmicos y operacionales sobre el
negocio en caso de no disponer de la funcin analizada. La valoracin deprdidas no es una cuestin sencilla, ya que pueden concurrir aspectosintangibles, tales como la imagen de la organizacin ante sus clientes. Algunoscriterios que pueden ayudar a valorar las eventuales prdidas pueden ser:
Coste de horas de trabajo perdidas, al no poder usar las aplicaciones queno tengan alternativa manual o cuyo tratamiento manual suponga unaprdida de eficiencia importante.
Ingresos dejados de percibir.
Penalizaciones por incumplimiento de contratos con clientes.
Sanciones administrativas por incumplimiento de leyes debido a la faltade control en situacin de desastre (exposicin de datos personales,incumplimiento de normativa internacional como la Ley Sarbanes Oxley,etc.).
Gastos financieros.
Para simplificar esta valoracin de los procesos podemos establecer unaclasificacin numrica, asignando mayor prioridad (p.e. 1) a aquellos procesosque se consideren ms crticos y menor prioridad (p.e. 3) a aquellos que seconsideren menos crticos.
6.1.5 PERIODO MXIMO DE INTERRUPCIN
Una vez que obtenemos la visin del negocio, de los procesos que lo componen yde la criticidad de cada uno de ellos, debemos establecer los tiempos derecuperacin. Teniendo en cuenta que el objetivo del Plan es dar continuidad alnegocio tras un incidente o contingencia grave con las menores prdidaseconmicas posibles para la compaa, deben estimarse para cada uno de los
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
19/74
Gua de Desarrollo de Plan de Continuidad de Negocio
FASE I. Anlisis del Negocio y Evaluacin de Riesgos
procesos que se han considerado crticos, el tiempo a partir del cual las prdidaseconmicas afectaran de forma grave a la compaa (Tiempo mximo de
interrupcin). Esta estimacin es importante de cara a seleccionar la estrategiade respaldo adecuada a las necesidades de recuperacin.
Pueden existir procesos en los que el tiempo de recuperacin es muy pequeo(horas), por ejemplo el servicio de banca electrnica de un banco, y otrosprocesos como la facturacin a clientes en una empresa de servicios, puedentener un periodo de recuperacin mayor (das o semanas).
MINUTOS HORAS DIAS SEMANAS MESES
13
Figura 2. Tiempos de Recuperacin
TIEMPO MXIMO DE INTERRUPCIN
TIEMPO DE RECUPERACIN OBJETIVO PERDIDAS ECOMICAS GRAVES
En definitiva, el Anlisis de Criticidad nos da una visin de los procesos,actividades y recursos a proteger con la prioridad de recuperacin de cada unode ellos, junto con los tiempos objetivo de puesta en marcha tras un incidente.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
20/74
Gua de Desarrollo de Plan de Continuidad de Negocio
FASE I. Anlisis del Negocio y Evaluacin de Riesgos
6.2 ANLISIS DE RIESGOS
El objetivo de un Anlisis de Riesgos es poner de manifiesto aquellas debilidadesactuales que por su situacin o su importancia pueden poner en marcha, antesde lo deseable, el Plan de Recuperacin de Negocio. El Anlisis de Riesgo debecentrarse en los procesos/actividades del negocio que se han consideradocrticos, aunque tambin puede extenderse a aquellos que no lo son.
La evaluacin de riesgos supone imaginarse lo que puede ir mal y a continuacinestimar el coste que supondra. Se ha de tener en cuenta la probabilidad de quesucedan cada uno de los problemas posibles. De esta forma se pueden priorizarlos problemas y su coste potencial desarrollando un plan de accin adecuado.
En lo fundamental, la evaluacin de riesgos que se ha de llevar a cabo ha decontestar, con la mayor fiabilidad posible, a las siguientes preguntas:
Qu se intenta proteger?
Cul es su valor para uno o para la organizacin?
Frente a qu se intenta proteger?
Cul es la probabilidad de un ataque?
ESQUEMA DEL ANLISIS DE RIESGOS
Figura 3. Esquema Anlisis de Riesgos
14
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
21/74
Gua de Desarrollo de Plan de Continuidad de Negocio
FASE I. Anlisis del Negocio y Evaluacin de Riesgos
15
Existen diferentes metodologas de Anlisis de Riesgos:
MARION
OCTAVE
MAGERIT
Para el desarrollo de esta gua no se ha seleccionado ninguna metodologaconcreta, sino que se realiza una descripcin general de los pasos que componenun Anlisis de Riesgos.
6.2.1 IDENTIFICAR ACTIVOS
Para cada uno de los procesos crticos de la compaa es necesario realizar uninventario de los activos involucrados en el proceso. Los activos se definen comolos recursos de una compaa que son necesarios para la consecucin de susobjetivos de negocio. Ejemplos de activos de una compaa pueden ser:
Informacin
Equipamiento Conocimiento
Sistemas
Nota: en el apartado anterior, se ha obtenido gran parte de esta informacin,sobre los activos que componen los procesos crticos.
Cada activo de la compaa tendr unos costes asociados. En algunos casosestos costes pueden ser cuantificados con un valor econmico (activos tangibles)
como el software o el hardware, y en otros casos es ms complicado cuantificarel activo con valores monetarios (activos intangibles) tales como el prestigio o laconfianza de los clientes.
El proceso de elaborar un inventario de activos es uno de los aspectosfundamentales de un correcto anlisis de riesgos. En este inventario seidentificar claramente su propietario y su valor para la organizacin, as comosu localizacin actual.
A continuacin se incluye un esquema con la relacin existente entre losdiferentes elementos que intervienen en el Anlisis de Riesgos.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
22/74
Gua de Desarrollo de Plan de Continuidad de Negocio
FASE I. Anlisis del Negocio y Evaluacin de Riesgos
Figura 4. Componentes del Anlisis de Riesgos
6.2.2 IDENTIFICAR AMENAZAS
Una amenaza se define como un evento que puede desencadenar un incidente enla organizacin, produciendo daos materiales o prdidas inmateriales en susservicios.
A la hora de analizar los riesgos hay que evaluar las distintas amenazas quepueden provenir de las ms diversas fuentes. Entre stas se incluyen losagresores malintencionados, las amenazas no intencionadas y los desastresnaturales.
La siguiente ilustracin clasifica las distintas amenazas a los sistemas.
Figura 5. Clasificacin General de Amenazas
16
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
23/74
Gua de Desarrollo de Plan de Continuidad de Negocio
FASE I. Anlisis del Negocio y Evaluacin de Riesgos
17
Dependiendo de la organizacin y el proceso analizado, sern aplicables distintostipos de amenazas. Las amenazas tendrn una probabilidad de ocurrencia
que depender de la existencia de una vulnerabilidad que pueda ser explotada,para materializarse en un incidente. Por ejemplo una amenaza del tipo dedesastre natural como es un terremoto, tendr una mayor probabilidad deocurrencia en una empresa con oficinas en Japn, donde los terremotos ocurrencon mayor frecuencia, que en Espaa. Por lo tanto, a priori podemos decir que elriesgo de dao por terremoto en una compaa situada en Japn es mayor que elde una compaa situada en Espaa.
A la hora de valorar la probabilidad de ocurrencia de una amenaza, resulta mscomplicado valorar las amenazas humanas (ataques maliciosos, robos de
informacin, etc.), que las amenazas naturales. En el componente humanoexisten dos factores a tener en cuenta:
AMENAZA= CAPACIDAD X MOTIVACIN
La motivacin es una caracterstica humana que es difcil de valorar, pero que sinembargo es un factor a considerar: empleados descontentos, ex-empleados, etc.
En el anexo II se recogen algunos ejemplos de posibles amenazas.
Del listado de amenazas debemos tener en cuenta aquellas que pueden afectar a
la organizacin de forma grave y valorar la probabilidad de que se conviertan enun incidente real.
6.2.3 EVALUAR VULNERABILIDADES
Las vulnerabilidades son debilidades que pueden ser explotadas para convertiruna amenaza en un riesgo real que puede causar daos graves en unacompaa. Las vulnerabilidades en s mismas no causan dao alguno, sino que esuna condicin o un conjunto de condiciones que pueden permitir a una amenazaafectar a un activo.
En el anexo III se recogen algunos ejemplos de vulnerabilidades.
Para identificar las vulnerabilidades que pueden afectar a una compaa debemosresponder a la pregunta: Cmo puede ocurrir una amenaza?
Para responder a esta pregunta ponemos como objetivo la amenaza y definimoslas distintas situaciones por las que puede ocurrir la misma, evaluando si dentro
de la compaa puede darse esa circunstancia; es decir, si el nivel de proteccines suficiente para evitar que se materialice la amenaza. Por ejemplo: si nuestra
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
24/74
Gua de Desarrollo de Plan de Continuidad de Negocio
FASE I. Anlisis del Negocio y Evaluacin de Riesgos
18
Amenaza es que nos roben datos estratgicos de la compaa, podemosestablecer, entre otros, los siguientes escenarios:
ESCENARIOS NIVEL DE PROTECCIN
1. Entrada no autorizada a los datos
a travs del sistema informtico.
Existe un control de acceso a los datos?
2. Robo de datos de los dispositivos
de almacenamiento magntico.
Estn los dispositivos de
almacenamiento protegidos y
controlados de forma adecuada?
3. Robo de datos mediante accesos
no autorizados.
Existen perfiles adecuados de acceso a
los datos?
Figura 6. Cuadro de Escenarios
Si no se responde afirmativamente a las preguntas de la columna derecha, esque existen vulnerabilidades que podran utilizarse de forma que la amenaza seconvierta en un incidente real, y causar daos importantes en la compaa.
6.2.4 EVALUACIN DEL IMPACTO
Los incidentes causan un impacto dentro de la organizacin, que tambindeber tomarse en cuenta a la hora de calcular los riesgos. La valoracin delimpacto puede realizarse de forma cuantitativa, estimando las prdidaseconmicas, o de forma cualitativa, asignando un valor dentro de una escala
(p.e. alto, medio, bajo).
Por ejemplo, el robo de informacin confidencial de la compaa puede causar unimpacto alto si sta cae en malas manos.
En otro caso, podemos estimar las prdidas econmicas de equipos tangiblesvalorando el coste de reposicin y puesta en marcha.
6.2.5 EVALUACIN DEL RIESGO
Riesgo es la posibilidad de que se produzca un impacto determinado en laorganizacin. El riesgo calculado es simplemente un indicador ligado al par de
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
25/74
Gua de Desarrollo de Plan de Continuidad de Negocio
FASE I. Anlisis del Negocio y Evaluacin de Riesgos
valores calculados de vulnerabilidad y el impacto, ambos ligados a su vez de larelacin entre el activo y la amenaza a la que el riesgo calculado se refiere.
RIESGO= PROBABILIDAD DE INCIDENTESX IMPACTO
PROBABILIDAD DE INCIDENTES= AMENAZA X VULNERABILIDAD
El riesgo suele expresarse en trminos cualitativos (Alto, Medio, Bajo). Acontinuacin se muestra un ejemplo de una matriz de probabilidad/impacto:
ALTO RIESGO
MEDIORIESGOALTO
RIESGOALTO
MEDI
O
RIESGOBAJO
RIESGOMEDIO
RIESGOALTO
BAJO RIESGO
BAJORIESGOBAJO
RIESGOMEDIO
BAJO MEDIO ALTO
PROBABILIDADD
IMPACTOFigura 7. Matriz de Riesgos
Cuanto ms baja sea la probabilidad de ocurrencia (no existan vulnerabilidades)y el impacto sobre la compaa sea tambin bajo, estaremos en un nivel deriesgo bajo.
Sin embargo, si existen vulnerabilidades que aumenten la probabilidad deocurrencia o el impacto del incidente sea alto para la compaa, estaremos enunos niveles de riesgo medio-alto.
A modo de ejemplo se muestra la siguiente tabla:
19
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
26/74
Gua de Desarrollo de Plan de Continuidad de Negocio
FASE I. Anlisis del Negocio y Evaluacin de Riesgos
20
DESCRIPCIN PROBAB IMPACTO RIESGO
Terremoto en ciudades situadas fuera defallas ssmicas
BAJA MEDIO BAJO
Terremoto en ciudades situadas sobre fallasssmicas
ALTA MEDIO ALTO
Robo de informacin confidencial compaacon control de acceso lgico
BAJA ALTO MEDIO
Robo de informacin confidencial compaasin control de acceso lgico
ALTA ALTO ALTO
Una vez que se han evaluado los riesgos, queda decidir qu hacemos con ellos.Se pueden tomar diferentes caminos:
Transferir el riesgo a travs de seguros o subcontratando la gestin delriesgo a terceras empresas.
Aceptar el riesgo (posicionamiento aprobado por la direccin de lacompaa).
Reducir el riesgo con controles que los mitiguen. Eliminar el riesgo (eliminando la causa o el foco del riesgo).
6.2.6 EVALUAR CONTRAMEDIDAS
Para reducir riesgos se utilizan los denominados controles o medidas deseguridad. Podemos clasificar los controles en:
Controles preventivos
o Identifican potenciales problemas antes de que ocurrano Previenen errores, omisiones o actos maliciosos.
Ejemplos: Realizar copias de seguridad de los archivos. Contratar seguros para los activos. Establecer procedimientos / polticas de seguridad. Establecer control de acceso a la informacin. Establecer control de acceso fsico.
Controles detectivos
o Identifican y reportan la ocurrencia de un error, omisin o actomalicioso ocurrido.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
27/74
Gua de Desarrollo de Plan de Continuidad de Negocio
FASE I. Anlisis del Negocio y Evaluacin de Riesgos
21
Ejemplos:
Monitorizacin de eventos. Auditoras internas. Revisiones peridicas de procesos. Sensores de humo. Deteccin de virus (Antivirus).
Controles Correctivos
o Minimizan el impacto de una amenaza.o Solucionan errores detectados por controles detectivos.o Identifican la causa de los problemas con el objeto de corregir
errores producidos.o Modifican los procedimientos para minimizar futuras ocurrencias del
problema.
Ejemplos: Parches de seguridad. Correccin de daos por virus.
Recuperacin de datos perdidos.
Las medidas seleccionadas para mitigar riesgos deben mantener una proporcinentre el esfuerzo y coste necesarios para su implantacin y el riesgo que mitigan(evaluacin del coste-beneficio).
Uno de los objetivos del Plan de Continuidad es evitar en la medida de lo posibleque se produzcan incidentes que hagan necesaria su ejecucin. Por ello, esimportante que la compaa conozca sus riesgos y ponga las medidas adecuadaspara corregir el mayor nmero de vulnerabilidades que puedan provocar un
incidente grave.
La evaluacin de riesgos debe ser peridica y de acuerdo con el modelo degestin de riesgos de la organizacin y en funcin de la evolucin del negocio(crecimiento), de cambios importantes en la organizacin (procesos internos),nuevas obligaciones legales, etc.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
28/74
Gua de Desarrollo de Plan de Continuidad de Negocio
FASE II. Estrategia de Respaldo
22
7. FASE II. ESTRATEGIA DE RESPALDO
En esta fase se seleccionarn los mtodos operativos alternativos que se van autilizar en el caso de que ocurra un incidente que provoque una interrupcin enla organizacin. El mtodo seleccionado deber garantizar la restauracin de losprocesos afectados en los tiempos determinados por el Anlisis de Impacto.
7.1 SELECCIN DE ESTRATEGIAS
Existen diferentes estrategias para mitigar el impacto de una interrupcin. Cadauna de estas estrategias tiene unos parmetros de tiempo, disponibilidad y
costes asociados que sern ms o menos apropiados dependiendo de lasfunciones de negocio.
A continuacin se describen diferentes estrategias para reubicacin funcional:
No hacer nada: Este tipo de actuacin podra utilizarse en aquellasfunciones o actividades que se han clasificado como no urgentes en elAnlisis de Impacto. En este tipo de estrategia se asume el riesgo.
Utilizacin de espacios propios: Espacios existentes en la compaatales como salas de formacin, cafeteras, etc. Este tipo de estrategiarequiere una planificacin minuciosa.
Reutilizacin de recursos: Reubicacin de personal con funciones nourgentes en tareas que requieren una mayor prioridad. En este caso sedebe poner cuidado en convertir la funcin no urgente en urgente por serdesatendida durante demasiado tiempo.
Trabajo Remoto o Teletrabajo: Posibilidad de trabajar desdeubicaciones exteriores a la compaa mediante conexin remota.
Acuerdos Recprocos: Acuerdos entre dos organizaciones (o dosunidades de negocio de la propia compaa diferentes) con caractersticasde equipamiento/espacio similares que permitira a cada una de las partesrecuperar funciones en la otra localizacin. En este caso es importantedefinir las condiciones de uso y la realizacin de pruebas peridicas paraasegurar las condiciones pactadas.
Sitio alternativo subcontratado a terceros: Contratacin concompaas especializadas de espacios alternativos para la recuperacin dela actividad. En este caso hay que asegurar que estas compaas pueden
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
29/74
Gua de Desarrollo de Plan de Continuidad de Negocio
FASE II. Estrategia de Respaldo
23
proporcionar unos tiempos de recuperacin acordes con las necesidadesde la organizacin. Este tipo de compaas pueden proporcionar diferentes
de soluciones:
o Espacio dedicado: Se garantiza la disponibilidad inmediata delespacio. En contrapartida este servicio es ms caro que otrasalternativas.
o Espacio compartido: Se comparte el espacio con otras compaas.Es ms barato que un centro dedicado.
o Espacios mviles: Se pueden utilizar rpidamente, pero tienen unespacio limitado.
o Mdulos prefabricados: Pueden tardar unos das en estardisponibles para su uso.
Localizaciones diversas: Se traslada la operacin pero no el personal. Centro replicado: Solucin que permite trasladar de forma inmediata la
operacin y continuar la actividad de forma inmediata. Tambin puededenominarse centro espejo. Esta solucin es normalmente la ms cara,pero tambin la mejor solucin en el caso de que se necesite unarecuperacin muy rpida de la operacin.
A continuacin se muestra una tabla que recoge la relacin entre el TiempoObjetivo de recuperacin y la solucin de continuidad ms adecuada a esteObjetivo:
TIEMPO OBJETIVO DE
RECUPERACININTERNAS CONTRATADO
MESES Reconstruccin /
Realojamiento
----
SEMANAS Edificios prefabricados On-Site
Contratacin de unidadesmviles o prefabricados
DIAS Recuperacin in situ
Trabajo en casa
Subcontratacin de procesos enoficinas mviles
HORAS Localizaciones diversas conempleados formados
Re-localizacin de un grupo depersonas
INMEDIATO Localizaciones diversas para
la misma funcin
Cambio de funcionamiento a un
centro de respaldo subcontratadoFigura 8. Tabla de Estrategias de Recuperacin
Fuente: Business Continuity Institute.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
30/74
Gua de Desarrollo de Plan de Continuidad de Negocio
FASE II. Estrategia de Respaldo
24
De todas las alternativas existentes hay que elegir la ms adecuada en cadacaso. Depender de las necesidades de cada compaa, en cuanto a tiempos de
recuperacin, costes econmicos, recursos, etc.Adems deber considerarse otros factores como:
Ubicacin y superficie requerida
o Espacio suficiente
o Zonas acondicionadas para acoger a personal
Recursos tcnicos necesarios:
o Hardware
o Software
o Comunicaciones
o Datos de respaldo
Recursos humanos requeridos
o Recursos materiales y de infraestructura
o Servicios auxiliares necesarios
o Tiempos de activacin
o Coste
Suele ocurrir que cuanto menor sea el tiempo de recuperacin objetivo, mayorser el coste de la solucin. Por ello es conveniente realizar un anlisis contiempos de recuperacin adecuados y adaptados a la realidad de la compaa.
Una vez tomada la decisin sobre el tipo de estrategia que se utilizar como
respaldo en caso de interrupcin del negocio, pasaremos a desarrollar todos losprocedimientos, funciones y actividades que permitirn restablecer los procesosde negocio en unos plazos razonables.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
31/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
25
8. FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD
Hasta este momento hemos obtenido:
Conocimiento de los procesos de la compaa, valorando cules soncrticos para el funcionamiento del negocio.
Valoracin de los riesgos que pueden afectar al negocio y que puedendisparar el Plan de Continuidad de Negocio.
Estrategia de Continuidad ms adecuada para el negocio.
A partir de aqu desarrollaremos nuestro Plan de Continuidad. Para ello
definiremos:
Los equipos necesarios para el desarrollo del Plan.
Las responsabilidades y funciones de cada uno de los equipos.
Las dependencias orgnicas entre los diferentes equipos.
El desarrollo de los procedimientos dealerta y actuacin ante eventos quepuedan activar el Plan.
Los procedimientos de actuacin ante incidentes.
La estrategia de vuelta a la normalidad.
8.1 ORGANIZACIN DE LOS EQUIPOS
Los equipos de emergencia estn formados por el personal clave necesario en laactivacin y desarrollo del Plan de Continuidad. Cada equipo tiene unas funcionesy procedimientos que tendrn que desarrollar en las distintas fases del Plan.
Aunque la composicin y nmero de equipos puede variar segn el tipo de
estrategia de recuperacin, a continuacin se muestran algunos ejemplos de losequipos que pueden formar parte del Plan:
Comit de Crisis: Encargado de dirigir las acciones durante lacontingencia y recuperacin.
Equipo de Recuperacin: Su funcin es restablecer todos los sistemasnecesarios (voz, datos, comunicaciones, etc.).
Equipo Logstico: Responsable de toda la logstica necesaria en el
esfuerzo de recuperacin.
Equipo de las Unidades de Negocio: Encargados de la realizacin depruebas que verifiquen la recuperacin de los sistemas crticos.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
32/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
26
Equipo de Relaciones Pblicas: Encargado de las comunicaciones a losmedios de comunicacin y clientes.
El personal asignado a cada uno de los equipos puede variar dependiendo deltamao de la organizacin y de la estrategia de recuperacin seleccionada. Unapersona puede pertenecer a ms de un equipo, siempre y cuando no existanincompatibilidades en las tareas a realizar.
8.1.1 EQUIPO DIRECTOR O COMIT DE CRISIS
El objetivo de este comit es reducir al mximo el riesgo y la incertidumbre en ladireccin de la situacin. Este Comit debe tomar las decisiones clave durantelos incidentes, adems de hacer de enlace con la direccin de la compaa,mantenindoles informados de la situacin regularmente.
Las principales tareas y responsabilidades de este comit son:
Anlisis de la situacin.
Decisin de activar o no el Plan de Continuidad.
Iniciar el proceso de notificacin a los empleados a travs de los diferentesresponsables.
Seguimiento del proceso de recuperacin, con relacin a los tiemposestimados de recuperacin.
8.1.2 EQUIPO DE RECUPERACIN
El equipo de recuperacin es responsable de establecer la infraestructuranecesaria para la recuperacin. Esto incluye todos los servidores, PCs,comunicaciones de voz y datos y cualquier otro elemento necesario para larestauracin de un servicio.
8.1.3 EQUIPO LOGSTICO
Este equipo es responsable de todo lo relacionado con las necesidades logsticas
en el marco de la recuperacin, tales como:
Transporte de material y personas (si es necesario) al lugar derecuperacin.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
33/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
27
Suministros de oficina.
Comida.
Reservas de hotel, si son necesarias.
Contacto con los proveedores.
Este equipo debe trabajar conjuntamente con los dems, para asegurar quetodas las necesidades logsticas sean cubiertas.
8.1.4 EQUIPO DE RELACIONES PBLICAS Y ATENCIN A CLIENTES
Se trata de canalizar la informacin que se realiza al exterior en un solo puntopara que los datos sean referidos desde una sola fuente. Sus funcionesprincipales son:
Elaboracin de comunicados para la prensa.
Comunicacin con los clientes.
Uno de los valores ms importantes de una compaa son sus clientes, por lo quees importante mantener informados a los mismos, estableciendo canales decomunicacin.
8.1.5 EQUIPO DE LAS UNIDADES DE NEGOCIO
Estos equipos estarn formados por las personas que trabajan con lasaplicaciones crticas, y sern los encargados de realizar las pruebas defuncionamiento para verificar la operatividad de los sistemas y comenzar afuncionar.
Cada equipo deber configurar las diferentes pruebas que debern realizar paralos sistemas.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
34/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
28
8.2 DESARROLLO DE PROCEDIMIENTOS
Una vez que hemos definido los equipos y se han establecido las funciones quedebe desempear cada equipo, tenemos que desarrollar los procedimientos quevan a seguir, y su actuacin en cada una de las fases de activacin del Plan deContinuidad.
- FASE DE ALERTA
Procedimiento de notificacin del desastre.
Procedimiento de lanzamiento del Plan Procedimiento de notificacin de la puesta en marcha del Plan a los
equipos implicados.
- FASE DE TRANSICIN
Procedimiento de concentracin de equipos.
Procedimiento de traslado y puesta en marcha de la recuperacin.
- FASE DE RECUPERACIN
Procedimientos de restauracin.
Procedimientos de soporte y gestin.
- FASE DE VUELTA A LA NORMALIDAD
Anlisis del impacto.
Procedimientos de vuelta a la normalidad.
En el siguiente esquema podemos ver las fases que componen el Plan deContinuidad de Negocio:
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
35/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
Figura 9. Fases y Actividades del Plan de Continuidad
8.2.1 FASE DE ALERTA
La Fase de Alerta define los procedimientos de actuacin ante las primerasetapas de un suceso que implique la prdida parcial o total de uno o variosservicios crticos. Dividiremos esta fase en tres partes:
Notificacin: Define cmo y quin debe ser informado en primera instancia delo ocurrido.
Evaluacin: Anlisis de la situacin y valoracin inicial de los daos. Definicinde estrategias.
Ejecucin del Plan: Decisin del equipo director de disparar el Plan debido alalcance de los daos.
Notificacin
Dado que no es posible confeccionar un Plan de Alerta que d cabida a todos loscasos que resultan de suponer que cualquier persona pueda dar aviso de unincidente, vamos a suponer que la persona que descubre la contingencia ser unempleado o cualquier otra persona prxima al lugar donde ocurre el incidente.
Como parte del Plan de Continuidad se debe establecer un programa deconcienciacin, en el que se informe debidamente al personal de cmo actuarante estos casos y a quin comunicar lo ocurrido.
29
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
36/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
30
EVENTO ACCIN
1 Situacin de contingencia/incidentedetectado por algn empleado de lacompaa. (Fuego, inundacin, virus, etc.).
Aviso inmediato con el mximo detalleposible al Responsable de Personal de turnoo a Seguridad.
2
El responsable de turno o de seguridadconoce que ha sucedido una contingencia.
Aviso a la persona de contacto del Comit deCrisis.
Aviso a los equipos de emergencia (siprocede).
Figura 10. Cuadro Fase de Notificacin
Evaluacin
Una vez que un miembro del Comit de Crisis es contactado e informado delincidente, proceder a evaluar la situacin con la recopilacin de la mayorinformacin posible. El Comit informar a los responsables de los distintosequipos de lo ocurrido y de la situacin en ese momento para que permanezcanen situacin de espera, hasta que se tome la decisin de disparar el Plan o iniciarotro tipo de estrategia.
EVENTO ACCIN
3 Conocimiento por algn miembro delComit de incidente ocurrido.
El equipo del Comit se reunir en un lugaracordado previamente y evaluar lasituacin. Este Comit deber tomar ladecisin de activar o no el Plan deContinuidad.
Ser necesario informar de la situacin a lossiguientes responsables:
Responsable de Seguridad.
Comit de Direccin de la Empresa.
Relaciones Pblicas.
Equipo de Recuperacin.
Responsable de los Equipos.
Figura 11. Cuadro Fase de Evaluacin
Ejecucin del Plan
Una vez que el Comit de Crisis ha decidido poner en marcha el Plan deRecuperacin, debe de iniciarse el rbol de llamadas (En el Anexo IV se incluyeun ejemplo de un rbol de llamadas) para comunicar a los Responsables y
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
37/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
31
componentes de cada equipo la situacin de inicio de las actividades del Planpara comenzar los procedimientos de actuacin de cada uno de ellos. Deber
informarse tambin al Comit de Direccin.
EVENTO ACCIN
4 Consideracin por parte del Comit deCrisis y ejecucin del Plan.
Iniciar el rbol de llamadas.
Informar al Comit de Direccin.
5 Paso a la Fase de Transicin.
Figura 10. Cuadro Fase de Lanzamiento del Plan
8.2.2 FASE DE TRANSICIN
La Fase de Transicin es la fase previa a la de recuperacin de los sistemas. Esimportante que en esta fase exista una coordinacin entre los diferentes equiposy equipos de logstica, ya que son stos los encargados de que todo estdisponible para comenzar la recuperacin en el menor tiempo posible.
Podemos dividir la fase de transicin en dos partes principalmente:
Procedimientos de concentracin y traslado de personas y equipos. Procedimientos de puesta en marcha del centro de recuperacin.
Ambos procedimientos son la base del proceso de recuperacin de los sistemas.Si esta parte falla, no ser posible comenzar la recuperacin, y por tanto el Plande Continuidad fallar.
A continuacin pasamos a describir de manera detallada cada uno de losprocedimientos y equipos que deben interactuar en esta fase de transicin.
Procedimientos de concentracin y traslado de material y personas
Dependiendo de la solucin final que se decida como estrategia de respaldo, esteprocedimiento puede variar. Realizaremos una descripcin general de losprocedimientos, que podr completarse una vez que se tome una solucindefinitiva.
Una vez avisados los equipos y puesto en marcha el Plan, debern acudir alcentro de reunin. En el caso de que la emergencia se declare en horas detrabajo, se tomar como punto de encuentro los lugares designados en el Plan de
Emergencia. Si el incidente ocurre fuera del horario de trabajo, el lugar dereunin ser el designado como centro de respaldo, o cualquier otro designadopor el Comit de Direccin de Crisis.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
38/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
32
Adems del traslado de personas al centro de recuperacin (si es necesario) hayque realizar una importante labor de coordinacin para el traslado de todo el
material necesario para poner en marcha el centro de recuperacin (cintas debackup, material de oficina, documentacin, ...)
Procedimientos de puesta en marcha del centro de recuperacin
Una vez concentrados los distintos equipos que van a intervenir en larecuperacin, y con todos los elementos necesarios disponibles para comenzar larecuperacin, hay que poner en marcha este centro, estableciendo lainfraestructura necesaria, tanto de software como de comunicaciones, etc.
8.2.3 FASE DE RECUPERACIN
Una vez que hemos establecido las bases para comenzar la recuperacin, seproceder a la carga de datos y a la restauracin de los servicios crticos. Esteproceso y el anterior suele precisar los mayores esfuerzos e intervenciones paracumplir con los plazos fijados.
Podemos dividir esta fase en dos:
Procedimientos de Restauracin Procedimientos de Gestin y Soporte
Procedimientos de Restauracin
Estos procedimientos se refieren a las acciones que se llevan a cabo pararestaurar los sistemas crticos.
Procedimientos de soporte y gestin
Una vez restaurados los sistemas hay que comprobar su funcionamiento, realizarun mantenimiento sobre los mismos y protegerlos, de manera que se reanude elnegocio con las mximas garantas de xito. Los integrantes del equipo deunidades de negocio sern los encargados de comprobar y verificar el correctofuncionamiento de los procesos.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
39/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Fase III. Desarrollo del Plan de Continuidad
33
8.2.4 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA
Una vez con los procesos crticos en marcha y solventada la contingencia,debemos plantearnos las diferentes estrategias y acciones para recuperar lanormalidad total de funcionamiento. Para ello vamos a dividir esta fase endiferentes procedimientos:
Anlisis del impacto.
Procedimientos de vuelta a la normalidad
Anlisis del impacto
El anlisis de impacto pretende realizar una valoracin detallada de los equipos einstalaciones daadas para definir la estrategia de vuelta a la normalidad.
Procedimientos de vuelta a la normalidad
Una vez determinado el impacto deben establecerse los mecanismos que en lamedida de lo posible lleven a recuperar la normalidad total de funcionamiento.Estas acciones incluyen las necesidades de compra de nuevos equipos,
mobiliario, material, etc.
8.2.5 GENERACIN DE INFORMES Y EVALUACIN
Una vez solventado el incidente y vuelto a la normalidad, cada equipo deberrealizar un informe de las acciones llevadas a cabo y sobre el cumplimiento delos objetivos del Plan de Continuidad, los tiempos empleados, dificultades con lasque se encontraron, etc.
Toda esta informacin servir para valorar si el Plan ha funcionado segn loplaneado, as como conocer los posibles fallos, y en su caso, tenerlos en cuentapara la adecuacin del mismo.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
40/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Fase IV. Pruebas y Mantenimiento
34
9. FASE IV. PRUEBAS Y MANTENIMIENTO
9.1 PRUEBAS
9.1.1. OBJETIVOS DEL PLAN DE PRUEBAS
El Plan de Continuidad no se considerar vlido hasta que no se haya superadosatisfactoriamente el Plan de Pruebas que asegure la viabilidad de las solucionesadoptadas.
El Plan de Pruebas diseado tiene como objetivos:
Evaluar la capacidad de respuesta ante una situacin de desastre que afecte alos recursos de la compaa.
Probar la efectividad y los tiempos de respuesta del Plan para comprobar queestn alineados con la definicin realizada en el diseo.
Identificar las reas de mejora en el diseo y ejecucin del Plan.
Comprobar si los procedimientos desarrollados son adecuados para soportarla recuperacin de las operaciones de negocio.
Evaluar si los participantes del ejercicio estn suficientemente familiarizadoscon la operativa en situacin de contingencia.
Concienciacin y formacin para los empleados a travs de la realizacin depruebas.
9.2 TIPOS DE PRUEBAS
Las pruebas de un Plan de Continuidad deben tener dos caractersticasprincipales:
Realismo: La utilidad de las pruebas se reduce con la seleccin de escenariosirreales. Por ello es importante reproducir escenarios que proporcionen un nivelde entrenamiento adecuado a las situaciones de riesgo.
Exposicin Mnima: Las pruebas deben disearse de forma que impacten lomenos posible en el negocio, es decir, que si se programa una prueba que
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
41/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Fase IV. Pruebas y Mantenimiento
35
suponga una parada de los sistemas de informacin, debe realizarse una ventanade tiempo que impacte lo menos posible para el negocio.
En algunos casos puede resultar complicado realizar una prueba completa delPlan de Continuidad de Negocio. Por ello, es necesario desarrollar un programade pruebas planificado para garantizar que todos los aspectos de los planes ypersonal se han ensayado durante un perodo de tiempo.
9.2.1 EJERCICIOS TCNICOS
Este tipo de ejercicio requerir la ejecucin de procedimientos de notificacin yoperativos, el uso de equipos de hardware, software y posibles centros ymtodos alternativos para asegurar un rendimiento adecuado. Ejemplos deelementos verificados durante un ejercicio de simulacin son:
- Procedimientos de emergencia.- Mtodos alternativos.- Lneas de telecomunicaciones de backup.- Procedimientos de notificacin Vendedores / Clientes.
- Capacidad y rendimiento del hardware.- Portabilidad del software.- Accesibilidad al centro de respaldo.- Movilizacin de los equipos de trabajo.- Recuperacin de ficheros y documentacin almacenados en lugar externo.- Recuperacin de datos.
9.2.2 TEST COMPLETO
Los ejercicios de test son ejercicios planificados que implican la restauracin realde la capacidad de proceso en un centro alternativo. Generalmente, los procesosen produccin no son interrumpidos, pero puede planificarse su restauracin yvalidacin en el centro alternativo. Normalmente, este tipo de prueba requiere laparticipacin de toda la organizacin de continuidad del negocio, incluyendousuarios, personal tcnico y de operaciones.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
42/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Fase IV. Pruebas y Mantenimiento
36
9.3 MANTENIMIENTO DEL PLAN DE CONTINUIDAD
Por la propia dinmica de negocio, se van incorporando nuevas soluciones a losSistemas de Informacin y los activos informticos van evolucionando para darrespuesta a las necesidades planteadas.
La correcta planificacin del mantenimiento del Plan de Continuidad evitar quequede en poco tiempo obsoleto y que en caso de contingencia no pueda darrespuesta a las necesidades.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
43/74
Gua de Desarrollo de Plan de Continuidad de Negocio
ANEXOS
37
ANEXOS
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
44/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Anexo I Cuadros de Recogida de Datos Anl is is de Impacto
38
ANEXO I CUADROS DE RECOGIDA DE DATOS ANLISIS DE IMPACTO
o CUADRO DE PROCESOS
En este cuadro se recogen los procesos y subprocesos que componen laorganizacin donde se va a desarrollar el Plan de Continuidad.
Proceso SubprocesoBreve
descripcin
Frecuencia
(Diario/Semanal
Mensual)
Personaresponsable
o SISTEMAS QUE SOPORTAN EL PROCESO
En este cuadro se recogen los sistemas que soportan el proceso analizado.
Nombredel
SistemaDescripcin Criticidad
Tipo deSistema
(PC/Servidor/
Mainframe)
N deEquiposcon la
aplicacin
ResponsableContactoTcnicos
Rangos de Criticidad: 1 La organizacin/departamento no puede funcionar sin el sistema
2 La organizacin/departamento no puede funcionar parcialmente sin el sistema
3 - La organizacin/departamento puede funcionar sin el sistema
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
45/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Anexo I Cuadros de Recogida de Datos Anl is is de Impacto
39
o RECURSOS HARDWARE DEL PROCESO
En este apartado se recogen los componentes hardware que soportan losprocesos.
Tipo de hardwareDetalles del
Modelo/ConfiguracinDistribu idor Criticidad Localizacin
Rangos de Criticidad: 1 La organizacin/departamento no puede funcionar sin el hardware
2 La organizacin/departamento no puede funcionar parcialmente sin el hardware
3 - La organizacin/departamento puede funcionar sin el hardware
o OTROS ACTIVOS
En este apartado se recogen todos aquellos activos (comunicaciones, datos,infraestructura, etc.), que forman parte del proceso y que son necesarios paradar continuidad al mismo en caso de interrupcin.
Descripcin Tipo Criticidad Localizacin
Rangos de Criticidad: 1 La organizacin/departamento no puede funcionar sin el activo
2 La organizacin/departamento no puede funcionar parcialmente sin el activo
3 - La organizacin/departamento puede funcionar sin el activo
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
46/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Anexo I Cuadros de Recogida de Datos Anl is is de Impacto
40
o TIEMPO MXIMO DE INTERRUPCIN
Para cada uno de los procesos, se determinar el tiempo mximo deinterrupcin, especificando cuntos das puede permanecer el proceso sin incurriren prdidas econmicas graves.
Proceso Necesidades de Recuperacin Criticidad
Necesidad de Recuperacin: Da 0 : Recuperacin inmediata
Da 1-7: El proceso debe ser recuperado entre el primer y el quinto da despus de un incidente.
Da 730: El proceso debe ser recuperado despus de la primera semana y antes de un mes.
Ms 30 das: El proceso pude esperar ms de 30 das a ser recuperado.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
47/74
Gua de Desarrollo de Plan de Continuidad de Negocio
ANEXO II - Lis tado de Amenazas
41
ANEXO II - LISTADO DE AMENAZAS
AMENAZASDESASTRES NATURALES
Huracanes
Inundaciones
Incendios
DAOS ACCIDENTALES
Fuego fortuito
Inundaciones
Fallo del aire acondicionadoExceso de humedad
Humo, gases txicos
Subida de tensin
Fallo de suministro elctrico
Fallo de la UPS
Accidentes del personal
Capacidad inadecuada de las comunicaciones
Fallo/degradacin del hardware
Fallo/degradacin de las comunicaciones
Errores de operacin
Fallos en las copias de seguridad
Fallos de los sistemas de autenticacin/autorizacin
Prdida de confidencialidad
Incumplimientos legales
ATAQUES INTENCIONADOS
Explosivos
Fuego intencionadoAccesos no autorizados al edificio
Actos de vandalismo
Radiaciones electromagnticas
Robos intencionados
Manipulacin de datos/software
Manipulacin de hardware
Uso de software por personal no autorizado
Acceso no autorizados a datos de la compaa
Software malicioso
Robo de equipos
Robo de documentos
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
48/74
Gua de Desarrollo de Plan de Continuidad de Negocio
ANEXO II - Lis tado de Amenazas
42
Robo de software
Descarga de software no controlada
Interceptacin de las lneas de comunicacin
Manipulacin de las lneas de comunicacin
Abuso de privilegios de acceso
Introduccin de virus en los sistemas
Troyanos
Ataques por ingeniera social
Bombas lgicas
Ataques de denegacin de servicio
Errores intencionadosCopias incontroladas de documentos/software/datos
Errores en el mantenimiento
Corrupcin de datos
Incumplimientos legales intencionados
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
49/74
Gua de Desarrollo de Plan de Continuidad de Negocio
ANEXO III Ejemplos de Vulnerabi lidades
43
ANEXO III EJ EMPLOS DE VULNERABILIDADES
VULNERABILIDADES
Existencia de materiales inflamables como papel o cajas
Cableado inapropiado
Ancho de banda inapropiado
Suministro elctrico inapropiado
Mantenimiento inapropiado del servicio tcnico
Ausencia de mantenimiento
Educacin inadecuada del personal en virus y malware
Polticas de firewall inadecuadas
Poltica de seguridad de la informacin inadecuada
Ausencia de poltica de seguridad
Derechos de acceso incorrectos
Ausencia de un sistema de extincin automtica de fuegos/humos
Ausencia de backup
Ausencia de control de cambios de configuracin eficiente y efectiva
Ausencia de mecanismos de identificacin y autenticacin
Ausencia de poltica de restriccin de personal para uso licencias de softwareUbicacin fsica en un rea susceptible de desastres naturales
Carencia de software antivirus
Descarga incontrolada y uso de software de Internet
Ausencia de mecanismos de cifrado de datos para la transmisin de datosconfidenciales
Proteccin fsica de equipos inadecuada
Personal sin formacin adecuada
Incumplimientos legales (LOPD, Ley Sarbanes Oxley, etc.)
Definicin de privilegios de acceso inadecuadaAusencia de un Plan de recuperacin de incidentes
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
50/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Anexo IV Ejemplo rbol de L lamadas
ANEXO IV EJ EMPLO RBOL DE LLAMADAS
Comit de Crisis
Equipo deRecuperacin
Equipo deCoordinacin
Lo stica
Equipo deSeguridad
Equipo deRelacionesPblicas
Equipo de UnidadesdeNegocio
Comit deDireccin
44
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
51/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Anexo V Sit ios de Inters
45
ANEXO V SITIOS DE INTERS
http://www.contingencyplanning.com/ - Revista de Continuidad de Negocio
http://www.globalcontinuity.com/ - Portal de Business Continuity Plan
http://www.thebci.org/pas56.htm - Business Continuity Institute
http://www.disaster-recovery-guide.com/ - Informacin y guas sobre
Continuidad
http://www.nist.org/ - Mejores prcticas en Seguridad Informtica
http://www.iss.net/ - Base de datos de vulnerabilidades X-Force
http://nvd.nist.gov/ - Base de datos de vulnerabilidades del NIST
http://www.securityfocus.com/ - Base de datos de vulnerabilidades
http://www-5.ibm.com/services/es/portfolios/recuperacion.html - Proveedor de
Servicios de Continuidad de Negocio
http://h20219.www2.hp.com/services/cache/9270-0-0-197-470.html -
Proveedor de Servicios de Continuidad de Negocio
http://www.contingencyplanning.com/http://www.globalcontinuity.com/http://www.thebci.org/pas56.htmhttp://www.disaster-recovery-guide.com/http://www.nist.org/http://www.iss.net/http://nvd.nist.gov/http://www.securityfocus.com/http://www-5.ibm.com/services/es/portfolios/recuperacion.htmlhttp://h20219.www2.hp.com/services/cache/9270-0-0-197-470.htmlhttp://h20219.www2.hp.com/services/cache/9270-0-0-197-470.htmlhttp://www-5.ibm.com/services/es/portfolios/recuperacion.htmlhttp://www.securityfocus.com/http://nvd.nist.gov/http://www.iss.net/http://www.nist.org/http://www.disaster-recovery-guide.com/http://www.thebci.org/pas56.htmhttp://www.globalcontinuity.com/http://www.contingencyplanning.com/7/29/2019 Guia Desarrollo Plan Continuidad Negocio
52/74
Gua de Desarrollo de Plan de Continuidad de Negocio
46
CASO DE ESTUDIO
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
53/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Caso de Estud io
47
CASO DE ESTUDIO
ANTECEDENTES
Zapasol S.A. es una compaa que fabrica zapatos con materiales reciclados.Zapasol S.A. cuenta actualmente con 80 empleados, repartidos en dos plantas defabricacin, una en Valencia y otra en Albacete distante 200 kilmetros. El xitode venta de este tipo de zapatos les ha llevado a mercados internacionales,importando a ms de 20 pases.
Dentro de la propia fbrica cuentan con un pequeo departamento de informticaformado por 4 empleados que se encargan de la gestin de todo lo relacionado
con comunicaciones, software, hardware, bases de datos. Este departamento ysu centro de proceso de datos se encuentran en Valencia.
El rpido desarrollo y expansin de esta compaa ha resultado en uncrecimiento tecnolgico importante en los procesos de soporte, tales comofacturacin, nminas, atencin al cliente, etc. Sin embargo, las medidas deseguridad no han acompaado de igual forma a este crecimiento. A continuacinse describe brevemente cul es la situacin actual en cuanto a seguridad de lacompaa:
No existe una poltica de seguridad en la compaa. Slo hay antivirus en algunos equipos, en otro no se ha instalado. No se realizan copias de seguridad de la informacin. Existe control de acceso a los equipos, pero los usuarios comparten
contraseas. Los servidores se encuentran en una sala sin ninguna medida de
proteccin fsica.
.
Como parte de los proyectos a acometer durante el ao 2007, el Director deInformtica de Zapasol S.A. ha propuesto la realizacin de un Plan deContinuidad de Negocio, para configurar una estrategia de recuperacin antecualquier evento grave que haga peligrar el negocio de la empresa.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
54/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Caso de Estud io
48
ANLISIS DE IMPACTO
Para desarrollar este Plan, el director de informtica ha encargado a Luis (otro delos empleados del departamento de informtica) que realice un inventario de losprocesos crticos de la compaa, estableciendo los tiempos de recuperacin delos mismos, antes de incurrir en prdidas graves. Para ello, Luis se haentrevistado con los responsables de los procesos obteniendo la siguienteinformacin:
Proceso Subproceso Breve descripc in
Frecuencia
(Diario/Semanal
Mensual)
Responsable
Pedidos -- Se encarga de recibir todoslos pedidos de los distintosclientes y de gestionar suenvo en los plazos ycondiciones establecidas
DiarioIns Burgos
Atencin alCliente
--- Recogida y Gestin deincidentes
Diario ngela Cano
RecursosHumanos
-- Seleccin y formacin delpersonal de la compaa
Segnnecesidad
Marta lvarez
Nminas -- Generacin y Pago de lasNminas de los empleados
Mensual Laura Cuesta
Stock --- Control y Gestin del stock dezapatos en los almacenes
Diario AntonioRomero
Nota: Para el ejemplo s lo se toman dos procesos de muestra (Pedidos y Nminas)
COMPONENTES DE LOS PROCESOS
A continuacin se describen cada uno de los componentes Hardware, Software,Comunicaciones, etc., que conforman los procesos definidos en Zapasol S.A.
PROCESO PEDIDOS
Sistemas del proceso de Pedidos:
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
55/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Caso de Estud io
49
Nombre
delSistema
Descripcin Criticidad
Tipo de
Sistema(PC/Servidor/Mainframe)
N de
Equiposcon la
aplicacin
Responsable ContactoTcnicos
CorreoElectrnico
2 Servidor deCorreo
4--- ----
GestinPedidos
Aplicacinpara laGestin depedidos
1 4 ----
Hardware del proceso de Pedidos:
Tipo deHardware
Detalles delModelo/Configuracin
Distribuidor Criticidad Localizacin
Servidor deCorreo
PowerEdgeTM 1900Servidor en torre dencleo cudruple con 2
sockets
Dell 3 Centro procesodatos Valencia
PCs ProcesadorIntel CoreTM 2 DuoE6000
Chipset Q965 ICH8DOcompatible con ActiveManagement Technology(iAMT 2.1) de Intel
Solucin LAN GigabitEthernet de Intel
Dell 2 Centros deValencia yAlbacete
Servidor deAplicaciones
PowerEdgeTM 2900Servidor en torre dencleo cudruple con 2sockets
Dell 1 Centro procesodatos Valencia
Otros Activos del proceso:
Descripcin Tipo Criticidad Localizacin
Lnea RDSI decomunicaciones
Comunicaciones 1 Centros de trabajo
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
56/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Caso de Estud io
50
Impresoras Hardware 2 Centros de trabajo
Centralita deComunicaciones
Comunicaciones 3 Centros de trabajo
PROCESO DE NMINAS
Sistemas del proceso de Nminas:
Nombredel
SistemaDescripcin Criticidad
Tipo deSistema(PC/Servidor/Mainframe)
N deEquiposcon la
aplicacin
Responsa-ble
ContactoTcnicos
AplicacinNminas
Programaque seencarga derealizar elclculo de lasnminas
3Servidor /PCs
3LauraCuesta
-----
Windows Sistema
Operativo
2PCs 20
Angel Perez Soporte
Windows
Hardware del proceso de Nminas:
Tipo deHardware
Detalles delModelo/Configuracin
Distribuidor Criticidad Localizacin
Servidor de
aplicaciones
PowerEdgeTM 1900
Servidor en torre dencleo cudruple con 2sockets
Dell 2 Centro proceso
datos Valencia
PCs ProcesadorIntel CoreTM 2 DuoE6000
Chipset Q965 ICH8DOcompatible con ActiveManagement Technology(iAMT 2.1) de Intel
Solucin LAN GigabitEthernet de Intel
Dell 2 Centros deValencia yAlbacete
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
57/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Caso de Estud io
51
Otros Activos del proceso
Descripcin Tipo Criticidad Localizacin
Impresoras Hardware 2 Centros de trabajo
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
58/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Caso de Estud io
52
TIEMPO MXIMO DE RECUPERACIN DE LOS PROCESOS
ProcesoNecesidades deRecuperacin
Criticidad
PEDIDOS En 2-3 das 1
El proceso de Pedidos es clave para la organizacin, ya que si no se puedengestionar los pedidos de los clientes la empresa no puede dar servicio y por lotanto incurrir rpidamente en prdidas. Por ello es importante que este procesose recupere lo antes posible.
ProcesoNecesidades deRecuperacin
Criticidad
NOMINAS En 15-30 das 3
Aunque el proceso de Nminas es importante, la compaa puede esperarsemanas a que se restablezca y crear procedimientos alternativos como porejemplo, repetir el ltimo pago de nmina a los trabajadores y realizar lascompensaciones correspondientes, cuando estn disponibles de nuevo lossistemas.
7/29/2019 Guia Desarrollo Plan Continuidad Negocio
59/74
Gua de Desarrollo de Plan de Continuidad de Negocio
Caso de Estud io
53
ANLISIS DE RIESGOS
Una parte importante dentro del desarrollo del Plan de Continuidad es el Anlisis
de Riesgos. Este anlisis permitir a la compaa conocer sus riesgos ygestionarlos de forma adecuada.
Existen diferentes metodologas de riesgo (NIST, MAGERIT, OCTAVE, etc.) quepueden aplicarse para realizar el Anlisis de Riesgos. Para el ejemplorealizaremos un anlisis con un enfoque general, sin entrar en metodologasconcretas ni valoraciones de los activos.
Tomando como ejemplo el inventario de los procesos descritos y las premisasdescritas en la presentacin de la compaa, elaboraremos el Anlisis de Riesgos.
INVENTARIO DE ACTIVOS
Acti vo/Descripc in Tipo Propietaro Local izacin Valor
SERVIDOR DEAPLICACIOMES
Hardware ---- Centro deProceso dedatos
MEDIO
APLICACIN DEPEDIDOS
Aplicacin ---- Serv