auditoria - investigacion (examen)

Plan de Continuidad del Negocio – Business Continuity Planning

ESCUELA SUPERIOR POLITECNIA DEL LITORAL

Licenciatura en Sistemas de Información

PROYECTO DE SISTEMAS DE INFORMACIONProblema de control de distribuidores

Industrias Lácteas Toni S.A

Preparado por:Oscar SanchezJose VelascoDenisse Moran Ricardo Molina

Profesor.Ing. Robert Andrade

Profesor.Ing. Robert Andrade

1


PLAN CONTINUIDAD DE NEGOCIO

BCP - BUSINESS CONTINUITY PLANNIG

DEFINICIONES

En lenguaje sencillo, BCP es el cómo una organización se prepara para futuros incidentes que puedan poner en peligro la organización y su misión básica a largo plazo. Los incidentes incluidos en la construcción de incidentes como incendios, terremotos incidentes como regional, nacional o incidentes como pandemia de enfermedades.

Es el resultado de la aplicación de una metodología interdisciplinaria, llamada Cultura BCM, usada para crear y validar planes logísticos para la practica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción o desastre. Estos planes son llamados Planes de Continuidad del Negocio. El plan logístico que se denomina un Plan de Continuidad de Negocios.

La información es uno de los activos más importantes para las organizaciones, donde los sistemas de información y disponibilidad de estos juegan un rol preponderante para la continuidad de un negocio, por lo cual las organizaciones desarrollan e implementan lo que se conoce como BCP (Business Continuity Plan), con el objetivo de mantener la funcionalidad de una organización, a un nivel mínimo aceptable durante una contingencia. Esto implica que un BCP debe contemplar todas las medidas preventivas y de recuperación para cuando se produzca una contingencia que afecte al negocio.

Este Plan de Continuidad de Negocio, permite recuperar los Procesos Críticos del Negocio, en el menor tiempo posible, de acuerdo al análisis de riesgo y los recursos destinados por la compañía.

El Plan de Continuidad de Negocio incluye, a lo menos, los siguientes documentos:

Definición de Procesos Críticos Definición de Escenarios de Fallas Análisis de impacto Matriz de Escenarios de Fallas versus Procesos Críticos Definición de Estrategia de Recuperación Definición de Usuarios Críticos Escalamiento de eventos de contingencia Comunicados en Contingencia Definición Proveedores Críticos Procedimientos de Contingencias alternativos Plan de Pruebas Capacitación y Difusión

El Plan de Continuidad de Negocio establece cuándo, cómo, quién y qué se tiene que hacer en cada uno de los posibles estados en los cuales se pueden encontrar los procesos de negocio de una organización: seguimiento (sustain), protección (protect) y

2


recuperación (recover/resume), con el objetivo de asegurar su continuidad.

Asegurar la confidencialidad

Auditoría basada en Test de Intrusión Audit. Téc. de Seguridad Perimetral Auditoría Téc. de Seguridad Interna Auditoría Téc. de Seguridad Wireless Auditoría Técnica de Accesos Auditoria Forense / Obtención pruebas Audit. Seguridad de Aplicaciones Web

Asegurar la disponibilidad

Planes de Contingencia Análisis de Impacto (BIA) Planes de Recuperación ante Desastre

(PDR) Planes de Continuidad de Negocio

(BCP, PCN)

La Gestión de Continuidad de Negocio se arraiga en un proceso continuo empezando por un buen conocimiento del entorno de nuestros clientes con el objetivo de que la continuidad forme parte de la propias estrategias de la organización.El proceso en su totalidad incluye las siguientes fases:

Obtener un conocimiento de su negocio a través de la iniciación del proyecto. Realizar un análisis de impacto cuyo objetivo es determinar los procesos críticos

de la empresa , evaluar sus impactos económicos y operacionales sobre el negocio en caso de no disponer de los recursos humanos, logísticos o tecnológicos para ejecutarlos además de establecer un orden de prioridad de recuperación de dichos procesos.

Realizar un análisis de riesgos en el que se valoran los riesgos a los que están expuestos su negocio y más específicamente los procesos críticos identificados en la fase anterior dejando como opciones: eliminar, mitigar o asumir los riesgos valorados.

Desarrollar unas estrategias de continuidad y valorarlas hasta llegar a un equilibrio entre los gastos incurridos, los riesgos a mitigar y los beneficios económicos aportados.

Documentar los procedimientos a seguir según la estrategia adoptada. Los procedimientos incluyen la planificación de los recursos, la logística y la tecnología necesaria para recuperar los servicios mínimos de su empresa.

Probar las soluciones de recuperación y realizar ejercicios basados en el Plan para asegurar su buen funcionamiento y para poder actualizar los puntos débiles encontrados durante esta fase.

Sensibilización y formación de la plantilla al BCP y la importancia que éste tiene para su negocio.

Dentro de un Plan de Continuidad de Negocio se pueden incluir (de manera sucesiva o exclusiva):

El Plan de Recuperación de Desastres (DRP) tecnológicos cuyo objetivo es proporcionar una solución tecnológica en caso de fallo de los sistemas sea a través de proveedores externos o desarrollando una solución interna.

El Plan de Continuidad de Operaciones (COOP) que consiste en asegurar la continuidad e las operaciones a través de la contratación de servicios logísticos adecuados.

El Plan de Continuidad de Negocio (BCP) el cual engloba los planes anteriores y que cubre la totalidad de la empresa en caso de una interrupción de sus operación causado por cualquier incidencia o contingencia.

3


¿QUIEN DEBE TENER UN PLAN DE RECUPERACIÓN?

Una pregunta que podemos hacernos es si el tamaño de una organización determina la necesidad o no de tener un Plan de Continuidad. Se puede responder a esta pregunta diciendo que NO. Si una organización es muy grande, con beneficios millonarios, con grandes edificios y gran número de empleados, o si se trata de una persona trabajando en una pequeña oficina con 5 empleados, ambos necesitan asegurar la disponibilidad de su negocio. De hecho, debido a los pocos recursos y a las pocas opciones de respuesta ante un desastre, en algunos casos sería más vital desarrollar un Plan de Recuperación de Negocio para los pequeños negocios que para las grandes corporaciones.

¿POR DÓNDE EMPEZAMOS ?

Para desarrollar un Plan de Continuidad de Negocio tenemos que empezar por obtener un conocimiento de la compañía: sus productos/servicios, sus objetivos empresariales, procesos internos, etc. No es lo mismo un Plan de Continuidad para una empresa de servicios de Internet que para una empresa fabricante de juguetes. Aunque en ambos casos el objetivo será el de seguir dando servicio a sus clientes, las actividades y procesos sobre las que se soporta la empresa tendrán diferentes prioridades de recuperación ante una contingencia grave. El propósito general de un Plan de recuperación es obtener un mapa de acciones que reduzcan “la toma de decisiones” durante las operaciones de recuperación, restaure los servicios críticos rápidamente y permita un normal funcionamiento de los sistemas y procesos lo antes posible, minimizando costes y aumentando la efectividad.

Podemos dividir un Plan de Continuidad de Negocio en cuatro Fases:

FASE I – ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS FASE II – SELECCIÓN DE ESTRATEGIAS FASE III- DESARROLLO DEL PLAN FASE IV – PRUEBAS Y MANTENIMIENTO

FASE I – ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS

Se trata de obtener un conocimiento de los objetivos de negocio y de los procesos que se consideran críticos para el funcionamiento de la compañía. Una vez identificados los procesos críticos, se analizarán cuáles son los riesgos asociados a dichos procesos para identificar cuáles son las causas potenciales que pueden llegar a interrumpir un negocio.

Preguntas Importantes para el desarrollo:

¿Cuáles son las actividades más importantes para la compañía? ¿Cómo afectaría económicamente una interrupción de los servicios a medida que va pasando el tiempo sin reanudar el servicio? ¿Cuál sería la capacidad operativa de la empresa a medida que pasa el tiempo? ¿Cuál es el plazo máximo para volver a la normalidad sin llegar a incurrir en graves pérdidas?

Las actividades/procesos que se clasifican como esenciales dentro de una compañía suelen ser en su mayoría los Operacionales. Estos procesos interactúan directamente con los clientes o con otras organizaciones

4


externas a la compañía (Dpto. de Ventas, Dpto. Atención al Cliente, etc.). También es posible, que estos procesos dependan de otros internos, que también deben ser analizados. Para conocer cuáles son las necesidades de la compañía en cuanto a estrategias de continuidad, vamos a utilizar dos mecanismos de análisis:

1. Análisis de Impacto (BIA – Business Impact Analysis): Nos permitirá identificar la urgencia de recuperación de cada función de negocio, determinando el impacto en caso de interrupción. Esta información nos permitirá seleccionar cuál es la estrategia más adecuada.

Dentro del Análisis de Impacto podemos distinguir las siguientes actividades:

Obtención de la Relación de Procesos: Establecer los procesos de negocio que se realizan en la compañía.

Para obtener la información sobre los procesos y las aplicaciones que los gestionan, es esencial la participación de las personas responsables de los mismos dentro de la compañía, y de aquellos trabajadores que conocen en profundidad los mismos. Para ello pueden utilizarse entrevistas personales y cuestionarios que nos acercarán a los procesos críticos del negocio.

Podemos dividir los procesos en operativos y procesos de soporte. Los procesos operativos son aquellos que guardan una relación directa con el cliente (comercial, facturación, almacenaje, atención al cliente, etc.). Los procesos de soporte, serían aquellos que facilitan los “recursos” para poder realizar los procesos operativos (recursos humanos, gestión financiera, etc.)

Obtención de la Relación de Aplicaciones: Establecer la relación de aplicaciones que soportan los procesos de la compañía.

En este apartado debe recogerse el inventario de los recursos tecnológicos que soportan los procesos de la compañía, a fin de identificar aquellos que den soporte directo a los servicios críticos. Los tipos de recursos que se deben analizar son:

Hardware, identificando cada uno de los elementos hardware que soportan los sistemas de información de la compañía.

Software Base, recogiendo todos aquellos componentes de software, incluido todos los asociados al sistema operativo, indispensables para el funcionamiento y optimización del Sistema de Información de la compañía.

Software de Aplicaciones, inventariando las aplicaciones de gestión que son utilizadas en la empresa.

Sistemas de Infraestructura, considerando aquellos elementos o componentes que sin disponer de una tecnología enfocada propiamente al tratamiento de la información sí son requeridos para garantizan la operatividad del servicio.

Relación de Departamentos y Usuarios: Se identifican los departamentos que hay en la empresa y el nombre de las personas que la componen y que intervienen

5


en los procesos.

Los procesos de la compañía están gestionados por departamentos/usuarios. Dentro del inventario de procesos es necesario conocer el personal involucrado en los mismos. Esta información puede obtenerse en las mismas entrevistas donde se recoge la información de los procesos existentes y de los elementos (hardware, software, etc.) que lo componen.

Determinar cuáles son los Procesos Críticos: Pueden darse dos valoraciones, una basada en la importancia para la compañía de los procesos cuya ausencia tendría un impacto alto en la actividad de la compañía (valoración cualitativa). La otra, se referiría a las pérdidas económicas por período debido a la ausencia de los procesos (valoración cuantitativa).

Esta tarea supone evaluar los impactos económicos y operacionales sobre el negocio en caso de no disponer de la función analizada. La valoración de pérdidas no es una cuestión sencilla, ya que pueden concurrir aspectos intangibles, tales como la imagen de la organización ante sus clientes. Algunos criterios que pueden ayudar a valorar las eventuales pérdidas pueden ser:

Coste de horas de trabajo perdidas, al no poder usar las aplicaciones que no tengan alternativa manual o cuyo tratamiento manual suponga una pérdida de eficiencia importante. Ingresos dejados de percibir. Penalizaciones por incumplimiento de contratos con clientes. Sanciones administrativas por incumplimiento de leyes debido a la falta de control en situación de desastre (exposición de datos personales, incumplimiento de normativa internacional como la Ley Sarbanes Oxley, etc.). Gastos financieros.

Período Máximo de Interrupción: El acumulado de pérdidas suele ir creciendo linealmente a medida que pasan los días y las actividades están interrumpidas. No obstante, a partir de un momento que denominaremos Período Máximo de Interrupción, las pérdidas sufren un aumento significativo y las funciones no podrían ser reasumidas.

Una vez que obtenemos la visión del negocio, de los procesos que lo componen y de la criticidad de cada uno de ellos, debemos establecer los tiempos de recuperación. Teniendo en cuenta que el objetivo del Plan es dar continuidad al negocio tras un incidente o contingencia grave con las menores pérdidas económicas posibles para la compañía, deben estimarse para cada uno de los procesos que se han considerado críticos, el tiempo a partir del cual las pérdidas económicas afectarían de forma grave a la compañía (Tiempo máximo de interrupción). Esta estimación es importante de cara a seleccionar la estrategia de respaldo adecuada a las necesidades de recuperación.

Pueden existir procesos en los que el tiempo de recuperación es muy pequeño (horas), por ejemplo el servicio de banca electrónica de un banco, y otros procesos como la facturación a clientes en una empresa de servicios, pueden tener un periodo de recuperación mayor (días o semanas).

6


En el Anexo I se incluye un ejemplo de recogida de datos para cada una de las partes que componen el Análisis de Impacto. La recogida de esta información permitirá evaluar las necesidades de la organización en materia de continuidad, por lo que es importante que la información sea lo más completa posible.

2. Análisis de Riesgos: El Objetivo de un análisis de riesgos es identificar y analizar los diferentes factores de riesgo que potencialmente podrán afectar a las actividades que queremos proteger. La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuación estimar el impacto que supondría para la organización. Se ha de tener en cuenta la probabilidad de que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.

El objetivo de un Análisis de Riesgos es poner de manifiesto aquellas debilidades actuales que por su situación o su importancia pueden poner en marcha, antes de lo deseable, el Plan de Recuperación de Negocio. El Análisis de Riesgo debe centrarse en los procesos/actividades del negocio que se han considerado críticos, aunque también puede extenderse a aquellos que no lo son. La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuación estimar el coste que supondría. Se ha de tener en cuenta la probabilidad de que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado. En lo fundamental, la evaluación de riesgos que se ha de llevar a cabo ha de contestar, con la mayor fiabilidad posible, a las siguientes preguntas:

¿Qué e intenta proteger? ¿Cuál es su valor para uno o para la organización? ¿Frente a qué se intenta proteger? ¿Cuál es la probabilidad de un ataque?

ESQUEMA DEL ANÁLISIS DE RIESGOS

IDENTIFICAR ACTIVOS Para cada uno de los procesos críticos de la compañía es necesario realizar un inventario de los activos involucrados en el proceso. Los activos se definen como los recursos de una compañía que son necesarios para la consecución de sus objetivos de negocio. Ejemplos de activos de una compañía pueden ser:

• Información

7

Identificacion de Activos

Identificacion de Amenazas

Evaluar vulnerabilidad

Analizar Riesgos

Determenar Impacto

Evaluar Madidas


• Equipamiento • Conocimiento • Sistemas

IDENTIFICAR AMENAZAS Una amenaza se define como un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus servicios. A la hora de analizar los riesgos hay que evaluar las distintas amenazas que pueden provenir de las más diversas fuentes. Entre éstas se incluyen los agresores malintencionados, las amenazas no intencionadas y los desastres naturales.

EVALUAR VULNERABILIDADES Las vulnerabilidades son debilidades que pueden ser explotadas para convertir una amenaza en un riesgo real que puede causar daños graves en una compañía. Las vulnerabilidades en sí mismas no causan daño alguno, sino que es una condición o un conjunto de condiciones que pueden permitir a una amenaza afectar a un activo.

EVALUACIÓN DEL IMPACTO Los incidentes causan un impacto dentro de la organización, que también deberá tomarse en cuenta a la hora de calcular los riesgos. La valoración del impacto puede realizarse de forma cuantitativa, estimando las pérdidas económicas, o de forma cualitativa, asignando un valor dentro de una escala (p.e. alto, medio, bajo). Por ejemplo, el robo de información confidencial de la compañía puede causar un impacto alto si ésta cae en malas manos. En otro caso, podemos estimar las pérdidas económicas de equipos tangibles valorando el coste de reposición y puesta en marcha.

EVALUACIÓN DEL RIESGO Riesgo es la posibilidad de que se produzca un impacto determinado en la organización. El riesgo calculado es simplemente un indicador ligado al par de valores calculados de vulnerabilidad y el impacto, ambos ligados a su vez de la relación entre el activo y la amenaza a la que el riesgo calculado se refiere. El riesgo suele expresarse en términos cualitativos (Alto, Medio, Bajo).

PROBABILIDAD DE INCIDENTES= AMENAZA X VULNERABILIDAD

RIESGO= PROBABILIDAD DE INCIDENTES X IMPACTO

A continuación se muestra un ejemplo de una matriz de probabilidad/impacto:

Probabilidad

ALTO RIESGO MEDIO

RIESGO ALTO RIESGO ALTO

8


MEDIO RIESGO BAJO RIESGO MEDIO RIESGO ALTO

BAJO RIESGO BAJO RIESGO BAJO RIESGO MEDIO

BAJO MEDIO ALTO

Impacto

Cuanto más baja sea la probabilidad de ocurrencia (no existan vulnerabilidades) y el impacto sobre la compañía sea también bajo, estaremos en un nivel de riesgo bajo. Sin embargo, si existen vulnerabilidades que aumenten la probabilidad de ocurrencia o el impacto del incidente sea alto para la compañía, estaremos en unos niveles de riesgo medio-alto.

A modo de ejemplo se muestra la siguiente tabla:

DESCRIPCIÓN PROBAB IMPACTO RIESGO

Terremoto en ciudades situadas fuera de fallas sísmicas

BAJA MEDIO BAJO

Terremoto en ciudades situadas sobre fallas sísmicas

ALTA MEDIO ALTO

Robo de información confidencial compañía con control de acceso lógico

BAJA ALTO MEDIO

Robo de información confidencial compañía sin control de acceso lógico

ALTA ALTO ALTO

EVALUAR CONTRAMEDIDAS Para reducir riesgos se utilizan los denominados controles o medidas de seguridad. Podemos clasificar los controles en:

Controles preventivos

Identifican potenciales problemas antes de que ocurran Previenen errores, omisiones o actos maliciosos.

Ejemplos:

Realizar copias de seguridad de los archivos. Contratar seguros para los activos. Establecer procedimientos / políticas de seguridad. Establecer control de acceso a la información.

9


Establecer control de acceso físico.

Controles detectivos

Identifican y “reportan” la ocurrencia de un error, omisión o acto malicioso ocurrido.

Ejemplos:

Monitorización de eventos. Auditorías internas. Revisiones periódicas de procesos. Sensores de humo. Detección de virus (Antivirus).

Controles Correctivos

Minimizan el impacto de una amenaza. Solucionan errores detectados por controles detectivos. Identifican la causa de los problemas con el objeto de corregir errores producidos. Modifican los procedimientos para minimizar futuras ocurrencias del problema. Ejemplos:

Parches de seguridad. Corrección de daños por virus. Recuperación de datos perdidos.

Las medidas seleccionadas para mitigar riesgos deben mantener una proporción entre el esfuerzo y coste necesarios para su implantación y el riesgo que mitigan (evaluación del coste-beneficio).

Uno de los objetivos del Plan de Continuidad es evitar en la medida de lo posible que se produzcan incidentes que hagan necesaria su ejecución. Por ello, es importante que la compañía conozca sus riesgos y ponga las medidas adecuadas para corregir el mayor número de vulnerabilidades que puedan provocar un incidente grave.

La evaluación de riesgos debe ser periódica y de acuerdo con el modelo de gestión de riesgos de la organización y en función de la evolución del negocio (crecimiento), de cambios importantes en la organización (procesos internos), nuevas obligaciones legales, etc.

FASE II – SELECCIÓN DE ESTRATEGIAS Esta fase tiene dos objetivos:

Por un lado, valorar las diferentes alternativas y estrategias de respaldo en función de los resultados obtenidos en la fase anterior, para seleccionar la más adecuada a las necesidades de la compañía.

Por otro lado, corregir las vulnerabilidades detectadas en los procesos críticos de negocio identificadas en el Análisis de Riesgos.

10


SELECCIÓN DE ESTRATEGIAS Existen diferentes estrategias para mitigar el impacto de una interrupción. Cada una de estas estrategias tiene unos parámetros de tiempo, disponibilidad y costes asociados que serán más o menos apropiados dependiendo de las funciones de negocio.

A continuación se describen diferentes estrategias para reubicación funcional:

No hacer nada: Este tipo de actuación podría utilizarse en aquellas funciones o actividades que se han clasificado como “no urgentes” en el Análisis de Impacto. En este tipo de estrategia se asume el riesgo.

Utilización de espacios propios: Espacios existentes en la compañía tales como salas de formación, cafeterías, etc. Este tipo de estrategia requiere una planificación minuciosa.

Reutilización de recursos: Reubicación de personal con funciones no urgentes en tareas que requieren una mayor prioridad. En este caso se debe poner cuidado en convertir la función no urgente en urgente por ser desatendida durante demasiado tiempo.

Trabajo Remoto o Teletrabajo: Posibilidad de trabajar desde ubicaciones exteriores a la compañía mediante conexión remota.

Acuerdos Recíprocos: Acuerdos entre dos organizaciones (o dos unidades de negocio de la propia compañía diferentes) con características de equipamiento/espacio similares que permitiría a cada una de las partes recuperar funciones en la otra localización. En este caso es importante definir las condiciones de uso y la realización de pruebas periódicas para asegurar las condiciones pactadas.

Sitio alternativo subcontratado a terceros: Contratación con compañías especializadas de espacios alternativos para la recuperación de la actividad. En este caso hay que asegurar que estas compañías pueden proporcionar unos tiempos de recuperación acordes con las necesidades de la organización. Este tipo de compañías pueden proporcionar diferentes de soluciones:

Espacio dedicado: Se garantiza la disponibilidad inmediata del espacio. En contrapartida este servicio es más caro que otras alternativas.

Espacio compartido: Se comparte el espacio con otras compañías. Es más barato que un centro dedicado.

Espacios móviles: Se pueden utilizar rápidamente, pero tienen un espacio limitado.

Módulos prefabricados: Pueden tardar unos días en estar disponibles para su uso.

Localizaciones diversas: Se traslada la operación pero no el personal. Centro replicado: Solución que permite trasladar de forma inmediata la

operación y continuar la actividad de forma inmediata. También puede denominarse “centro espejo”. Esta solución es normalmente la más cara, pero también la mejor solución en el caso de que se necesite una recuperación muy rápida de la operación.

A continuación se muestra una tabla que recoge la

INTERNAS CONTRATADO

11


relación entre el Tiempo Objetivo de recuperación y la solución de continuidad más adecuada a este Objetivo:

TIEMPO OBJETIVO DE RECUPERACIÓN

MESES Reconstrucción / Realojamiento

----

SEMANAS Edificios prefabricados On-Site

Contratación de unidades móviles o prefabricados

DIAS Recuperación “in situ” Trabajo en casa

Subcontratación de procesos en oficinas móviles

HORAS Localizaciones diversas con empleados formados

Re-localización de un grupo de personas

INMEDIATO Localizaciones diversas para la misma función

Cambio de funcionamiento a un centro de respaldo subcontratado

FASE III- DESARROLLO DEL PLAN Una vez que se ha seleccionado la estrategia de respaldo hay que desarrollarla e implantarla dentro de la compañía. En esta fase se desarrollan los procedimientos y planes de actuación para las distintas áreas y equipos, y se organizan los equipos que intervienen en cada fase del Plan.

Hasta este momento hemos obtenido:

Conocimiento de los procesos de la compañía, valorando cuáles son críticos para el funcionamiento del negocio.

Valoración de los riesgos que pueden afectar al negocio y que pueden disparar el Plan de Continuidad de Negocio.

Estrategia de Continuidad más adecuada para el negocio.

A partir de aquí desarrollaremos “nuestro Plan de Continuidad”. Para ello definiremos:

Los equipos necesarios para el desarrollo del Plan. Las responsabilidades y funciones de cada uno de los equipos. Las dependencias orgánicas entre los diferentes equipos. El desarrollo de los procedimientos de alerta y actuación ante eventos que

puedan activar el Plan. Los procedimientos de actuación ante incidentes. La estrategia de vuelta a la normalidad.

ORGANIZACIÓN DE LOS EQUIPOS

12


Los equipos de emergencia están formados por el personal clave necesario en la activación y desarrollo del Plan de Continuidad. Cada equipo tiene unas funciones y procedimientos que tendrán que desarrollar en las distintas fases del Plan.

Aunque la composición y número de equipos puede variar según el tipo de estrategia de recuperación, a continuación se muestran algunos ejemplos de los equipos que pueden formar parte del Plan:

Comité de Crisis: Encargado de dirigir las acciones durante la contingencia y recuperación.

Equipo de Recuperación: Su función es restablecer todos los sistemas necesarios (voz, datos, comunicaciones, etc.).

Equipo Logístico: Responsable de toda la logística necesaria en el esfuerzo de recuperación.

Equipo de las Unidades de Negocio: Encargados de la realización de pruebas que verifiquen la recuperación de los sistemas críticos.

Equipo de Relaciones Públicas: Encargado de las comunicaciones a los medios de comunicación y clientes.

El personal asignado a cada uno de los equipos puede variar dependiendo del tamaño de la organización y de la estrategia de recuperación seleccionada. Una persona puede pertenecer a más de un equipo, siempre y cuando no existan incompatibilidades en las tareas a realizar.

EQUIPO DIRECTOR O COMITÉ DE CRISIS El objetivo de este comité es reducir al máximo el riesgo y la incertidumbre en la dirección de la situación. Este Comité debe tomar las decisiones “clave” durante los incidentes, además de hacer de enlace con la dirección de la compañía, manteniéndoles informados de la situación regularmente. Las principales tareas y responsabilidades de este comité son:

Análisis de la situación. Decisión de activar o no el Plan de Continuidad. Iniciar el proceso de notificación a los empleados a través de los diferentes

responsables. Seguimiento del proceso de recuperación, con relación a los tiempos estimados

de recuperación.

EQUIPO DE RECUPERACIÓN

El equipo de recuperación es responsable de establecer la infraestructura necesaria para la recuperación. Esto incluye todos los servidores, PC’s, comunicaciones de voz y datos y cualquier otro elemento necesario para la restauración de un servicio.

EQUIPO LOGÍSTICO

Este equipo es responsable de todo lo relacionado con las necesidades logísticas en el marco de la recuperación, tales como:

Transporte de material y personas (si es necesario) al lugar de recuperación.

13


Suministros de oficina. Comida. Reservas de hotel, si son necesarias. Contacto con los proveedores.

Este equipo debe trabajar conjuntamente con los demás, para asegurar que todas las necesidades logísticas sean cubiertas.

EQUIPO DE RELACIONES PÚBLICAS Y ATENCIÓN A CLIENTES

Se trata de canalizar la información que se realiza al exterior en un solo punto para que los datos sean referidos desde una sola fuente. Sus funciones principales son:

Elaboración de comunicados para la prensa. Comunicación con los clientes.

Uno de los valores más importantes de una compañía son sus clientes, por lo que es importante mantener informados a los mismos, estableciendo canales de comunicación.

EQUIPO DE LAS UNIDADES DE NEGOCIO

Estos equipos estarán formados por las personas que trabajan con las aplicaciones críticas, y serán los encargados de realizar las pruebas de funcionamiento para verificar la operatividad de los sistemas y comenzar a funcionar.

Cada equipo deberá configurar las diferentes pruebas que deberán realizar para los sistemas.

FASE IV – PRUEBAS Y MANTENIMIENTO Una parte importante del Plan de Continuidad, es conocer que realmente funciona y es efectivo. Para ello se define la estrategia de pruebas y se realiza la prueba del Plan, para afinarlo según los resultados. Además, en esta última fase se definirán los procedimientos de mantenimiento del Plan.

OBJETIVOS DEL PLAN DE PRUEBAS El Plan de Continuidad no se considerará válido hasta que no se haya superado satisfactoriamente el Plan de Pruebas que asegure la viabilidad de las soluciones adoptadas.

El Plan de Pruebas diseñado tiene como objetivos:

Evaluar la capacidad de respuesta ante una situación de desastre que afecte a los recursos de la compañía.

Probar la efectividad y los tiempos de respuesta del Plan para comprobar que están alineados con la definición realizada en el diseño.

Identificar las áreas de mejora en el diseño y ejecución del Plan. Comprobar si los procedimientos desarrollados son adecuados para soportar la

recuperación de las operaciones de negocio. Evaluar si los participantes del ejercicio están suficientemente familiarizados con

la operativa en situación de contingencia.

14


Concienciación y formación para los empleados a través de la realización de pruebas.

TIPOS DE PRUEBAS Las pruebas de un Plan de Continuidad deben tener dos características principales:

Realismo: La utilidad de las pruebas se reduce con la selección de escenarios irreales. Por ello es importante reproducir escenarios que proporcionen un nivel de entrenamiento adecuado a las situaciones de riesgo. Exposición Mínima: Las pruebas deben diseñarse de forma que impacten lo menos posible en el negocio, es decir, que si se programa una prueba que suponga una parada de los sistemas de información, debe realizarse una ventana de tiempo que impacte lo menos posible para el negocio.

EJERCICIOS TÉCNICOS Este tipo de ejercicio requerirá la ejecución de procedimientos de notificación y operativos, el uso de equipos de hardware, software y posibles centros y métodos alternativos para asegurar un rendimiento adecuado. Ejemplos de elementos verificados durante un ejercicio de simulación son:

Procedimientos de emergencia. Métodos alternativos. Líneas de telecomunicaciones de backup. Procedimientos de notificación Vendedores / Clientes. Capacidad y rendimiento del hardware. Portabilidad del software. Accesibilidad al centro de respaldo. Movilización de los equipos de trabajo. Recuperación de ficheros y documentación almacenados en lugar externo. Recuperación de datos.

CUAL ES LA NECESIDAD DE IMPLANTACIÓN DE UN PLAN DE CONTINUIDAD DE NEGOCIO

La continuidad del negocio es la principal preocupación de los consejeros delegados de las compañías. Esto implica la realización de estudios de mercado para analizar la forma de incrementar sus ventas, llegando a cambios estructurales en la compañía para adaptarse a los cambios del entorno y a la regulación y normativa nacional e internacional. Para ese fin destinan parte de sus presupuestos y recursos. Son aspectos tangibles, que aportan beneficios o hacen disminuir sus gastos.

Cuando hablamos del peligro de la continuidad del negocio por contingencia o desastre, el discurso cambia. ¿Cómo vamos a asumir gastos en aspectos intangibles que no producen nada? Se tiene el convencimiento de que tan sólo reportan beneficios y reducen gastos, o mejor, salvan el negocio, si ocurren las contingencias. Y hasta no hace muchos años era impensable que ocurriesen las mismas.

Dado el acaecimiento de tangibles y recientes desastres producidos a nivel mundial, así como la evolución de la tecnología, este punto de vista ha cambiado, pero no afecta a

15


todos los países y sectores por igual. Del mismo modo, dependiendo del tamaño de la compañía, las acciones varían considerablemente.

De una forma u otra, no termina de estar claro qué es, cómo se hace y para qué sirve un plan de continuidad de negocio. Un reciente estudio del Business Continuity Institute del Reino Unido deja claro que los conceptos plan de continuidad de negocio (BCP, Business Continuity Plan) y plan de recuperación de desastres (DRP, Disaster Recovery Plan) no han sido asimilados adecuadamente por la dirección de las compañías provocando la ineficiencia de sus propios planes.Según dicho estudio, un plan de continuidad de negocio tiene las siguientes definiciones:

Asimismo, un plan de recuperación de desastres lo definen como:

A la vista de esta diversidad de definiciones y el grado de confusión existente, se nos presenta la oportunidad de tratar de clarificar dichos aspectos y de transmitir la necesidad de alineación entre negocio y tecnología para asegurar la continuidad de las compañías ante cualquier tipo de contingencia.

Un plan de continuidad de negocio (BCP) debe garantizar las operaciones necesarias para cumplir con el funcionamiento establecido en el desarrollo habitual del negocio ante cualquier tipo de desastre, interrupción o contingencia.

Un plan de recuperación de desastres (DRP), por su parte, es el plan que ejecuta Tecnologías de la Información para recuperar los sistemas que gestiona.

Un DRP será uno de los aspectos contemplados en un plan de continuidad de negocio. Por sí mismo sólo soluciona parte de los desastres pero no asegura de ninguna forma la continuidad de las operaciones si no existe un plan de continuidad de negocio que lo soporte.

Para terminar de ver cómo las compañías tienen asimilados estos conceptos incluimos los resultados referentes a un estudio de implantación de BCP en las compañías, por sector económico, según el Business Continuity Institute.

Como se puede ver en el gráfico, las compañías que tienen desarrollado un BCP tienen asociado un DRP mientras que en el caso contrario esto no ocurre siempre. Seguimos observando que el principal problema de la continuidad del negocio está asociado a una mala definición de los conceptos BCP y DRP.

Como nos demuestra el estudio, las amenazas terroristas sufridas en todo el mundo durante los últimos años han sembrado un estado de preocupación en las compañías. España también se ha visto influida por ese estado de ánimo pero hemos de constatar que esta concienciación está reflejada, principalmente, en grandes compañías y en determinados sectores económicos. La pequeña y mediana empresa define una serie de medidas que no se pueden considerar un BCP eficiente sino que sólo cubren algunos aspectos de un DRP.

Por ello surge la necesidad de explicar los objetivos, alcance y fases de un plan de continuidad de negocio y la necesidad de la implicación de la dirección general y todas las direcciones de negocio para asegurar la efectividad del mismo.

16


SUS OBJETIVOS

Los objetivos de un BCP son minimizar la pérdida financiera de la compañía, continuar con el servicio a los clientes y mitigar los efectos que pueden producirse en los planes estratégicos, la reputación, las operaciones y el mercado donde está situada la compañía. Como mencionamos, no se basa únicamente en recuperar los servicios e infraestructuras de Tecnologías de la Información.

La participación de toda la compañía es crucial para el éxito del desarrollo y ejecución del BCP. La dirección general es el primer responsable del desarrollo del plan de continuidad, debiendo garantizar los activos de la compañía y la viabilidad de la organización. En la elaboración y ejecución del BCP participarán todas las áreas de negocio existentes en la compañía. Algunas de las responsabilidades que va a tener que asumir la dirección son:

Buscar tanto los recursos como el conocimiento necesario para desarrollar el BCP.

Realizar una política para determinar cómo la compañía gestionará y controlará los riesgos identificados.

Revisar los resultados de las pruebas globales del BCP.

Asegurar que el plan esté actualizado, que el personal que participa en el mismo esté adecuadamente formado y sea consciente de su rol en la implementación del BCP.

Por otro lado, en un BCP estarán involucradas las principales áreas de negocio de la compañía junto al personal de sistemas de información, que les proporcionará los medios tecnológicos planificados para reiniciar las operaciones. Antes de pasar a describir, a grandes rasgos, las fases necesarias para elaborar un BCP, ilustramos un ejemplo de los recursos necesarios que pueden componer un BCP para una compañía de tamaño mediano del sector industria.

Como muestra el gráfico anterior, el primer y principal paso para arrancar un plan de continuidad de negocio es involucrar tanto a la dirección general como a las áreas de negocio claves. Si la compañía ya cuenta con un plan, para comprobar su efectividad será básico comprobar el nivel de compromiso de la dirección.

Las principales fases que nos llevarán al diseño y finalización de un adecuado plan de continuidad del negocio se muestran en el esquema siguiente:

El análisis de impacto sobre el negocio (BIA, Business Impact Análisis) es la primera acción a realizar para el desarrollo de un plan de continuidad del negocio. La cantidad de recursos y tiempo necesario para realizar el BIA dependerá del tamaño y complejidad de la compañía. Independientemente de este aspecto, deberán participar en su desarrollo no sólo el área de informática sino todas las funciones y áreas de negocio de la compañía. Es la fase más importante del plan ya que identifica los riesgos asociados a las funciones críticas del negocio, determina el impacto de los mismos y los prioriza para establecer posteriormente las estrategias de recuperación mediante la determinación de los tiempos de recuperación.

La selección de la estrategia de recuperación dependerá del cumplimiento de las conclusiones que determinó el BIA. Estas estrategias de recuperación son una

17


combinación de medidas preventivas, detectivas y correctivas que realizan las acciones de eliminar la amenaza, minimizar la probabilidad de que suceda y reducir el efecto de la misma. Por tanto, la selección de una estrategia dependerá de la criticidad del proceso del negocio, las aplicaciones que intervienen en el mismo, el costo, el tiempo requerido para la recuperación y la seguridad.

Posteriormente, basado en la información del BIA, el análisis de criticidad y la estrategia de recuperación seleccionada, se completará el plan desarrollando un plan de recuperación de desastres (DRP). Este plan debe estar escrito en un lenguaje sencillo que comprendan todos los involucrados en el mismo.

Una vez desarrollado el plan de continuidad de negocio, no hay que olvidar la fase de pruebas. Nuestra experiencia nos demuestra que la mayoría de las pruebas de continuidad no llegan a la escala total de todas las operaciones de la compañía. Con ello no se asegura la eficacia del plan porque uno de los fines de las pruebas es determinar si el plan funciona o analizar qué partes del mismo necesitan ser mejoradas. Por estos motivos, los resultados obtenidos de las pruebas deberán ser revisados por la alta gerencia para concluir si se cumple con los objetivos del plan de continuidad de negocio diseñado.

Para que el plan refleje los cambios producidos en la compañía, tanto en sistemas de información como en su operativa, el plan y las estrategias de recuperación deberán ser revisadas y actualizadas de forma periódica. Asimismo deberá probarse periódicamente para garantizar su correcto funcionamiento en caso de que fuera necesario activar el plan.

Por tanto, como se ha expuesto anteriormente, un plan de continuidad de negocio es esencial para asegurar la vida de la compañía ante cualquier tipo de contingencia y para conseguir su efectividad se debería, como mínimo, considerar los siguientes aspectos:

El plan de continuidad de negocio debería estar basado en directrices marcadas por la dirección.

A través de un análisis de impacto de negocio y una gestión del riesgo se consiguen los fundamentos para un efectivo BCP.

BCP es más que la recuperación de la tecnología, es la recuperación de la operativa del negocio.

La validez de un BCP sólo se demuestra probándolo. Un BCP debería ser actualizado periódicamente para reflejar y responder a los

cambios que se vayan produciendo en la compañía

No obstante, debemos poner énfasis en mencionar que en la mayoría de las compañías españolas que disponen de un plan de continuidad de negocio, probablemente éste no sería efectivo en caso de su ejecución, debido a que no se consideraron todos los aspectos básicos necesarios para su definición. Deberían responder a la pregunta: ¿Hemos alineado las Tecnologías de la Información con los objetivos del negocio? En la mayoría de la ocasiones olvidamos que las Tecnologías de la Información están para servir y ayudar al negocio, nunca al contrario.

PRACTICA PARA EJECUCION DE UN PLAN DE CONTINUIDAD

18


ANTECEDENTES

A pesar de los efectos negativos en las organizaciones, muchas empresas aún no toman medidas para contar con planes que les permitan lograr la Continuidad del Negocio.

72% de todos los negocios tienen alguna de estas condiciones:1. No tienen Plan de Continuidad del Negocio.2. Si lo tienen, nunca lo han probado.3. Su Plan falló cuándo lo probaron.

Solamente 18% de los datos de usuario final están protegidos.

CONTENIDO

Proceso de planificación de la continuidad del negocio /recuperación frente a desastres

Análisis de Impacto en el negocio (BIA) Clasificación de Operaciones, Análisis Criticidad Objetivo Punto Recuperación (RPO) y Objetivo Tiempo de Recuperación (RTO) Estrategias de Recuperación Alternativas de Recuperación Desarrollo de (BCP y DRP) Organización y Asignación de Responsables Otros aspectos del Desarrollo del Plan Componentes Claves de un BCP Pruebas del Plan Resumen

DESARROLLO

PROCESO DE PLANIFICACIÓN DE LA CONTINUIDAD DEL NEGOCIO /RECUPERACIÓN FRENTE A DESASTRES

No sólo las catástrofes ambientales, tales como incendios o inundaciones, pueden causar daños adversos a una organización. Otros tipos de incidentes, como los que se detallan a continuación, pueden tener impactos adversos para una compañía:

Incidentes serios de seguridad en los sistemas, como delitos cibernéticos, pérdida de información, robo de información sensible o su distribución accidental, fallos en los sistemas IT, errores de operación en los sistemas, etc.

Daños en las infraestructuras o en los servicios, fallos en el suministro eléctrico, fallos en el suministro de agua, fallos en las comunicaciones, huelgas en los servicios de limpieza.

Fallos en los equipos o en los sistemas, incluyendo fallos en las fuentes de alimentación, en los equipos de refrigeración.

Daños deliberados como actos de terrorismo o de sabotaje, guerras, robos, huelgas, etc.

19


Las consecuencias de estos accidentes sobre las organizaciones que no tienen un plan de continuidad de negocio pueden llegar a ocasionar incluso el cierre de las mismas. Tomemos como ejemplo las siguientes cifras:

Un 43% de las organizaciones después de un accidente no podrán continuar sus operaciones viéndose obligadas a cerrar. Un 80% tendrán que hacerlo en menos de 13 meses. Un 53% de los clientes de estas organizaciones no recuperarán las pérdidas causadas por los daños derivados. Un 50% se verán forzadas a cerrar antes de cinco años después del desastre.

A pesar de que los efectos inmediatos de un desastre aparentemente son la pérdida de beneficios por la parada de actividad puntual y la incapacidad para proveer servicios críticos, no son éstos los efectos más perniciosos que un incidente de este tipo provoca. Otros efectos derivados que pueden causar un gran impacto en la compañía son la pérdida de reputación de cara a los clientes, o la pérdida de ventaja competitiva con otras compañías.

Los desastres:1. Impactan adversamente las operaciones del negocio2. Interrumpen la operación de procesamiento de información crítica3. No todas las interrupciones son desastres4. Tipos de desastres e interrupciones5. Causas de interrupción del servicio

ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA)

1. Criticidad de los recursos de información2. Participación del personal de SI y los usuarios finales3. Análisis de todos los tipos de recursos de información4. Tres aspectos claves para el análisis:

Criticidad de los recursos de información relacionados con los procesos críticos del negocio. Período de tiempo de recuperación crítico antes de incurrir en pérdidas significativas. Sistema de clasificación de riesgos.

20


CLASIFICACIÓN DE OPERACIONES, ANÁLISIS CRITICIDAD

CRITICOS Sus funciones no pueden ser ejecutadas a menos que sean reemplazadas por recursos identicos. No se pueden utilizar metodos manuales. Cosoto de interrupcion es muy alto.

VITALES Sus funciones pueden ser ejecutas manualmente durante un periodo corto. Mayor tolerancia a las interrupciones. Costo de interrupcion menores si caida es menor a 3 dias.

SENSITIVOS Sus funciones pueden ser ejecutas manualmente durante un periodo relativamente largo. Mientras de hace manualmente se requiere personal adicional. Costos de interrupcion medios.

NO CRITICOS Sus funciones pueden ser interrumpidas por un periodo relativamente largo, con poco o ningun costo.

OBJETIVO PUNTO RECUPERACIÓN (RPO) Y OBJETIVO TIEMPO DE RECUPERACIÓN (RTO)

ESTRATEGIAS DE RECUPERACIÓN

Una estrategia de Recuperación es una combinación de medidas preventivas, detectivas y correctivas

Eliminar la amenaza completamente Minimizar la probabilidad de que ocurra Minimizar el efecto

21

Objetivo del tiempo de Recuperacion

¿Cual es la tolerancia al Downtime?

Objetivo del punto de Recuperacion

¿Que tan actualizados necesitan estar los datos?

SEM DIAS HRS MIN SEG SEM DIAS HRS MIN SEG

PUNTO DE RECUPERACION TIEMPO DE RECUPERACION


Identificar las estrategias de recuperación

La criticidad de los procesos del negocio y aplicaciones que soportan los procesos Coste Tiempo requerido para la recuperación Seguridad

ALTERNATIVAS DE RECUPERACIÓN

Las interrupciones más prolongadas y más costosas, en particular los desastres que afectan a las instalaciones, requieren recuperación (offsite).

Tipos de instalaciones de respaldo Hardware alternativos Hot Sites Warm Sites Cold Sites Instalaciones de procesamiento duplicados Sitios Móviles Acuerdos recíprocos con otras organizaciones

22


DESARROLLO DE (BCP Y DRP)

Basado en en BIA y la estrategia de recuperación seleccionada por la gerencia Debería abarcar todos los temas involucrados en la recuperación de un desastre Debería resolver todos los problemas involucrados en la interrupción del negocio

Factores que se deben considerar:

Estar preparados antes de un desastre cubriendo todas las incidencias Procedimientos de evacuación Procedimientos para declarar desastres Circunstancias en que se debe declarar desastre Clara identificación de responsabilidades en el plan Clara identificación de personas y funciones en el plan Clara identificación de información de los contratos Explicación paso a paso de la recuperación Clara identificación de recursos necesarios Aplicación paso por paso de la etapa de recuperación

ORGANIZACIÓN Y ASIGNACIÓN DE RESPONSABLES

Equipo de almacenamiento externo Equipo de software Equipo de aplicaciones Equipo de seguridad Equipo de operaciones de emergencia Equipo de almacenamiento externo Equipo de software

23


Equipo de aplicaciones Equipo de seguridad Equipo de operaciones de emergencia Equipo de suministros Equipo de salvamento Equipo de reubicación Equipo de Coordinación Equipo de Asuntos Legales Equipo de prueba de recuperación Equipo de Entrenamiento

OTROS ASPECTOS DEL DESARROLLO DEL PLAN

Los componentes de este plan incluyen:

1. Personal clave para toma de decisiones Información de contacto

2. Respaldo de los suministros requeridos Configuración de las instalaciones Mesas, sillas, teléfonos…

3. Métodos de recuperación de desastres para redes de telecomunicaciones

COMPONENTES DE UN PLAN EFECTIVO PARA LA CONTINUIDAD DEL NEGOCIO BCP

Incluyen: Plan de Continuidad de negocio (BCP) Plan de Recuperación de Negocio (BRP) Plan de Continuidad de Operaciones (COOP) Plan de Soporte de Continuidad Plan de Contingencia T.I. Plan de Comunicación de Crísis Plan de Respuestas a incidentes Plan de Recuperación del desastre (DRP) Plan de Emergencia de ocupantes (OEP)

Para las fases de planificación, implementación y evaluación se debe acordar:

Metas/requerimientos/productos de cada fase Instalaciones alternativas para las tareas y operaciones Recursos de información crítica a instalar Personas responsables de su ejecución Recursos disponibles para Plan de ejecución Cronograma de actividades y prioridades

Personal Clave para la toma de decisiones

Lista de prioridades de contactos Teléfonos y direcciones de personas críticas a contactar Teléfonos y direcciones de representantes de los equipos y software Teléfonos de suministradores de equipos y servicios Teléfonos de personas en sitio de recuperación Teléfonos de personas instalaciones de almacenamiento externo

24


Teléfonos de agentes de seguros Teléfonos de personas de empresas contratadas Teléfonos de agencias legales

Respaldo de los suministros Requeridos

Procedimientos escritos, detallados y actualizados Formularios requeridos:

Pedidos Albaranes Facturas

Considerar conexiones con otros sistemas

Métodos de prevención para redes:

Redundancia Enrutamiento alternativo Diversidad de red de largo alcance Protección del circuito de "Último Kilómetro" Recuperación de voz

Métodos de recuperación frente a desastres para servidores:

Suministro de dos proveedores de energía Uso de generadores eléctricos (gasoleo) Uso de Sistemas ininterumpidos (SAI)

Servidores tolerantes a fallos

Redundantes Cluster Balanceo de carga

Seguros Equipo de SI e instalaciones Reconstrucción de medios (software) Gastos adicionales Interrupción del negocio

25


26


PRUEBAS DEL PLAN

Especificaciones Medir la habilidad y capacidad del lugar de respaldo Evaluar la capacidad de recuperación de registros vitales Evaluar estado y cantidad de equipos y suministros en el lugar de recuperación Medir el desempeño general de actividades operativas y de sistemas relacionados

con el negocio Verificar si el plan es completo y preciso Evaluar el desempeño del personal involucrado Evaluar el entrenamiento y conocimiento del personal que no pertenece al negocio Evaluar la coordinación entre equipo continuidad y proveedoresexternos

Realización de Pruebas Etapas Pre-Prueba Prueba Post-Prueba Tipos de Prueba Prueba sobre papel

27


Prueba del estado de preparación Prueba operativa completa

Documentación de los resultados

Análisis de resultados

Tiempo Cantidad Conteo Exactitud

Mantenimiento del plan:

Factores que impactan Cambios en la organización Nuevos recursos/aplicaciones Cambios en la estrategia del negocio Cambios en software o hardware

Responsabilidades del plan incluyen Desarrollar un plan para revisión y mantenimiento periódico Exigir revisiones no programadas ante cambios significativos Examinar las revisiones y actualizarlas después de las revisiones Coordinar pruebas programadas y no programadas evaluar suficiencia Participar en las pruebas anuales

Desarrollar un programa de entrenamiento:

Mantener registro de las actividades de Mantenimiento Pruebas Entrenamiento Revisiones

Actualizar, por lo menos trimestralmente, lista de contactos

FASES DEL PROCESO DE PRUEBA DEL PLAN

28


BENEFICIOS

Identifica los diversos eventos que podrían impactar sobre la continuidad de las operaciones y su impacto financiero, humano y de reputación sobre la organización.

Obliga a conocer los tiempos críticos de recuperación para volver a la situación anterior al desastre sin comprometer al negocio.

Previene o minimiza las pérdidas para el negocio en caso de desastre. Clasifica los activos para priorizar su protección en caso de desastre. Aporta una ventaja competitiva frente a la competencia. Fomenta e implica a los recursos humanos de la compañía en las actividades de

continuidad. Garantizar la continuidad de la operación durante una contingencia mayor. Reducir el nivel de riesgo mediante el uso de una metodología probada. Generar y fortalecer la concienciación en materia de prevención de riesgos.

Prevenir pérdida y daños. Cubrir los requisitos de Organismos Reguladores

RESUMEN Y CONCLUSIONES

Preparar análisis de impacto del negocio

Identificar y clasificar sistemas y recursos (críticos) Escoger estrategias apropiadas para la recuperación Desarrollar un plan detallado para recuperar instalaciones (TIC) Desarrollar un plan detallado para las funciones críticas Probar los planes

29


Mantener actualizados los planes

ANEXO 1

FORMULARIO 1 - Plan para la Continuidad del Negocio y Preparación para Desastres

30


PLANIFIQUE SEGUIR HACIENDO NEGOCIOS_____________________________________________Nombre de la Compañía_____________________________________________Dirección_____________________________________________Ciudad, Estado, Código Postal_____________________________________________Número de TeléfonoSi este lugar no está accesible, operaremos desdeel siguiente lugar:_____________________________________________Nombre de la Compañía_____________________________________________Dirección_____________________________________________Ciudad, Estado, Código Postal_____________________________________________Número de TeléfonoLa siguiente persona estará a cargo de gestionar la crisisy será el portavoz de la compañía en caso de emergencia._____________________________________________Contacto Primario de Emergencia_____________________________________________Número de Teléfono_____________________________________________Número Alternativo_____________________________________________Correo electrónicoSi la persona no puede gestionar la crisis, esta otrapersona será quien esté a cargo:_____________________________________________Secondary Primario de Emergencia_____________________________________________Número de Teléfono_____________________________________________Número Alternativo_____________________________________________Correo electrónicoINFORMACIÓN DE CONTACTOS DE EMERGENCIAMarque 9-1-1 en caso de emergencia_____________________________________________Policía/Bomberos - No Emergencias_____________________________________________Proveedor de Seguros

MANTÉNGASE INFORMADOLos siguientes desastres naturales y causados por el hombre podrían afectar nuestro negocio:□ ____________________________________________________________________________________________

31


□ ____________________________________________________________________________________________□ ____________________________________________________________________________________________□ ____________________________________________________________________________________________EQUIPO DE PLANIFICACIÓN DE EMERGENCIALas siguientes personas participarán en la planificación de emergencias y la gestión de crisis:□ ____________________________________________________________________________________________□ ____________________________________________________________________________________________□ ____________________________________________________________________________________________□ ____________________________________________________________________________________________□ ____________________________________________________________________________________________PLANIFICAMOS COORDINAR CON OTROSLas siguientes personas de los negocios vecinos y la gerencia de nuestro edificio participarán en nuestro equipo deplanificación de emergencias:□ ____________________________________________________________________________________________□ ____________________________________________________________________________________________□ ____________________________________________________________________________________________□ ____________________________________________________________________________________________□ ____________________________________________________________________________________________EQUIPO DE PLANIFICACIÓN DE EMERGENCIAEsta lista contiene nuestras operaciones cruciales, personal y procedimientos necesarios para recuperarnos de un desastre:Operación Personal a Cargo Plan de Acción________________________ ___________________________________ _______________________________________________________ ___________________________________ _______________________________

32


________________________ ___________________________________ _______________________________________________________ ___________________________________ _______________________________________________________ ___________________________________ _______________________________

PROVEEDORES Y CONTRATISTASNombre de la Compañía: __________________________________________________________Dirección: ______________________________________________________________________Ciudad: _______________________ Estado: _______ Código Postal: ______________________Teléfono: Fax: Correo electrónico: ___________________________________________________Nombre de Contacto: Número de Cuenta: ____________________________________________Materiales /Servicios Proporcionados: ________________________________________________Si esta compañía sufre un desastre, obtendremos los suministros/materiales de la siguiente:Nombre de la Compañía: _________________________________________________________Dirección: ______________________________________________________________________Ciudad: _______________________ Estado: _______ Código Postal: ______________________Teléfono: Fax: Correo electrónico: ___________________________________________________Nombre de Contacto: Número de Cuenta: ____________________________________________Materiales /Servicios Proporcionados: _______________________________________________Si esta compañía sufre un desastre, obtendremos los suministros/materiales de la siguiente:Nombre de la Compañía: __________________________________________________________Dirección : ______________________________________________________________________Ciudad: _______________________ Estado: _______ Código Postal: ______________________Teléfono: Fax: Correo electrónico: ___________________________________________________Nombre de Contacto: Número de Cuenta:_____________________________________________Materiales /Servicios Proporcionados: ________________________________________________

PLAN DE EVACUACIÓN PARA LAS INSTALACIONES ____________________________________(Dirección)□ Hemos elaborado estos planes en colaboración con los negocios vecinos y lospropietarios del edificio para evitar confusión o embotellamientos.□ Hemos encontrado, copiado y publicado mapas del edificio y de las instalaciones.□ Las salidas están claramente marcadas.□ Practicaremos los procedimientos de evacuación _________________ veces por año.Si debemos refugiarnos rápidamente____________________________________________________________________________________________________________________________________________________________1. Sistema de advertencia:________________________________________________________Probaremos el sistema de advertencia y registraremos los resultados ____ veces por año.2. Lugar de reunión: _____________________________________________________________3. Gerente y Persona alternativa para el lugar de reunión:________________________________a. Algunas responsabilidades:________________________________________________________________________________________________________________________________________________________________________________________________________________________4. Gerente de apagado y Persona alternativa:_________________________________________a. Algunas responsabilidades:________________________________________________________________________________________________________________________________________________

33


________________________________________________________________________5. ________________________________ es responsable de emitir la orden de “todo despejado”.

PLAN DE REFUGIO EN EL LUGAR ___________________________________________________(Dirección)□ Hemos hablado con compañeros de trabajo sobre qué suministros de emergencia, si existen,los proporcionará la compañía en el lugar del refugio y qué suministros pueden considerarlas personas guardar en un kit portátil personalizado para necesidades individuales.□ Practicaremos procedimientos de refugio _____ veces por año.Si debemos refugiarnos rápidamente____________________________________________________________________________________________________________________________________________________________1. Sistema de advertencia:________________________________________________________Probaremos el sistema de advertencia y registraremos los resultados_____ veces por año.2. Lugar de refugio de tormentas: __________________________________________________3. Lugar del refugio “Sellar el cuarto”: _______________________________________________4. Gerente del refugio y Persona alternativa: __________________________________________a. Algunas responsabilidades:________________________________________________________________________________________________________________________________________________________________________________________________________________________5. Gerente de apagado y Persona alternativa:_________________________________________a. Algunas responsabilidades:________________________________________________________________________________________________________________________________________________________________________________________________________________________6. ________________________________ es responsable de emitir la orden de “todo despejado”.

COMUNICACIONESComunicaremos nuestros planes de emergencia con compañeros de trabajo de la siguiente forma:____________________________________________________________________________________________________________________________________________________________________________________________En caso de desastre, nos comunicaremos con los empleados de la siguiente forma:____________________________________________________________________________________________________________________________________________________________________________________________CIBERSEGURIDADPara proteger nuestro hardware, haremos lo siguiente:______________________________________________________________________________________________Para proteger nuestro software, haremos lo siguiente:______________________________________________________________________________________________Si nuestras computadoras resultan destruidas, utilizaremos computadoras de seguridad en el siguiente lugar:______________________________________________________________________________________________COPIAS DE SEGURIDAD DE LOS ARCHIVOS

34


________________________ es responsable de hacer copias de seguridad de nuestros archivos cruciales, incluidoslos sistemas de nómina del personal y de contabilidad.Las copias de seguridad, incluyendo una copia de este plan, mapas del sitio, pólizas de seguro, registros bancarios ycopias de seguridad informáticas están en nuestras instalaciones en ______________________________________.Otro juego de copias de seguridad está guardado en este lugar fuera de las instalaciones:______________________________________________________________________________________________Si nuestros registros de contabilidad y nómina de personal resultan destruidos, mantendremos la continuidad de lasiguiente forma:_________________________________________________________________________________

INFORMACIÓN DE CONTACTO DE EMERGENCIA DE LOS EMPLEADOSLa siguiente es una lista de nuestros compañeros de trabajo y su información de contacto de emergencia individual:________________________ ___________________________________ _______________________________________________________ ___________________________________ _______________________________________________________ ___________________________________ _______________________________________________________ ___________________________________ _______________________________________________________ ___________________________________ _______________________________REVISIÓN ANUALRevisaremos y actualizaremos este plan de continuidad de los negocios y de desastres en _____________________.

BIBLIOGRAFIA

http://www.borrmart.es/articulo_redseguridad.php?id=564&numero=18 http://www.slideshare.net/efutch/continuidad-de-negocioshttp://apuntes.rincondelvago.com/plan-de-continuidad-del-negocio.htmlhttp://www.fistconference.org/data/presentaciones/continuidaddenegocio.pdfhttp://bconsultores.com/pages/factor_de_riesgo_continuidad_del_negocio.pdfhttp://es.wikipedia.org/wiki/Plan_de_continuidad_del_negociohttp://auditoriasistemas.com/plan-de-continuidad-de-negocio/http://www.listo.gov/america/_downloads/Listo_SamplePlan.pdfhttp://www.pdf-search-engine.com/manual-plan-de-continuidad-del-negocio-pdf.htmlhttp://www.deltaasesores.com/servicios/tecnologia-informatica/1259-planes-de-continuidad-contingencia

35

auditoria - investigacion (examen)

Documents